第一篇：91旺財通過公安部國家信息安全等級保護三級認證

91旺財通過公安部國家信息安全等級保護三級認證

2017年4月28日，91金融旗下91旺財正式通過國家“信息系統(tǒng)安全等級保護”測試，獲得公安部核準頒發(fā)國家信息安全等級保護備案證明三級證明，安全標準達到國家非銀機構(gòu)最高評級，成為《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》正式出臺后，在網(wǎng)絡(luò)信息安全方面完成信息系統(tǒng)定級備案的平臺之一。

安全標準達到國家非銀機構(gòu)最高評級

據(jù)了解，信息安全等級保護是依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》和《信息安全等級保護管理辦法》對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。從公開信息得知，公安部信息系統(tǒng)安全等級保護共分為五級，級別越高越安全。現(xiàn)有評選標準上，第三級屬于“監(jiān)管級別”，是非銀行金融機構(gòu)能夠獲得的最高級別信息安全認證。據(jù)統(tǒng)計，截至目前，我國僅有120余家網(wǎng)貸平臺通過等級保護測評，約占總運營平臺的5.6%。

本次測評中，公安部對91旺財網(wǎng)貸核心系統(tǒng)承載業(yè)務(wù)、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)資產(chǎn)、安全服務(wù)、安全環(huán)境威脅評估等多項內(nèi)容進行了嚴格審查，最終予以備案。這說明了91旺財在技術(shù)安全、系統(tǒng)管理、應(yīng)急保障等方面已經(jīng)達到了國家標準，建立了完備的網(wǎng)絡(luò)信息安全保護體系。

堅守安全，既是底線，更是責任

近年來，互聯(lián)網(wǎng)金融迅猛發(fā)展，安全問題一直是網(wǎng)貸行業(yè)的痛點，特別是在用戶信息泄露，平臺穩(wěn)定安全方面，擁有一個安全的信息保密、安全交易環(huán)境是互聯(lián)網(wǎng)金融平臺發(fā)展的根本。

隨著《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》的發(fā)布，網(wǎng)絡(luò)安全已經(jīng)上升為網(wǎng)貸平臺合規(guī)的必要條件?！掇k法》明確要求：網(wǎng)貸平臺應(yīng)當按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試，具有完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災(zāi)難恢復等網(wǎng)絡(luò)安全設(shè)施和管理制度。

91投資、91眾創(chuàng)空間、91金融創(chuàng)始人、董事長、CEO許澤瑋表示，安全問題不僅是監(jiān)管層要求網(wǎng)貸平臺堅守的底線，更是平臺對用戶的一種責任。只有確保用戶資金與信息安全，才能建立相互間的信任，推動公司長遠發(fā)展。

據(jù)許澤瑋介紹，為確保用戶資金與信息安全，91旺財快速組建項目小組，推進合規(guī)整改，成功上線廈門銀行資金存管系統(tǒng)。同時，平臺積極開展自檢自查工作，確保自身具備完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災(zāi)難恢復等網(wǎng)絡(luò)安全設(shè)施和管理制度，保障信息系統(tǒng)安全穩(wěn)健運行。

第二篇：口袋理財通過國家信息安全等級保護三級認證

口袋理財通過國家信息安全等級保護三級認證

近日，滬上知名的綜合性互聯(lián)網(wǎng)金融理財服務(wù)平臺口袋理財通過了公安部認可、上海市公安局指定的信息系統(tǒng)等級保護測評機構(gòu)上海市信息安全認證測評中心關(guān)于信息系統(tǒng)安全等級保護三級（簡稱“三級等?！保y評，成為《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》正式出臺后，上海僅有的率先通過三級等保測評的互聯(lián)網(wǎng)金融公司之一。

互聯(lián)網(wǎng)技術(shù)的更迭發(fā)展帶動了人們的消費習性和生活模式，其中最為典型的就是互聯(lián)網(wǎng)金融理財模式的發(fā)展。據(jù)零壹財經(jīng)的2016網(wǎng)貸年報數(shù)據(jù)統(tǒng)計，截止2016年12月底，網(wǎng)貸交易規(guī)模已經(jīng)達到了3.36萬億元，活躍借款人和投資人分別在572萬人和998萬人左右。在此情況下，行業(yè)、平臺是否有能力保護動輒數(shù)千萬用戶的“信息安全”成為了各方關(guān)注的焦點。

