第一篇：等級保護

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段，作為公安部授權的第三方測評機構，為企事業(yè)單位提供免費專業(yè)的信息安全等級測評咨詢服務。

信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關聯(lián)關系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結構以及安全控制間、層面間和區(qū)域間的相互關聯(lián)關系密切相關。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎上，還要包括系統(tǒng)整體測評。

第一級：用戶自主保護級；

第二級：系統(tǒng)審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級”

計算機信息系統(tǒng)安全等級保護劃分準則（GB 17859-1999）（基礎類標準）

信息系統(tǒng)安全等級保護實施指南（GB/T 25058-2010）（基礎類標準）

信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008）（應用類定級標準）

信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）（應用類建設標準）

信息系統(tǒng)通用安全技術要求（GB/T 20271-2006）（應用類建設標準）

信息系統(tǒng)等級保護安全設計技術要求（GB/T 25070-2010）（應用類建設標準）信息系統(tǒng)安全等級保護測評要求（GB/T 28448-2012）（應用類測評標準）

信息系統(tǒng)安全等級保護測評過程指南（GB/T 28449-2012）（應用類測評標準）信息系統(tǒng)安全管理要求（GB/T 20269-2006）（應用類管理標準）

信息系統(tǒng)安全工程管理要求（GB/T 20282-2006）（應用類管理標準）

第二篇：等級保護全面自查

潞安容海發(fā)電有限責任公司信息安全等級保護自查報告

隨著我國信息網(wǎng)絡事業(yè)的飛速發(fā)展，信息安全保障能力提到了一個新的高度，我廠信息安全以及信息安全等級保護工作就提到了日常議程上來了。圍繞提高信息安全保障能力，維護國家安全、公共利益和社會穩(wěn)定，促進信息化建設的要求，一年來，我廠認真貫徹落實行業(yè)和公司的總體部署，在公司和企業(yè)信息化工作的統(tǒng)一部署下，按照突出重點、統(tǒng)籌規(guī)劃，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全的總體要求和原則，狠抓系統(tǒng)維護、培訓和流程梳理，促進管理規(guī)范，提高系統(tǒng)運行效率。進一步完善企業(yè)新的運行機制條件下的信息化管理工作，促進企業(yè)信息安全管理工作目標的實現(xiàn)。特別是今年9月以來，我廠在總結以往工作的基礎上，通過認真學習和領會《信息系統(tǒng)安全等級保護基本要求》精神，根據(jù)公司的統(tǒng)一部署，結合我廠的具體情況，認真梳理和開展了信息安全等級保護這項工作，取得一定成效?，F(xiàn)簡要總結匯報我廠2011開展信息安全等級保護工作情況。

一、企業(yè)開展信息安全等級保護主要工作回顧

1、加強宣傳，增強認識，積極推進企業(yè)信息安全等級保護工作。為提高企業(yè)對信息安全等級保護這項工作的認識，我廠組織信息化管理部門和相關人員認真宣傳學習了工業(yè)和信息化部文件，大家充分了解到開展定級等工作內(nèi)容、要求和技術標。一是增強了大家對推行信息安全等級保護制度的重要性和必要性以及信息安全等級保護工作的認識。二是在總結過去工作經(jīng)驗的基礎上，確定了將信息安全等級保護工作作為今年網(wǎng)絡安全保障工作的一項重要任務來抓。三是采取一定措施，積極推進了公司和企業(yè)信息安全等級保護工作。從系統(tǒng)定級、定級評審、系統(tǒng)備案、測評整改、監(jiān)督檢查等五個階段進行了一些有益的探索。并按照既定的工作目標和時限要求，確保等級保護定級工作保質保量完成。

2、對照要求，認真查找和消除企業(yè)信息安全等級保護工作中的差距。信息化管理部門和相關人員通過對照國家和行業(yè)有關信息安全等級保護工作文件相關規(guī)定和我廠實際，認真開展自查和總結。針對企業(yè)現(xiàn)狀展開分析和討論，尋找我廠開展信息安全等級保護這項工作的差距，理清工作思路，進一步確立了企業(yè)信息安全等級保護工作思路和目標。一是對企業(yè)信息安全總體情況進行了全面摸底，檢查了企業(yè)信息安全管理、信息安全技術、和信息安全運維三個體系建設情況。二是對信息安全檢查中發(fā)現(xiàn)的主要問題進行了及時整改，采取了相應的對策和措施。

3、落實組織，建立企業(yè)信息安全等級保護工作長效機制。我廠領導高度重視信息安全等級保護工作的開展。企業(yè)有關領導和相關信息安全職能部門充分認識到開展信息安全等級保護是保障全市政治穩(wěn)定、經(jīng)濟發(fā)展和社會和諧的有效手段。為適應公司組織機構調(diào)整需要，提高企業(yè)信息安全保障能力，維護國家安全、公共利益和社會穩(wěn)定，促進信息化建設，我廠及時調(diào)整了信息化工作領導機構，同時，成立了潞安容海電廠關于成立信息系統(tǒng)安全工作領導小組，進一步落實了信息系統(tǒng)安全工作責任。在落實企業(yè)信息安全等級保護工作目標責任基礎上，一是重新梳理和調(diào)整了企業(yè)信息化隊伍；二是建立健全了信息安全管理制度；三是落實和發(fā)揮了系統(tǒng)備份、安全巡檢、安全監(jiān)控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能；四是實現(xiàn)了集中安全管理控制，快速安全事件響應，高可信的安全防護；五是重申了對IT系統(tǒng)和產(chǎn)品開展入網(wǎng)前安全檢查，消除安全隱患等幾項具體措施。

