最新整理信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发 20xx 321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息wang络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作电教组牵头,会同学校办公室、安全保卫处等共同组织实施。
学校办公室负责定级工作的部门间协调。
安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓
好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与wang络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与wang络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息wang络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文
保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全
等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应
信息安全等级保护(二级)建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)
2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《省信息安全等级保护管理办法》,根据国家信息安全等级保护工作协调小组的部署,结合我省实际,制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导,通过全面推行信息安全等级保护工作,提高我省信息安全的保障能力和防护水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使我省信息安全保障状况得到基本改善。 通过加强和规信息安全等级保护管理,不断提高我省信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
三、组织管理 为加强信息安全等级保护工作的领导,成立由省公安厅牵头,省局、省国家密码管理局和省信息办等有关部门参加的省信息安全等级保护工作协调小组,负责我省信息安全等级保护工作的组织协调,并下设办公室在省公安厅。设区市的公安机关、部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展,成立由省公安厅牵头,省局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组,对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及安全测评资格进行专门审查,审查后公布推荐目录,供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作容 (一)系统定级 信息系统运营、使用单位应按照国家有关规定,确定信
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是( c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:( A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B )A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是( D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5)
B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部 5.下列说法中不正确的是( A)B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表: access-list 1 permit access-list 2 permit 访问控制列表1和2,所控制的地址范围关系是:( B )A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中,以下( B )命令可以删除整个表中的数据,并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点( C )D A. 生成树可以管理冗余链路,在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置
信息安全等级保护安全整改方案 xxx公司 20xx年x月
工作项目清单 信息安全等级保护安全服务方案
目录 第一章概述 (8) 1.1项目背景 (8) 1.2现状描述 (8) 第二章总体设计 (15) 2.1项目目标 (15) 2.2项目原则 (16) 2.3项目依据 (17) 2.3.1政策法规 (17) 2.3.2标准规范 (17) 2.4实施策略 (18) 2.4.1技术体系分析 (18) 2.4.2管理体系分析 (18) 2.4.3业务系统分析 (19) 2.4.4充分全面的培训 (20) 2.5项目内容 (21) 2.5.1差距分析 (21) 2.5.2整改方案设计 (21) 2.5.3安全优化与调整 (21) 2.5.4等级保护管理制度建设 (21) 第三章差距分析 (23)
3.2工作方式 (23) 3.3工作内容 (25) 3.3.1物理安全 (26) 3.3.2主机安全 (27) 3.3.3网络安全 (31) 3.3.4应用安全 (35) 3.3.5数据安全及备份恢复 (39) 3.3.6安全管理制度 (43) 3.3.7安全管理机构 (47) 3.3.8人员安全管理 (51) 3.3.9系统建设管理 (55) 3.3.10系统运维管理 (59) 3.4提交成果 (63) 第四章等级保护整改方案设计 (64) 4.1工作目的 (64) 4.2工作方式 (65) 4.3工作内容 (65) 4.4提交成果 (68) 第五章系统优化及调整 (68) 5.1工作目的 (68) 5.2工作方式 (68)
5.4工作内容 (70) 5.5提交成果 (71) 第六章等级保护管理制度建设 (71) 6.1工作目的 (71) 6.2工作方式 (72) 6.3工作内容 (72) 6.4工作成果 (74) 第七章培训与验收 (77) 7.1培训内容 (77) 7.1.1等级保护整改培训 (77) 7.1.2信息安全等级保护培训 (78) 7.1.3认证考试 (78) 7.2项目验收 (79) 7.2.1验收依据和标准 (79) 7.2.2验收内容 (80) 第八章项目管理与组织 (82) 8.1项目管理架构 (82) 8.2项目成员 (84) 8.3项目进度 (88) 第九章国都兴业服务特色 (90) 9.1丰富的服务经验 (90) 9.2有保障的服务团队 (90)
