下载文档原格式
卫⽣部关于印发《卫⽣⾏业信息安全等级保护⼯作的指导意见》的通知各省、⾃治区、直辖市卫⽣厅局,新疆⽣产建设兵团及计划单列市卫⽣局,部直属各单位,部机关各司局:为贯彻落实国家信息安全等级保护制度,规范和指导全国卫⽣⾏业信息安全等级保护⼯作,按照公安部《关于开展信息安全等级保护安全建设整改⼯作的指导意见》(公信安〔2009〕1429号)要求,我部结合卫⽣⾏业实际,研究制定了《卫⽣⾏业信息安全等级保护⼯作的指导意见》。
现印发给你们,请遵照执⾏。
⼆零⼀⼀年⼗⼀⽉⼆⼗九⽇卫⽣⾏业信息安全等级保护⼯作的指导意见卫⽣信息安全⼯作是我国卫⽣事业发展的重要组成部分。
做好信息安全等级保护⼯作,对于促进卫⽣信息化健康发展,保障医药卫⽣体制改⾰,维护公共利益、社会秩序和国家安全具有重要意义。
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫⽣⾏业信息安全等级保护⼯作,制定本指导意见。
⼀、⼯作⽬标依据国家信息安全等级保护制度,遵循相关标准规范,在卫⽣⾏业全⾯开展信息安全等级保护定级备案、建设整改和等级测评等⼯作,明确信息安全保障重点,落实信息安全责任,建⽴信息安全等级保护⼯作长效机制,切实提⾼卫⽣⾏业信息安全防护能⼒、隐患发现能⼒、应急处置能⼒,为卫⽣信息化健康发展提供可靠保障,全⾯维护公共利益、社会秩序和国家安全。
⼆、⼯作原则(⼀)遵循标准,重点保护。
遵循国家信息安全等级保护相关标准规范,结合卫⽣⾏业信息系统特点,优先保护重要卫⽣信息系统,优先满⾜重点信息安全需求。
(⼆)⾏业指导,属地管理。
卫⽣⾏业信息安全等级保护⼯作实⾏⾏业指导、属地管理。
地⽅各级卫⽣⾏政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫⽣信息系统安全等级保护的指导和管理⼯作。
卫⽣⾏业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。
在信息系统规划设计与建设过程中,同步开展信息安全等级保护⼯作。
因信息和信息系统的业务类型、应⽤范围等条件改变导致安全需求发⽣变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
一.等保行业知识1。
什么是信息安全等级保护?答:根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定.信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.信息安全等级保护的实施原则是什么?根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:○1自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
○2重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
○3同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
错误!动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
我国等级保护发展历程1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。
1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级。
2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠基。
2007年6月,四部门联合出台《信息安全等级保护管理办法》。
明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。
2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
2009年10月,公安部出台了《关于开展信息安全等级保护建设整改工作的指导意见》(公信安[2009]1429号),并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训,评估中心对建设整改工作的技术方法和流程进行了培训。
同年,公安部以(公信安[2009]1487号)文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板(试行)》。
2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
网络安全等级保护培训安全技术建设整改陈广勇公安部信息安全等级保护评估中心目录23132333等级保护主要工作等级保护5个规定动作:一是:系统定级(运营使用单位)二是:系统备案(公安机关,运营使用单位)三是:建设整改(运营使用单位)四是:等级测评(测评机构)五是:监督检查(公安机关)4网络安全等级保护工作流程5安全建设整改目的达到相应等级的基本保护水平满足自身需求的安全保护能力基本需求特殊需求6安全建设整改的目的达到相应等级的基本保护水平基本需求第三级安全保护能力应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。
