第一篇：等級(jí)保護(hù)評(píng)測(cè)是信息安全首要環(huán)節(jié)

朱建平:等級(jí)保護(hù)評(píng)測(cè)是信息安全首要環(huán)節(jié)

（一）轉(zhuǎn)載

朱建平：各位來賓大家下午好。由我來講，我們?cè)u(píng)估中心專門是從事測(cè)評(píng)工作的，所以我想介紹政策法規(guī)。所以這個(gè)關(guān)于等級(jí)保護(hù)的政策方面，還是以后有機(jī)會(huì)讓顧局有機(jī)會(huì)跟大家介紹。我今天跟大家講講和我們工作，等級(jí)評(píng)估工作相關(guān)的測(cè)評(píng)方面的一些工作。

今天想給大家講三個(gè)方面的內(nèi)容，一個(gè)是等級(jí)測(cè)評(píng)，在等級(jí)保護(hù)中的作用和地位。第二個(gè)是等級(jí)測(cè)評(píng)在奧運(yùn)安保中間的作用。第三是等級(jí)測(cè)評(píng)一個(gè)簡(jiǎn)單的介紹。

信息安全等級(jí)保護(hù)的工作流程主要有五個(gè)規(guī)定：第一個(gè)就是定級(jí)，定級(jí)工作目前市部委下發(fā)了一個(gè)文件，基本上已經(jīng)圓滿結(jié)束了。接下來，第二個(gè)階段的工作就是根據(jù)你這個(gè)信息系統(tǒng)定完是多少級(jí)，要進(jìn)行相應(yīng)這個(gè)級(jí)別的建設(shè)和整改工作。在整改和建設(shè)完成以后，就有一個(gè)對(duì)這個(gè)系統(tǒng)來進(jìn)行一個(gè)測(cè)評(píng)。測(cè)評(píng)完了，應(yīng)該向主管公安部門進(jìn)行備案，根據(jù)備案材料，進(jìn)行法規(guī)所賦予的監(jiān)管權(quán)利和義務(wù)，對(duì)這個(gè)信息系統(tǒng)進(jìn)行監(jiān)管。

通過信息安全等級(jí)保護(hù)工作流程可以看出，定級(jí)是一個(gè)首要環(huán)節(jié)，是定級(jí)保護(hù)工作的一個(gè)開始的環(huán)節(jié)，但不是核心環(huán)節(jié)。定級(jí)只是一個(gè)手段，目的是為了保護(hù)國(guó)家對(duì)已經(jīng)確定的安全保護(hù)等級(jí)的信息系統(tǒng)，根據(jù)信息技術(shù)發(fā)展，根據(jù)現(xiàn)在的黑客攻擊能力，對(duì)一到五級(jí)的系統(tǒng)，在技術(shù)和管理方面，十個(gè)部分已經(jīng)規(guī)定了最低的保護(hù)要求，如果滿足了基本要求，系統(tǒng)就具備了相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到了一個(gè)基本的安全狀態(tài)，基本要求這個(gè)環(huán)節(jié)是信息安全等級(jí)保護(hù)的核心。已經(jīng)確定安全保護(hù)的系統(tǒng)是否滿足基本要求是需要信息安全等級(jí)測(cè)評(píng)來進(jìn)行判斷的。

系統(tǒng)安全等級(jí)測(cè)評(píng)，不同于一般的安全測(cè)和風(fēng)險(xiǎn)評(píng)估。等級(jí)測(cè)評(píng)活動(dòng)的完全首先是依據(jù)系統(tǒng)安全保護(hù)等級(jí)和該級(jí)別系統(tǒng)的基本保護(hù)要求。同時(shí)還要求測(cè)評(píng)人員具有把握國(guó)家政策，理解和掌握相關(guān)的技術(shù)。最為重要的是等級(jí)測(cè)評(píng)的結(jié)果，將是國(guó)家信息安全監(jiān)管部門依法行政管理的技術(shù)依據(jù)，因此，等級(jí)測(cè)評(píng)活動(dòng)，是一項(xiàng)政策性很強(qiáng)的技術(shù)專業(yè)化的一個(gè)信息安全服務(wù)。

由此可見，信息安全等級(jí)測(cè)評(píng)，是開展信息安全等級(jí)保護(hù)工作的一個(gè)重要環(huán)節(jié)。是在國(guó)家管理下的技術(shù)支撐活動(dòng)和純粹的商業(yè)化的評(píng)估有明顯的區(qū)別。信息安全等級(jí)測(cè)評(píng)，首先要滿足國(guó)家管理的需求，但是可以采取市場(chǎng)化運(yùn)行的一種模式。第二給大家介紹一下去年奧運(yùn)工作中，我們等級(jí)測(cè)評(píng)的一些工作。這是整個(gè)等級(jí)測(cè)評(píng)在奧運(yùn)安保中作用的一個(gè)圖。對(duì)于某一個(gè)奧運(yùn)的信息系統(tǒng)，首先我們開展了一個(gè)定級(jí)的工作，采用了我們?cè)u(píng)估中心制訂的國(guó)家標(biāo)準(zhǔn)，定級(jí)指南，對(duì)這個(gè)奧運(yùn)系統(tǒng)進(jìn)行定級(jí)。定級(jí)指南是2240，基本要求是2239。根據(jù)這個(gè)定級(jí)的標(biāo)準(zhǔn)，把這個(gè)奧運(yùn)信息系統(tǒng)定完級(jí)以后，其實(shí)它應(yīng)該具有什么樣的保護(hù)，有什么要求，基本上已經(jīng)定了。

然后有一個(gè)第一次的測(cè)評(píng)，就看它比如說定的是三級(jí)和基本保護(hù)的要求，三級(jí)的要求，看看它符合性有多少，那第一次測(cè)評(píng)基本上都是差距比較大。所以，這個(gè)奧運(yùn)的系統(tǒng)進(jìn)行了相應(yīng)的整改。按照基本要求，當(dāng)時(shí)對(duì)四個(gè)奧運(yùn)的系統(tǒng)進(jìn)行測(cè)評(píng)，問題還是比較大。找出來的問題比較多，經(jīng)過整改了以后，使得它達(dá)到了基本保護(hù)要求的很多項(xiàng)的要求都已經(jīng)滿足了，但是我們覺得奧運(yùn)系統(tǒng)，達(dá)到一個(gè)基本的安全狀態(tài)還是不夠。為什么？因?yàn)檫@是在我們現(xiàn)在提出的那個(gè)基本要求是泛泛針對(duì)整個(gè)信息系統(tǒng)，它是一個(gè)底線的基本要求。

