信息安全等级保护建设经验及成效(上海市教委信息中心)

二〇〇九年十月二十七日
—1—
抄送：各省、自治区、直辖市信息安全等级保护工作协调（领导） 小组。
—2—
关于开展信息安全等级保护 安全建设整改工作的指导意见
为进一步贯彻落实《国家信息化领导小组关于加强信息安全 保障工作的意见》和《关于信息安全等级保护工作的实施意见》、 《信息安全等级保护管理办法》（以下简称《管理办法》）精神， 指导各部门在信息安全等级保护定级工作基础上，开展已定级信 息系统（不包括涉及国家秘密信息系统）安全建设整改工作，特 提出如下意见：
（二）开展信息安全等级保护安全技术措施建设，提高信息 系统安全保护能力。按照《管理办法》、《信息系统安全等级保护 基本要求》，参照《信息系统安全等级保护实施指南》、《信息系 统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系 统等级保护安全设计技术要求》等标准规范要求，结合行业特点 和安全需求，制定符合相应等级要求的信息系统安全技术建设整 改方案，开展信息安全等级保护安全技术措施建设，落实相应的 物理安全、网络安全、主机安全、应用安全和数据安全等安全保 护技术措施，建立并完善信息系统综合防护体系，提高信息系统 的安全防护能力和水平。
06 未定级备案信息 系统数量
07 已定级备案信息系 统数量
第二级系统 第四级系统
第三级系统
合
计
（1）是否明确主管领导、责任部门和具体负责人员
08 信 息 系统安全 建设整改 工作情况
（2）是否对信息系统安全建设整改工作进行总体部署 （3）是否对信息系统进行安全保护现状分析 （4）是否制定信息系统安全建设整改方案 （5）是否组织开展信息系统安全建设整改工作
附件：1、《信息安全等级保护安全建设整改工作情况统计表》 2、《信息安全等级保护安全建设整改工作指南》

关于开展信息安全等级保护安全建设整改工作的指导意见信息安全是企业发展的重要基石，而信息安全等级保护是信息安全管理的重要手段。

为了进一步加强信息安全等级保护，保障企业信息系统、数据和业务的安全稳定运行，我们制定了以下。

一、重视信息安全等级保护工作信息安全等级保护是信息安全管理体系的重要组成部分，是企业信息安全管理的重要手段。

信息安全等级保护工作不仅关系到企业的核心业务和重要数据安全，更关乎企业的声誉和信誉。

因此，企业领导和各级管理人员要高度重视信息安全等级保护工作，明确信息安全等级保护的重要性和紧迫性，加强组织领导，明确责任分工，统筹推进。

二、建立完善的信息安全管理体系建立完善的信息安全管理体系是信息安全等级保护工作的基础和前提。

企业要根据自身情况，建立健全的信息安全管理组织架构，明确信息安全管理的工作职责和权限，制定信息安全相关政策和规范，确保信息安全管理工作的顺利开展。

同时，企业要健全信息安全管理制度，建立健全的信息安全管理流程，确保信息安全管理工作的科学化、规范化和持续化。

三、加强信息安全风险评估和防范信息安全等级保护工作需要加强风险管理和风险防范。

企业要开展信息安全风险评估，识别和评估信息安全风险，明确主要的信息安全威胁与风险，制定相应的风险防范措施，加强对信息安全风险的管控和防范，确保信息系统、数据和业务的安全稳定运行。

四、加强信息安全技术和管理能力建设信息安全技术和管理能力是信息安全等级保护的核心竞争力。

企业要加强信息安全技术和管理能力建设，培养信息安全专业人才，提升信息安全防护技术能力，加强信息安全管理水平，建立信息安全技术和管理能力的持续改进机制，保障信息安全工作的顺利开展。

五、监督检查和整改落实监督检查和整改落实是信息安全等级保护工作的核心环节。

企业要建立健全的信息安全等级保护监督检查机制，加强对信息安全等级保护工作的监督检查，发现并及时纠正信息安全管理存在的问题和风险，确保信息安全等级保护工作的有效落实。

信息安全等级保护二级与三级的区别
信息安全等级保护二级与三级的区别
1、定级规定不同
便是测评定级规定不同，二级对行为主体对象的干扰和危害小于三级。

此外，二级保护测评当定级对象受损时，不会对国防安全造成危害。

而等保三级定级对象的破坏可能会对国防安全造成危害。

2.可用场景不同
三级信息和数据信息覆盖范围更广，跨度也更高：
二级信息系统适用于市级以上公司、事业单位的一般信息系统、小型局域网、不涉及秘密和敏感信息的协作办公系统。