7安全建设整改工作阶段启动阶段工作部署规划设计定级备案方案设计建设实施建设实施等级测评运行维护安全运维工作部署定级备案差距分析整改设计整改实施等保测评定期测评定期测评废弃阶段废弃阶段废弃阶段等级保护对象生命周期新建系统等保建设已有系统等保建设8涉及的主要政策文件安全建设整改环节1.《中华人民共和国网络安全法》,2017年6月1日2.《关键信息基础设施安全保护条例》,即将颁布3.《网络安全等级保护条例》,征求意见稿4.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)9涉及的主要技术标准和规范安全建设整改环节1.《信息安全技术网络安全等级保护基本要求》GB/T 22239-20192.《信息安全技术网络安全等级保护测评要求》GB/T 289448-20193.《信息安全技术网络安全等级保护安全设计技术要求》GB 25070-20194.《信息安全技术网络安全等级保护实施指南》GB/T 25058-201910安全建设整改基本流程安全管理建设安全技术建设开展安全自查和等级测评等级保护对象安全保护现状分析网络安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理人员安全建设管理安全运维管理安全管理机构11安全技术建设整改基本流程开展安全自查和等级测评确定安全策略,开展总体技术方案设计等级保护对象安全保护技术现状分析开展安全建设整改方案论证和评审安全技术建设安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心其他安全技术要求开展安全建设整改方案详细设计建设并落实安全技术措施工程实施及验收12新建或已建信息系统⏹新建信息系统的安全建设⏹根据其安全保护等级的相应基本要求,结合其特殊安全需求,自项目立项之初,同步开展安全建设方案规划设计和系统集成实施工作。
1项目综述1.1项目背景为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX 数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
1.2安全目标XX的信息安全等级保护建设工作的总体目标是:“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。
”具体目标包括(1)体系建设,实现按需防御。
通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。
(2)安全运维,确保持续安全。
通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。
(3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设范围本方案的设计范围覆盖XX的新建云平台基础设施服务系统。
安全对象包括:●云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护;●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。
1.4建设依据1.4.1国家相关政策要求(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号);(3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);(4)《信息安全等级保护管理办法》(公通字[2007]43号);(5)《信息安全等级保护备案实施细则》(公信安[2007]1360号);(6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号);(7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。
附件:卫生部文件卫办发…2011‟85号卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安…2009‟1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。
现印发给你们,请遵照执行。
联系人:卫生部统计信息中心杨慧清、矫涌本联系电话:010-、传真:010-二〇一一年十二月二日卫生行业信息安全等级保护工作的指导意见卫生信息安全工作是我国卫生事业发展的重要组成部分。
做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。
一、工作目标依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则(一)遵循标准,重点保护。
遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。
卫生行业信息安全等级保护工作实行行业指导、属地管理。
地方各级卫生行政部门要按照2国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。
卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
网络安全建设方案2020年1月目录1. 背景概述 (3)2. 需求分析 (3)2.1. 网络安全防护需求 (3)2.2. 高级威胁检测需求 (3)2.3. 终端安全防护需求 (4)2.4. 专业安全服务需求 (4)3. 建设依据和目标 (5)3.1. 设计思路 (5)3.2. 设计依据 (6)3.3. 设计目标 (8)3.4. 总体安全策略 (8)3.4.1. 信息安全管理体系总体策略 (8)3.4.2. 信息安全技术体系总体策略 (8)3.4.3. 信息安全服务体系策略 (9)4. 建设原则 (9)5. 技术解决方案 (10)5.1. 安全区域边界建设 (10)5.1.1. 边界访问控制 (10)5.1.2. 入侵防御系统 (11)5.1.3. 防病毒网关 (11)5.1.4. 安全接入控制防护系统 (12)5.1.5. Web应用防火墙 (12)5.1.6. 安全隔离与信息交换系统 (13)5.2. 安全计算环境建设 (14)5.2.1. 数据库审计系统 (14)5.2.2. 日志审计系统 (14)5.2.3. 运维审计与访问控制系统 (15)5.2.4. 脆弱性扫描与管理系统 (16)5.2.5. VPN安全网关系统 (17)5.2.6. 恶意代码防范 (18)1.背景概述随着网络技术的不断发展,网络应用已经遍布各行各业,网络系统的安全问题显得越来越重要;由此看来,网络安全已经成为网络管理员在网络构建、网络升级和网络日常管理中的头等大事。