這證明了，如果你達(dá)到了這樣一個(gè)基本要求，證明了你這個(gè)系統(tǒng)達(dá)到了一個(gè)基本的安全狀態(tài)。如果在一個(gè)特定的時(shí)期，比如說你在奧運(yùn)期間，有很多國(guó)外的這些反華的勢(shì)力還有其他的機(jī)構(gòu)，可能會(huì)對(duì)這些系統(tǒng)進(jìn)行一些不利于我們國(guó)家的一些情況的動(dòng)作，所以，在這樣特殊的威脅之前，對(duì)我們的奧運(yùn)系統(tǒng)又進(jìn)行了一個(gè)特殊安全需求的挖掘，然后又進(jìn)行了風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試。

在這個(gè)風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試這些特殊的安全系統(tǒng)加進(jìn)去以后，發(fā)現(xiàn)也有很多問題，然后再進(jìn)行整改。整改了以后，再進(jìn)行第二次測(cè)評(píng)，測(cè)評(píng)完了以后，在奧運(yùn)之前，基本上這樣反反復(fù)復(fù)做了三次，使得我們奧運(yùn)的四個(gè)信息系統(tǒng)，在整個(gè)的奧運(yùn)期間，大事沒有出，小事也基本上沒有，達(dá)到了我們國(guó)家對(duì)奧運(yùn)信息系統(tǒng)預(yù)期的一個(gè)安全上的要求。

從奧運(yùn)的工作中間，我們可以看到，應(yīng)該要用等級(jí)保護(hù)的思想，對(duì)這個(gè)信息系統(tǒng)進(jìn)行保護(hù)。然后風(fēng)險(xiǎn)評(píng)估是尋找系統(tǒng)的脆弱性，滲透測(cè)試主要是驗(yàn)證這個(gè)脆弱性的機(jī)構(gòu)。所以我們認(rèn)為等級(jí)保護(hù)是這個(gè)信息系

統(tǒng)安全保護(hù)的一個(gè)基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估，它是一個(gè)有益的補(bǔ)充，然后滲透測(cè)試它是對(duì)這個(gè)系統(tǒng)安全性的一個(gè)驗(yàn)證。

第三，向大家介紹一下等級(jí)測(cè)評(píng)。這是等級(jí)測(cè)評(píng)的一個(gè)過程，針對(duì)某一個(gè)信息系統(tǒng)，跟奧運(yùn)的一樣，首先要用國(guó)家的標(biāo)準(zhǔn)對(duì)這個(gè)系統(tǒng)進(jìn)行定級(jí)，定級(jí)的過程大家都比較清晰，主要是考慮它對(duì)國(guó)家重要性的程度，和它損害以后的危害和要素來進(jìn)行定的級(jí)。定完級(jí)以后，用基本的要求，對(duì)它進(jìn)行最基本的保護(hù)。但是由于現(xiàn)在很多的信息系統(tǒng)不是新建的，都是已經(jīng)在運(yùn)行使用的，所以它當(dāng)時(shí)在運(yùn)行使用設(shè)計(jì)的時(shí)候不是按照這個(gè)等級(jí)保護(hù)的要求來做，所以會(huì)有一些地方有一些差距。所以，一般在整個(gè)活動(dòng)中間，定完級(jí)以后，后面的工作沒有強(qiáng)制一定要進(jìn)行測(cè)評(píng)，也可以根據(jù)標(biāo)準(zhǔn)，比如定了三級(jí)，可以根據(jù)級(jí)別要求，三級(jí)所要求的項(xiàng)和你自己的信息系統(tǒng)設(shè)計(jì)的那些安全狀態(tài)進(jìn)行比對(duì)，但是有很多的運(yùn)行使用單位，它的信息中心，或者是信息安全的主管的那些部門，他人手比較少，信息系統(tǒng)比較大，這樣一個(gè)比對(duì)工作無法單獨(dú)自己完成，所以也就可以委托那些測(cè)評(píng)機(jī)構(gòu)，對(duì)他的現(xiàn)狀，目前的安全現(xiàn)狀和他所定的級(jí)別之間的差距有多少，可以做第一次的測(cè)評(píng)。

我們?cè)u(píng)估中心目前現(xiàn)階段做的大部分測(cè)評(píng)工作，主要是現(xiàn)狀測(cè)評(píng)。測(cè)評(píng)完以后，可以提出一個(gè)系統(tǒng)整改的最基本的安全需求，就是和所定的級(jí)的差距項(xiàng)有多少項(xiàng)，這是整改的第一個(gè)需求。

根據(jù)這些需求，你也可以根據(jù)你自己行業(yè)的一些特殊的需求，比如說，你的上級(jí)主管部門要求你的，比如說銀行，我們這個(gè)標(biāo)準(zhǔn)里面要求業(yè)務(wù)連續(xù)性沒有那么高，但是銀行的那個(gè)他要求你必須得要四個(gè)九的業(yè)務(wù)聯(lián)系要求，也就是說一年只能夠停半小時(shí)這樣的要求，比我們的基本要求高，這些行業(yè)的特殊的安全需求，也可以加進(jìn)來也是作為一個(gè)整改的內(nèi)容。

