第一篇：如何理解信息安全等級保護與分級保護

《電信交換》2009年

第2期

如何理解信息安全等級保護

與分級保護

徐 蘇

（電信科學(xué)技術(shù)第十研究所

陜西

西安

710061）

摘 要：信息安全保護分級、分區(qū)域、分類、分階段是做好國家信息安全保護應(yīng)遵循的準(zhǔn)則。國家信息安全等級保護與涉密信息系統(tǒng)分級保護是兩個既聯(lián)系又有區(qū)別的概念。國家安全信息等級保護，重點保護的對象是非涉密的涉及國計民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng)；涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領(lǐng)域的具體體現(xiàn)。

關(guān)鍵字：國家信息安全 公眾信息 國家秘密信息 等級保護 分級保護 在日常工作中和為用戶提供服務(wù)的過程中，什么是信息系統(tǒng)等級保護？什么是涉密信息系統(tǒng)分級保護？這兩者之間有什么關(guān)系？那些系統(tǒng)需要進行等級保護？涉密信息系統(tǒng)如何分級？這是時常困擾我們的問題。

一、信息系統(tǒng)等級保護

1999年國家發(fā)布并于2001年1月1日開始實施GB17859《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》。2003年，中辦、國辦轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。2004年9月17日，公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級保護工作的實施意見》，明確了信息安全等級保護的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實施計劃。2006年1月17日，四部門又下發(fā)了《信息安全等級保護管理辦法（試行）》，進一步確定職責(zé)分工，明確了公安機關(guān)負責(zé)全面工作、國家保密工作部門負責(zé)涉密信息系統(tǒng)、國家密碼管理部門負責(zé)密碼工作、國務(wù)院信息辦負責(zé)的管理職責(zé)和要求。涉及國家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進行保護。

由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會發(fā)展、社會生活和工作的需要而設(shè)計、建立的，是社會構(gòu)成、行政組織體系的反映，因而這種系統(tǒng)結(jié)構(gòu)是分層次和級別的，而其中的各種信息系統(tǒng)具有重要的社會和經(jīng)濟價值，不同的系統(tǒng)具有不同的價值。系統(tǒng)基礎(chǔ)資源和信息資源的價值大小、徐蘇：如何理解信息安全等級保護與分級保護

用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級別的客觀體現(xiàn)。信息安全保護必須符合客觀存在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好國家信息安全保護的前提。

信息系統(tǒng)安全等級保護將安全保護的監(jiān)管級別劃分為五個級別：

第一級：用戶自主保護級

完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級：系統(tǒng)審計保護級

本級的安全保護機制受到信息系統(tǒng)等級保護的指導(dǎo)，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。即能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關(guān)的操作都能夠被記錄下來，以便當(dāng)系統(tǒng)發(fā)生安全問題時，可以根據(jù)審計記錄，分析追查事故責(zé)任人，使所有的用戶對自己行為的合法性負責(zé)。

第三級：安全標(biāo)記保護級

除具有第二級系統(tǒng)審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督、審計。通過對訪問者和訪問對象指定不同安全標(biāo)記，監(jiān)督、限制訪問者的權(quán)限，實現(xiàn)對訪問對象的強制訪問控制。

第四級：結(jié)構(gòu)化保護級

將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構(gòu)造也是結(jié)構(gòu)化的，將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分強制性地直接控制訪問者對訪問對象的存取，使之具有相當(dāng)?shù)目節(jié)B透能力。本級的安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。

第五級：訪問驗證保護級

這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能，負責(zé)仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實行?？兀Ｗo信息不能被非授權(quán)獲取。因此，本級的安全保護機制不易被攻擊、被篡改，具有極強的抗?jié)B透的保護能力。

在等級保護的實際操作中，強調(diào)從五個部分進行保護，即：

物理部分：包括周邊環(huán)境，門禁檢查，防火、防水、防潮、防鼠、蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設(shè)備的標(biāo)識、使用、存放和管理等；

支撐系統(tǒng)：包括計算機系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和通信系統(tǒng)；

網(wǎng)絡(luò)部分：包括網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護、網(wǎng)絡(luò)設(shè)備的管理和報警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理；

應(yīng)用系統(tǒng)：包括系統(tǒng)登錄、權(quán)限劃分與識別、數(shù)據(jù)備份與容災(zāi)處理，運行管理和訪問控

徐蘇：如何理解信息安全等級保護與分級保護

制，密碼保護機制和信息存儲管理；

管理制度：包括管理的組織機構(gòu)和各級的職責(zé)、權(quán)限劃分和責(zé)任追究制度，人員的管理和培訓(xùn)、教育制度，設(shè)備的管理和引進、退出制度，環(huán)境管理和監(jiān)控，安防和巡查制度，應(yīng)急響應(yīng)制度和程序，規(guī)章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機制構(gòu)成系統(tǒng)整體安全控制機制。