就公司而言，一般网站评审填写公安局备案信息时，可参照社区论坛、新浪微博、博客填写二级；所有其他类型的网站都可以填写三级。

三级信息系统适用于地市以上公司、机关、事业单位的内部关键信息系统、跨地区或者全国各地连接的网络经营性的系统等。

3、级别测评抗压强度不同
级别测评抗压强度测评深度和深度的叙述：测评深度越大，类别越大，包括测评对象越大，测评具体资本投入水平越高。

测评越深越重，越必须在关键点上进行，测评具体资本投入水平也越高。

4、级别测评抗压强度
就高度而言，二级测评不需要进行实验认证，而三级是进行实验认证，而就检测类别而言，三级测评对象越来越多，越来越全面，而二级只进行多类型取样测评。

等保二级测评每2年进行一次，等保三级测评，是每年进行一次。

上海市教育委员会文件沪教委科…2010‟2号上海市教育委员会关于印发《上海市教育系统网络信息安全技术要求》的通知各高等学校，各区县教育局，市教委各直属单位：根据《上海市教育委员会关于加强本市教育系统网络与信息安全工作的通知》（沪教委办…2009‟62号），为切实做好2010年上海世博会期间本市教育系统的网络与信息安全保障工作，现结合本市教育单位现状，并根据公安部等《信息安全等级保护管理办法》(公通字…2007‟43号)、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安…2009‟1429号)，制定《上海市教育系统网络信息安全技术要求》（见附件），各单位应本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，对照要求，深化本单位网络与信息系统安全防护，切实做好安全管理工作，确保网络信息系统安全。

特此通知。

附件：上海市教育系统网络信息安全技术要求上海市教育委员会二○一○年一月十三日主题词：教育学校信息安全通知上海市教育委员会办公室2010年1月14日印发（共印120份）附件：上海市教育系统网络信息安全技术要求一、物理安全要求网络设备如交换器、服务器等应放置在符合产品规定要求的可靠场所。

网络设备放置场所应具备物理访问控制、防盗窃和防破坏、防雷击、防火防水和防潮、防静电等基本条件，还应当能够进行温湿度控制，具有良好的电力供应并做好电磁防护。

非工作人员对重要网络设备放置区域的访问必须经过有关负责人的批准并由专人陪同或在专人监督下进行，并记录备案。

二、网络安全要求1.结构安全应保证关键网络设备的业务处理能力具备冗余空间，以满足业务高峰期需要；关键网络设备及链路应有备份（冷备份或者热备份)；应保证接入网络和核心网络的带宽满足业务高峰期需要。

2.访问控制应增强网络边界设备的访问控制粒度，增加安全审计、边界完整性检查、入侵防范及恶意代码防护等设备；应在网络出口处对网络的连接状态进行监控，并能及时报警和阻断；对所有网络设备的登录应保证鉴别标识唯一和鉴别信息复杂等要求。

本报告于 2023 年 08 月 21 日 生成
3 / 18
项目成交公告
TOP10
上 海 市 医 疗 保 险 事 业 管 理 中 心 上海市医疗保险事业 2022 年度中央转移支付资金信息 管理中心
29.8
化项目安全测评服务中标公告
*项目金额排序，最多展示前 10 记录。
2022-11-22
1.4 地区分布
中共上海市委网络安全和 信息化委员会
果公告
236.0
公告时间 2022-09-20 2022-09-20 2022-11-11
本报告于 2023 年 08 月 21 日 生成
4 / 18
4
全市网络安全专项检查的中标（成 交）结果公告
中共上海市委网络安全和 信息化委员会办公室
5
上海市新冠肺炎联防联控数字化建 设项目测评服务的中标（成交）结
主要资质：
一、业绩表现
1.1 总体指标
近 1 年(2022-08~2023-08)：
中标项目数(个)
29
同比增长：70.6%
中标率
85.3%
同比增长：-4.7%
中标总金额(万元)
(不含费率与未公示金额)
￥1565.9
同比增长：173.4%
平均下浮率
2.5%
同比增长：38.9%
注：平均下浮率是指，项目下浮金额与预算金额的比值的平均值。（下浮金额=项目预算金额-中标金额）
上海申通地铁集团有 限公司轨道交通大数 据中心
315.4
TOP3 TOP4
中共上海市委网络安全和信息化委 员会办公室涉进博会红线外重点单 位专项保障服务的中标（成交）结 果公告
全市网络安全专项检查的中标（成 交）结果公告