然后進(jìn)行整改以后，再進(jìn)行法規(guī)上的要求的第三個(gè)規(guī)定動(dòng)作，測(cè)評(píng)。第二次測(cè)評(píng)是一個(gè)符合性的測(cè)評(píng)，就是和國(guó)家要求你的級(jí)別所應(yīng)該達(dá)到的保護(hù)能力的一個(gè)符合性測(cè)評(píng)，測(cè)評(píng)肯定存在兩個(gè)結(jié)果，一個(gè)結(jié)果是做得不錯(cuò)，全部都按照基本要求，都測(cè)試合格了。我們認(rèn)為你這個(gè)系統(tǒng)已經(jīng)達(dá)到了一個(gè)基本的安全保護(hù)的狀態(tài)，是可以備案運(yùn)行使用。還有一種情況，肯定是存在某些項(xiàng)目沒有達(dá)到，存在一些缺陷下，對(duì)于這個(gè)缺陷，我們目前處理的方法是，對(duì)這個(gè)缺陷下，要進(jìn)行風(fēng)險(xiǎn)評(píng)估，并不是說，判你不合格，然后又讓你打回去，再進(jìn)行整改，再測(cè)評(píng)，這樣可能會(huì)造成一些死循環(huán)。因?yàn)橛行┫到y(tǒng)，由于本身的原因，業(yè)務(wù)上的一些原因，是不一定能夠達(dá)到你這個(gè)級(jí)別所要求的那些技術(shù)。在缺陷存在的情況下，你就得要進(jìn)行風(fēng)險(xiǎn)評(píng)估。看看有什么威脅，能對(duì)這個(gè)缺陷起作用，然后存在的風(fēng)險(xiǎn)有多大，如果你這個(gè)信息系統(tǒng)什么也沒有，那可能你計(jì)算出來的風(fēng)險(xiǎn)就很大。那個(gè)時(shí)候，可能就得要回去加一些東西，如果說，你覺得強(qiáng)制保護(hù)工作做不到，那我做一些其他的，但是也是能夠提升他的保護(hù)，然后降低這個(gè)風(fēng)險(xiǎn)的，比如說我做了一些防護(hù)控制和間諜，使得他的防止內(nèi)部人員作案不容易了，然后再進(jìn)行風(fēng)險(xiǎn)評(píng)估的時(shí)候，發(fā)現(xiàn)他的風(fēng)險(xiǎn)值就降低了。然后你通過增加一些其他的不是強(qiáng)制防護(hù)控制的機(jī)制，使得它的風(fēng)險(xiǎn)降低了，原來是5，現(xiàn)在變成了3，根據(jù)風(fēng)險(xiǎn)評(píng)估的界定，風(fēng)險(xiǎn)的大小可以決定這個(gè)信息系統(tǒng)是不是可以運(yùn)行，所以我們把它作為是帶病運(yùn)行。并不是說是可以永遠(yuǎn)帶病運(yùn)行，如果是三級(jí)的系統(tǒng)，要一年做一次測(cè)評(píng)的。短期可以帶病運(yùn)行，但是不能保證長(zhǎng)期的帶病運(yùn)行。如果長(zhǎng)期的技術(shù)或者條件許可情況下，還得要按照要求來達(dá)到最上面的合格，達(dá)到一個(gè)基本安全保護(hù)的狀態(tài)。

前面說的那么多必須要達(dá)到，那么要什么依據(jù)來讓我做到。我現(xiàn)在向大家說一下，我們這個(gè)等級(jí)測(cè)評(píng)，最后判定的是系統(tǒng)的保護(hù)能力。什么是保護(hù)能力呢，就是該級(jí)別的系統(tǒng)，應(yīng)該具備該級(jí)別的保護(hù)能力。信息系統(tǒng)由于種種原因造成被攻擊目標(biāo)。對(duì)信息系統(tǒng)，實(shí)行安全保護(hù)的目的，就是要對(duì)抗系統(tǒng)面臨的各種威脅，從而降低由于威脅給系統(tǒng)帶來的損失，但由于信息系統(tǒng)的保護(hù)成本很高，不可能全面抵抗各種各樣的威脅，因此，系統(tǒng)因根據(jù)其重要的程度，具備不同程度的安全保護(hù)能力，以抑制受保護(hù)朋友，并在遭受攻擊后得以的快速恢復(fù)。保護(hù)能力體現(xiàn)在兩個(gè)方面，一個(gè)是抗威脅的能力，還有一個(gè)是系統(tǒng)的恢復(fù)能力，這兩個(gè)方面，八寶壺成本合理得用在最需要的地方。

這里向大家介紹一下，第三級(jí)的保護(hù)能力。保護(hù)能力，應(yīng)能夠在統(tǒng)一安全測(cè)量下，防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體，擁有較為豐富的資源，較為嚴(yán)重的自然災(zāi)害，持續(xù)時(shí)間較長(zhǎng)，覆蓋范圍較廣等，其他相當(dāng)程度的威脅，內(nèi)部人員的惡意威脅，較嚴(yán)重的技術(shù)故障等所造的損害，在系統(tǒng)遭受危害之后，能夠較

快恢復(fù)絕大部分的功能。

下面是這個(gè)保護(hù)能力的一個(gè)最終實(shí)現(xiàn)和體現(xiàn)的，這是一個(gè)圖。某級(jí)的信息系統(tǒng)，三級(jí)的，我們認(rèn)為，你必須具備三級(jí)的保護(hù)能力，就剛才前面介紹的，有兩個(gè)部分組成，一個(gè)是應(yīng)該抵抗的威脅和遭受破壞以后，你的恢復(fù)能力。

朱建平:等級(jí)保護(hù)評(píng)測(cè)是信息安全首要環(huán)節(jié)(二）轉(zhuǎn)載

這個(gè)級(jí)別的保護(hù)能力，等級(jí)保護(hù)就是說，這個(gè)能力必須要強(qiáng)制必須要做到，和其他的一些測(cè)評(píng)是有本質(zhì)的區(qū)別。然后這個(gè)保護(hù)能力，你怎么實(shí)際去做到？我們中間有一個(gè)安全目標(biāo)。這個(gè)安全目標(biāo)是把保護(hù)能力進(jìn)行了細(xì)化，有各種安全措施來進(jìn)行實(shí)現(xiàn)。怎么來實(shí)現(xiàn)這些安全目標(biāo)？我們的基本要求，列出了一大堆的安全措施和安全機(jī)制來對(duì)應(yīng)這個(gè)安全目標(biāo)。當(dāng)你在選擇安全目標(biāo)的時(shí)候，可以基本要求里面對(duì)應(yīng)的，比如三級(jí)可以從三級(jí)里面去尋找對(duì)應(yīng)的安全措施，也可以選取更高級(jí)別的，如果這個(gè)級(jí)別對(duì)你來講比較弱，還可以選擇更高級(jí)別的要求里面去選那些安全措施來滿足你這個(gè)安全目標(biāo)。

還有一個(gè)我覺得就是某一個(gè)層面，我實(shí)現(xiàn)得很困難，但是我是不是可以從其他層面上來保護(hù)？這個(gè)也是一個(gè)沒有辦法的辦法。因?yàn)檫@個(gè)信息系統(tǒng)安全大家知道，還有一個(gè)終生防御的概念，我在各個(gè)層面上都可以加不同的安全機(jī)制，當(dāng)某一個(gè)層面被突破以后，另外一個(gè)層面上還有一些保護(hù)措施，使得它的攻擊比較難，因?yàn)橛幸粋€(gè)終生防御的這樣一個(gè)機(jī)制在里面。當(dāng)你的資金各方面存在困難，然后這個(gè)安全目標(biāo)必須要實(shí)現(xiàn)的時(shí)候，可能我們要求你在某一個(gè)層面，比如說要求你是在主機(jī)層面上實(shí)現(xiàn)比較困難，可能在其他的層面上去實(shí)現(xiàn)。但是所對(duì)應(yīng)的安全目標(biāo)，是目前要滿足的。措施可以選擇，有一些基本要求的條款，你覺得這些條款對(duì)你實(shí)現(xiàn)來講，或者和你現(xiàn)在已經(jīng)采取的措施來講，有一些地方你做的東西和我的是差不多的，所對(duì)應(yīng)的安全目標(biāo)也是一致的，那其實(shí)也是可以通過這個(gè)其他層面的安全措施的一些互補(bǔ)關(guān)系來進(jìn)行分析。然后最終選取達(dá)到安全目標(biāo)采取的措施。