二、涉密信息系統(tǒng)分級保護

1997年《中共中央關(guān)于加強新形勢下保密工作的決定》明確了在新形勢下保密工作的指導(dǎo)思想和基本任務(wù)，提出要建立與《保密法》相配套的保密法規(guī)體系和執(zhí)法體系，建立現(xiàn)代化的保密技術(shù)防范體系。中央保密委員會于2004年12月23日下發(fā)了《關(guān)于加強信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級保護制度。2005年12月28日，國家保密局下發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》，同時，《保密法》修訂草案也增加了網(wǎng)絡(luò)安全保密管理的條款。隨著《保密法》的貫徹實施，國家已經(jīng)基本形成了完善的保密法規(guī)體系。

涉密信息系統(tǒng)實行分級保護，先要根據(jù)涉密信息的涉密等級，涉密信息系統(tǒng)的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統(tǒng)必須達到的安全保護水平來確定信息安全的保護等級；涉密信息系統(tǒng)分級保護的核心是對信息系統(tǒng)安全進行合理分級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。國家保密局專門對涉密信息系統(tǒng)如何進行分級保護制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn)，目前，正在執(zhí)行的兩個分級保護的國家保密標(biāo)準(zhǔn)是BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》。從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統(tǒng)有明確的分級保護措施，從技術(shù)要求和管理標(biāo)準(zhǔn)兩個層面解決涉密信息系統(tǒng)的分級保護問題。

涉密信息系統(tǒng)安全分級保護根據(jù)其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：

秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術(shù)要求。

機密級：信息系統(tǒng)中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術(shù)要求。屬于下列情況之一的機密級信息系統(tǒng)應(yīng)選擇機密級（增強）的要求：

徐蘇：如何理解信息安全等級保護與分級保護

（1）信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關(guān)，以及國防、外交、國家安全、軍工等要害部門；

（2）信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多；（3）信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。

絕密級：信息系統(tǒng)中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術(shù)要求，絕密級信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨立建筑內(nèi)，不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

涉密信息系統(tǒng)分級保護的管理過程分為八個階段，即系統(tǒng)定級階段、安全規(guī)劃方案設(shè)計階段、安全工程實施階段、信息系統(tǒng)測評階段、系統(tǒng)審批階段、安全運行及維護階段、定期評測與檢查階段和系統(tǒng)隱退終止階段等。在實際工作中，涉密信息系統(tǒng)的定級、安全規(guī)劃方案設(shè)計的實施與調(diào)整、安全運行及維護三個階段，尤其要引起重視。

系統(tǒng)定級決定了系統(tǒng)方案的設(shè)計實施、安全措施、運行維護等涉密信息系統(tǒng)建設(shè)的各個環(huán)節(jié)，因此如何準(zhǔn)確地對涉密信息系統(tǒng)進行定級在涉密信息系統(tǒng)實施分級保護中尤為重要。涉密信息系統(tǒng)定級遵循“誰建設(shè)、誰定級"的原則，可以根據(jù)信息密級、系統(tǒng)重要性和安全策略劃分為不同的安全域，針對不同的安全域確定不同的等級，并進行相應(yīng)的保護。在涉密信息系統(tǒng)定級時，可以綜合考慮涉密信息系統(tǒng)中資產(chǎn)、威脅、受到損害后的影響，以及使用單位對涉密信息系統(tǒng)的信賴性等因素對涉密信息系統(tǒng)進行整體定級;同時，在同一個系統(tǒng)里，還允許劃分不同的安全域，在每個安全域可以分別定級，不同的級別采取不同的安全措施，更加科學(xué)地實施分級保護，在一定程度上可以解決保重點，保核心的問題，也可以有效地避免因過度保護而造成應(yīng)用系統(tǒng)運行效能降低以及投資浪費等問題。涉密信息系統(tǒng)建設(shè)單位在定級的同時，必須報主管部門審批。

