下载文档原格式
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
XXXX有限公司网络安全管理规定第一章总则第一条为加强和规范XXXX有限公司网络的安全管理,杜绝非授权的网络资源的访问、使用及控制,确保XXXX有限公司各网络的安全平稳运行,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,特制订本规定制定本规定。
第二条本规定适用于XXXX有限公司平台研发部及个人。
第三条信息安全管理人员负责网络安全管理流程的制订和维护、网络安全评估和检查、网络安全事件的处置。
第四条网络管理人员负责网络结构的调整和维护、网络设备的日常维护、监控和报警、网络设备(如交换机、路由器等)检查、加固和更新。
第二章网络架构安全第五条网络拓扑管理(一)网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改。
如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应的变更与管理规程进行,并对变更后的网络拓扑进行核实。
(二)网络管理人员负责维护与当前运行情况相符的网络拓扑结构图,并按照对应密级保护要求妥善保管。
第六条网络冗余要求为了避免关键链路节点的单点故障,防范拒绝服务攻击,应通过资源使用监控,及时发现资源瓶颈:(一)关键网络设备,应保证主要网络设备(如核心交换机)的业务处理能力具备冗余空间,满足业务高峰期需要;(二)网络带宽资源,应通过双链路、上网行为控制、QoS 和带宽升级等手段保证正常业务的访问要求;(三)多媒体网络应用,应以不影响网络传输为原则,合理控制多媒体网络应用规模和范围,未经信息安全领导小组批准,不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第七条网络区域划分与隔离(一)网络系统应按照安全级别和功能,进行区域划分,各区域应根据其安全级别的不同采用适当的安全防护措施;(二)各安全区域间互联时应该实施适当的隔离措施;(三)开发测试环境应与生产网络隔离;(四)只允许指定条件下的网络访问,逻辑隔离的网络实施缺省拒绝的访问控制。
⏹更多资料请访咨询.(.....)⏹更多资料请访咨询.(.....)关于开展保险业信息系统平安等级保卫定级工作的通知保监厅发〔2007〕45号各保监局,各保险公司、保险资产治理公司,中国保险行业协会:为贯彻落实国家信息平安等级保卫制度,按照?关于开展全国重要信息系统平安等级保卫定级工作的通知?(公信安〔2007〕861号)要求,中国保监会将在保险行业内开展信息系统平安等级保卫定级工作。
现将有关事项通知如下:一、等级保卫定级工作的要求及组织方式各单位应按照“正确定级、严格审批、及时备案、认真整改、科学测评〞的要求和“自主定级、自主保卫〞的工作原那么,成立相应的领导及实施机构,结合本单位的实际情况,正确开展信息系统等级保卫定级工作。
保监会成立等级保卫定级工作领导小组,统一领导、解决保险行业信息平安等级保卫定级工作中的重大咨询题;保监会等级保卫定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保卫定级的具体实施工作和行业定级工作的指导审核。
各保监局负责本局内独立运行的信息系统等级保卫定级工作,并对各自辖区内的保险公司分支机构的等级保卫定级工作进行指导审核。
各保险集团公司、保险控股公司负责本公司信息系统等级保卫定级工作以及其下属子公司信息系统等级保卫定级工作的组织协调和指导。
各保险总公司统一部署本公司和分公司的信息系统等级保卫定级工作。
二、定级工作安排及定级范围(一)定级工作安排为稳妥做好等级保卫定级工作,拟在保险行业内分步分批实施。
保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份、阳光保险控股股份、中国平安保险(集团)股份、中国太平洋(集团)股份及其下属各子公司和分公司。
其余公司作为第二批定级单位(具体时刻安排另行通知)。
(二)定级范围1、保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、治理、办公等重要信息系统。
信息安全等级保护1.定义(百度百科)信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
(百度文库)信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
4.分级第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级专控保护级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
5. 体系结构(1)技术部分包括物理安全,网络安全,主机安全,应用安全,数据安全。
国家信息平安等级保护制度〔二级〕一、技术要求1、物理平安1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制〔1〕机房出入口应有专人值守,鉴别进入的人员身份并登记在案;〔2〕应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏〔1〕应将主要设备放置在物理受限的范围内;〔2〕应对设备或主要部件进行固定,并设置明显的不易除去的标记;〔3〕应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;〔4〕应对介质分类标识,存储在介质库或档案室中;〔5〕应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击〔1〕机房建筑应设置避雷装置;〔2〕应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮〔1〕水管安装,不得穿过屋顶和活动地板下;〔2〕应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;〔3〕应采取措施防止雨水通过屋顶和墙壁渗透;〔4〕应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供给〔1〕计算机系统供电应与其他供电分开;〔2〕应设置稳压器和过电压防护设备;〔3〕应提供短期的备用电力供给〔如UPS设备〕。
1.10 电磁防护〔1〕应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;〔2〕电源线和通信线缆应隔离,防止互相干扰。