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
办公信息安全保密方案 选择加密技术来防范企业数据的扩散,以下为实现方式和采用的相关产品。 首先,对企业内部制定并实施办公自动化保密管理规定相关规则和章程,从制度和意识上让企业员工遵从保密管理规定,自觉形成对企业信息的安全保密意识和行为工作。 其次,采取相应的物理措施实现反侦听侦视行为,做好安全保密工作。 1、实现电子载体、纸质载体信息、文档的存储、传递、销毁环节加密和授权控制。 1)电子文档安全管理系统专注于企业内部电子文件的细 粒权限管理,通过控制电子文件的阅读、复制、编辑、打印、截屏权限,以及分发、离线、外发、解密等高级权限, 实现企业内部电子文件的安全共享及安全交换。 2)保密文件柜主要用于存放纸质文件、光盘、优盘等载体。保密文件柜的核心技术是符合保密要求的保密锁,随 着科技的发展,目前保密锁通常是电子密码锁或者指纹锁。至于销毁方面可以配置相应的安全销毁设备。 2、使用加密的定制化加密通讯工具,设置保密会议室。 1)进入重要会议室前可对进入人士进行物理扫描检查检查,可设置手机检测门:
以下为对产品手机检测门介绍: 2)在保密会议室设置移动手机通信干扰信号仪器,干扰屏蔽信号的外在接收,如移动通信干扰仪器:
保密移动通信干扰器又名手机信号屏蔽器能有效屏蔽在一定场所内的CDMA、GSM、DCS、PHS、TD-SCDMA、WCDMA、CDMA2000、FDD-LTE、TD-LTE、WIFI的手机信号。移动通信干扰器采用了完全自有知识产权的先进屏蔽技术,只在一定范围内屏蔽基站的下行信号,使处于该场所的任何移动电话(包括2G、3G、4G、WIFI)收发功能失效,无法拨打和接听电话,无法收/发短信,无法上网,从而达到强制性禁用手机的目的。移动通信干扰器具有辐射强度低、干扰半径大且不干扰移动电话基站、性能稳定、安装方便、对人体无害等特点,是一种理想的净化特定场所移动通信环境的产品。 Mp-3000干扰器: 可对CDMA、GSM、PHS、TD-SCDMA、WCDMA、3G、WIFI信号进行必要的通信干扰。
信息安全等级保护 建设方案 1 2020年4月19日
信息安全等级保护(二级)建设方案 3月 目录 1.项目概述错误!未定义书签。 1.1.项目建设目标 2 2020年4月19日
1.2.项目参考标准 错误!未定义书签。 1.3.方案设计原则 错误!未定义书签。 2. 系统现状分析........................................ 错误!未定义书签。 2.1.系统定级情况说明 错误!未定义书签。 2.2.业务系统说明 错误!未定义书签。 2.3.网络结构说明 错误!未定义书签。 3. 安全需求分析........................................ 错误!未定义书签。 3.1.物理安全需求分析 错误!未定义书签。 3.2.网络安全需求分析 错误!未定义书签。 3.3.主机安全需求分析 错误!未定义书签。 3.4.应用安全需求分析 错误!未定义书签。 3.5.数据安全需求分析 错误!未定义书签。 3.6.安全管理制度需求分析 3 2020年4月19日
4. 总体方案设计........................................ 错误!未定义书签。 4.1.总体设计目标 错误!未定义书签。 4.2.总体安全体系设计 错误!未定义书签。 4.3.总体网络架构设计 错误!未定义书签。 4.4.安全域划分说明 错误!未定义书签。 5. 详细方案设计技术部分................................ 错误!未定义书签。 5.1.物理安全 错误!未定义书签。 5.2.网络安全 错误!未定义书签。 5.2.1.安全域边界隔离技术 错误!未定义书签。 5.2.2.入侵防范技术 错误!未定义书签。 5.2.3.网页防篡改技术 错误!未定义书签。 5.2.4.链路负载均衡技术 错误!未定义书签。 5.2.5.网络安全审计 4 2020年4月19日
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
信息安全应急演练实施方 案 This model paper was revised by the Standardization Office on December 10, 2020
信息安全应急演练实施方案 根据国网相关文件精神,为妥善应对和处置我公司重要信息系统突发事件,确保重要信息系统安全、稳定、持续运行,防止造成重大损失和影响,进一步提高网络与信息系统应急保障能力,特制定本演练方案: 一、指导思想 以维护我公司重要业务系统网络及设备的正常运行为宗旨。按照“预防为主,积极处置”的原则,进一步完善应急处置机制,提高突发事件的应急处置能力。 二、组织机构 (一)应急演练指挥部: 总指挥:刘玉珍 成员:各部门经理; 职责是:负责信息系统突发事件应急演练的指挥、组织协调和过程控制;向上级部门报告应急演练进展情况和总结报告,确保演练工作达到预期目的。 (二)应急演练工作组 组长:张铭 成员: 唐灵峰;庄严;李天然 职责是:负责信息系统突发事件应急演练的具体工作;对信息系统突发事件应急演练业务影响情况进行分析和评估;收集分析信息系统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报告应急演练进展情况和事态发展情况。 三、演练方案 (一)演练时间 2014年9月10日举行应急演练,各部门相关成员参加。
(二)演练内容: 1、网络与信息安全突发事件 (三)演练的目的: 突发事件应急演练以提高各部门应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。 四、演练的准备阶段 (一)学习教育。组织员工学习《华商电力公司(筹备处)信息安全管理暂行规定》、《华商电力公司人员信息安全责任书》、《华商电力公司信息工作管理办法》、《华商电力公司信息化工作通报管理办法》、《华商电力公司信息系统应急管理办法》以部门为单位认真学习和模拟演练我社制订的应急预案,提高员工对于突发事件的应急处置意识;熟悉在突发事件中各自的职责和任务,保证信用社业务的正常开展。 (二)下发《华商电力公司信息系统应急管理办法》; (三)演练指挥部全面负责各项准备工作的协调与筹划。明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果。 (四)应急演练组要提前在中心机房要做好充分准备,在演练前一天准备好所有应急需要联系的电话号码,检查网络线路,计划好断电点,演练时模拟网络信息安全突发事件;并按演练背景做好其它准备。 五、应急演练阶段 (一)请我公司信息安全员,讲解演练知识及演练过程中的注意事项,并与其他相关同事一起温习应急预案。
