第一篇：安機關信息安全等級保護檢查工作規(guī)范

安機關信息安全等級保護檢查工作規(guī)范

（一）開展信息系統(tǒng)安全等級測評，為信息系統(tǒng)安全提供保障。選擇由省級（含）以上信息安全等級保護工作協(xié)調小組辦公室審核并備案的測評機構，對第三級（含）以上信息系統(tǒng)開展等級測評工作。等級測評機構依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標準對信息系統(tǒng)進行測評，對照相應等級安全保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風險，提出改進建議，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制等級測評報告。經(jīng)測評未達到安全保護要求的，要根據(jù)測評報告中的改進建議，制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關提交等級測評報告。對于重要部門的第二級信息系統(tǒng)，可以參照上述要求開展等級測評工作。

（二）開展信息安全等級保護安全管理制度建設，提高信息系統(tǒng)安全管理水平。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標準規(guī)范要求，建立健全并落實符合相應等級要求的安全管理制度：一是信息安全責任制，明確信息安全工作的主管領導、責任部門、人員及有關崗位的信息安全責任；二是人員安全管理制度，明確人員錄用、離崗、考核、教育培訓等管理內容；三是系統(tǒng)建設管理制度，明確系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理內容；四是系統(tǒng)運維管理制度，明確機房環(huán)境安全、存儲介質安全、設備設施安全、安全監(jiān)控、網(wǎng)絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置、應急預案等管理內容。建立并落實監(jiān)督檢查機制，定期對各項制度的落實情況進行自查和監(jiān)督檢查。

（三）開展信息安全等級保護安全技術措施建設，提高信息系統(tǒng)安全防護能力。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)通用安全技術要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護安全設計技術要求》等標準規(guī)范要求，結合行業(yè)特點和安全需求，制定符合相應等級要求的信息系統(tǒng)安全技術建設整改方案，開展信息安全等級保護安全技術措施建設，落實相應的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等安全保護技術措施，建立并完善信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。

（四）通過組織開展信息安全教育培訓。一是解決安全問題，抵御攻擊破壞，減少安全事故，提高安全防范水平，推動網(wǎng)安基礎工作，提高我局信息安全保障水平。二是加強學習，加大宣傳力度，不斷創(chuàng)新工作思路和方法，充分調動多方面工作的積極性，共同做好等級保護工作。

第二篇：公安機關信息安全等級保護檢查工作規(guī)范(試行)

公安機關信息安全等級保護檢查工作規(guī)范（試行）

2009-06-29 10:13:18

來源：本站

網(wǎng)友評論 0條

第一條 為規(guī)范公安機關公共信息網(wǎng)絡安全監(jiān)察部門開展信息安全等級保護檢查工作，根據(jù)《信息安全等級保護管理辦法》（以下簡稱《管理辦法》），制定本規(guī)范。

第二條 公安機關信息安全等級保護檢查工作是指公安機關依據(jù)有關規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。

第三條 信息安全等級保護檢查工作由市（地）級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責實施。每年對第三級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次，每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次。