– 公共利益与社会秩序密切相关，社会秩序的 破坏一般会造成对公共利益的损害。
2018/9/24
16
定级阶段-关于行业定级指导意见
对客体的侵害不是威胁直接作用的结果， 而是通过对等级保护对象——信息系统的 破坏而导致的，因此确定对客体侵害的程 度时，必须考虑对等级保护对象所造成破 坏的不同客观表现形态以及不同程度的结 果，也就是侵害的客观方面。
2018/9/24
5
公安部 信息安全 等级保护 评估中心
实施指南描述特点
阶段
– 过程
• 活动 – 子活动
公安部 信息安全 等级保护 评估中心
例如: 信息系统定级
– 信息系统分析
• 系统识别和描绘 – 识别信息系统的基本信息 – 识别信息系统的管理框架 – … 信息系统划分
6
•
2018/9/24
定级阶段
2018/9/24
9
定级阶段-关于行业定级指导意见
行业定级指导意见的意义：
– 贯彻四部委会签的《管理办法》
公安部 信息安全 等级保护 评估中心 – 阐明本行业实施等级保护工作的政策和方针 – 制定本行业定级工作的阶段计划 – 统一本行业对定级要素赋值规范
2018/9/24
10
定级阶段-关于行业定级指导意见
28
识别业务种类、流程和服务
21
公安部 信息安全 等级保护 评估中心
–
满足信息系统的基本要素
2018/9/24
定级阶段-关于定级对象确定
一、定级对象的三个条件 承载相对独立的业务应用
公安部 信息安全 等级保护 评估中心
– 定级对象承载“相对独立”的业务应用是指 其中的一个或多个业务应用的主要业务流程、 部分业务功能独立，同时与其他信息系统的 业务应用有少量的数据交换，定级对象可能 会与其他业务应用共享一些设备，尤其是网 络传输设备。“相对独立”的业务应用并不 意味着整个业务流程，可以使完整的业务流 程的一部分。

信息安全等级保护工作总结信息安全是当前社会发展的重要组成部分，信息安全等级保护工作是保障国家信息安全的重要手段。

在信息时代，各种安全威胁和风险不断增加，要保护信息安全，必须根据国家信息系统的安全需求，实施信息安全等级保护工作。

信息安全等级保护工作是指以国家信息系统安全等级保护标准为指导，根据信息系统的敏感程度和安全风险，建立信息系统安全等级保护体系，通过安全保护技术和管理措施来保障信息系统的安全。