信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失
4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A.二级以上 B.三级以上
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
信息安全活动策划方案(草案) 信息安全公益主题活动策划方案 一、活动背景如今在我们的生活当中,使用智能手机的人是越来越多了,而智能手机上安装的软件也越来越多了,不少的软件让很多人有了很多新的消费体验,但消费者使用手机使用的不亦乐乎的时候,不可想象的是,就在这样的软件或程序当中,有可能藏着“内鬼”呢? 摘自xx 年3、15 晚会随着人们生活水平的不断提高,电话、手机、网络等等通讯设备几乎已经成为了人们日常工作、学习、生活的必需品。 不可否认的是,智能手机为我们的生活带来了巨大的便利,已经不再是通话、发短信的工具了;大家可以通过智能手机进行网页浏览、播放高清电影、甚至于可以取代个人电脑进行网上的在线支付;但是,也有越来越多的不法分子通过给智能手机植入恶意软件,窃取用户的个人隐私信息,不仅造成手机用户在话费方面的损失,更令人发指的是在用户完全不知情的情况下,窃取了客户包括身份信息、支付密码等重要安全信息,造成用户巨大的财务损失;据不完全统计,截止至xx 年,我市移动通信客户(包含中移动、中联通以及中电信)已经达到万户;其中,智能手机用户达到的万户;在如此庞大的通讯客户群面前,个人信息安全的保障将不可避免的成为一个需要重点关注的问题。 二、活动目的活动将通过现场咨询 +文艺汇演 +现场互动的方式,由无线电通信管理局以及通信公司(移动、电信、联通)的专业工作人员为市民解答信息安全的保障、恶意软件的扫描、清理,常用业务的受理等眼下大家较为关注的问题,从而提升市民对信息安全的保护意识,为南平打造绿色的移动通信、支付平台保驾护航。 三、活动概况 (一)活动主题:关注信息安全、共建和谐延平 (二)活动时间:xx 年5 月17 日,星期 X (三)活动地点:南平市延平区文化广场
一、单选题(题数:32,共64.0 分)1 信息安全等级保护工作直接作用的具体的信息和信息系统称为(2.0分) 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2.0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2.0分) A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2.0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2.0分) A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案:B
7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。(2.0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2.0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2.0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) (2.0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2.0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C
关于做好信息安全等级保护工作的通知 各科室: 医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度,确保我院信息系统安全可靠运行,根据《省卫生厅省公安厅关于开展全省卫生行业信息安全等级保护工作通知》(鄂卫发〔2012〕14号)精神,并结合我院信息系统应用的特点,就相关事项通知如下。 一、组织领导 组长: 副组长: 组员: 领导小组办公室设在XX科,由XX同志兼任主任,XXX等同志负责具体工作。 二、工作任务 1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,部行政管理信息系统、网络直报系统及门户,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。 3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规和《信息安全技术信息系统安
全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。 4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》等有关标准,组织开展等级保护安全建设整改工作,具体要求如下: 安全类别 控制项 主要安全措施 二级保护措施 三级保护措施 物理安全 物理访问控制 机房安排专人负责,来访人员须审批和陪同 √
加强网络和信息安全管理工作方案 各单位: 根据**、**和**、**有关要求,为进一步加强网络和信息安全管理工作,经**领导同意,现就有关事项通知如下。 一、建立健全网络和信息安全管理制度 各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任 ,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。 二、切实加强网络和信息安全管理 各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。 三、严格执行计算机网络使用管理规定 各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉
使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。 四、加强网站信息发布审查监管 各单位通过门户网站在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。 五、组织开展网络和信息安全清理检查 各单位要在近期集中开展一次网络安全清理自查工作。对办公网络和门户网站的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)