還有就是現(xiàn)在新發(fā)展的那些安全措施，安全技術(shù)，我們也不排斥，等級(jí)保護(hù)的措施也排斥，只要你這些安全措施提供的安全功能和機(jī)制是能夠滿足我這個(gè)安全目標(biāo)的，那我也可以認(rèn)為你選擇對(duì)的安全措施。還有一個(gè)就是剛才前面講了，實(shí)在做不到，是不是可以探索，也能夠滿足你的安全目標(biāo)，或者基本滿足你的安全目標(biāo)，這也是可以進(jìn)行嘗試的。因?yàn)槟氵@個(gè)有保護(hù)，我們認(rèn)為，你有保護(hù)，總比沒有保護(hù)好，我這個(gè)做不到，我什么也不做，那肯定是不合適的。因?yàn)檫@條做不到，但是想了辦法了，也采用了一些其他的保護(hù)能力比較低的，但是通過它的組合，使得它的安全能力進(jìn)一步提高，這是一個(gè)保護(hù)能力，如何來實(shí)現(xiàn)的一個(gè)圖。

我們的基本要求，對(duì)于不同的級(jí)別，推薦了十個(gè)方面的一些措施和機(jī)制。主要分技術(shù)要求管理要求。技術(shù)要求是五個(gè)方面，主要分在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。

對(duì)于信息系統(tǒng)，安全等級(jí)保護(hù)的狀況進(jìn)行測(cè)試評(píng)估，應(yīng)該包括兩個(gè)方面，剛才前面講了，按照我這個(gè)要求，已經(jīng)做完了，要測(cè)評(píng)，怎么測(cè)評(píng)呢？下面向大家介紹一下測(cè)評(píng)。測(cè)評(píng)工作主要分兩個(gè)方面。一個(gè)是單元測(cè)評(píng)，就是前面講的分了十個(gè)方面，但是每個(gè)方面它下面還下掛著很多的那些單元的要求，比如物理安全，有物理位置的選擇、控制等等一些單元的測(cè)評(píng)項(xiàng)。單元測(cè)評(píng)主要是信息安全保護(hù)的一個(gè)基本控制的情況，主要測(cè)這個(gè)情況。還有一個(gè)是整體測(cè)評(píng)。整體測(cè)評(píng)，它主要是分析信息系統(tǒng)的一個(gè)整體的安全性問題。

測(cè)評(píng)的基本方法有三種，一種是訪談，另外一種是檢查，還有一個(gè)是測(cè)試。訪談的對(duì)象主要是人員，典型的訪談包括訪談信息安全主管，信息安全管理員，信息系統(tǒng)的網(wǎng)絡(luò)安全員，設(shè)備安全管理員和用戶。工具主要是管理核查表。適用的情況是對(duì)技術(shù)要求使用訪談方法進(jìn)行測(cè)評(píng)的，目的是為了了解信息系統(tǒng)的全局性，包括局部，但是不是細(xì)節(jié)方向。一般不涉及到具體的實(shí)現(xiàn)細(xì)節(jié)和具體的技術(shù)措施，對(duì)管理要求，訪談的內(nèi)容應(yīng)該較為詳細(xì)和明確。我們對(duì)這個(gè)訪談的策略，后面會(huì)講，就是我這個(gè)測(cè)評(píng)有一個(gè)測(cè)評(píng)強(qiáng)度，訪談獲得的證據(jù)，一般不作為系統(tǒng)測(cè)評(píng)判定的是否達(dá)到要求的一個(gè)主要依據(jù)，作為是一個(gè)參考的依據(jù)。但是對(duì)低級(jí)別的一些系統(tǒng)，有一些訪談的結(jié)果是可以作為他測(cè)評(píng)的依據(jù)的。

檢查主要有評(píng)審、核查、審查、觀察、研究和分析等等。檢查對(duì)象是穩(wěn)當(dāng)、機(jī)制、設(shè)備等，工具是技術(shù)核查表。對(duì)管理要求，檢查的方法主要用于規(guī)范性的要求，檢查文檔。你把防火墻的策略打出來，我看

一看，是不是這個(gè)配制，和整體安全的要求，策略是不是一致，把這個(gè)都是檢查，不是自己動(dòng)手做。最后的測(cè)試是要自己動(dòng)手，主要分在功能、性能測(cè)試還有滲透測(cè)試這兩個(gè)方面。測(cè)評(píng)對(duì)象包括安全的機(jī)制，設(shè)備等等。測(cè)試一般需要借助于特定的工具，比如掃描檢測(cè)工具，網(wǎng)絡(luò)協(xié)議分析儀等等。適用情況，對(duì)技術(shù)要求來講，測(cè)試的目的是驗(yàn)證信息系統(tǒng)當(dāng)前的安全機(jī)制，或者運(yùn)行的有效性和安全強(qiáng)度等等。對(duì)管理要求一般不采用測(cè)試技術(shù)的。

接下來向大家介紹一下測(cè)評(píng)強(qiáng)度。對(duì)信息系統(tǒng)的要求，安全等級(jí)越高，基本要求強(qiáng)度越強(qiáng)。體現(xiàn)為安全控制的多少，而且越細(xì)。比如說物理安全上面的環(huán)境選擇，一級(jí)的可能AB就兩項(xiàng)，二級(jí)的ABCD有四項(xiàng)要求，三級(jí)的可能ABCDEF，這是體現(xiàn)安全控制的點(diǎn)的多，還有要求更細(xì)，這是基本要求上面的一些要求。

對(duì)測(cè)評(píng)也提出了不同的要求。安全等級(jí)級(jí)別越高，測(cè)評(píng)的強(qiáng)度應(yīng)該越強(qiáng)。測(cè)評(píng)強(qiáng)度，體現(xiàn)在這個(gè)測(cè)評(píng)工作的努力程度上，反映出測(cè)評(píng)的廣度和深度，這個(gè)強(qiáng)度從一級(jí)到四級(jí)是逐步增強(qiáng)的，也就是說，我所獲得的證據(jù)的那個(gè)準(zhǔn)確性就更高，遺漏的情況可能就會(huì)更少。