4、總體規(guī)劃，分步實施和落實信息安全策略。我廠信息安全規(guī)劃堅持行業(yè)和政策實際，著眼于企業(yè)長遠的發(fā)展目標，以及高新技術迅猛發(fā)展的需要，立足企業(yè)當前的基礎和迫切需要解決的問題。信息安全規(guī)劃主要是企業(yè)部署了網(wǎng)絡硬件路由、防火墻和網(wǎng)絡防毒墻。實施和應用了中心機房安全監(jiān)控、火災報警系統(tǒng)，瑞星網(wǎng)絡版企業(yè)殺毒軟件和上網(wǎng)行為管理系統(tǒng)。機房和綜合樓辦公樓實施了 UPS供電，建立了中心機房網(wǎng)絡雷電防護體系。安全策略主要是針對網(wǎng)絡進行了CISCO PIX515安全策略配置，企業(yè)內(nèi)部網(wǎng)絡采用了路由和VLAN技術；服務器采取用戶和密碼登錄；各部門上網(wǎng)用戶實行等級權限，采用帳戶和密碼登錄方式進行單個PC管理。各個終端運維強調(diào)Windows補丁管理，并通過Windows安全策略向用戶提供限制性的訪問權限，有效地保護了windows機器。

另外，結合企業(yè)職業(yè)健康安全管理體系建設要求，對供電體系、雷電防護體系缺陷、計算機的安全保護，信息泄露、數(shù)據(jù)備份、病毒或黑客入侵等危險源進行了認真的辨識，對二級以上危險源都制訂了預控措施，明確了各崗位的崗位職責并對相關職責抓好落實。目前，企業(yè)信息系統(tǒng)的安全正式納入煙草行業(yè)安全管理信息系統(tǒng)管理，并著手規(guī)劃建立健全信息安全技術和信息安全運維兩個體系建設。

5、完善制度，建立和落實了信息安全保護責任制。自從2009年組建信息系統(tǒng)網(wǎng)絡以來，我廠就先后制訂并修改了各項信息安全相關制度，堅持對重大節(jié)日期間的信息安全保障工作進行專門部署。今年，我廠在加強內(nèi)部信息化管理制度建設方面，將國家局行業(yè)卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)五個操作文件納入了企業(yè)貫標管理。另外，為加強企業(yè)網(wǎng)絡安全與信息管理，適應行業(yè)改革與發(fā)展機制的需要，企業(yè)除執(zhí)行國家、行業(yè)和公司有關信息網(wǎng)絡管理法律法規(guī)和制度外，內(nèi)部制訂和修訂了一系列規(guī)章制度（包括預案和管理辦法）。這些制度的制訂和修改遵循了相關流程，并形成了記錄。目前已正式印發(fā)的制度主要包括：《計算機和網(wǎng)絡信息系統(tǒng)管理辦法》、《通信管理制度》、《網(wǎng)絡與信息安全事件專項應急預案》、《潞安礦業(yè)（集團）公司容海熱電廠計算機安全管理規(guī)定》、《通信突發(fā)事件應急處置專項預案》。制度下發(fā)以后，日常開展督導和制度執(zhí)行力檢查，促進信息安全保護責任的落實。

6、抓好人員培訓和系統(tǒng)演練，促進企業(yè)重要信息系統(tǒng)日常信息安全保護工作落到實處。另外，在下半年的10月和11月，內(nèi)部分兩期采取模擬信息網(wǎng)絡及中心機房突發(fā)事件、發(fā)生網(wǎng)絡中斷等突發(fā)事件，以訓帶練的形式開展了這兩個應急預案的演練。由生技部牽頭，安全科、生產(chǎn)（設備）、物資科等相關部門安排相關人員參加了這次預案的培訓和演練。培訓和演練取得了預期目的。

5、日常認真抓好信息安全檢查和系統(tǒng)運維，促進信息安全管理和系統(tǒng)整治規(guī)范。為了營造良好的網(wǎng)絡環(huán)境，保護自身信息的安全，我廠信息化主管部門結合信息技術支持與服務本職，突出工作重點，積極抓好網(wǎng)絡安全管理，進一步使安全落到實處。

（一）、堅持日常信息系統(tǒng)運維檢查。針對企業(yè)信息網(wǎng)絡系統(tǒng)管理和因特網(wǎng)上病毒和欺騙木馬程序（病毒）攻擊猖獗現(xiàn)狀，信息化主管部門日常組織開展了專業(yè)性和群眾性的信息及安全檢查，集中消除和治理安全隱患，杜絕各種信息安全事故發(fā)生。

（二）、定期開展信息系統(tǒng)管理制度執(zhí)行情況檢查。按照企業(yè)制度督察檢查辦法，信息化主管部門編制了《計算機網(wǎng)絡系統(tǒng)管理辦法檢查表》，對照信息系統(tǒng)管理制度內(nèi)容開展對各部門和各崗位以及重點部位、重點項目檢查，形成檢查記錄。