第四條 公安機關開展檢查工作，應當按照“嚴格依法，熱情服務”的原則，遵守檢查紀律，規(guī)范檢查程序，主動、熱情地為運營使用單位提供服務和指導。

第五條 信息安全等級保護檢查工作采取詢問情況，查閱、核對材料，調看記錄、資料，現(xiàn)場查驗等方式進行。

第六條 檢查的主要內容：

（一）等級保護工作組織開展、實施情況。安全責任落實情況，信息系統(tǒng)安全崗位和安全管理人員設置情況；

（二）按照信息安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況；

（三）信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況；

（四）信息安全設施建設情況和信息安全整改情況；

（五）信息安全管理制度建設和落實情況；

（六）信息安全保護技術措施建設和落實情況；

（七）選擇使用信息安全產(chǎn)品情況；

（八）聘請測評機構按規(guī)范要求開展技術測評工作情況，根據(jù)測評結果開展整改情況；

（九）自行定期開展自查情況；

（十）開展信息安全知識和技能培訓情況。

第七條 檢查項目：

（一）等級保護工作部署和組織實施情況

1．下發(fā)開展信息安全等級保護工作的文件，出臺有關工作意見或方案，組織開展信息安全等級保護工作情況。

2．建立或明確安全管理機構，落實信息安全責任，落實安全管理崗位和人員。

3．依據(jù)國家信息安全法律法規(guī)、標準規(guī)范等要求制定具體信息安全工作規(guī)劃或實施方案。

4．制定本行業(yè)、本部門信息安全等級保護行業(yè)標準規(guī)范并組織實施。

（二）信息系統(tǒng)安全等級保護定級備案情況

1．了解未定級、備案信息系統(tǒng)情況以及第一級信息系統(tǒng)有關情況，對定級不準的提出調整建議。

2．現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料，備案單位提交的備案材料與實際情況相符合情況。

3．補充提交《信息系統(tǒng)安全等級保護備案登記表》表四中有關備案材料。

4．信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等發(fā)生變化情況，以及信息系統(tǒng)安全保護等級變更情況。

5．新建信息系統(tǒng)在規(guī)劃、設計階段確定安全保護等級并備案情況。

（三）信息安全設施建設情況和信息安全整改情況 1．部署和組織開展信息安全建設整改工作。

2．制定信息安全建設規(guī)劃、信息系統(tǒng)安全建設整改方案。

3．按照國家標準或行業(yè)標準建設安全設施，落實安全措施。

（四）信息安全管理制度建立和落實情況

1．建立基本安全管理制度，包括機房安全管理、網(wǎng)絡安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風險管理、資產(chǎn)和設備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。

2．建立安全責任制，系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、安全審計員是否與本單位簽訂信息安全責任書。

3．建立安全審計管理制度、崗位和人員管理制度。

4．建立技術測評管理制度，信息安全產(chǎn)品采購、使用管理制度。

5．建立安全事件報告和處置管理制度，制定信息系統(tǒng)安全應急處置預案，定期組織開展應急處置演練。

6．建立教育培訓制度，定期開展信息安全知識和技能培訓。

（五）信息安全產(chǎn)品選擇和使用情況

1．按照《管理辦法》要求的條件選擇使用信息安全產(chǎn)品。

2．要求產(chǎn)品研制、生產(chǎn)單位提供相關材料。包括營業(yè)執(zhí)照，產(chǎn)品的版權或專利證書，提供的聲明、證明材料，計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。

3．采用國外信息安全產(chǎn)品的，經(jīng)主管部門批準，并請有關單位對產(chǎn)品進行專門技術檢測。

（六）聘請測評機構開展技術測評工作情況

1．按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統(tǒng)每年開展一次技術測評，對第四級信息系統(tǒng)每半年開展一次技術測評。

2．按照《管理辦法》規(guī)定的條件選擇技術測評機構。

3．要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明及資質材料等。

4．與測評機構簽訂保密協(xié)議。

5．要求測評機構制定技術檢測方案。

6．對技術檢測過程進行監(jiān)督，采取了哪些監(jiān)督措施。

7．出具技術檢測報告，檢測報告是否規(guī)范、完整，檢查結果是否客觀、公正。

8．根據(jù)技術檢測結果，對不符合安全標準要求的，進一步進行安全整改。

（七）定期自查情況

1．定期對信息系統(tǒng)安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行一次自查，第四級信息系統(tǒng)是否每半年進行一次自查。

2．經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位進一步進行安全建設整改。

第八條 各級公安機關按照“誰受理備案，誰負責檢查”的原則開展檢查工作。具體要求是：

對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨地域的信息系統(tǒng)，由部、省、市級公安機關分別對所受理備案的信息系統(tǒng)進行檢查。對轄區(qū)內獨自運行的信息系統(tǒng)，由受理備案的公安機關獨自進行檢查。