眾所周知，網(wǎng)貸平臺準入門檻低，在前期的行業(yè)發(fā)展中也曾經(jīng)歷過一個野蠻生長時期，無論是道德水平還是技術(shù)水平都是層次不齊的，那一連串的金融數(shù)字增長下也掩藏了巨大的網(wǎng)絡(luò)信息安全隱患。一旦遇上平臺信息外泄或者信息盜取的情況都容易對公眾權(quán)益造成嚴重損害，并產(chǎn)生一定的社會影響。

8月24日《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理辦法》正式出臺，明確指出網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試，采取完善的管理控制措施和技術(shù)手段保障信息系統(tǒng)安全穩(wěn)健運行，保護出借人與借款人的信息安全。口袋理財積極響應(yīng)監(jiān)管號召，召集平臺一眾BAT技術(shù)團隊配合監(jiān)管部門進行相關(guān)的測評工作。

此次測評，上海市信息安全認證測評中心對口袋理財?shù)臋C房、網(wǎng)絡(luò)互聯(lián)設(shè)備與安全設(shè)備、數(shù)據(jù)可管理系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、安全管理文檔、人員等具體對象實施了多輪多層次抽樣檢測，在全方位評估了口袋理財網(wǎng)站信息系統(tǒng)的安全狀況之后，將口袋理財?shù)男畔踩燃壴u定為“國家信息安全等級保護三級認證”。

據(jù)悉，公安部的安全等級保護共五級，其中第三級屬于“監(jiān)管級別”，由國家信息安全監(jiān)管部門進行監(jiān)督、檢查，這一級別信息系統(tǒng)如果受到破壞，會對國家安全以及公民權(quán)益造成嚴重損害，并產(chǎn)生嚴重的社會影響，所以這一級別的要求是非常嚴格的。

(國家信息安全等級保護的等級劃分)三級安全信息認證主要依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》、《信息安全技術(shù)信息等級保護基本要求》第三級要求以及用戶安全需求，從技術(shù)要求以及管理要求兩大方面提出了包含信息保護、安全審計、通信保密等在內(nèi)的近300項要求。

（系統(tǒng)檢測要求節(jié)選）目前，信息安全等級認證為第三級的金融機構(gòu)多以銀行為代表的傳統(tǒng)金融機構(gòu)，而新興的互聯(lián)網(wǎng)金融機構(gòu)則多被評為二級認證標準。在滬上，僅有幾家互聯(lián)網(wǎng)金融機構(gòu)通過了公安部信息安全等級的三級認證。此次口袋理財率先獲得三級認證也證明了平臺在互聯(lián)網(wǎng)信息技術(shù)、系統(tǒng)安全開發(fā)領(lǐng)域內(nèi)的技術(shù)優(yōu)勢以及安全優(yōu)勢，同時也更堅定了口袋理財成為行業(yè)內(nèi)真正實現(xiàn)“技術(shù)主導創(chuàng)新”互聯(lián)網(wǎng)金融平臺的企業(yè)愿景。

口袋理財信息安全負責人表示，互聯(lián)網(wǎng)金融平臺的信息安全工作影響重大，事關(guān)用戶的個人信息與資金安全，平臺方必須高度重視?？诖碡斠矊⒈帧鞍踩笥谑找?、合法合規(guī)經(jīng)營”的平臺原則，積極投入社會第三方自律性組織，以身作則規(guī)范企業(yè)行為推動行業(yè)自律發(fā)展、維系行業(yè)合規(guī)秩序。

第三篇：國家信息安全等級保護制度

《信息安全等級保護管理辦法》 四部委下發(fā)公通字[2007]43號文 《信息安全等級保護管理辦法》是為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā)，公通字200743號文。2 制定目的 規(guī)范信息安全等級保護管理。文號