（三）、結合節(jié)假日和安全生產(chǎn)月、6S以及內(nèi)部審核活動等開展信息網(wǎng)絡安全專項檢查。按照節(jié)假日和安全生產(chǎn)月、6S以及內(nèi)部審核活動要求，開展網(wǎng)絡設備全面檢查和現(xiàn)場清理整頓工作，（1）是檢查全廠各部門采用集線束對辦公設備連線的整理規(guī)范狀況；（2）是重點對兩個機房以及各網(wǎng)絡交換點場所的開關線路和周圍雜物及時進行清理。對檢查發(fā)現(xiàn)的問題，尤其是嚴重對網(wǎng)絡系統(tǒng)造成安全隱患的項目立即下達通知整改，使問題消滅在萌芽狀態(tài)，促進信息網(wǎng)絡安全監(jiān)督檢查到位，安全記錄真實規(guī)范。（3）是按照電力行業(yè)嚴格規(guī)范的總要求，對全廠網(wǎng)絡的一些歷史遺留問題和以往布線（電話線、有線、網(wǎng)線等）凸顯瑕疵的地方，結合廠區(qū)布局的規(guī)范化，結合網(wǎng)絡規(guī)范和6S管理要求，嚴格按相關標準進行了一次全面清理。

二、企業(yè)信息安全工作存在的問題是和改善工作意見或建議

1、企業(yè)在網(wǎng)絡審計、安全設備統(tǒng)一管理、網(wǎng)站防篡改、行業(yè)數(shù)字證書（CA）認證等系統(tǒng)方面的建設工作未開展，建議公司加強企業(yè)信息安全技術體系建設這些方面給予特別支持和引導。另外，指導企業(yè)對信息系統(tǒng)備份措施的檢查，包括檢查的方法和內(nèi)容。

2、公司對國家局行業(yè)生產(chǎn)經(jīng)營決策管理系統(tǒng)的安全運維今年正式進行了部署，建議對每次巡檢發(fā)現(xiàn)的問題能給予統(tǒng)一解決和處理。另外，指導企業(yè)開展網(wǎng)絡和應用系統(tǒng)應急預案的編制和演練。

三、2012年企業(yè)信息安全工作重點

信息安全管理的對象是計算機網(wǎng)絡和相關硬件系統(tǒng)以及在此系統(tǒng)上構架應用的軟件和信息系統(tǒng)的決策規(guī)劃、效能應用、系統(tǒng)安全、網(wǎng)絡監(jiān)察、個人上網(wǎng)等一切網(wǎng)絡管理行為。而信息和信息網(wǎng)絡安全的防范和監(jiān)管是信息主管部門的一個重要職責。為此，需要做好以下安全防范工作。

1、明確各層組織機構和人員的信息和信息網(wǎng)絡安全責任，實現(xiàn)組織和人力上的安全保證；

2、組織建立和健全各項信息和信息網(wǎng)絡安全制度，實現(xiàn)制度和管理上的安全保證；

3、規(guī)范日常信息化管理和檢查制度。包括：軟件管理、硬件管理、機房管理、系統(tǒng)運行和維護管理、網(wǎng)絡管理等，提出并實施各系統(tǒng)配置和標準化設置，便于安全的維護和加固，實現(xiàn)基礎管理上的安全保證；

4、除采用相應的物理防火墻和安全軟件外，做好應急預案是確保萬無一失的第一步，實現(xiàn)技術上的安全保證；

5、組織好本單位內(nèi)的項目協(xié)調(diào)、實施、推廣應用與培訓等工作，確保信息化項目的實施成效，實現(xiàn)規(guī)劃和應用上的安全保證；

6、定期組織開展信息和網(wǎng)絡安全檢查活動。通過對現(xiàn)場檢查和清理，系統(tǒng)的監(jiān)管，促進網(wǎng)絡現(xiàn)場規(guī)范，營造一個整潔、規(guī)范、安全、高效的網(wǎng)絡和信息系統(tǒng)環(huán)境，實現(xiàn)環(huán)境上的安全保證。

2011年12月3日

第三篇：網(wǎng)絡安全等級保護條例

第一章第二章第三章第四章第五章第六章第七章第八章 網(wǎng)絡安全等級保護條例

（征求意見稿）

目錄

總 則..........................................支持與保障......................................網(wǎng)絡的安全保護..................................涉密網(wǎng)絡的安全保護.............................密碼管理.......................................監(jiān)督管理.......................................法律責任.......................................附 則.........................................第一章 總 則

第一條【立法宗旨與依據(jù)】為加強網(wǎng)絡安全等級保護工作，提高網(wǎng)絡安全防范能力和水平，維護網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展，依據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國保守國家秘密法》等法律，制定本條例。

第二條【適用范圍】在中華人民共和國境內(nèi)建設、運營、維護、使用網(wǎng)絡，開展網(wǎng)絡安全等級保護工作以及監(jiān)督管理，適用本條例。個人及家庭自建自用的網(wǎng)絡除外。

第三條【確立制度】國家實行網(wǎng)絡安全等級保護制度，對網(wǎng)絡實施分等級保護、分等級監(jiān)管。

前款所稱“網(wǎng)絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。

第四條【工作原則】網(wǎng)絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則，建立健全網(wǎng)絡安全防護體系，重點保護涉及國家安全、國計民生、社會公共利益的網(wǎng)絡的基礎設施安全、運行安全和數(shù)據(jù)安全。

網(wǎng)絡運營者在網(wǎng)絡建設過程中，應當同步規(guī)劃、同步建設、同步運行網(wǎng)絡安全保護、保密和密碼保護措施。

3絡安全防范意識。

國家鼓勵和支持企事業(yè)單位、高等院校、研究機構等開展網(wǎng)絡安全等級保護制度的教育與培訓，加強網(wǎng)絡安全等級保護管理和技術人才培養(yǎng)。