第九條 對跨省或者全國聯(lián)網(wǎng)運行的信息系統(tǒng)進行檢查時，需要會同其主管部門。因故無法會同的，公安機關可以自行開展檢查。

第十條 公安機關開展檢查前，應當提前通知被檢查單位，并發(fā)送《信息安全等級保護監(jiān)督檢查通知書》。

第十一條 檢查時，檢查民警不得少于兩人，并應當向被檢查單位負責人或其他有關人員出示工作證件。第十二條 檢查中應當填寫《信息系統(tǒng)安全等級保護監(jiān)督檢查記錄》（以下簡稱 《監(jiān)督檢查記錄》）。檢查完畢后，《監(jiān)督檢查記錄》應當交被檢查單位主管人員閱后簽字；對記錄有異議或者拒絕簽名的，監(jiān)督、檢查人員應當注明情況?！侗O(jiān)督檢查記錄》應當存檔備查。[!--empirenews.page--] 第十三條 檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關管理規(guī)范和技術標準要求，具有下列情形之一的，應當通知其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》（以下簡稱《整改通知》）。逾期不改正的，給予警告，并向其上級主管部門通報：

（一）未按照《管理辦法》開展信息系統(tǒng)定級工作的；

（二）信息系統(tǒng)安全保護等級定級不準確的；

（三）未按《管理辦法》規(guī)定備案的；

（四）備案材料與備案單位、備案系統(tǒng)不符合的；

（五）未按要求及時提交《信息系統(tǒng)安全等級保護備案登記表》表四的有關內容的；

（六）系統(tǒng)發(fā)生變化，安全保護等級未及時進行調整并重新備案的；

（七）未按《管理辦法》規(guī)定落實安全管理制度、技術措施的；

（八）未按《管理辦法》規(guī)定開展安全建設整改和安全技術測評的；

（九）未按《管理辦法》規(guī)定選擇使用信息安全產(chǎn)品和測評機構的；

（十）未定期開展自查的；

（十一）違反《管理辦法》其他規(guī)定的。

第十四條 檢查發(fā)現(xiàn)需要限期整改的，應當出具《整改通知》，自檢查完畢之日起10個工作日內送達被檢查單位。

第十五條 信息系統(tǒng)運營使用單位整改完成后，應當將整改情況報公安機關，公安機關應當對整改情況進行檢查。

第十六條 公安機關實施信息安全等級保護監(jiān)督檢查的法律文書和記錄，應當統(tǒng)一存檔備查。

第十七條 受理備案的公安機關應該配備必要的警力，專門負責信息安全等級保護監(jiān)督、檢查和指導。從事檢查工作的民警應當經(jīng)過省級以上公安機關組織的信息安全等級保護監(jiān)督檢查崗位培訓。

第十八條 公安機關對檢查工作中涉及的國家秘密、工作秘密、商業(yè)秘密和個人隱私等應當予以保密。

第十九條 公安機關進行安全檢查時不得收取任何費用。

第二十條 本規(guī)范所稱“以上”包含本數(shù)（級）。

第二十一條 本規(guī)范自發(fā)布之日起實施。

第三篇：公安機關信息安全等級保護檢查工作規(guī)范

公安機關信息安全等級保護檢查工作規(guī)范

第一條 為規(guī)范公安機關公共信息網(wǎng)絡安全監(jiān)察部門開 展信息安全等級保護檢查工作，根據(jù)《信息安全等級保護管 理辦法》（以下簡稱《管理辦法》），制定本規(guī)范。

第二條 公安機關信息安全等級保護檢查工作是指公安 機關依據(jù)有關規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運 營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理 制度、落實安全責任、落實責任部門和人員。

第三條 信息安全等級保護檢查工作由市（地）級以上 公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責實施。每年對第三 級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一 次，每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級 保護工作檢查一次。