公通字200743號文 第一章 總則 第一條

為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)，制定本辦法。第二條

國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。第三條

公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。第四條

信息系統(tǒng)主管部門應(yīng)當依照本辦法及相關(guān)標準規(guī)范，督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。第五條

信息系統(tǒng)的運營、使用單位應(yīng)當依照本辦法及其相關(guān)標準規(guī)范，履行信息安全等級保護的義務(wù)和責任。

第二章 等級劃分與保護 第六條

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條

信息系統(tǒng)的安全保護等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造 1

成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第八條

信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。第三章等級保護的實施與管理 第九條

信息系統(tǒng)運營、用單位應(yīng)當按照《信息系統(tǒng)安全等級保護實施指南》 具體實施等級保護工作。第十條

信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應(yīng)當經(jīng)主管部門審核批準。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當請國家信息安全保護 等級專家評審委員會評審。第十一條

信息系統(tǒng)的安全保護等級確定后，運營、使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條

在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。第十三條

運營、使用單位應(yīng)當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。第十四條

信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。

第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當每 半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應(yīng)當制定方案進行整改。第十五條

已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當在安全保護等級確定后30 日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。第十六條

辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當同時提供以下材料：

（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機構(gòu)和管理制度；

（三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。

第十七條

信息系統(tǒng)備案后，公安機關(guān)應(yīng)當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標準的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以 糾正；發(fā)現(xiàn)定級不準的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當按照本辦法向公安機關(guān)重新備案。第十八條

受理備案的公安機關(guān)應(yīng)當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當會同其主管部門進行。對第五級信息系統(tǒng)，應(yīng)當由國家指定的專門部門進行檢查。公安機關(guān)、國家指定的專門部門應(yīng)當對下列事項進行檢查：

（一）系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；

（四）系統(tǒng)安全等級測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；

（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第二十條

公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的，應(yīng)當向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標準進行整改。整改完成后，應(yīng)當將整改報告向公安機關(guān)備案。必要時，公安機關(guān)可以對整改情況組織檢查。

第二十一條

第三級以上信息系統(tǒng)應(yīng)當選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民 共和國境內(nèi)具有獨立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。第二十二條

第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（六）使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求；

（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。第二十三條

從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標準，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實。第四章 涉密信息系統(tǒng)的分級保護管理

第二十四條

涉密信息系統(tǒng)應(yīng)當依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準，結(jié)合系統(tǒng)實際情況進行保護。非涉密信息系統(tǒng)不得處理國家秘密信息。第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確 定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。保密工作部門和機構(gòu)應(yīng)當監(jiān)督指導涉密信息系統(tǒng)建設(shè)使用單位準確、合理地進行系統(tǒng)定級。第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當將涉密信息系統(tǒng)定級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設(shè)計與實施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標準，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平

總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當選用國產(chǎn)品，并應(yīng)當通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后，應(yīng)當向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時，應(yīng)當提交以下材料：

（一）系統(tǒng)設(shè)計、實施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告；

（四）系統(tǒng)安全保密檢測評估報告；

（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；

（六）其他有關(guān)材料。第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責任單位變更時，其建設(shè)使用單位應(yīng)當及時向負責審批的保密工作部門報告。保密工作部門應(yīng)當根據(jù)實際情況，決定是否對其重新進行測評和審批。第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)國家保密標準BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。第三十三條

國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：

（一）指導、監(jiān)督和檢查分級保護工作的開展；

（二）指導涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級；

（三）參與涉密信息系統(tǒng)分級保護方案論證，指導建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；

（五）嚴格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況；

（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章

信息安全等級保護的密碼管理 第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。

根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級保護準則。信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標準。第三十五條

信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應(yīng)當嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運營、使用單位應(yīng)當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標準，其密碼的配備使用情況應(yīng)當向國家密碼管理機構(gòu)備案。第三十七條

運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔，其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。第三十九條

各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達 到密碼相關(guān)標準要求的，應(yīng)當按照國家密碼管理的相關(guān)規(guī)定進行處置。第六章 法律責任 第四十條

第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的；

（二）未按本辦法規(guī)定落實安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；

（七）未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴重損害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責任。第七章 附則