第十四條【鼓勵創(chuàng)新】國家鼓勵利用新技術、新應用開展網(wǎng)絡安全等級保護管理和技術防護，采取主動防御、可信計算、人工智能等技術，創(chuàng)新網(wǎng)絡安全技術保護措施，提升網(wǎng)絡安全防范能力和水平。

國家對網(wǎng)絡新技術、新應用的推廣，組織開展網(wǎng)絡安全風險評估，防范網(wǎng)絡新技術、新應用的安全風險。

第三章 網(wǎng)絡的安全保護

第十五條【網(wǎng)絡等級】根據(jù)網(wǎng)絡在國家安全、經(jīng)濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網(wǎng)絡分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡。

（二）第二級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造

6用；

（八）落實違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施；

（九）落實聯(lián)網(wǎng)備案和用戶真實身份查驗等責任；

（十）對網(wǎng)絡中發(fā)生的案事件，應當在二十四小時內(nèi)向屬地公安機關報告；泄露國家秘密的，應當同時向屬地保密行政管理部門報告。

（十一）法律、行政法規(guī)規(guī)定的其他網(wǎng)絡安全保護義務。第二十一條【特殊安全保護義務】第三級以上網(wǎng)絡的運營者除履行本條例第二十條規(guī)定的網(wǎng)絡安全保護義務外，還應當履行下列安全保護義務：

（一）確定網(wǎng)絡安全管理機構，明確網(wǎng)絡安全等級保護的工作職責，對網(wǎng)絡變更、網(wǎng)絡接入、運維和技術保障單位變更等事項建立逐級審批制度；

（二）制定并落實網(wǎng)絡安全總體規(guī)劃和整體安全防護策略，制定安全建設方案，并經(jīng)專業(yè)技術人員評審通過；

（三）對網(wǎng)絡安全管理負責人和關鍵崗位的人員進行安全背景審查，落實持證上崗制度；

（四）對為其提供網(wǎng)絡設計、建設、運維和技術服務的機構和人員進行安全管理；

（五）落實網(wǎng)絡安全態(tài)勢感知監(jiān)測預警措施，建設網(wǎng)絡安全防護管理平臺，對網(wǎng)絡運行狀態(tài)、網(wǎng)絡流量、用戶行為、網(wǎng)絡安全案事件等進行動態(tài)監(jiān)測分析，并與同級公安機關對接；

（六）落實重要網(wǎng)絡設備、通信鏈路、系統(tǒng)的冗余、備份和恢復措施；

（七）建立網(wǎng)絡安全等級測評制度，定期開展等級測評，并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告；

（八）法律和行政法規(guī)規(guī)定的其他網(wǎng)絡安全保護義務。第二十二條【上線檢測】新建的第二級網(wǎng)絡上線運行前應當按照網(wǎng)絡安全等級保護有關標準規(guī)范，對網(wǎng)絡的安全性進行測試。

新建的第三級以上網(wǎng)絡上線運行前應當委托網(wǎng)絡安全等級測評機構按照網(wǎng)絡安全等級保護有關標準規(guī)范進行等級測評，通過等級測評后方可投入運行。

第二十三條【等級測評】第三級以上網(wǎng)絡的運營者應當每年開展一次網(wǎng)絡安全等級測評，發(fā)現(xiàn)并整改安全風險隱患，并每年將開展網(wǎng)絡安全等級測評的工作情況及測評結果向備案的公安機關報告。

第二十四條【安全整改】網(wǎng)絡運營者應當對等級測評中發(fā)現(xiàn)的安全風險隱患，制定整改方案，落實整改措施，消除風險隱患。

第二十五條【自查工作】網(wǎng)絡運營者應當每年對本單位落實網(wǎng)絡安全等級保護制度情況和網(wǎng)絡安全狀況至少開展一次自

第二十九條【技術維護要求】第三級以上網(wǎng)絡應當在境內(nèi)實施技術維護，不得境外遠程技術維護。因業(yè)務需要，確需進行境外遠程技術維護的，應當進行網(wǎng)絡安全評估，并采取風險管控措施。實施技術維護，應當記錄并留存技術維護日志，并在公安機關檢查時如實提供。

第三十條【監(jiān)測預警和信息通報】地市級以上人民政府應當建立網(wǎng)絡安全監(jiān)測預警和信息通報制度，開展安全監(jiān)測、態(tài)勢感知、通報預警等工作。

第三級以上網(wǎng)絡運營者應當建立健全網(wǎng)絡安全監(jiān)測預警和信息通報制度，按照規(guī)定向同級公安機關報送網(wǎng)絡安全監(jiān)測預警信息，報告網(wǎng)絡安全事件。有行業(yè)主管部門的，同時向行業(yè)主管部門報送和報告。

行業(yè)主管部門應當建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，按照規(guī)定向同級網(wǎng)信部門、公安機關報送網(wǎng)絡安全監(jiān)測預警信息，報告網(wǎng)絡安全事件。

第三十一條【數(shù)據(jù)和信息安全保護】網(wǎng)絡運營者應當建立并落實重要數(shù)據(jù)和個人信息安全保護制度；采取保護措施，保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全；建立異地備份恢復等技術措施，保障重要數(shù)據(jù)的完整性、保密性和可用性。

未經(jīng)允許或授權，網(wǎng)絡運營者不得收集與其提供的服務無關的數(shù)據(jù)和個人信息；不得違反法律、行政法規(guī)規(guī)定和雙方約