信息安全等级保护工作包含以下几个方面：1. 等级划分：根据信息系统的重要程度和安全需求，将信息系统划分为不同的等级。

等级划分是信息安全等级保护工作的基础，不同等级的信息系统有不同的保护要求和安全措施。

2. 风险评估：对信息系统进行风险评估，确定系统存在的安全风险和威胁。

风险评估是信息安全等级保护工作的重要环节，只有了解系统的安全风险，才能有针对性地采取安全保护措施。

3. 安全控制：根据信息系统的安全需求，实施相应的安全控制措施。

安全控制措施包括技术控制和管理控制两大方面，既要采用先进的安全技术手段，又要建立健全的安全管理制度。

4. 安全审核：对信息系统的安全性能进行审核和评估。

安全审核是信息安全等级保护工作的周期性任务，通过对系统安全性能的审核，发现安全问题，及时进行改进和完善。

信息安全等级保护工作总结（二）1. 明确安全责任：建立明确的信息安全责任体系，明确各级管理人员和各岗位人员的信息安全责任，形成安全责任到人的工作机制。

2. 加强安全培训：加强信息安全培训和教育，提高员工的信息安全意识和技能水平，增强员工对信息安全的重视和保护意识。

3. 健全安全管理制度：建立健全的信息安全管理制度，包括安全策略和规程、安全管理流程、应急预案等，确保安全管理的规范和有效。

4. 定期演练和测试：定期组织信息安全演练和测试，检验系统的安全性能，发现安全隐患和问题，并及时进行修复和改进。

5. 安全监测和警报：建立安全监测和警报系统，实时监测信息系统的安全状态，预警和防范安全威胁和风险，及时采取安全措施。

案： 等级确 定 后 ， 第二级（ 含） 以上 信 息 系 统 到 公安机关备 案 ，
【 收稿 日期 ］ ２ ０ １ ２ — ０ ９ — ２ ９
公安机关审核后颁发备案证明： ③测评 ： 备案单 位选 择符 合国家规
３ ５ －３ ８ ．
大 网络 安 全 教育 的 力 度 ，强 化 网 络 安 全 意 识 ，筑 牢 网络 安 全 防 线 。同 时 ， 要加强网络安全管理力度 ， 防止 失 泄 密 问题 的发 生 ， 确
定
级
备 案
安 全 建 设 整 改
等级测评
检 查
信 息 系 统 安 全 等 级 保 护 行 业 定 级 细 则ｌ
ｌ 、 、 ，
ｆ 指等信 ｆ 设 等 过 等信 ｆ 要 等信｝ 厂、 （ 安全等级 ） 厂 ＾ 、
上
犟 差 寞 蓍 誉 号 鲁 耋 等 瓣 銮 兰 粪 震 备 一 级 保 护 萎 萎
ｆ
Ｔ
计算机信息系统安全保护等级划分准则 （ Ｇ Ｂ １ ７ ８ ５ ９ ）
图 １ 信 息 安 全 等 级 保 护 配 套 政 策 体 系
图 ２ 信 息 安 全 等 级 保 护 配套 标 准体 系
信 息等级保护具体工作 由 ５部分组成 。① 定级 ： 将信息系统 按照重要性 和遭受损坏后的危 害性分成 ５ 个安全保护等级 ； ②备
扬
（ １ ． 中国石油集 团公 司石油 管工程技术研 究院， 陕西 西安 ７ １ ０ ０ ６ ５ ； ２ ． 中国石 油集 团川庆 钻探工 程有 限 公 司长庆 井下技术 作 业公 司姬塬 项 目部， 陕西 定边 ７ １ ８ ６ ０ ０ ）
［ 摘 要］ 信 息 安全 等 级保 护 制 度 是 我 国为 了保 障信 息 安 全 而采 取 的 重要 措 施 ， 本 文 对 信 息安 全 等级 保 护 制度 的政 策 体 系、 标 准体 系进 行 整理 ， 通过 对 中 国石 油 信 息安 全 等 级 保 护 制度 建设 进 行 介 绍 ， 总 结成 功 经 验 ， 分 析 信 息 安全 等 级 保 护 制 度 的 不足

上海市教育委员会关于进一步推进2009年本市高校安全技术防范系统建设的通知文章属性•【制定机关】上海市教育委员会•【公布日期】2009.04.29•【字号】沪教委保[2009]6号•【施行日期】2009.04.29•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公安综合规定正文上海市教育委员会关于进一步推进2009年本市高校安全技术防范系统建设的通知（沪教委保〔2009〕6号）各高等学校：从2007年起，我委制定并组织实施了本市高校安全技术防范系统建设三年达标计划，从实践来看，技防系统在高校安全稳定工作中发挥了积极作用，有效增强了校园综合防控能力、提高了校园安全水平、预防和打击了校园违法犯罪活动，成为维护校园安全稳定不可或缺的重要工具。

2009年是高校技防建设的第三年，也是全面建成、全面达标的关键一年。

为进一步推进高校技防建设第三年的工作，使本市高校技防系统全面达到上海市地方标准要求，现将有关事项通知如下：一、加快进度，实现达标各高校要充分认清技防系统在高校安全保卫工作中的重要作用，进一步加强对技防建设的组织领导，明确工作职责，继续确保建设专项资金到位、管理工作制度到位、人机联动处置机制到位。

要根据前期的规划和布局，加快推进速度，加强建设力度，在保质保量的前提下，尽快完成建设任务，确保三年达标计划顺利实现。

我委将把技防建设情况作为一项重要指标，纳入本市高校安全文明校园、平安单位创建和社会治安综合治理考核评估体系。

二、2009年高校技防建设重点（一）进一步巩固和完善前两年的技防建设成果。

各高校要加强对已建系统的整合调配，使其发挥最大效用；要参照技术指标，定期进行检查更新，将一些安装位置不恰当、使用效果不理想和老化、过时、受损的设备进行及时更换和调整；加强对已建系统的维护保养，确保其有效运行。