2、网络平安2.1结构平安与网段划分〔1〕网络设备的业务处理能力应具备冗余空间,要求满足业务顶峰期需要;〔2〕应设计和绘制与当前运行情况相符的网络拓扑结构图;〔3〕应根据机构业务的特点,在满足业务顶峰期需要的根底上,合理设计网络带宽;〔4〕应在业务终端与业务效劳器之间进行路由控制,建立平安的访问路径;〔5〕应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原那么为各子网、网段分配地址段;〔6〕重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度?信息安全等级保护制度,简称信息保护制度(或C保护制度),是指国家对各类重要信息系统的安全等级进行划分,并根据不同等级制定不同的信息安全保护措施体系。
该制度是我国信息安全行业的重要标志之一,目的是保护重要信息系统的安全和稳定运行,从而保障国家的安全利益。
信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定,目前分为4个级别,分别为“核心”、“重要”、“一般”、“一般级”四个级别,每个级别的保护要求和保护措施不同。
核心级核心级是最高等级,指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。
其主要保护措施包括:•每日备份数据至离线备份机房;•应急处置预案必须保持在最新状态;•用户需要签订保密协议,保障数据安全;•部署安全监控系统,随时捕捉异常操作或攻击情况;•信息泄露后,需在2小时内报告相关部门。
重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。
其主要保护措施包括:•划分多层次访问权限,在明确范围内进行配置;•实施物理隔离和网络隔离,确保边界安全;•部署安全防护设备,包括入侵检测、防火墙等;•开展安全漏洞测试和风险评估。
一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。
其主要保护措施包括:•加密重要信息,确保机密性;•网络通信安全,保护数据完整性和可用性;•安全审计,记录和监督操作日志;•针对各种攻击手段进行防范和应对。
一般级(核心部委)一般级(核心部委)是对部委系统进行特殊分类的一般级信息系统。
其主要保护措施包括:•安全防护设备,如断网安全等级保护系统(GJB1782-2005);•资源访问控制,限制非本系统人员访问;•数据备份及恢复,避免数据丢失;•安全漏洞扫描、修复和漏洞统计。
信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求,其中一些主要的要求包括:•整体安全意识要高,每个岗位、每个员工都要重视信息安全;•建立完善的安全管理和保障体系,包括安全组织、安全策略、安全标准等;•建立完善的信息管理和保障体系,包括信息采集、信息存储、信息传输等;•建立完善的安全监控和应急预案体系,包括定期演练应急处置预案、维护系统和网络设施的安全等等。
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级是一种中等安全保护级别,适用于含有国家秘密的信息系统和非国家秘密级别但需要较高安全级别的信息系统。
该级别的要求主要包括以下几个方面:
一、系统管理
1、制定健全的信息安全管理规定。
2、建立信息安全管理组织,明确职责和权限。
3、建立信息安全检测机制,定期检测系统漏洞和安全性。
4、制定应急预案,并定期演练。
5、规范用户权限管理,限制用户对系统的访问权限。
6、保证系统管理人员的经常性培训。
二、物理安全
1、采用防火、防盗、防水等物理防护措施,确保系统物理安全。
2、配备适当的备份设备,备份数据定期进行。
3、设备摆放合理,设备运行环境应满足标准要求。
4、对出入系统的人员身份进行身份验证,并记录相关信息。
三、网络安全
1、采用有效的网络安全控制设备和技术,如防火墙、VPN等。
2、加强对外网的防护,限制外网与系统的连接。
3、规范网络访问控制,限制访问权限。
4、建立监管机制,收集、分析网络安全日志。
5、使用加密技术保证信息在传输过程中的保密性。
四、应用安全
1、对系统业务进行分级,为不同级别的业务设置不同的安全保护措施。
2、对重要数据进行加密,确保其机密性。
4、加强软件管理和维护,及时打补丁、升级版本。
五、人员安全
1、对系统操作人员进行背景调查,并进行协议保密。
2、系统操作人员保证工作区不闲置,离开时必须上锁,不得随意携带介质。
3、加强系统操作人员的培训和教育,提高其安全意识。
信息分类分级管理制度第一章总则第一条为切实加强XXXX有限公司(以下简称“公司”)的信息安全工作,防范和杜绝各种泄密事件的发生,保护和合理利用公司秘密,确保公司信息披露的公平、公正,保障公司及其他利益相关者的合法权益不受侵犯,根据有关法律、法规并结合公司实际,制定本管理办法。
第二条保密信息是指不为公众所知悉,关系公司利益,具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等,在一定时间内只限一定范围人员知悉的信息。
第三条公司各部门以及全体职员都有保守公司秘密的义务,都应做好信息保密工作。
第四条信息保密工作,实行积极防范、突出重点、既确保秘密又便于工作,并充分履行信息披露义务的方针。
第二章保密信息范围和密级确定第五条保密信息包括但不限于以下事项和行为:(一)涉及公司经营管理、运作和决策,或对公司利益有重大影响,一旦泄密将给公司带来损失或失去潜在收益的信息;(二)包括以书面和电子等方式存在的各种信息;(三)其他与公司相关的需要保密的信息。
第六条保密信息的密级分为“1级”、“2级”、“3级”三个等级。
(一)3级是最重要的公司秘密,泄露会使公司的利益遭受特别严重的损害,主要包括:公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体,正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等,以及按《档案法》规定属于绝密级别的各种档案;(二)2级是重要的公司秘密,泄露会使公司利益遭受到严重的损害,如、财务报表、统计资料、重要会议记录、公司经营情况等,以及按《档案法》规定属于机密级别的各种档案;(三)1级是一般的公司秘密,泄露会使公司的利益遭受损害,如公司人事档案、合同、协议、薪金制度,人力资源对管理人员的考评材料等,以及按《档案法》规定属于秘密级别的各种档案。
第七条定级方法所有信息用户,都应该遵守公司策略,基于信息密级来进行恰当的使用和处理。
信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策,旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。