112涉密網(wǎng)絡中使用的安全保密產(chǎn)品，應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產(chǎn)品應當選用取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的可靠產(chǎn)品，密碼產(chǎn)品應當選用國家密碼管理部門批準的產(chǎn)品。

第四十條【測評審查和風險評估】涉密網(wǎng)絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估，并經(jīng)設區(qū)的市級以上保密行政管理部門審查合格，方可投入使用。

涉密網(wǎng)絡運營者在涉密網(wǎng)絡投入使用后，應定期開展安全保密檢查和風險自評估，并接受保密行政管理部門組織的安全保密風險評估。絕密級網(wǎng)絡每年至少進行一次，機密級和秘密級網(wǎng)絡每兩年至少進行一次。

公安機關、國家安全機關涉密網(wǎng)絡投入使用的管理，依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規(guī)定執(zhí)行。

第四十一條【涉密網(wǎng)絡使用管理總體要求】涉密網(wǎng)絡運營者應當制定安全保密管理制度，組建相應管理機構，設臵安全保密管理人員，落實安全保密責任。

第四十二條【涉密網(wǎng)絡預警通報要求】涉密網(wǎng)絡運營者應建立健全本單位涉密網(wǎng)絡安全保密監(jiān)測預警和信息通報制度，發(fā)現(xiàn)安全風險隱患的，應及時采取應急處臵措施，并向保密行政管理部門報告。

4密碼產(chǎn)品應當經(jīng)過密碼管理部門批準，采用密碼技術的軟件系統(tǒng)、硬件設備等產(chǎn)品，應當通過密碼檢測。

密碼的檢測、裝備、采購和使用等，由密碼管理部門統(tǒng)一管理；系統(tǒng)設計、運行維護、日常管理和密碼評估，應當按照國家密碼管理相關法規(guī)和標準執(zhí)行。

第四十七條【非涉密網(wǎng)絡密碼保護】非涉密網(wǎng)絡應當按照國家密碼管理法律法規(guī)和標準的要求，使用密碼技術、產(chǎn)品和服務。第三級以上網(wǎng)絡應當采用密碼保護，并使用國家密碼管理部門認可的密碼技術、產(chǎn)品和服務。

第三級以上網(wǎng)絡運營者應在網(wǎng)絡規(guī)劃、建設和運行階段，按照密碼應用安全性評估管理辦法和相關標準，委托密碼應用安全性測評機構開展密碼應用安全性評估。網(wǎng)絡通過評估后，方可上線運行，并在投入運行后，每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區(qū)市的密碼管理部門備案。

第四十八條【密碼安全管理責任】網(wǎng)絡運營者應當按照國家密碼管理法規(guī)和相關管理要求，履行密碼安全管理職責，加強密碼安全制度建設，完善密碼安全管理措施，規(guī)范密碼使用行為。

任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動，或者從事其他違法犯罪活動。

第六章 監(jiān)督管理

第四十九條【安全監(jiān)督管理】縣級以上公安機關對網(wǎng)絡運營者依照國家法律法規(guī)規(guī)定和相關標準規(guī)范要求，落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處臵、重大活動網(wǎng)絡安全保護等工作，實行監(jiān)督管理；對第三級以上網(wǎng)絡運營者按照網(wǎng)絡安全等級保護制度落實網(wǎng)絡基礎設施安全、網(wǎng)絡運行安全和數(shù)據(jù)安全保護責任義務，實行重點監(jiān)督管理。

縣級以上公安機關對同級行業(yè)主管部門依照國家法律法規(guī)規(guī)定和相關標準規(guī)范要求，組織督促本行業(yè)、本領域落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處臵、重大活動網(wǎng)絡安全保護等工作情況，進行監(jiān)督、檢查、指導。

地市級以上公安機關每年將網(wǎng)絡安全等級保護工作情況通報同級網(wǎng)信部門。

第五十條【安全檢查】縣級以上公安機關對網(wǎng)絡運營者開展下列網(wǎng)絡安全工作情況進行監(jiān)督檢查：

（一）日常網(wǎng)絡安全防范工作；

（二）重大網(wǎng)絡安全風險隱患整改情況；

（三）重大網(wǎng)絡安全事件應急處臵和恢復工作；

（四）重大活動網(wǎng)絡安全保護工作落實情況；

（五）其他網(wǎng)絡安全保護工作情況。

7自參加境外組織的網(wǎng)絡攻防活動。

第五十五條【事件調(diào)查】公安機關應當根據(jù)有關規(guī)定處置網(wǎng)絡安全事件，開展事件調(diào)查，認定事件責任，依法查處危害網(wǎng)絡安全的違法犯罪活動。必要時，可以責令網(wǎng)絡運營者采取阻斷信息傳輸、暫停網(wǎng)絡運行、備份相關數(shù)據(jù)等緊急措施。

網(wǎng)絡運營者應當配合、支持公安機關和有關部門開展事件調(diào)查和處置工作。

第五十六條【緊急情況斷網(wǎng)措施】網(wǎng)絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的，緊急情況下公安機關可以責令其停止聯(lián)網(wǎng)、停機整頓。

第五十七條【保密監(jiān)督管理】保密行政管理部門負責對涉密網(wǎng)絡的安全保護工作進行監(jiān)督管理，負責對非涉密網(wǎng)絡的失泄密行為的監(jiān)管。發(fā)現(xiàn)存在安全隱患，違反保密法律法規(guī)，或者不符合保密標準保密的，按照《中華人民共和國保守國家秘密法》和國家保密相關規(guī)定處理。