涉密信息系統(tǒng)要按照分級保護的標(biāo)準(zhǔn)，結(jié)合涉密信息系統(tǒng)應(yīng)用的實際情況進行方案設(shè)計。設(shè)計時要逐項進行安全風(fēng)險分析，并根據(jù)安全風(fēng)險分析的結(jié)果，對部分保護要求進行適當(dāng)?shù)恼{(diào)整和改造，調(diào)整應(yīng)以不降低涉密信息系統(tǒng)整體安全保護強度，確保國家秘密安全為原則。當(dāng)保護要求不能滿足實際安全需求時，應(yīng)適當(dāng)選擇采用部分較高的保護要求，當(dāng)保護要求明顯高于實際安全需求時，可適當(dāng)選擇采用部分較低的保護要求。對于安全策略的調(diào)整以及改造方案進行論證，綜合考慮修改項和其他保護要求之間的相關(guān)性，綜合分析，改造方案的實施以及后續(xù)測評要按照國家的標(biāo)準(zhǔn)執(zhí)行，并且要求文檔化。在設(shè)計完成之后要進行方案論證，由建設(shè)使用單位組織有關(guān)的專家和部門進行方案設(shè)計論證，確定總體方案達到分級保護技術(shù)的要求后再開始實施；在工程建設(shè)實施過程中注意工程監(jiān)理的要求；建設(shè)完成之后應(yīng)

徐蘇：如何理解信息安全等級保護與分級保護

該進行審批；審批前由國家保密局授權(quán)的涉密信息系統(tǒng)測評機構(gòu)進行系統(tǒng)測評，確定在技術(shù)層面是否達到了涉密信息系統(tǒng)分級保護的要求。

運行及維護過程的不可控性以及隨意性，往往是涉密信息系統(tǒng)安全運行的重大隱患。通過運行管理和控制、變更管理和控制，對安全狀態(tài)進行監(jiān)控，對發(fā)生的安全事件及時響應(yīng)，在流程上對系統(tǒng)的運行維護進行規(guī)范，從而確保涉密信息系統(tǒng)正常運行。通過安全檢查和持續(xù)改進，不斷跟蹤涉密信息系統(tǒng)的變化，并依據(jù)變化進行調(diào)整，確保涉密信息系統(tǒng)滿足相應(yīng)分級的安全要求，并處于良好安全狀態(tài)。由于運行維護的規(guī)范化能夠大幅度地提高系統(tǒng)運行及維護的安全級別，所以在運行維護中應(yīng)盡可能地實現(xiàn)流程固化，操作自動化，減少人員參與帶來的風(fēng)險。還需要注意的是在安全運行及維護中保持系統(tǒng)安全策略的準(zhǔn)確性以及與安全目標(biāo)的一致性，使安全策略作為安全運行的驅(qū)動力以及重要的制約規(guī)則，從而保持整個涉密信息系統(tǒng)能夠按照既定的安全策略運行。在安全運行及維護階段，當(dāng)局部調(diào)整等原因?qū)е掳踩胧┳兓瘯r，如果不影響系統(tǒng)的安全分級，應(yīng)從安全運行及維護階段進入安全工程實施階段，重新調(diào)整和實施安全措施，確保滿足分級保護的要求；當(dāng)系統(tǒng)發(fā)生重大變更影響系統(tǒng)的安全分級時，應(yīng)從安全運行及維護階段進入系統(tǒng)定級階段，重新開始一次分級保護實施過程。

隨著我們國家民主與法制建設(shè)進程的不斷推進，保密的范圍和事項正在逐步減少，致使一些涉密人員保密意識和敵情觀念淡化，對保密工作的必要性和重要性認(rèn)識不足。雖然長期處于和平時期，但并不意味著無密可保。事實上，政府部門掌握著大量重要甚至核心的機密，已成為各種竊密活動的重點目標(biāo)。我黨政機關(guān)和軍工單位也是國家秘密非常集中的領(lǐng)域，一直是竊密與反竊密，滲透與反滲透的主戰(zhàn)場。據(jù)國家有關(guān)部門統(tǒng)計，在全國泄密事件中，軍工系統(tǒng)占有很大比例。境內(nèi)外敵對勢力和情報機構(gòu)以我黨政軍機關(guān)和軍工單位為主要目標(biāo)的竊密活動更加突出，滲透與反滲透、竊密與反竊密的斗爭更加激烈。由于一些單位涉密信息系統(tǒng)安全保障能力不夠、管理不力，導(dǎo)致涉密信息系統(tǒng)泄密案件的比例逐年上升，安全保密形勢非常嚴(yán)峻。因此嚴(yán)格按照涉密信息系統(tǒng)分級保護的要求，加強涉密信息系統(tǒng)建設(shè)意義重大。

三、等級保護和分級保護之間的關(guān)系

國家信息安全等級保護與涉密信息系統(tǒng)分級保護是兩個既有聯(lián)系又有區(qū)別的概念。涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領(lǐng)域的具體體現(xiàn)。