咱們可以舉一個(gè)簡(jiǎn)單例子，比如說在做網(wǎng)絡(luò)控制列表測(cè)評(píng)的時(shí)候，你這些用戶名和用戶都是你開的嗎，每個(gè)用戶是誰你都知道嗎？他說這些都是我開的，還有幾個(gè)什么以前的臨時(shí)帳戶什么的，為什么還留著？因?yàn)橛械臅r(shí)候調(diào)試還要進(jìn)行調(diào)試，你只要回答得出這些問題，上面的那些防護(hù)控制列表上的用戶，只要你的管理員都知道這些帳戶是什么用處的，那么一級(jí)基本合格。到二級(jí)這樣強(qiáng)度和深度是不夠的。首先問他，這些方面的沒用的，經(jīng)常不用的，臨時(shí)的是不是都已經(jīng)刪除掉了？你上面現(xiàn)在有的這些防護(hù)控制列表，是不是是隨意的，你自己控制的，說我可以添加一個(gè)用戶，讓它授予權(quán)限，還是必須每個(gè)開用戶授權(quán)都是有明確的授權(quán)書，是根據(jù)授權(quán)書執(zhí)行授權(quán)操作還是可以操作，那對(duì)二級(jí)來講是不行的。有管理部門對(duì)這個(gè)人員的使用要求要授權(quán)，測(cè)試的要求就高了，深度就深了，更細(xì)了。到了三級(jí)要求更高，我舉一個(gè)例子，表明這個(gè)測(cè)試，同樣測(cè)一項(xiàng)指標(biāo)，可能不同的級(jí)別，所付出的努力和所提的要求是完全不一樣的。

向大家介紹一下系統(tǒng)測(cè)評(píng)。系統(tǒng)測(cè)評(píng)主要包括安全控制間的安全測(cè)評(píng)，還有層面間的安全測(cè)評(píng)，還有區(qū)域間的一些安全測(cè)評(píng)。根據(jù)這個(gè)關(guān)聯(lián)作用，逐層測(cè)評(píng)分析安全控制間、層面間和區(qū)域間的關(guān)聯(lián)關(guān)系，對(duì)整體安全保護(hù)能力的影響。這個(gè)主要是考慮就是前面我們是把這個(gè)系統(tǒng)的要求打碎了，把它技術(shù)分在五個(gè)層面上，但是我在測(cè)評(píng)的時(shí)候，我還要把它列起來，看它回到基本要求最前面的保護(hù)上去。所以某一個(gè)測(cè)評(píng)項(xiàng)，可能不滿足，不并不是判定你整個(gè)的系統(tǒng)就不滿足了。我首先通過系統(tǒng)測(cè)評(píng)要考慮是不是在同一層面上是不是存在一些安全機(jī)制，和它是互補(bǔ)的，我做了這個(gè)，等于是達(dá)到了另外一個(gè)一樣的安全目標(biāo)這樣的功能、作用。還要看如果這個(gè)層面上沒做，那另外一個(gè)層面上是不是做了，舉一個(gè)簡(jiǎn)單的例子，防止信息在網(wǎng)絡(luò)上傳輸?shù)臅r(shí)候被人家竊取，如果你做了密文那就更好了。明文走密道合不合格，也起來了作用，因?yàn)檫@個(gè)標(biāo)準(zhǔn)上的要求是要密文走明道的，這個(gè)是不同層面間存在的互補(bǔ)關(guān)系，而且所對(duì)應(yīng)的基本要求里面的防止內(nèi)部人員通過網(wǎng)絡(luò)偵聽來獲取信息這樣一個(gè)安全目標(biāo)，能夠達(dá)到我們認(rèn)為你這個(gè)系統(tǒng)整體測(cè)評(píng)在這一項(xiàng)上也是合格的。

還有就是區(qū)與區(qū)之間的測(cè)評(píng)，這是一個(gè)整體測(cè)評(píng)的，還有從系統(tǒng)整體結(jié)構(gòu)方面來進(jìn)行考慮，這是一個(gè)系統(tǒng)整體的測(cè)評(píng)的問題。測(cè)評(píng)是一個(gè)很復(fù)雜的，我們認(rèn)為測(cè)評(píng)其實(shí)是有兩個(gè)部分，一個(gè)是測(cè)一個(gè)是評(píng)，測(cè)，前面講的單元測(cè)評(píng)是解決一個(gè)測(cè)的問題，獲取證據(jù)，后面的評(píng)主要是從系統(tǒng)角度來進(jìn)行評(píng)估和評(píng)判。這么多獲得的那些證據(jù)把它串起來，分析相互之間的關(guān)系，然后做出最終的一個(gè)判斷，使得你這個(gè)系統(tǒng)是不是達(dá)到了這個(gè)系統(tǒng)的保護(hù)能力的要求。我們所關(guān)注的是保護(hù)能力不能缺失，而不是說某一個(gè)安全機(jī)制或者措施缺失了。

這是我給大家介紹一下信息系統(tǒng)等級(jí)測(cè)評(píng)的結(jié)果測(cè)定。首先是一個(gè)根據(jù)你定完級(jí)以后，根據(jù)定級(jí)的要求，是偏重于信息安全類的，還是業(yè)務(wù)連續(xù)性要求類的，可以選擇不同的安全指標(biāo)級(jí)。首先先要選擇測(cè)評(píng)的項(xiàng)，安全指標(biāo)級(jí)選出來。然后再進(jìn)行單元測(cè)評(píng)，這也就是獲取證據(jù)測(cè)的問題，測(cè)出來，肯定有很多，標(biāo)準(zhǔn)上要求沒做到，那就通過系統(tǒng)測(cè)評(píng)的方法，對(duì)這些進(jìn)行分析。通過互補(bǔ)關(guān)聯(lián)分析，分析完，確實(shí)這些安全機(jī)制雖然沒有做，但是整個(gè)的保護(hù)能力沒有缺失，我們認(rèn)為這個(gè)系統(tǒng)是合格的，然后也認(rèn)為你達(dá)到了一個(gè)基本的安全保護(hù)的狀態(tài)。如果系統(tǒng)測(cè)評(píng)發(fā)現(xiàn)，你再怎么互補(bǔ)也補(bǔ)不上，你確實(shí)是保護(hù)能力存在缺失了，就是沒有，防止內(nèi)部人員作案這塊安全目標(biāo)就是缺失了，那系統(tǒng)測(cè)評(píng)肯定是存在不合格項(xiàng)。那這個(gè)不合格項(xiàng)下來我們就要通過風(fēng)險(xiǎn)評(píng)估的方法對(duì)它進(jìn)行風(fēng)險(xiǎn)分析，然后發(fā)現(xiàn)如果說出了強(qiáng)制防護(hù)工作沒有做，其他的根本沒有做什么，風(fēng)險(xiǎn)很高，又得進(jìn)行整改，然后再回到單項(xiàng)測(cè)評(píng)上重新再走一遍。如果說你已經(jīng)做了一些其他方面的東西，使它風(fēng)險(xiǎn)了，那前面介紹的測(cè)評(píng)方法是一樣的。