第四條 公安機關開展檢查工作，應當按照“嚴格依法，熱情服務”的原則，遵守檢查紀律，規(guī)范檢查程序，主動、熱情地為運營使用單位提供服務和指導。

第五條 信息安全等級保護檢查工作采取詢問情況，查 閱、核對材料，調看記錄、資料，現(xiàn)場查驗等方式進行。

第六條 檢查的主要內容：

（一）等級保護工作組織開展、實施情況。安全責任落 實情況，信息系統(tǒng)安全崗位和安全管理人員設置情況；

（二）按照信息安全法律法規(guī)、標準規(guī)范的要求制定具 體實施方案和落實情況；

（三）信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備 案變動情況；

（四）信息安全設施建設情況和信息安全整改情況；

（五）信息安全管理制度建設和落實情況；

（六）信息安全保護技術措施建設和落實情況；

（七）選擇使用信息安全產(chǎn)品情況；

（八）聘請測評機構按規(guī)范要求開展技術測評工作情 況，根據(jù)測評結果開展整改情況；

（九）自行定期開展自查情況；

（十）開展信息安全知識和技能培訓情況。第七條 檢查項目：

（一）等級保護工作部署和組織實施情況

1．下發(fā)開展信息安全等級保護工作的文件，出臺有關 工作意見或方案，組織開展信息安全等級保護工作情況。

2．建立或明確安全管理機構，落實信息安全責任，落 實安全管理崗位和人員。3．依據(jù)國家信息安全法律法規(guī)、標準規(guī)范等要求制定 具體信息安全工作規(guī)劃或實施方案。

4．制定本行業(yè)、本部門信息安全等級保護行業(yè)標準規(guī) 范并組織實施。

（二）信息系統(tǒng)安全等級保護定級備案情況

1．了解未定級、備案信息系統(tǒng)情況以及第一級信息系 統(tǒng)有關情況，對定級不準的提出調整建議。

2．現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料，備案單 位提交的備案材料與實際情況相符合情況。

3．補充提交《信息系統(tǒng)安全等級保護備案登記表》表 四中有關備案材料。

4．信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等發(fā) 生變化情況，以及信息系統(tǒng)安全保護等級變更情況。

5．新建信息系統(tǒng)在規(guī)劃、設計階段確定安全保護等級 并備案情況。

（三）信息安全設施建設情況和信息安全整改情況

1．部署和組織開展信息安全建設整改工作。

2．制定信息安全建設規(guī)劃、信息系統(tǒng)安全建設整改方 案。3．按照國家標準或行業(yè)標準建設安全設施，落實安全 措施。

（四）信息安全管理制度建立和落實情況 1．建立基本安全管理制度，包括機房安全管理、網(wǎng)絡 安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風險管理、資產(chǎn)和 設備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。

2．建立安全責任制，系統(tǒng)管理員、網(wǎng)絡管理員、安全 管理員、安全審計員是否與本單位簽訂信息安全責任書。

3．建立安全審計管理制度、崗位和人員管理制度。

4．建立技術測評管理制度，信息安全產(chǎn)品采購、使用 管理制度。5．建立安全事件報告和處置管理制度，制定信息系統(tǒng) 安全應急處置預案，定期組織開展應急處置演練。

6．建立教育培訓制度，定期開展信息安全知識和技能 培訓。

（五）信息安全產(chǎn)品選擇和使用情況

1．按照《管理辦法》要求的條件選擇使用信息安全產(chǎn) 品。

2．要求產(chǎn)品研制、生產(chǎn)單位提供相關材料。包括營業(yè) 執(zhí)照，產(chǎn)品的版權或專利證書，提供的聲明、證明材料，計 算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。

3．采用國外信息安全產(chǎn)品的，經(jīng)主管部門批準，并請 有關單位對產(chǎn)品進行專門技術檢測。

（六）聘請測評機構開展技術測評工作情況

1．按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統(tǒng)每年開展一次技術測評，對第四級信息系 統(tǒng)每半年開展一次技術測評。2．按照《管理辦法》規(guī)定的條件選擇技術測評機構。

3．要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明及資質材料等。

4．與測評機構簽訂保密協(xié)議。5．要求測評機構制定技術檢測方案。

6．對技術檢測過程進行監(jiān)督，采取了哪些監(jiān)督措施。

7．出具技術檢測報告，檢測報告是否規(guī)范、完整，檢 查結果是否客觀、公正。

8．根據(jù)技術檢測結果，對不符合安全標準要求的，進 一步進行安全整改。

（七）定期自查情況

1．定期對信息系統(tǒng)安全狀況、安全保護制度及安全技 術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行 一次自查，第四級信息系統(tǒng)是否每半年進行一次自查。