國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統(tǒng)和通信基礎(chǔ)信 5

徐蘇：如何理解信息安全等級保護與分級保護

息系統(tǒng)，而不論它是否涉密。如：

(1)國家事務(wù)處理信息系統(tǒng)（黨政機關(guān)辦公系統(tǒng)）；

(2)金融、稅務(wù)、工商、海關(guān)、能源、交通運輸、社會保障、教育等基礎(chǔ)設(shè)施的信息系統(tǒng)；

(3)國防工業(yè)企業(yè)、科研等單位的信息系統(tǒng)；

(4)公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的計算機信息系統(tǒng)；(5)互聯(lián)網(wǎng)網(wǎng)絡(luò)管理中心、關(guān)鍵節(jié)點、重要網(wǎng)站以及重要應(yīng)用系統(tǒng)；(6)其他領(lǐng)域的重要信息系統(tǒng)。

國家實行信息安全等級保護制度，有利于建立長效機制，保證安全保護工作穩(wěn)固、持久地進行下去；有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于突出重點，加強對涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護和管理監(jiān)督；有利于明確國家、企業(yè)、個人的安全責(zé)任，強化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全管理措施；有利于提高安全保護的科學(xué)性、針對性，推動網(wǎng)絡(luò)安全服務(wù)機制的建立和完善；有利于采取系統(tǒng)、規(guī)范、經(jīng)濟有效、科學(xué)的管理和技術(shù)保障措施，提高整體安全保護水平，保障信息系統(tǒng)安全正常運行，保障信息安全，進而保障各行業(yè)、部門和單位的職能與業(yè)務(wù)安全、高速、高效地運轉(zhuǎn)；有利于根據(jù)所保護的信息的重要程度，決定保護等級，防止“過保護”和“欠保護”的情況發(fā)生；有利于信息安全保護科學(xué)技術(shù)和產(chǎn)業(yè)化發(fā)展。

涉密信息系統(tǒng)分級保護保護的對象是所有涉及國家秘密的信息系統(tǒng)，重點是黨政機關(guān)、軍隊和軍工單位，由各級保密工作部門根據(jù)涉密信息系統(tǒng)的保護等級實施監(jiān)督管理，確保系統(tǒng)和信息安全，確保國家秘密不被泄漏。國家秘密信息是國家主權(quán)的重要內(nèi)容，關(guān)系到國家的安全和利益，一旦泄露，必將直接危害國家的政治安全、經(jīng)濟安全、國防安全、科技安全和文化安全。沒有國家秘密的信息安全，國家就會喪失信息主權(quán)和信息控制權(quán)，所以國家秘密的信息安全是國家信息安全保障體系中的重要組成部分。

因為不同類別、不同層次的國家秘密信息，對于維護國家安全和利益具有不同的價值，所以需要不同的保護強度種措施。對不同密級的信息，應(yīng)當(dāng)合理平衡安全風(fēng)險與成本，采取不同強度的保護措施，這就是分級保護的核心思想。對涉密信息系統(tǒng)的保護，既要反對只重應(yīng)用不講安全，防護措施不到位造成各種泄密隱患和漏洞的“弱保護”現(xiàn)象；同時也要反對不從實際出發(fā)，防護措施“一刀切”，造成經(jīng)費與資源浪費的“過保護”現(xiàn)象。對涉密信息系統(tǒng)實行分級保護，就是要使保護重點更加突出，保護方法更加科學(xué)，保護的投入產(chǎn)出比更加合理，徐蘇：如何理解信息安全等級保護與分級保護

從而徹底解決長期困擾涉密單位在涉密信息系統(tǒng)建設(shè)使用中的網(wǎng)絡(luò)互聯(lián)與安全保密問題。

由上可以看出國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發(fā)展的主線和中心任務(wù), 提出了總體要求。對信息系統(tǒng)實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發(fā)展方向。而涉密信息系統(tǒng)分級保護則是國家信息安全等級保護在涉及國家秘密信息的信息系統(tǒng)中的特殊保護措施與方法。由于國家秘密信息與公開信息在內(nèi)容和特性上有著明顯的區(qū)別，所以涉密信息系統(tǒng)和公眾信息系統(tǒng)在保障安全的原則、系統(tǒng)和方法等方面也有不同的要求。既不能用維護國家秘密信息安全的辦法去維護國家公眾信息安全，以至于影響信息的合理利用，阻礙信息化的發(fā)展；也不能用維護公眾信息安全的辦法來維護國家的秘密信息安全，以至于竊密、泄密事件的發(fā)生，危害國家的安全和利益，同樣影響信息化的健康發(fā)展。