建设一个安全、稳定、先进的网络环境已经迫在眉睫了;本方案将提供一个合适的、专业的安全建设方案。
2.需求分析2.1.网络安全防护需求网络层是网络入侵者攻击信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。
目前不同区域边界没有严格的边界访问控制、病毒防护、入侵防护等措施,这样将会给对核心业务带来极大的安全风险。
网络攻击不仅来自于外部网络,在内部也同样存在。
四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》关于开展全国重要信息系统安全等级保护定级工作的通知公信安[2007]861号各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。
现就有关事项通知如下:一、定级范围(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
二、定级工作的主要内容(一)开展信息系统基本情况的摸底调查。
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
网络安全三级等保解决方案202X年10月目录1项目综述 (4)1.1 建设必要性 (4)1.2 建设目标 (4)1.3 等保定级 (5)1.4 建设依据 (5)1.4.1国家相关政策要求 (5)1.4.2等级保护及信息安全相关国家标准 (6)2信息安全保障风险分析 (7)2.1 系统建设风险 (7)2.1.1建设质量计量、监督风险 (7)2.1.2安全规划风险 (7)2.1.3建设计划风险 (7)2.2 安全技术风险 (8)2.2.1物理安全风险 (8)2.2.2网络安全风险 (8)2.2.3主机安全风险 (9)2.2.4应用安全风险 (10)2.2.5数据安全风险 (10)2.3 安全管理风险 (11)2.3.1安全组织建设风险 (11)2.3.2人员风险 (11)2.3.3安全策略风险 (12)2.3.4安全审计风险 (12)3解决方案总体设计 (12)3.1 设计原则 (12)3.2 安全保障体系构成 (13)3.2.1安全技术体系 (14)3.2.2安全管理体系 (17)3.2.3安全运维体系 (17)3.3 安全技术方案详细设计 (17)3.3.1网络安全拓扑设计 (17)3.3.2安全区域边界设计 (25)3.3.3安全通信网络设计 (27)3.3.4安全管理中心设计 (29)3.4 安全管理体系详细设计 (32)3.4.1安全管理建设设计指导思想 (32)3.4.2建立安全管理制度及策略体系的目的 (33)3.4.3设计原则 (33)3.4.4安全方针 (33)3.4.5信息安全策略框架 (34)3.4.6总体策略 (34)3.4.7安全管理组织机构 (35)3.4.8服务交付物 (38)3.5 安全运维体系详细设计 (40)3.5.1安全管理体系建设咨询服务 (40)3.5.2安全巡检服务 (40)3.5.3日常监测服务 (40)3.5.4应急响应服务 (42)3.5.5安全培训服务 (43)3.5.6检查抽查支撑服务 (43)3.6 验收测试要求 (44)3.6.1等级保护测评 (44)4设备配置及服务清单 (44)1项目综述1.1建设必要性依据《网络安全等级保护条例》、《网络安全法》、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),明确了等级保护是我国开展信息安全保障工作的基本制度、基本国策和基本方法,确定了系统定级、备案、等级测评、安全建设整改、监督检查等工作流程及要求,为开展信息安全等级保护工作提供了规范保障。
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安[2010]303号各省、自治区、直辖市公安厅、局网络安全保卫(公共信息网络安全监察、网络警察)总队(处)、新疆生产建设兵团公安局公共信息网络安全监察处:为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)精神,加快信息安全等级保护测评体系建设,提高测评机构能力,规范测评活动,确保信息安全等级保护安全建设整改工作顺利进行,满足信息安全等级保护工作的迫切需要,我局决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。
现将有关事项通知如下:一、工作目标(一)通过广泛宣传和正确引导,鼓励更多的有关企事业单位从事信息安全等级保护测评工作,满足信息安全等级保护测评工作的迫切需要。
(二)通过对测评机构进行统一的能力评估和严格审核,保证测评机构的水平和能力达到有关标准规范要求。
(三)加强对测评机构的安全监督,规范其测评活动,保证为备案单位提供客观、公正和安全的测评服务。
(四)督促备案单位开展等级测评工作,为开展等级保护安全建设整改工作奠定基础,使信息系统安全保护状况逐步达到等级保护要求。