部分尚未完成强制性项目和学生宿舍区“四道防线”建设的高校，要在2009年上半年完成建设，不留空白点。

安机关抓住世 博会 、亚 运会 等契机 ，认 真组织开展本地信息 系统测评和安 全建设 整改 工作 ，有效维 护了涉博 、涉亚 网络和重要 信息系统安全 。黑龙 江、上海 、内蒙古 、湖北、宁夏 、四川 、重庆等 ｌ ２个地方 陆续出台了本地 有关 等级保 护的地方法规 ，为等 级保护工作 的开展 提供了制度保 障。同时，公安部 和各地公 安机关 均组织 成立了信息安全 等级保 护专家委 （ ） 组 ，为重要行业部 门开展 等级保护Ｔ作提 供了及时指导。 公 安部与围资委 、 电监会 、 信部 、 民航总局 、 国防科上局等部门召开了座谈会 ， 共同研 究了中央企业等级保护１作 ， 二 出台了《 关 于进一步推进 中央企业信息安 全等级保 护Ｔ作的通知》 ，进 一步明确中央企业等级保 护 Ｔ 作的要求 、 目标和职责分工，建立长效 工作机制和等级保护工作 考核机制 ，为进 一步推进 中央企业等级保护 Ｔ作奠定了基础。此 外，为指导信息系统备案单位和各地公 安机关开展等级保护工作 ，公 安部网络安全保卫局会 同公安部金盾影视 文化中组织拍摄 了等级保护工作宣传片及教学片，将发送 各行 、 各部门、各地 区。
息 全 级 护 作口推 成 显 安等保工力 进效著 快
有力 促进了国家信息安全保障工作的 深入开 展
（ 安 部 网络 安 全 保 卫 局 ） 公
摘 要 ： 年来 ， 近 经过全 国各地 区 、 单位 、 各 各部 门的不懈努 力 ， 国信 息安全等级 保护制 度不 断推进 实施 。 我
密码 、经信等部门组 织召开了全市 ２ ０多个单位参加的信息安全 等级 保护安全建设 整改 —作部署 会 ； ０ ｒ 河北 、江苏 、安徽 、天津 、
广 西 、江 西 、山东 、辽 宁、 山西 、重 庆 等 地 公 安 机 关 组 织 了大 规 模 的集 中培训 ，加 强 对 本 地 备 案 单 位 的 指 导 ；上 海 、广 东 等 地公

02 信息系统网络安 全等级保护概述
等级保护的基本概念
信息安全等级保护
是对信息系统中使用的信息安全产品实行按“等级管理”，同 时对信息系统中发生的信息安全事件进行“分等级响应和处置” 的过程。
等级划分
根据信息系统的重要程度和遭到破坏后的危害程度，将信息系 统划分为五个安全保护等级，分别为自主保护级、指导保护级、 监督保护级、强制保护级和专控保护级。
表。
实施改进措施
按照改进计划，逐步实 施改进措施，包括技术 升级、安全加固、流程
优化等。
跟踪改进效果
对实施改进措施后的效 果进行跟踪和监控，确 保改进措施的有效性和
可持续性。
05 案例分析与实践 经验分享
典型案例分析
案例一
某大型银行网络安全等级保护实践。该银行通过完善网络安全管理制度、加强网络安全技术 防护、定期开展网络安全演练等措施，成功提升了网络安全等级保护水平，有效防范了各类 网络攻击和数据泄露事件。
及时更新安全补丁
定期更新操作系统、应用软件的安全补丁，防范漏洞攻击。
配备专业的安全设备
部署专业的网络安全设备，如网络隔离设备、安全网关等，提升 网络整体安全性。
提升网络安全应急响应能力
制定应急响应预案
01
针对可能发生的网络安全事件，制定详细的应急响应预案，明
确处置流程和责任人。
建立应急响应团队
02
的安全性和保密性。
维护网络稳定
通过实施网络安全等级保护，可以 及时发现和防范潜在的网络安全风 险，确保网络系统的稳定运行。
促进信息化发展
网络安全等级保护是信息化发展的 重要保障，有助于提高信息系统的 安全防护能力和水平，推动信息化 建设的健康发展。