2．經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要 求的，運營、使用單位進一步進行安全建設整改。

第八條 各級公安機關按照“誰受理備案，誰負責檢查” 的原則開展檢查工作。具體要求是：

對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨 地域的信息系統(tǒng)，由部、省、市級公安機關分別對所受理備 案的信息系統(tǒng)進行檢查。對轄區(qū)內獨自運行的信息系統(tǒng)，由受理備案的公安機關 獨自進行檢查。

第九條 對跨省或者全國聯(lián)網(wǎng)運行的信息系統(tǒng)進行檢查 時，需要會同其主管部門。因故無法會同的，公安機關可以 自行開展檢查。

第十條 公安機關開展檢查前，應當提前通知被檢查單 位，并發(fā)送《信息安全等級保護監(jiān)督檢查通知書》。

第十一條 檢查時，檢查民警不得少于兩人，并應當向 被檢查單位負責人或其他有關人員出示工作證件。

第十二條 檢查中應當填寫《信息系統(tǒng)安全等級保護監(jiān) 督檢查記錄》（以下簡稱《監(jiān)督檢查記錄》）。檢查完畢后，《監(jiān) 督檢查記錄》應當交被檢查單位主管人員閱后簽字；對記錄 有異議或者拒絕簽名的，監(jiān)督、檢查人員應當注明情況?！侗O(jiān) 督檢查記錄》應當存檔備查。

第十三條 檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關 管理規(guī)范和技術標準要求，具有下列情形之一的，應當通知 其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護 限期整改通知書》（以下簡稱《整改通知》）。逾期不改正的，給予警告，并向其上級主管部門通報：

（一）未按照《管理辦法》開展信息系統(tǒng)定級工作的；

（二）信息系統(tǒng)安全保護等級定級不準確的；

（三）未按《管理辦法》規(guī)定備案的；

（四）備案材料與備案單位、備案系統(tǒng)不符合的；

（五）未按要求及時提交《信息系統(tǒng)安全等級保護備案 登記表》表四的有關內容的；

（六）系統(tǒng)發(fā)生變化，安全保護等級未及時進行調整并 重新備案的；

（七）未按《管理辦法》規(guī)定落實安全管理制度、技術 措施的；

（八）未按《管理辦法》規(guī)定開展安全建設整改和安全 技術測評的；

（九）未按《管理辦法》規(guī)定選擇使用信息安全產(chǎn)品和 測評機構的；

（十）未定期開展自查的；

（十一）違反《管理辦法》其他規(guī)定的。

第十四條 檢查發(fā)現(xiàn)需要限期整改的，應當出具《整改 通知》，自檢查完畢之日起10個工作日內送達被檢查單位。

第十五條 信息系統(tǒng)運營使用單位整改完成后，應當將 整改情況報公安機關，公安機關應當對整改情況進行檢查。

第十六條 公安機關實施信息安全等級保護監(jiān)督檢查的 法律文書和記錄，應當統(tǒng)一存檔備查。

第十七條 受理備案的公安機關應該配備必要的警力，專門負責信息安全等級保護監(jiān)督、檢查和指導。從事檢查工 作的民警應當經(jīng)過省級以上公安機關組織的信息安全等級 保護監(jiān)督檢查崗位培訓。第十八條 公安機關對檢查工作中涉及的國家秘密、工 作秘密、商業(yè)秘密和個人隱私等應當予以保密。

第十九條 公安機關進行安全檢查時不得收取任何費 用。第二十條 本規(guī)范所稱“以上”包含本數(shù)（級）。第二十一條 本規(guī)范自發(fā)布之日起實施。

第四篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質，電子門禁系統(tǒng)運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應具有機房監(jiān)控報警設施的安全資質材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節(jié)設施；溫濕度自動調節(jié)設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）----安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業(yè)資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續(xù)，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續(xù)的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應具有外部人員訪問重要區(qū)域的書面申請

14、應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）

五、系統(tǒng)建設管理

1、應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應具有系統(tǒng)建設/整改方案

3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責

4、應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產(chǎn)品

10、應具有專門的部門負責產(chǎn)品的采購

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統(tǒng)運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養(yǎng)的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產(chǎn)管理的責任部門或人員