第二篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。

第三篇：信息安全等級(jí)保護(hù)工作計(jì)劃

篇一：信息安全等級(jí)保護(hù)工作實(shí)施方案 白魯?shù)A九年制學(xué)校

信息安全等級(jí)保護(hù)工作實(shí)施方案

為加強(qiáng)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號(hào)文件精神，結(jié)合我校實(shí)際，制訂本實(shí)施方案。

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會(huì)精神為指針，深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。

二、定級(jí)范圍

學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導(dǎo)

（一）工作分工。定級(jí)工作由電教組牽頭，會(huì)同學(xué)校辦公室、安全保衛(wèi)處等共同組織實(shí)施。學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門間協(xié)調(diào)。安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。

電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。

各部門依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求，開展信息系統(tǒng)自評(píng)工作。

（二）協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。

1、成立領(lǐng)導(dǎo)小組，校長(zhǎng)任組長(zhǎng)，副校長(zhǎng)任副組長(zhǎng)、各部門負(fù)責(zé)人為成員，負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門按照總體方案落實(shí)工作任務(wù)和責(zé)任，對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督，指導(dǎo)安全保密方案制定。

2、成立由電教組牽頭的工作機(jī)構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營(yíng)使用部門參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議；組織開展政策和技術(shù)培訓(xùn)，掌握定級(jí)工作規(guī)范和技術(shù)要求，為定級(jí)工作打好基礎(chǔ)；全面掌握學(xué)校各部門定級(jí)保護(hù)工作的進(jìn)展情況和存在的問題，對(duì)存在的問題及時(shí)協(xié)調(diào)解決，形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。

3、成立由赴省參加過計(jì)算機(jī)培訓(xùn)的教師組成的評(píng)審組，主要負(fù)責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢；二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對(duì)所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求，確定定級(jí)對(duì)象。

（二）初步確定安全保護(hù)等級(jí)。各使用部門要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

（三）評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。

（四）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。

五、定級(jí)工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各部門要落實(shí)責(zé)任，并于12月15日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上報(bào)九年制學(xué)校。

（二）加強(qiáng)培訓(xùn)，嚴(yán)格定級(jí)。為切實(shí)落實(shí)評(píng)審工作，保證定級(jí)準(zhǔn)確，備案及時(shí)，全面提高我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平，保證定級(jí)工作順利進(jìn)行，各部門要認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》、《文保處教育系統(tǒng)單位信息分級(jí)培訓(xùn)材料》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（國(guó)標(biāo)）》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（報(bào)批）》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批）》等材料。

（三）積極配合、認(rèn)真整改。各部門要認(rèn)真按照評(píng)級(jí)要求，組織開展等級(jí)保護(hù)工作，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。

（四）自查自糾、完善制度。此次定級(jí)工作完成后，請(qǐng)各部門按照《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，依據(jù)系統(tǒng)所定保護(hù)等級(jí)的要求，定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應(yīng)及時(shí)進(jìn)行變更備案篇二：醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案 醫(yī)院信息系統(tǒng)安全等級(jí) 保護(hù)工作實(shí)施方案

醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運(yùn)行，根據(jù)公安部等四部、局、辦印發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》公通字【2004】66號(hào)、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》衛(wèi)辦綜函【2011】1126號(hào)、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知 衛(wèi)辦發(fā)【2011】85號(hào)和省市有關(guān)文件精神，并結(jié)合我院信息化建設(shè)的工作實(shí)際，特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案》確保我院信息系統(tǒng)安全。

一、組織領(lǐng)導(dǎo) 組 長(zhǎng)： 副組長(zhǎng)： 組 員：

領(lǐng)導(dǎo)小組辦公室設(shè)在xx科，由xx同志兼任主任，xx等同志負(fù)責(zé)具體工作。

二、工作任務(wù)

1、做好系統(tǒng)定級(jí)工作。定級(jí)系統(tǒng)包括基礎(chǔ)支撐系統(tǒng)，面向患者服務(wù)信息系統(tǒng)，內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡(luò)直報(bào)系統(tǒng)及門戶網(wǎng)站，定級(jí)方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關(guān)部門協(xié)商。

2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級(jí)保護(hù)劃分定級(jí)要求，對(duì)信息系統(tǒng)進(jìn)行定級(jí)后，將本單位《信息系統(tǒng)安全等級(jí)保護(hù)備案表》《信息系統(tǒng)定級(jí)報(bào)告》和備案電子數(shù)據(jù)報(bào)衛(wèi)生局，由衛(wèi)生局報(bào)屬地公安機(jī)關(guān)辦理備案手續(xù)。

3、做好系統(tǒng)等級(jí)測(cè)評(píng)工作。完成定級(jí)備案后，選擇市衛(wèi)生局推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)，對(duì)已確定安全保護(hù)等級(jí)信息系統(tǒng)，按照國(guó)家信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)開展等級(jí)測(cè)評(píng)，信息系統(tǒng)測(cè)評(píng)后，及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向?qū)俚毓矙C(jī)關(guān)報(bào)備。

4、完善等級(jí)保護(hù)體系建設(shè)做好整改工作。按照測(cè)評(píng)報(bào)告評(píng)測(cè)結(jié)果，對(duì)照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（gb/t22239-2008）等有關(guān)標(biāo)準(zhǔn)，結(jié)合醫(yī)院工作實(shí)際，組織開展等級(jí)保護(hù)安全建設(shè)整改工作，具體要求如下：

三、工作要求

1、建立安全管理組織機(jī)構(gòu)。成立信息安全工作組，網(wǎng)絡(luò)辦負(fù)責(zé)人為安全責(zé)任人，擬定實(shí)施醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，確保信息安全等級(jí)保護(hù)工作順利實(shí)施。

2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級(jí)保護(hù)的要求，制定各項(xiàng)信息系統(tǒng)安全管理制度，對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。