技术 集成和工程 实施 过程控 制问题 。《 信息 安全技
术 系 统 安 全 等级 保 护 管 理 要 求 ） ＢＴ ０ ６ — ０ ６ ） ／２ ２ ９ ２ ０ Ｇ
要求 ，提出 了各 级信息 系统应 当具备 的基本安全保 护能力和技术 与管 理措施 ，该标准需 与 《 信息安全 技术 系统安 全等级 保护通用 安全技 术要求 》Ｇ ／ Ｂ Ｔ ０ ７ — ０ ６ 信息安全技术 操作系统安全 技术要 ２ ２ １２０ 《 求 》 ＢＴ ０ ７ — ０ ６ 《 Ｇ ／２ ２ ２ ２ ０ 、 信息安全技术 操作 系统安
『 １Ｊ 且 耳 义 勺 埋 干 去 也 仔 任 看 影 耵 天 系 。 『 日日 Ｉ 】 大 工／
维普资讯
信息 安 全等级 保 护建 的基础性标准 ，是信息安全等级保 护系列标准 编制 、系统建 设与管理 、产品研发 、监督检查 的科 学技术基础和依据。 ２ 《 、 信息 系统安全等级保护实施指南 》是信息 系统安全等级保护实施 的过程控制标准 ，规范 了信
据库管理 系统安全技术 要求 》Ｇ ／ ２ ２ ３ ２ ０ 、 Ｂ Ｔ ０ ７ — ０ ６
《 信息安全技术 数据库管理系统安全评估准则 》 Ｂ Ｃ ／ Ｔ ０ ０— ０５《 ２ ０ ９ ２ ０ 、信息安全技术 网络基础安全技术要 求 》Ｇ ／ ２ ２ ０ ２ ０ 等安全等级保护 系列标 准配 ＢＴ ０ ７— ０ ６ 合使用 ，规范 、指导信息系统安全等级保 护整 改建 设工作 。
护 制 度 ， 一 步 完 善 国家 信 息 安 全 长 效 工 作 机 制 进
的思 路 。
二 、信 息 安 全 问题 的特 点 及 其 对 长 效 工 作 机 制 的 影 响
除了 以上所 讨论 的非传统 安全 问题 的特点外 ，

上海市网络与信息安全协调小组办公室关于印发《上海市政府网站安全保障指南(试行)》的通知文章属性•【制定机关】上海市网络与信息安全协调小组•【公布日期】2012.03.02•【字号】沪网安办[2012]2号•【施行日期】2012.03.02•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】机关工作正文上海市网络与信息安全协调小组办公室关于印发《上海市政府网站安全保障指南(试行)》的通知（沪网安办[2012]2号）各有关单位：为贯彻落实工业和信息化部办公厅《关于委托开展政府网站安全管理试点工作的通知》（工信厅协函〔2011〕416号）和《上海市人民政府办公厅关于进一步加强政府网站安全管理工作的意见》（沪府办〔2011〕74号）的要求，我办会同市政府办公厅电子政务办公室、“中国上海”门户网站等单位组织制定了《上海市政府网站安全保障指南（试行）》。

现印发给你们，请结合本单位网站安全保障实际，认真遵照执行。

上海市网络与信息安全协调小组办公室二○一二年三月二日上海市政府网站安全保障指南（试行）为指导本市各级政府网站开展安全保障工作，落实各项安全措施，提高政府网站安全防护和管理水平，特制定本指南。

本指南基于国家信息安全等级保护的政策和标准以及政府信息系统安全检查办法和指南，针对政府网站防篡改、防挂马、防攻击、防瘫痪、防泄密的基本要求，结合行之有效的网站安全最佳实践，从管理机制、技术防护和运行维护三个方面，进一步明确政府网站安全防护和管理的重点。

本指南适用于本市各级政府网站规划、设计、建设、运维各阶段的安全保障工作，也可供本市其他信息安全重点单位网站参照执行。

一、管理机制（一）管理责任1.应建立网站安全管理责任制，明确网站分管领导为网站安全保障工作的第一责任人，并确定责任部门和责任人，具体负责网站安全保障的各项工作。

2.应建立培训考核和奖惩机制，提高信息安全意识。

3.应保障网站安全经费，落实各项安全保障要求。

努力建设信息安全等级保护的首善之区——访北京市信息安全等级保护办公室主任、市公安局副局长高煜
苏红
【期刊名称】《信息网络安全》
【年(卷),期】2006(000)010
【摘要】自今年国家开展信息安全等级保护工作以来。