7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識

8、介質存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）

18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等

19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警

20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應定期對監(jiān)控記錄進行分析、評審

22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網(wǎng)絡安全管理工作

25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）

26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理

30、應具有內部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）

34、審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應具有主管領導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應定期執(zhí)行恢復程序，檢查和測試備份介質的有效性

44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。

48、應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第五篇：信息安全等級保護工作計劃

篇一：信息安全等級保護工作實施方案 白魯?shù)A九年制學校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設。根據(jù)商教發(fā)【2011】321號文件精神，結合我校實際，制訂本實施方案。

一、指導思想

以科學發(fā)展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我?；A信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。

二、定級范圍

學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領導

（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛(wèi)處等共同組織實施。學校辦公室負責定級工作的部門間協(xié)調。安全保衛(wèi)處負責定級工作的監(jiān)督。

電教組負責定級工作的檢查、指導、評審。

各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。

（二）協(xié)調領導機制。

1、成立領導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領導、協(xié)調工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構，主要職責：在領導小組的領導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關會議；組織開展政策和技術培訓，掌握定級工作規(guī)范和技術要求，為定級工作打好基礎；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調解決，形成定級工作總結并按時上報領導小組。

3、成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網(wǎng)絡安全提供技術支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領導決策提供依據(jù)。

四、主要內容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調查。各部門要組織開展對所屬信息系統(tǒng)的摸底調查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。

（三）評審。初步確定信息系統(tǒng)安全保護等級后，上報學校信息系統(tǒng)安全等級保護評審組進行評審。

（四）備案。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。

五、定級工作要求

（一）加強領導，落實保障。各部門要落實責任，并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學校。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我?；A信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓材料》、《信息系統(tǒng)安全保護等級定級指南（國標）》、《信息系統(tǒng)安全等級保護基本要求（報批）》、《信息系統(tǒng)安全等級保護實施指南（報批）》等材料。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統(tǒng)的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關技術標準，依據(jù)系統(tǒng)所定保護等級的要求，定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應及時進行變更備案篇二：醫(yī)院信息系統(tǒng)安全等級保護工作實施方案 醫(yī)院信息系統(tǒng)安全等級 保護工作實施方案

醫(yī)院信息系統(tǒng)是醫(yī)療服務的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運行，根據(jù)公安部等四部、局、辦印發(fā)的《關于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》衛(wèi)辦綜函【2011】1126號、衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知 衛(wèi)辦發(fā)【2011】85號和省市有關文件精神，并結合我院信息化建設的工作實際，特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級保護工作實施方案》確保我院信息系統(tǒng)安全。

一、組織領導 組 長： 副組長： 組 員：

領導小組辦公室設在xx科，由xx同志兼任主任，xx等同志負責具體工作。

二、工作任務

1、做好系統(tǒng)定級工作。定級系統(tǒng)包括基礎支撐系統(tǒng)，面向患者服務信息系統(tǒng)，內部行政管理信息系統(tǒng)、網(wǎng)絡直報系統(tǒng)及門戶網(wǎng)站，定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關部門協(xié)商。

2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護劃分定級要求，對信息系統(tǒng)進行定級后，將本單位《信息系統(tǒng)安全等級保護備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報衛(wèi)生局，由衛(wèi)生局報屬地公安機關辦理備案手續(xù)。

3、做好系統(tǒng)等級測評工作。完成定級備案后，選擇市衛(wèi)生局推薦的等級測評機構，對已確定安全保護等級信息系統(tǒng)，按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標準開展等級測評，信息系統(tǒng)測評后，及時將測評機構出具的《信息系統(tǒng)等級測評報告》向屬地公安機關報備。

4、完善等級保護體系建設做好整改工作。按照測評報告評測結果，對照《信息系統(tǒng)安全等級保護基本要求》（gb/t22239-2008）等有關標準，結合醫(yī)院工作實際，組織開展等級保護安全建設整改工作，具體要求如下：

三、工作要求

1、建立安全管理組織機構。成立信息安全工作組，網(wǎng)絡辦負責人為安全責任人，擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順利實施。