二、工作内容各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求,结合本地实际组织开展以下工作:(一)统筹规划,正确引导,积极稳妥地推动等级测评机构建设。
结合本地已定级备案信息系统数量和分布情况,从满足等级测评工作的实际需要出发,统筹规划、合理布局测评机构的规模和数量,积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作,按照成熟一个发展一个的原则,有计划、积极稳妥地推动测评机构建设。
(二)规范流程,严格把关,确保测评机构的水平和能力符合测评工作要求。
依据《信息安全等级保护测评工作管理规范(试行)》(见附件一),对申请成为测评机构的单位严格把关,按照申请受理、测评能力评估、审核、推荐的流程,认真开展测评机构评审和推荐工作。
关于开展信息安全等级保护安全建设整改工作的指导意见为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,指导各部门在信息安全等级保护定级工作基础上,开展已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作,特提出如下意见:一、明确工作目标依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益,力争在2012年底前完成已定级信息系统安全建设整改工作。
二、细化工作内容(一)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。
建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(二)开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
等级保护测试题1、国家实施信息安全等级保护制度的原因____A 网络发展的要求B信息安全形势严峻C个人需求D维护国家安全2、《中华人民共和国计算机系统安全保护条例》是____A 中办发【2003】27号B国务院147号令C公通字【2007】861号D公通字【2007】43号3、《国家信息化领导小组关于加强信息安全保障工作的意见》是_____A中办发【2003】27号 B 公通字【2007】43号 C 公通字【2007】861号D公信安【2009】1487号4、《关于信息安全等级保护工作的实施意见》是_____A发改高技【2008】2071号B公信安【2009】1429号C公信安【2007】1360号D公通字【2004】66号5、《信息安全等级保护管理办法》是______A公信安【2010】303号B公信安【2008】736号C公通字【2007】43号D公通字【2004】66号6、《关于开展全国重要信息系统安全等级保护定级工作的通知》是_____A公通字【2007】861号B公通字【2007】43号C公通字【2004】66号D公信安【2007】1360号7、《信息安全等级保护备案实施细则》_______A公通字【2007】43号B公信安【2009】1429号C公信安【2010】303号D公信安【2007】1360号8、《关于开展信息系统等级保护安全建设整改工作的指导意见》是_______A公信安【2010】303号B公信安【2009】1429号C公通字【2007】861号D公信安【2008】736号9、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》是____A公信安【2009】1429号B公通字【2007】43号C发改高技【2008】2071号D公信安【2007】1360号10、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》是______A公信安【2010】303号B公通字【2007】43号C发改高技【2008】2071号D公信安【2008】736号11、关于印发《信息系统安全等级测评报告模板(试行)》的通知是_____A公信安【2007】1360号B公信安【2009】1487号C公信安【2008】736号D公信安【2010】303号12、《公安机关信息安全等级保护检查工作规范(试行)》是_______A公信安【2007】1360号B公信安【2009】1487号C公信安【2008】736号D公信安【2010】303号13、实施等级保护制度的主要目的是________A明确重点、突出重点、保护重点B有利于同步建设、协调发展C优化信息安全资源的配置D推动信息安全产业发展14、等级保护工作的主要内容_____A信息系统分等级安全保护和监管B等级测评C信息安全产品分等级使用管理D信息安全事件分等级响应、处置15、信息安全等级保护标准体系_______A系统等级B方法指导 C 风险评估D现状分析16、信息系统定级原则_______A公安机关审核B专家评审C自主定级D主管部门审批17、涉及中央各部委、省(区、市)门户网站和重要网站的信息系统是______A第一级信息系统B第二级信息系统C第三级信息系统D第四级信息系统18、下列是物理测评范畴的是______A物理位置的选择B物理访问控制C防火D防尘E防雷击19、安全管理机构包括______人员配置岗位配置沟通和合作审核和检查授权和审批20、系统建设管理包括A系统等级和安全方案设计B产品采购和自行软件开发C外包软件开发和工程实施D 测试验收和系统交付E系统备案和等级测试问题:一、物理访问控制哪些具体的控制点,并举例说明物理访问控制措施各级别逐级增强的特点二、简述一下如何对现场测评活动过程进行管理?三、简述等级测评的主要目的四、定级工作的主要步骤是什么?五、简述物理安全现场测评活动的主要工作及内容六、简述等级保护与风险评估之间的区别与联系。