全国有关省市积极推进。

深入贯彻公安部、国家保密局、国家密码管理局和国务院信息化工作办公室等四部门颁发的《信息安全等级保护管理办法（试行）》。

各地工作。

各有千秋。

日前。

本刊记者专程采访了北京市信息安全等级保护办公室主任、北京市公安局副局长高煜。

【总页数】2页(P4-5)
【作者】苏红
【作者单位】《信息网络安全》记者
【正文语种】中文
【中图分类】TP309
【相关文献】
1.国家保密局闻荣友副局长在信息安全等级保护试点工作会议上的讲话 [J],
2.信息安全等级保护测评助力发现系统潜在安全隐患——访大连市公安局网络警察支队调研员陆宝华 [J], 本刊记者
3.信息安全等级保护测评助力发现系统潜在安全隐患——访大连市公安局网络警察
支队调研员陆宝华 [J],
4.公安部公共信息网络安全监察局副局长顾建国代表国家信息安全等级保护工作协调小组办公室对定级工作作具体说明 [J],
5.公安部与北京市公安局联合开展信息安全等级保护监督检查 [J], 程斌
因版权原因，仅展示原文概要，查看原文内容请购买。

上海观安信息安全等级保护安全建设服务机构能力评估合格证书【引言】在我国信息安全领域，上海观安信息安全等级保护安全建设服务机构（以下简称“观安机构”）近日荣获了能力评估合格证书。

这一证书的获得不仅是对观安机构实力的肯定，也是对我国信息安全等级保护工作的鼓励。

本文将详细介绍观安机构及其能力评估合格证书的含金量，并对证书对我国信息安全行业的影响进行分析。

【上海观安信息安全等级保护安全建设服务机构简介】上海观安信息安全等级保护安全建设服务机构成立于2011年，是一家专注于信息安全等级保护咨询、评估、整改、培训、技术研发及安全运维的专业机构。

观安机构秉承“以人为本、技术创新、客户至上”的服务理念，致力于为客户提供全方位的信息安全解决方案。

【能力评估合格证书的含金量】能力评估合格证书是对观安机构在信息安全等级保护领域的技术能力、项目管理能力、服务质量和人员素质等方面的充分肯定。

获得此证书，意味着观安机构在信息安全等级保护建设方面具备较高的专业能力和丰富的实践经验。

同时，这也是对观安机构在信息安全领域持续创新和努力的鼓励。

【证书对我国信息安全行业的意义】我国信息安全等级保护制度作为国家安全战略的重要组成部分，对国家安全、公共安全和信息安全具有重要意义。

观安机构能力评估合格证书的获得，不仅有利于提升自身在信息安全等级保护领域的竞争力，也有利于推动我国信息安全行业的健康发展。

此外，观安机构将充分发挥其在信息安全等级保护领域的专业优势，帮助更多企业提升信息安全防护能力，为我国信息安全建设贡献力量。

【结语】总之，上海观安信息安全等级保护安全建设服务机构能力评估合格证书的获得，是对我国信息安全行业的又一利好。

上海市教育委员会关于开展教育系统信息安全等级保
护工作专项检查通知
文章属性
•【制定机关】上海市教育委员会
•【公布日期】2010.11.30
•【字号】沪教委科〔2010〕65号
•【施行日期】2010.11.30
•【效力等级】地方规范性文件
•【时效性】现行有效
•【主题分类】教育其他规定
正文
上海市教育委员会关于开展教育系统信息安全等级保护工作
专项检查的通知
沪教委科〔2010〕65号各区县教育局、市属各高等学校：
根据《教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知》（教办厅函〔2010〕80号，见附件）的要求，我委负责开展辖区内各区县教育局和市属各高等学校信息系统安全等级保护检查工作。

各单位要高度重视此次检查，按时完成本单位的信息系统安全等级保护自查工作，并在12月20日前完成检查总结材料和《教育系统信息安全等级保护工作自查情况表》（详见附件）。

总结材料和自查表报送：
联系人：市教委信息中心夏骄雄王媛媛
地址：国顺路288号综合楼1楼（邮编：200433）
联系电话：55066515 55066091 55066072（f）
电子邮件：******************.cn
附件：教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知（略）
上海市教育委员会
二〇一〇年十一月三十日。

信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策，旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。