第五十八條【密碼監(jiān)督管理】密碼管理部門負責對網(wǎng)絡安全等級保護工作中的密碼管理進行監(jiān)督管理，監(jiān)督檢查網(wǎng)絡運營者對網(wǎng)絡的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統(tǒng)每兩年至少開展一次監(jiān)督檢查。監(jiān)督檢查中發(fā)現(xiàn)存在安全隱患，或者違反密碼管理相關規(guī)定，或者不符合密碼相關標準規(guī)范要求的，按照國家密碼管理相關規(guī)定予以處理。

第五十九條【行業(yè)監(jiān)督管理】行業(yè)主管部門應當組織制定本行業(yè)、本領域網(wǎng)絡安全等級保護工作規(guī)劃和標準規(guī)范，掌握網(wǎng)絡基本情況、定級備案情況和安全保護狀況；監(jiān)督管理本行業(yè)、本領域網(wǎng)絡運營者開展網(wǎng)絡定級備案、等級測評、安全建設整改、安全自查等工作。

行業(yè)主管部門應當監(jiān)督管理本行業(yè)、本領域網(wǎng)絡運營者依照網(wǎng)絡安全等級保護制度和相關標準規(guī)范要求，落實網(wǎng)絡安全管理和技術保護措施，組織開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處臵、重大活動網(wǎng)絡安全保護等工作。

第六十條【監(jiān)督管理責任】網(wǎng)絡安全等級保護監(jiān)督管理部門及其工作人員應當對在履行職責中知悉的國家秘密、個人信息和重要數(shù)據(jù)嚴格保密，不得泄露、出售或者非法向他人提供。

第六十一條【執(zhí)法協(xié)助】網(wǎng)絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協(xié)助。

第六十二條【網(wǎng)絡安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網(wǎng)絡安全等級保護監(jiān)督管理職責中，發(fā)現(xiàn)網(wǎng)絡存在較大安全風險隱患或者發(fā)生安全事件的，可以約談網(wǎng)絡運營者的法定代表人、主要負責人及其行業(yè)主管部門。

第七章 法律責任

第六十三條【違反安全保護義務】網(wǎng)絡運營者不履行本條例第十六條，第十七條第一款，第十八條第一款、第二款，第二十條、第二十二條第一款，第二十四條，第二十五條，第二十八條第一款，第三十一條第一款，第三十二條第二款規(guī)定的網(wǎng)絡安全保護義務的，由公安機關責令改正，依照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定處罰。

第三級以上網(wǎng)絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規(guī)定、第二十八條第二款，第三十條第二款，第三十二條第一款規(guī)定的，按照前款規(guī)定從重處罰。

第六十四條【違反技術維護要求】網(wǎng)絡運營者違反本條例第二十九條規(guī)定，對第三級以上網(wǎng)絡實施境外遠程技術維護，未進行網(wǎng)絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的，由公安機關和相關行業(yè)主管部門依據(jù)各自職責責令改正，依照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定處罰。

第六十五條【違反數(shù)據(jù)安全和個人信息保護要求】網(wǎng)絡運營者違反本條例第三十一條第二款規(guī)定，擅自收集、使用、提供數(shù)據(jù)和個人信息的，由網(wǎng)信部門、公安機關依據(jù)各自職責責令改正，依照《中華人民共和國網(wǎng)絡安全法》第六十四條第一款的規(guī)定處罰。

第六十六條【網(wǎng)絡安全服務責任】違反本條例第二十六條

1保密管理和密碼管理規(guī)定的，由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正，拒不改正的，給予警告，并通報向其上級主管部門，建議對其主管人員和其他直接責任人員依法給予處分。

第六十九條【監(jiān)管部門瀆職責任】網(wǎng)信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業(yè)主管部門及其工作人員有下列行為之一，對直接負責的主管人員和其他直接責任人員，或者有關工作人員依法給予處分：

（一）玩忽職守、濫用職權、徇私舞弊的；

（二）泄露、出售、非法提供在履行網(wǎng)絡安全等級保護監(jiān)管職責中獲悉的國家秘密、個人信息和重要數(shù)據(jù)；或者將獲取其他信息，用于其他用途的。

第七十條【法律競合處理】違反本條例規(guī)定，構成違反治安管理行為的，由公安機關依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第八章 附 則

第七十一條【術語解釋】本條例所稱的“內(nèi)”、“以上”包含本數(shù)；所稱的“行業(yè)主管部門”包含行業(yè)監(jiān)管部門。

第七十二條【軍隊】軍隊的網(wǎng)絡安全等級保護工作，按照軍隊的有關法規(guī)執(zhí)行。

第七十三條【生效時間】本條例由自

年 月 日起施行。

第四篇：信息網(wǎng)絡安全等級保護

信息網(wǎng)絡安全等級保護

自檢自查報告

臨河人民醫(yī)院的的信息網(wǎng)絡安全建設在上級部門的 關心指導下，近年取得了快速的進步和發(fā)展，根據(jù)市衛(wèi)生局《關于開展信息系統(tǒng)等級保護檢查工作的通知》文件精神和要求及接到公安局文件后，醫(yī)院高度重視，及時召開院信息系統(tǒng)安全等級保護工作領導小組會議，積極部署工作、明確責任、具體落實，按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，認真對照信息安全等級保護自查項目表，對我院信息安全等級保護工作進行了一次摸底調(diào)查，現(xiàn)將此項工作自查情況匯報如下：