第二篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應(yīng)具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；

9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應(yīng)具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應(yīng)對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應(yīng)具有管理制度評審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查，對需要改進的制度進行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人

3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議）

9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應(yīng)定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。

10、應(yīng)對各類人員（普通用戶、運維人員、單位領(lǐng)導(dǎo)等）進行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，并按照計劃對各個崗位人員進行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，由何部門/何人負責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負責(zé)產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運維管理

1、應(yīng)指定專人或部門對機房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責(zé)。

2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄，空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄

3、應(yīng)指定部門和人員負責(zé)機房安全管理工作

4、應(yīng)對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應(yīng)對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽

15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護。

16、應(yīng)具有設(shè)備操作手冊

17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警

20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應(yīng)定期對監(jiān)控記錄進行分析、評審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告

23、應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理

24、應(yīng)指定專人負責(zé)維護網(wǎng)絡(luò)安全管理工作

25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級，更新前應(yīng)對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡(luò)設(shè)備運維維護工作記錄）

26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對配置文件進行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進行備份。

32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應(yīng)對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）

34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應(yīng)對員工進行基本惡意代碼防范意識的教育，如告知應(yīng)及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對惡意代碼進行檢測，并保存記錄。

37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄

38、應(yīng)對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔

45、應(yīng)對安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。

48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對應(yīng)急預(yù)案進行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。

第三篇：信息安全等級保護工作計劃

篇一：信息安全等級保護工作實施方案 白魯?shù)A九年制學(xué)校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號文件精神，結(jié)合我校實際，制訂本實施方案。

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運行。

二、定級范圍

學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導(dǎo)

（一）工作分工。定級工作由電教組牽頭，會同學(xué)校辦公室、安全保衛(wèi)處等共同組織實施。學(xué)校辦公室負責(zé)定級工作的部門間協(xié)調(diào)。安全保衛(wèi)處負責(zé)定級工作的監(jiān)督。

電教組負責(zé)定級工作的檢查、指導(dǎo)、評審。

各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。

（二）協(xié)調(diào)領(lǐng)導(dǎo)機制。

1、成立領(lǐng)導(dǎo)小組，校長任組長，副校長任副組長、各部門負責(zé)人為成員，負責(zé)我校信息安全等級保護工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門按照總體方案落實工作任務(wù)和責(zé)任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導(dǎo)安全保密方案制定。

2、成立由電教組牽頭的工作機構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關(guān)會議；組織開展政策和技術(shù)培訓(xùn)，掌握定級工作規(guī)范和技術(shù)要求，為定級工作打好基礎(chǔ)；全面掌握學(xué)校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調(diào)解決，形成定級工作總結(jié)并按時上報領(lǐng)導(dǎo)小組。

3、成立由赴省參加過計算機培訓(xùn)的教師組成的評審組，主要負責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

（三）評審。初步確定信息系統(tǒng)安全保護等級后，上報學(xué)校信息系統(tǒng)安全等級保護評審組進行評審。

（四）備案。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責(zé)備案工作。

五、定級工作要求

（一）加強領(lǐng)導(dǎo)，落實保障。各部門要落實責(zé)任，并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學(xué)校。

（二）加強培訓(xùn)，嚴(yán)格定級。為切實落實評審工作，保證定級準(zhǔn)確，備案及時，全面提高我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護能力和水平，保證定級工作順利進行，各部門要認(rèn)真學(xué)習(xí)《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓(xùn)材料》、《信息系統(tǒng)安全保護等級定級指南（國標(biāo)）》、《信息系統(tǒng)安全等級保護基本要求（報批）》、《信息系統(tǒng)安全等級保護實施指南（報批）》等材料。

（三）積極配合、認(rèn)真整改。各部門要認(rèn)真按照評級要求，組織開展等級保護工作，切實做好重要信息系統(tǒng)的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，依據(jù)系統(tǒng)所定保護等級的要求，定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應(yīng)及時進行變更備案篇二：醫(yī)院信息系統(tǒng)安全等級保護工作實施方案 醫(yī)院信息系統(tǒng)安全等級 保護工作實施方案

醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運行，根據(jù)公安部等四部、局、辦印發(fā)的《關(guān)于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》衛(wèi)辦綜函【2011】1126號、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》的通知 衛(wèi)辦發(fā)【2011】85號和省市有關(guān)文件精神，并結(jié)合我院信息化建設(shè)的工作實際，特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級保護工作實施方案》確保我院信息系統(tǒng)安全。