3、制定保障醫(yī)療活動(dòng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級(jí)保護(hù)的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時(shí)間恢復(fù)的情況下能確保醫(yī)療活動(dòng)持續(xù)進(jìn)行。

4、嚴(yán)格執(zhí)行安全事故報(bào)告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責(zé)任發(fā)現(xiàn)和報(bào)告信息安全可疑事件，應(yīng)視情況及時(shí)以口頭或書面的形式報(bào)告院網(wǎng)絡(luò)辦。對(duì)重大信息網(wǎng)絡(luò)安全事件、安全事故和計(jì)算機(jī)違法犯罪案件，應(yīng)在24小時(shí)內(nèi)向公安機(jī)關(guān)報(bào)告，并保護(hù)好現(xiàn)場(chǎng)。篇三：2013年信息安全等級(jí)保護(hù)工作匯報(bào) 2013年信息安全等級(jí)保護(hù)工作匯報(bào)

一、加強(qiáng)領(lǐng)導(dǎo)

二、完善制度

為貫徹落實(shí)全市加強(qiáng)和改進(jìn)互聯(lián)網(wǎng)建設(shè)與管理工作會(huì)議和市委辦公室、市政府辦公室《揚(yáng)州市深入推進(jìn)信息安全等級(jí)保護(hù)工作的實(shí)施意見》（揚(yáng)辦發(fā)[2012]57號(hào)）文件精神，對(duì)集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)工作做出了具體的要求，根據(jù)等級(jí)保護(hù)要求，開展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚(yáng)州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪問機(jī)房審批管理制度》、《中心機(jī)房管理辦法》、《機(jī)房消防安全管理制度》等制度。

三、信息等級(jí)安全保護(hù)基本情況

目前，集團(tuán)已有揚(yáng)州網(wǎng)、揚(yáng)州晚報(bào)網(wǎng)、揚(yáng)州汽車網(wǎng)、藝術(shù)在線網(wǎng)和多個(gè)內(nèi)部信息系統(tǒng)根據(jù)等級(jí)保護(hù)的要求進(jìn)行了整改優(yōu)化，積極加強(qiáng)信息系統(tǒng)安全環(huán)境建設(shè)，消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面，機(jī)房安裝門禁系統(tǒng)，嚴(yán)格管理機(jī)房人員進(jìn)出，消防設(shè)施完善，所有設(shè)備通過ups供電。關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器做到有主有備，確保在發(fā)生物理故障時(shí)可以及時(shí)更換。

在網(wǎng)絡(luò)安全方面，我們嚴(yán)格按照內(nèi)、外網(wǎng)物理隔離的標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)系統(tǒng)，并采用虛擬局域網(wǎng)技術(shù)，通過交換機(jī)端口的ip綁定，防止非法網(wǎng)絡(luò)接入；在網(wǎng)絡(luò)出口以及不同網(wǎng)絡(luò)互聯(lián)邊界全面部署硬件防火墻，部署日志服務(wù)器，記錄并留存使用互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系； 在集團(tuán)互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)行為管理系統(tǒng)，規(guī)范和記錄上網(wǎng)行為，合理控制不同應(yīng)用的網(wǎng)絡(luò)流量，實(shí)現(xiàn)網(wǎng)絡(luò)帶寬動(dòng)態(tài)分配，保障了信息系統(tǒng)正常應(yīng)用的網(wǎng)絡(luò)環(huán)境。

在主機(jī)安全方面，終端計(jì)算機(jī)采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應(yīng)用，通過部署趨勢(shì)網(wǎng)絡(luò)防毒墻網(wǎng)絡(luò)版，安裝聯(lián)軟安全管理軟件保障客戶機(jī)系統(tǒng)安全，并且做到漏洞補(bǔ)丁及時(shí)更新，重要的應(yīng)用系統(tǒng)安裝了計(jì)算機(jī)監(jiān)控與審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)主機(jī)的usb等外設(shè)接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。

對(duì)于應(yīng)用安全，嚴(yán)格做好系統(tǒng)安全測(cè)試，配備了專門的漏洞 掃描儀定期掃描應(yīng)用系統(tǒng)漏洞，并按測(cè)試結(jié)果做好安全修復(fù)和加固工作；在網(wǎng)站區(qū)，部屬入侵防御系統(tǒng)，監(jiān)測(cè)、記錄安全事件，及時(shí)阻斷入侵行為，自部署起已多次成功檢測(cè)出sql注入，ftp匿名登錄，網(wǎng)站目錄遍歷，探測(cè)主機(jī)地址漏洞等。

在數(shù)據(jù)安全方面，數(shù)據(jù)庫(kù)通過備份系統(tǒng)定期備份，關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器采用雙機(jī)熱備份，保證數(shù)據(jù)庫(kù)服務(wù)器的可用性和高效性，在出現(xiàn)故障時(shí)可以快速恢復(fù)；數(shù)據(jù)庫(kù)的訪問按不同用戶身份進(jìn)行嚴(yán)格的權(quán)限控制。

四、建議

信息系統(tǒng)安全等級(jí)保護(hù)工作責(zé)任重大，技術(shù)性強(qiáng)，工作量巨大，集團(tuán)在該項(xiàng)工作上雖然取得一些進(jìn)展，但是與市里要求還有相當(dāng)?shù)牟罹?，在等?jí)保護(hù)意識(shí)、宣傳力度、技術(shù)人才的培養(yǎng)和制度的建立上仍然存在問題。

建議市里加強(qiáng)工作指導(dǎo)，通過多種方式的等級(jí)保護(hù)技術(shù)交流和培訓(xùn)，提高單位領(lǐng)導(dǎo)及員工的等級(jí)保護(hù)意識(shí)，進(jìn)一步推進(jìn)集團(tuán)的信息系統(tǒng)等級(jí)保護(hù)工作。

第四篇：淺談信息安全等級(jí)保護(hù)問題

淺談信息安全等級(jí)保護(hù)問題 當(dāng)今，我國(guó)關(guān)于實(shí)現(xiàn)信息安全的一項(xiàng)重要的舉措就是信息系統(tǒng)安全等級(jí)保護(hù)。嚴(yán)格按照等級(jí)保護(hù)的規(guī)定，建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問題。本文主要介紹了信息安全等級(jí)的劃分以及如何對(duì)具體的信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)措施的方法。