一、等級保護工作組織開展、實施情況：

成立了臨河區(qū)人民醫(yī)院信息系統(tǒng)安全等級保護工作領導小組，落實了信息安全責任制；對等級保護責任部門和崗位人員進行了確定，確保專人落實；制定了等級保護工作的文件及相關工作方案；嚴格按照國家等級保護政策、標準規(guī)范和行業(yè)主管部門的要求，組織開展各項工作；及時召開了信息系統(tǒng)安全等級保護工作領導小組工作會議；醫(yī)院主要領導對等級保護工作作出了重要批示，并在工作會議上提出了四點要求。

2信息安全管理制度的建立和落實情況 院信息中心制定了《臨河區(qū)人民醫(yī)院信息化建設總體規(guī)劃》、《臨河區(qū)人民醫(yī)院信息系統(tǒng)工作制度與人員崗位職責目錄》、《臨河區(qū)人民醫(yī)院計算機管理系統(tǒng)應急預案》、《臨河區(qū)人民醫(yī)院HIS信息系統(tǒng)工作制度》等相關制度，并在實際工作中對照制度嚴格執(zhí)行各項操作流程。

3按照信息安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況

遵照有關法律法規(guī)，對醫(yī)院信息服務網(wǎng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對醫(yī)院信息服務網(wǎng)信息安全保護等級進行了自主定級。

二、信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況：

按照《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字，2007?861號），對本單位維護的醫(yī)院內(nèi)網(wǎng)站（醫(yī)院信息和服務網(wǎng)）安全保護等級級別定位第二級。

三、信息安全設施建設情況和信息安全整改情況：

1安全設施建設情況：我院計算機、公文處理軟件和信息系統(tǒng)安全產(chǎn)品均為國產(chǎn)產(chǎn)品，包括使用360、金山安全衛(wèi)士、金山毒霸、諾頓nod正版軟件等安全軟件。公文處理軟件使用了Microsoft Office系統(tǒng)。單位使用的工資系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)傳輸平臺系統(tǒng)、數(shù)據(jù)庫等應用軟件均為市委、市政府政府相關部門、市財政局和市衛(wèi)生局統(tǒng)一指定的產(chǎn)品系統(tǒng)。重點信息系統(tǒng)使用的服務器、路由器、交換機等均為國產(chǎn)產(chǎn)品。2信息安全整改情況：

一信息系統(tǒng)安全工作還需要繼續(xù)完善和提高相應的維護能力。隨著移動護理查房的展開，信息工作人員還需要繼續(xù)提高信息系統(tǒng)安全管理和管護工作的水平。二設備維護、更新有待加強。科室的正版nod殺毒軟件維護能夠自動更新升級，并進行了定時掃描，確保不存在系統(tǒng)漏洞，偶爾更換新主機ip地址會有沖突，IP網(wǎng)絡地址也進行了統(tǒng)一管理。今后將對線路、系統(tǒng)等的及時維護和保養(yǎng)，及時更新升級軟件和管理網(wǎng)絡地址。

三信息系統(tǒng)安全工作機制還有待完善。部門信息系統(tǒng)安全相關工作機制制度、應急預案等還不健全，還要完善信息系統(tǒng)安全工作機制，建立完善信息系統(tǒng)安全應急響應機制，以提高醫(yī)院網(wǎng)絡信息工作的運行效率，促進醫(yī)療、辦公秩序的進一步規(guī)范，防范風險。

四、信息安全管理制度建設和落實情況：

1制定了醫(yī)院信息服務網(wǎng)信息安全管理制度，按照“誰主管誰負責”的原則開展工作，我單位負責人為第一責任人，對醫(yī)院信息服務網(wǎng)信息安全管理負直接責任，并接受上級單位的監(jiān)管。

2對醫(yī)院信息服務網(wǎng)機房實施了24小時值班，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、防病毒系統(tǒng)、網(wǎng)站軟件系統(tǒng)實時升級，3發(fā)現(xiàn)安全隱患，第一時間由技術人員解決。

五、信息安全產(chǎn)品選擇和使用情況：

醫(yī)院內(nèi)部服務器使用了IBM和戴爾的服務器，交換機使用了H3C.六、聘請測評機構按規(guī)范要求開展技術測評工作情況，根據(jù)測評結果開展整改情況：暫無聘請測評機構開展技術測評工作。

七、自行定期開展自查情況：

1每半年對醫(yī)院信息服務網(wǎng)進行一次信息系統(tǒng)安全保護自查和應急演練措施。2開展信息安全知識和技能培訓情況：主動學習信息安全法律法規(guī)，積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。

第五篇：等級保護會議發(fā)言稿

講話稿

一、信息系統(tǒng)安全等級保護工作意義

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級保護工作是實現(xiàn)國家對重要信息系統(tǒng)重點保護的重大措施，可以有效解決我國信息安全面臨的威脅和存在的主要問題，按標準建設安全保護措施，建立安全保護制度，落實安全責任，有效保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我市信息安全保障工作的整體水平。

二、我市信息系統(tǒng)等級保護工作組織機構

我市已由市公安局牽頭建立了與市政府信息辦、市機要局、市保密局聯(lián)絡機制，并堅持“分工負責、密切配合”的原則，公安機關牽頭，負責等級保護全面工作的監(jiān)督、檢查、指導，并主要負責非涉及國家秘密的信息系統(tǒng)的等級保護工作，市政府信息辦負責部門間協(xié)調(diào)，機要局密碼工作的監(jiān)督、檢查，涉及國家秘密的信息系統(tǒng)由國家保密工作部門負責。