一、組織領(lǐng)導(dǎo) 組 長： 副組長： 組 員：

領(lǐng)導(dǎo)小組辦公室設(shè)在xx科，由xx同志兼任主任，xx等同志負責(zé)具體工作。

二、工作任務(wù)

1、做好系統(tǒng)定級工作。定級系統(tǒng)包括基礎(chǔ)支撐系統(tǒng)，面向患者服務(wù)信息系統(tǒng)，內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡(luò)直報系統(tǒng)及門戶網(wǎng)站，定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關(guān)部門協(xié)商。

2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護劃分定級要求，對信息系統(tǒng)進行定級后，將本單位《信息系統(tǒng)安全等級保護備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報衛(wèi)生局，由衛(wèi)生局報屬地公安機關(guān)辦理備案手續(xù)。

3、做好系統(tǒng)等級測評工作。完成定級備案后，選擇市衛(wèi)生局推薦的等級測評機構(gòu)，對已確定安全保護等級信息系統(tǒng)，按照國家信息安全等級保護工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等國家標(biāo)準(zhǔn)開展等級測評，信息系統(tǒng)測評后，及時將測評機構(gòu)出具的《信息系統(tǒng)等級測評報告》向?qū)俚毓矙C關(guān)報備。

4、完善等級保護體系建設(shè)做好整改工作。按照測評報告評測結(jié)果，對照《信息系統(tǒng)安全等級保護基本要求》（gb/t22239-2008）等有關(guān)標(biāo)準(zhǔn)，結(jié)合醫(yī)院工作實際，組織開展等級保護安全建設(shè)整改工作，具體要求如下：

三、工作要求

1、建立安全管理組織機構(gòu)。成立信息安全工作組，網(wǎng)絡(luò)辦負責(zé)人為安全責(zé)任人，擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級保護工作順利實施。

2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。

3、制定保障醫(yī)療活動不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保醫(yī)療活動持續(xù)進行。

4、嚴(yán)格執(zhí)行安全事故報告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責(zé)任發(fā)現(xiàn)和報告信息安全可疑事件，應(yīng)視情況及時以口頭或書面的形式報告院網(wǎng)絡(luò)辦。對重大信息網(wǎng)絡(luò)安全事件、安全事故和計算機違法犯罪案件，應(yīng)在24小時內(nèi)向公安機關(guān)報告，并保護好現(xiàn)場。篇三：2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報

一、加強領(lǐng)導(dǎo)

二、完善制度

為貫徹落實全市加強和改進互聯(lián)網(wǎng)建設(shè)與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》（揚辦發(fā)[2012]57號）文件精神，對集團信息系統(tǒng)安全等級保護工作做出了具體的要求，根據(jù)等級保護要求，開展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。

三、信息等級安全保護基本情況

目前，集團已有揚州網(wǎng)、揚州晚報網(wǎng)、揚州汽車網(wǎng)、藝術(shù)在線網(wǎng)和多個內(nèi)部信息系統(tǒng)根據(jù)等級保護的要求進行了整改優(yōu)化，積極加強信息系統(tǒng)安全環(huán)境建設(shè)，消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面，機房安裝門禁系統(tǒng)，嚴(yán)格管理機房人員進出，消防設(shè)施完善，所有設(shè)備通過ups供電。關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器做到有主有備，確保在發(fā)生物理故障時可以及時更換。

在網(wǎng)絡(luò)安全方面，我們嚴(yán)格按照內(nèi)、外網(wǎng)物理隔離的標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)系統(tǒng)，并采用虛擬局域網(wǎng)技術(shù)，通過交換機端口的ip綁定，防止非法網(wǎng)絡(luò)接入；在網(wǎng)絡(luò)出口以及不同網(wǎng)絡(luò)互聯(lián)邊界全面部署硬件防火墻，部署日志服務(wù)器，記錄并留存使用互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系； 在集團互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)行為管理系統(tǒng)，規(guī)范和記錄上網(wǎng)行為，合理控制不同應(yīng)用的網(wǎng)絡(luò)流量，實現(xiàn)網(wǎng)絡(luò)帶寬動態(tài)分配，保障了信息系統(tǒng)正常應(yīng)用的網(wǎng)絡(luò)環(huán)境。

在主機安全方面，終端計算機采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應(yīng)用，通過部署趨勢網(wǎng)絡(luò)防毒墻網(wǎng)絡(luò)版，安裝聯(lián)軟安全管理軟件保障客戶機系統(tǒng)安全，并且做到漏洞補丁及時更新，重要的應(yīng)用系統(tǒng)安裝了計算機監(jiān)控與審計系統(tǒng)，實現(xiàn)對主機的usb等外設(shè)接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。