隨著現(xiàn)在高科技的快速發(fā)展以及當(dāng)前社會(huì)對(duì)信息系統(tǒng)需求的不斷增加，信息系統(tǒng)的規(guī)模也在日益擴(kuò)大，它的諸多應(yīng)用都給社會(huì)創(chuàng)造了巨大的財(cái)富，與此同時(shí)，信息系統(tǒng)也成為了威脅、攻擊以及破壞的對(duì)象。由于信息在網(wǎng)絡(luò)上的存儲(chǔ)、傳輸和共享等過程的非法利用，導(dǎo)致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點(diǎn)問題。當(dāng)前，我們正在有計(jì)劃的開展信息安全等級(jí)保護(hù)制度實(shí)施工作。為了確保計(jì)算機(jī)信息系統(tǒng)的安全，一定要系統(tǒng)地、深入地研究和學(xué)習(xí)信息系統(tǒng)安全技術(shù)和等級(jí)保護(hù)方法。

1、信息安全等級(jí)保護(hù)

2003年，中辦、國(guó)辦轉(zhuǎn)發(fā) 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003327號(hào))，提出實(shí)行信息安全等級(jí)保護(hù)，建立國(guó)家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶自主保護(hù)級(jí)。完全由用戶自己來決定如何對(duì)資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外，它還要求對(duì)訪問者和訪問對(duì)象實(shí)施強(qiáng)制訪問控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督 審計(jì)。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪問驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)管理訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)，管理訪問者能否訪問某些對(duì)象從而對(duì)訪問對(duì)象實(shí)行?？?，保護(hù)信息不能被非授權(quán)獲取。

2、信息安全等級(jí)劃分

2．1按相關(guān)政策規(guī)定劃分安全保護(hù)等級(jí)

對(duì)于我國(guó)中央和國(guó)家各級(jí)機(jī)關(guān)、國(guó)家重點(diǎn)科研部門機(jī)構(gòu)、國(guó)防建設(shè)部門等需要對(duì)信息系統(tǒng)施行特殊隔離和保護(hù)的單位機(jī)關(guān)，均應(yīng)按照相關(guān)政策、相關(guān)法律法規(guī)，實(shí)施安全等級(jí)保護(hù)。

2．2按照保護(hù)數(shù)據(jù)的價(jià)值劃分保護(hù)等級(jí)

不同類別的數(shù)據(jù)信息需要實(shí)施不同安全等級(jí)的保護(hù)，這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證，而且又能縮減一部分不必要的開銷。

3、信息安全等級(jí)保護(hù)具體方法

信息系統(tǒng)安全等級(jí)劃分的最優(yōu)的選擇是全方位劃分等級(jí)，其最基本的思想為重點(diǎn)保護(hù)和適度保護(hù)。在此基礎(chǔ)上，投入合理的安全投入，運(yùn)用以下兩點(diǎn)信息安全等級(jí)保護(hù)方法，努力使信息系統(tǒng)得到應(yīng)有的安全保護(hù)。

3．1全系統(tǒng)的同一安全等級(jí)的安全保護(hù)

全系統(tǒng)同一安全等級(jí)安全保護(hù)：在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的信息系統(tǒng)中，在組成系統(tǒng)的任何部分，所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息，都需進(jìn)行相同的安全保護(hù)等級(jí)的保護(hù)措施。

當(dāng)有這樣要求，規(guī)定所要保護(hù)的數(shù)據(jù)信息，不管處于系統(tǒng)中任何位置，進(jìn)行任何形式的數(shù)據(jù)處理都需采取相同安全保護(hù)等級(jí)是，都應(yīng)嚴(yán)格按照全系統(tǒng)同一安全等級(jí)安全保護(hù)方法開展系統(tǒng)安全性設(shè)計(jì)，設(shè)計(jì)出要求所需的安全機(jī)制。

3．2分系統(tǒng)不同安全等級(jí)安全保護(hù)

所謂分系統(tǒng)不同安全等級(jí)安全保護(hù)：在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的計(jì)算機(jī)信息系統(tǒng)中，其中所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息，應(yīng)該按照信息在組成計(jì)算機(jī)信息系統(tǒng)的每個(gè)分系統(tǒng)中的不同保護(hù)要求的原則，對(duì)其實(shí)施不同安全保護(hù)等級(jí)的安全保護(hù)。

3．3虛擬系統(tǒng)不同安全等級(jí)安全保護(hù)

絡(luò)信息安全進(jìn)行控制。具體的實(shí)施措施可以使用路由器對(duì)外界進(jìn)行控制，將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡(luò)服務(wù)的信息流量，也可以通過對(duì)系統(tǒng)文件權(quán)限的設(shè)置來確認(rèn)訪問是否合法，以此來保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。

3．4計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范技術(shù)

計(jì)算機(jī)病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的重大因素，因此應(yīng)該對(duì)常見的計(jì)算機(jī)病毒知識(shí)進(jìn)行熟練地掌握，對(duì)其基本的防治技術(shù)手段有一定的了解，能夠在發(fā)現(xiàn)病毒的第一時(shí)間里對(duì)其進(jìn)行及時(shí)的處理，將危害降到最低。對(duì)于計(jì)算機(jī)病毒的防范可以采用以下一些技術(shù)手段，可以通過加密執(zhí)行程序，引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控和讀寫控制等手段，對(duì)系統(tǒng)中是否有病毒進(jìn)行監(jiān)督判斷，進(jìn)而阻止病毒侵人計(jì)算機(jī)系統(tǒng)。

3.5漏洞掃描及修復(fù)技術(shù)

計(jì)算機(jī)系統(tǒng)中的漏洞是計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的極大隱患，因此，要定期對(duì)計(jì)算機(jī)進(jìn)行全方位的系統(tǒng)漏洞掃描，以確認(rèn)當(dāng)前的計(jì)算機(jī)系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計(jì)算機(jī)中存在系統(tǒng)漏洞，要及時(shí)的對(duì)其進(jìn)行修復(fù)，避免被黑客等不放法子利用。漏洞的修復(fù)分兩種，有的漏洞系統(tǒng)自身可以進(jìn)行恢復(fù)，而有一部分漏洞則需要手動(dòng)進(jìn)行修復(fù)。

4、結(jié)語

在當(dāng)前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢(shì)下，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用也應(yīng)該與時(shí)俱進(jìn)，不斷地研究探討更加優(yōu)化的計(jì)算機(jī)網(wǎng)絡(luò)防范技術(shù)，將其應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行中，減少計(jì)算機(jī)網(wǎng)絡(luò)使用的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)安全的進(jìn)行信息交流，資源共享的目的，使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。

第五篇：信息安全等級(jí)保護(hù)(二級(jí))

信息安全等級(jí)保護(hù)(二級(jí))

備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警 20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。