在聯(lián)絡機制的基礎上，市局擬爭取市委、市政府支持，成立信息安全等級保護領導小組，明確各部門職責，加強領導，進一步推進我市信息安全等級保護工作。

三、我市信息安全的前期情況

１

隨著我市工業(yè)化、信息化的發(fā)展，信息系統(tǒng)在帶來高效和便捷的同時，系統(tǒng)的安全性對社會生產(chǎn)、生活影響越來越大。在我市比較典型的兩個重要信息系統(tǒng)是：人社局的社會保險系統(tǒng)和建委的房屋產(chǎn)權登記管理系統(tǒng)，這兩個大的系統(tǒng)存貯的信息關系到全市居民的醫(yī)療金、養(yǎng)老金、和房屋產(chǎn)權的安全，目前以上數(shù)據(jù)都已完全電子化，而且數(shù)據(jù)庫在本市存貯，如果說這兩個系統(tǒng)的安全受到破壞，可以講后果不堪設想。雖然我市目前各個重要單位的重要信息系統(tǒng)都相應建立了比較嚴密的管理制度，也落實了較為完備的安全技術措施，但是存在的缺點是各單位、各行業(yè)自主保護，各自為營；造成了安全標準不統(tǒng)一，安全制度不健全的打游擊戰(zhàn)的狀況。導致的結果是隱患重重。目前市區(qū)比較重要的單位已經(jīng)基本完成信息系統(tǒng)的定級備案，并將在明年把三級以上系統(tǒng)的安全測評和安全措施的改進作為工作重點。

系統(tǒng)定級備案工作，就是根據(jù)系統(tǒng)的業(yè)務和數(shù)據(jù)對國民經(jīng)濟和社會生活的影響大小，確定系統(tǒng)的安全保護級別，不同的安全級別采取不同標準的安全保護措施，并由國家確定有資質的測評機構進行測評，及時發(fā)現(xiàn)系統(tǒng)安全問題，及時整改。系統(tǒng)定級備案可以簡單的理解為網(wǎng)安部門由打擊涉網(wǎng)犯罪向指導預防犯罪延伸，當然這樣比喻不太全面，因為安全事件產(chǎn)生的原因是多方面的，網(wǎng)上違法犯罪只是計算機系統(tǒng)安全事件的一個方面。

四、信息系統(tǒng)定級備案工作的法律依據(jù)

《人民警察法》和《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定了公安機關負責監(jiān)督管理信息系統(tǒng)特別是重點領域信息系統(tǒng)安全保護工作。組織開展信息安全等級保護工作是公安機關肩負的新的歷史使命，是在信息網(wǎng)絡領域開展的面向全社會的管理監(jiān)察工作。具體職責是：監(jiān)督、檢查、指導信息系統(tǒng)運營使用單位和主管部門開展信息安全等級保護工作；監(jiān)督、檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術措施落實情況、定級和備案情況、安全整改、等級測評、產(chǎn)品使用、自查等情況；組織開展信息安全等保護的政策、法規(guī)、標準規(guī)范的宣傳培訓。

五、工作要求：

前期，由于市局對縣局等級保護工作沒有部署和具體指導，縣級單位除了少數(shù)行業(yè)自身定級和部分縣局網(wǎng)安部門已經(jīng)開展了一些前期工作外，等級保護工作在縣級單位還沒有完全展開，隨著社會信息化的發(fā)展和信息安全面臨的嚴峻形勢，今后將把等級保護工作納入到縣級網(wǎng)安部門的日常工作，而且將是一個長期性的系統(tǒng)性的工作，借這個機會提幾點要求：

1切實加強對此次定級工作的組織領導，主動爭取當?shù)攸h委政府的領導。成立等級保護工作協(xié)調(diào)小組或領導小組，黨委政府有關領導擔任組長，有關職能部門和主管部門作為

成員。協(xié)調(diào)小組或領導小組下設辦公室，縣級公安機關分管網(wǎng)監(jiān)工作的局長擔任辦公室主任，辦事機構設在網(wǎng)監(jiān)部門。

2、調(diào)動社會力量，積極推動信息安全等級保護工作。信息安全等級保護是一項復雜龐大的系統(tǒng)工程，需要全社會廣泛動員和支持。公安機關在組織開展等級保護各項工作時要注意充分發(fā)揮社會力量的作用，共同推動等級保護工作。要注意在本地區(qū)科研機構、高校、協(xié)會、學會中選擇和培養(yǎng)一批技術能力強，背景可靠的單位作為開展信息安全等級保護的技術支持力量；選擇和確定一批專業(yè)人才作為等級保護的專家隊伍。

3、加強宣傳培訓，提高開展等級保護工作的能力。公安機關要認真組織相關部門學習和掌握等級保護有關政策、規(guī)范和標準，針對信息系統(tǒng)運營、使用單位及信息安全相關技術支持單位對等級保護有關政策、方法、標準不了解等問題，要有針對性地加強宣傳和培訓。同時，要充分利用廣播電視、報刊雜志、互聯(lián)網(wǎng)等媒體，加大對國家信息安全等級保護制度的宣傳力度，積極開展面向不同層次、不同對象的宣傳、培訓，為順利實施等級保護工作奠定堅實的基礎。