第四十二條

已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。第四十三條本辦法所稱“以上”包含本數(shù)（級）。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7 7

號）同時廢止。

第四篇：公安部頒布《信息安全等級保護管理辦法(試行)》

公安部頒布《信息安全等級保護管理辦法（試行）》

第一章 總 則

第一條 為加強信息安全等級保護,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化

建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等國家有關(guān)法律法規(guī),制定本辦法。

第二條 信息安全等級保護,是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

第三條 信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息和信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,信息和信息系統(tǒng)應(yīng)當達到的基本的安全保護水平等因素確定。

第四條 信息系統(tǒng)的安全保護等級分為以下五級：

(一)第一級為自主保護級,適用于一般的信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害,但不損害國家安全、社會秩序和公共利益。

(二)第二級為指導保護級,適用于一般的信息系統(tǒng),其受到破壞后,會對社會秩序和公共利益造成輕微損害,但不損害國家安全。

(三)第三級為監(jiān)督保護級,適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序和公共利益造成損害。

(四)第四級為強制保護級,適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序和公共利益造成嚴重損害。

(五)第五級為?？乇Ｗo級,適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會對國家安全、社會秩序和公共利益造成特別嚴重損害。

第五條 信息系統(tǒng),運營、使用單位及個人依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護,國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理。

(一)第一級信息系統(tǒng)運營、使用單位或者個人可以依據(jù)國家管理規(guī)范和技術(shù)標準進行保護。

(二)第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范和技術(shù)標準進行保護。必要時,國家有關(guān)信息安全職能部門可以對其信息安全等級保護工作進行指導。(三)第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范和技術(shù)標準進行保護,國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行監(jiān)督、檢查。

(四)第四級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范和技術(shù)標準進行保護,國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行強制監(jiān)督、檢查。

(五)第五級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范和技術(shù)標準進行保護, 國家指定的專門部門或者專門機構(gòu)對其信息安全等級保護工作進行專門監(jiān)督、檢查。

第六條 公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關(guān)密碼;工作的監(jiān)督、檢查、指導。

涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構(gòu)負責等級保護工作的部門問協(xié)調(diào)。

第五篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標記

5、介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應(yīng)具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；

9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應(yīng)具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應(yīng)對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應(yīng)具有管理制度評審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領(lǐng)導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查，對需要改進的制度進行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責人

3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導和管理信息安全工作的委員會或領(lǐng)導小組（最高領(lǐng)導是否由單位主管領(lǐng)導委任或授權(quán)的人員擔任）

7、應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導小組或者安全管理委員會應(yīng)定期召開會議）

9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領(lǐng)導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應(yīng)定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。

10、應(yīng)對各類人員（普通用戶、運維人員、單位領(lǐng)導等）進行安全教育、崗位技能和安全技術(shù)培訓。

11、應(yīng)針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結(jié)果記錄，記錄應(yīng)與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，由何部門/何人負責

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負責產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應(yīng)指定部門負責系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應(yīng)指定部門負責系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書

六、系統(tǒng)運維管理

1、應(yīng)指定專人或部門對機房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責。

2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄，空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄

3、應(yīng)指定部門和人員負責機房安全管理工作

4、應(yīng)對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應(yīng)對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應(yīng)具有分類的標識或標簽

15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護。

16、應(yīng)具有設(shè)備操作手冊

17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警

20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應(yīng)定期對監(jiān)控記錄進行分析、評審

22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告

23、應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理

24、應(yīng)指定專人負責維護網(wǎng)絡(luò)安全管理工作

25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級，更新前應(yīng)對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡(luò)設(shè)備運維維護工作記錄）

26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對配置文件進行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準，由何人/何部門批準。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進行備份。

32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應(yīng)對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）

34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應(yīng)對員工進行基本惡意代碼防范意識的教育，如告知應(yīng)及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓文檔）

36、應(yīng)指定專人對惡意代碼進行檢測，并保存記錄。

37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄

38、應(yīng)對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔

45、應(yīng)對安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。

48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓（應(yīng)急預(yù)案培訓記錄）

49、應(yīng)定期對應(yīng)急預(yù)案進行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。