對于應(yīng)用安全，嚴(yán)格做好系統(tǒng)安全測試，配備了專門的漏洞 掃描儀定期掃描應(yīng)用系統(tǒng)漏洞，并按測試結(jié)果做好安全修復(fù)和加固工作；在網(wǎng)站區(qū)，部屬入侵防御系統(tǒng)，監(jiān)測、記錄安全事件，及時阻斷入侵行為，自部署起已多次成功檢測出sql注入，ftp匿名登錄，網(wǎng)站目錄遍歷，探測主機地址漏洞等。

在數(shù)據(jù)安全方面，數(shù)據(jù)庫通過備份系統(tǒng)定期備份，關(guān)鍵數(shù)據(jù)庫服務(wù)器采用雙機熱備份，保證數(shù)據(jù)庫服務(wù)器的可用性和高效性，在出現(xiàn)故障時可以快速恢復(fù)；數(shù)據(jù)庫的訪問按不同用戶身份進行嚴(yán)格的權(quán)限控制。

四、建議

信息系統(tǒng)安全等級保護工作責(zé)任重大，技術(shù)性強，工作量巨大，集團在該項工作上雖然取得一些進展，但是與市里要求還有相當(dāng)?shù)牟罹?，在等級保護意識、宣傳力度、技術(shù)人才的培養(yǎng)和制度的建立上仍然存在問題。

建議市里加強工作指導(dǎo)，通過多種方式的等級保護技術(shù)交流和培訓(xùn)，提高單位領(lǐng)導(dǎo)及員工的等級保護意識，進一步推進集團的信息系統(tǒng)等級保護工作。

第四篇：淺談信息安全等級保護問題

淺談信息安全等級保護問題 當(dāng)今，我國關(guān)于實現(xiàn)信息安全的一項重要的舉措就是信息系統(tǒng)安全等級保護。嚴(yán)格按照等級保護的規(guī)定，建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問題。本文主要介紹了信息安全等級的劃分以及如何對具體的信息系統(tǒng)實施安全等級保護措施的方法。

隨著現(xiàn)在高科技的快速發(fā)展以及當(dāng)前社會對信息系統(tǒng)需求的不斷增加，信息系統(tǒng)的規(guī)模也在日益擴大，它的諸多應(yīng)用都給社會創(chuàng)造了巨大的財富，與此同時，信息系統(tǒng)也成為了威脅、攻擊以及破壞的對象。由于信息在網(wǎng)絡(luò)上的存儲、傳輸和共享等過程的非法利用，導(dǎo)致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點問題。當(dāng)前，我們正在有計劃的開展信息安全等級保護制度實施工作。為了確保計算機信息系統(tǒng)的安全，一定要系統(tǒng)地、深入地研究和學(xué)習(xí)信息系統(tǒng)安全技術(shù)和等級保護方法。

1、信息安全等級保護

2003年，中辦、國辦轉(zhuǎn)發(fā) 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003327號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護等級分為五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級別是系統(tǒng)審計保護級。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重損害，或者對國家安全造成損害。該級別是安全標(biāo)記保護級。除具有第二級系統(tǒng)審計保護級的所有功能外，它還要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督 審計。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重損害，或者對國家安全造成嚴(yán)重損害。該級別是結(jié)構(gòu)化保護級。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能，負責(zé)管理訪問者對訪問對象的所有訪問活動，管理訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權(quán)獲取。

2、信息安全等級劃分

2．1按相關(guān)政策規(guī)定劃分安全保護等級

對于我國中央和國家各級機關(guān)、國家重點科研部門機構(gòu)、國防建設(shè)部門等需要對信息系統(tǒng)施行特殊隔離和保護的單位機關(guān)，均應(yīng)按照相關(guān)政策、相關(guān)法律法規(guī)，實施安全等級保護。

2．2按照保護數(shù)據(jù)的價值劃分保護等級

不同類別的數(shù)據(jù)信息需要實施不同安全等級的保護，這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證，而且又能縮減一部分不必要的開銷。

3、信息安全等級保護具體方法

信息系統(tǒng)安全等級劃分的最優(yōu)的選擇是全方位劃分等級，其最基本的思想為重點保護和適度保護。在此基礎(chǔ)上，投入合理的安全投入，運用以下兩點信息安全等級保護方法，努力使信息系統(tǒng)得到應(yīng)有的安全保護。

3．1全系統(tǒng)的同一安全等級的安全保護

全系統(tǒng)同一安全等級安全保護：在一個需要進行安全等級保護的信息系統(tǒng)中，在組成系統(tǒng)的任何部分，所存儲、傳輸和處理的全部數(shù)據(jù)信息，都需進行相同的安全保護等級的保護措施。