2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。

3、制定保障醫(yī)療活動不中斷的應急預案。應急預案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應的應急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保醫(yī)療活動持續(xù)進行。

4、嚴格執(zhí)行安全事故報告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責任發(fā)現(xiàn)和報告信息安全可疑事件，應視情況及時以口頭或書面的形式報告院網(wǎng)絡辦。對重大信息網(wǎng)絡安全事件、安全事故和計算機違法犯罪案件，應在24小時內向公安機關報告，并保護好現(xiàn)場。篇三：2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報

一、加強領導

二、完善制度

為貫徹落實全市加強和改進互聯(lián)網(wǎng)建設與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》（揚辦發(fā)[2012]57號）文件精神，對集團信息系統(tǒng)安全等級保護工作做出了具體的要求，根據(jù)等級保護要求，開展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。

三、信息等級安全保護基本情況

目前，集團已有揚州網(wǎng)、揚州晚報網(wǎng)、揚州汽車網(wǎng)、藝術在線網(wǎng)和多個內部信息系統(tǒng)根據(jù)等級保護的要求進行了整改優(yōu)化，積極加強信息系統(tǒng)安全環(huán)境建設，消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面，機房安裝門禁系統(tǒng)，嚴格管理機房人員進出，消防設施完善，所有設備通過ups供電。關鍵網(wǎng)絡設備和服務器做到有主有備，確保在發(fā)生物理故障時可以及時更換。

在網(wǎng)絡安全方面，我們嚴格按照內、外網(wǎng)物理隔離的標準建設網(wǎng)絡系統(tǒng)，并采用虛擬局域網(wǎng)技術，通過交換機端口的ip綁定，防止非法網(wǎng)絡接入；在網(wǎng)絡出口以及不同網(wǎng)絡互聯(lián)邊界全面部署硬件防火墻，部署日志服務器，記錄并留存使用互聯(lián)網(wǎng)和內部網(wǎng)絡地址對應關系； 在集團互聯(lián)網(wǎng)出口部署網(wǎng)絡行為管理系統(tǒng)，規(guī)范和記錄上網(wǎng)行為，合理控制不同應用的網(wǎng)絡流量，實現(xiàn)網(wǎng)絡帶寬動態(tài)分配，保障了信息系統(tǒng)正常應用的網(wǎng)絡環(huán)境。

在主機安全方面，終端計算機采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內網(wǎng)應用，通過部署趨勢網(wǎng)絡防毒墻網(wǎng)絡版，安裝聯(lián)軟安全管理軟件保障客戶機系統(tǒng)安全，并且做到漏洞補丁及時更新，重要的應用系統(tǒng)安裝了計算機監(jiān)控與審計系統(tǒng)，實現(xiàn)對主機的usb等外設接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。

對于應用安全，嚴格做好系統(tǒng)安全測試，配備了專門的漏洞 掃描儀定期掃描應用系統(tǒng)漏洞，并按測試結果做好安全修復和加固工作；在網(wǎng)站區(qū)，部屬入侵防御系統(tǒng)，監(jiān)測、記錄安全事件，及時阻斷入侵行為，自部署起已多次成功檢測出sql注入，ftp匿名登錄，網(wǎng)站目錄遍歷，探測主機地址漏洞等。

在數(shù)據(jù)安全方面，數(shù)據(jù)庫通過備份系統(tǒng)定期備份，關鍵數(shù)據(jù)庫服務器采用雙機熱備份，保證數(shù)據(jù)庫服務器的可用性和高效性，在出現(xiàn)故障時可以快速恢復；數(shù)據(jù)庫的訪問按不同用戶身份進行嚴格的權限控制。

四、建議

信息系統(tǒng)安全等級保護工作責任重大，技術性強，工作量巨大，集團在該項工作上雖然取得一些進展，但是與市里要求還有相當?shù)牟罹?，在等級保護意識、宣傳力度、技術人才的培養(yǎng)和制度的建立上仍然存在問題。

建議市里加強工作指導，通過多種方式的等級保護技術交流和培訓，提高單位領導及員工的等級保護意識，進一步推進集團的信息系統(tǒng)等級保護工作。