當(dāng)有這樣要求，規(guī)定所要保護的數(shù)據(jù)信息，不管處于系統(tǒng)中任何位置，進行任何形式的數(shù)據(jù)處理都需采取相同安全保護等級是，都應(yīng)嚴(yán)格按照全系統(tǒng)同一安全等級安全保護方法開展系統(tǒng)安全性設(shè)計，設(shè)計出要求所需的安全機制。

3．2分系統(tǒng)不同安全等級安全保護

所謂分系統(tǒng)不同安全等級安全保護：在一個需要進行安全等級保護的計算機信息系統(tǒng)中，其中所存儲、傳輸和處理的全部數(shù)據(jù)信息，應(yīng)該按照信息在組成計算機信息系統(tǒng)的每個分系統(tǒng)中的不同保護要求的原則，對其實施不同安全保護等級的安全保護。

3．3虛擬系統(tǒng)不同安全等級安全保護

絡(luò)信息安全進行控制。具體的實施措施可以使用路由器對外界進行控制，將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡(luò)服務(wù)的信息流量，也可以通過對系統(tǒng)文件權(quán)限的設(shè)置來確認(rèn)訪問是否合法，以此來保證計算機網(wǎng)絡(luò)信息的安全。

3．4計算機網(wǎng)絡(luò)病毒的防范技術(shù)

計算機病毒是威脅計算機網(wǎng)絡(luò)安全的重大因素，因此應(yīng)該對常見的計算機病毒知識進行熟練地掌握，對其基本的防治技術(shù)手段有一定的了解，能夠在發(fā)現(xiàn)病毒的第一時間里對其進行及時的處理，將危害降到最低。對于計算機病毒的防范可以采用以下一些技術(shù)手段，可以通過加密執(zhí)行程序，引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控和讀寫控制等手段，對系統(tǒng)中是否有病毒進行監(jiān)督判斷，進而阻止病毒侵人計算機系統(tǒng)。

3.5漏洞掃描及修復(fù)技術(shù)

計算機系統(tǒng)中的漏洞是計算機網(wǎng)絡(luò)安全中存在的極大隱患，因此，要定期對計算機進行全方位的系統(tǒng)漏洞掃描，以確認(rèn)當(dāng)前的計算機系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計算機中存在系統(tǒng)漏洞，要及時的對其進行修復(fù)，避免被黑客等不放法子利用。漏洞的修復(fù)分兩種，有的漏洞系統(tǒng)自身可以進行恢復(fù)，而有一部分漏洞則需要手動進行修復(fù)。

4、結(jié)語

在當(dāng)前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢下，計算機網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用也應(yīng)該與時俱進，不斷地研究探討更加優(yōu)化的計算機網(wǎng)絡(luò)防范技術(shù)，將其應(yīng)用到計算機網(wǎng)絡(luò)系統(tǒng)的運行中，減少計算機網(wǎng)絡(luò)使用的安全風(fēng)險。實現(xiàn)安全的進行信息交流，資源共享的目的，使計算機網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。

第五篇：信息安全等級保護(二級)

信息安全等級保護(二級)

備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應(yīng)具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；

9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應(yīng)具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應(yīng)對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應(yīng)具有管理制度評審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查，對需要改進的制度進行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人

3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議）

9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應(yīng)定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。

10、應(yīng)對各類人員（普通用戶、運維人員、單位領(lǐng)導(dǎo)等）進行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，并按照計劃對各個崗位人員進行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，由何部門/何人負責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負責(zé)產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運維管理

1、應(yīng)指定專人或部門對機房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責(zé)。

2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄，空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄

3、應(yīng)指定部門和人員負責(zé)機房安全管理工作

4、應(yīng)對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應(yīng)對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽

15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護。

16、應(yīng)具有設(shè)備操作手冊

17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警 20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應(yīng)定期對監(jiān)控記錄進行分析、評審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告

23、應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理

24、應(yīng)指定專人負責(zé)維護網(wǎng)絡(luò)安全管理工作

25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級，更新前應(yīng)對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡(luò)設(shè)備運維維護工作記錄）

26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對配置文件進行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進行備份。

32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應(yīng)對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）

34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應(yīng)對員工進行基本惡意代碼防范意識的教育，如告知應(yīng)及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對惡意代碼進行檢測，并保存記錄。

37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄

38、應(yīng)對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔

45、應(yīng)對安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。

48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對應(yīng)急預(yù)案進行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。