— 9 —
信息系统安全等级保护
备案表
备 案 单 位: (盖章) 备 案 日 期: 年 月 日
受理备案单位: (盖章) 受 理 日 期:
中华人民共和国公安部监制
备案表编号:
填表说明
一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作
本表;
二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单
位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;
表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线
中注明详细内容;
五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部
分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此
项由受理备案的公安机关负责填写并盖章;
八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、表一05单位负责人:是指主管本单位信息安全工作的领导;
十、表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;
十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
—10 —
表一单位基本情况
—11 —
表二()信息系统情况
表三(华东政法大学附属中学门户网站)信息系统定级情况
备案审核民警:审核日期:年月日
—13 —
表四( / )第三级以上信息系统提交材料情况
—14 —
附件2 重要信息系统安全可控试点示范具体要求及项目 资金申请报告编制要点 一、关于试点示范工程的总体要求(分不同领域) (一)关于商业银行一体化信息安全风险感知体系试点示范的要求 按照信息安全等级保护的相关要求,建设信息安全风险感知体系。能够支持对银行重要信息系统中终端、网络、主机、应用和数据的业务、运维以及安全管理等操作行为进行主动感知,支持对相关多元化异构大数据进行预处理,对安全事件进行智能关联分析、集中展现和及时预警。支持银行网点终端统一管理,实现终端接入认证、访问控制、恶意代码防范、安全审计等功能。该体系分级分布式部署,具有可移植性、可扩展性,可并发会话数大于1000个,银行业务安全数据日处理能力大于1000万条,网点终端管理规模达到20万台以上。建立完善银行灾备系统建设、运行、维护、测评和应急处置的标准规范体系。制定第三方安全服务机构服务质量基本评价指标体系,包括第三方安全服务机构的制度体系评价指标、服务内容合规性评价指标、服务过程规范性评价指标、人员管理水平及稳定性评价指标、机构资质评价指标等,质量评价以量化分值方式呈现。
(二)关于商业银行开展电子银行和移动支付业务系统安全态势监控试点示范的要求 按照信息安全等级保护的相关要求,建设电子银行和移动支付业务系统安全态势监控体系。支持商业银行对电子银行系统(包括网上银行、手机银行及其门户网站等系统)、相关新型(增值)系统及其相关产品的安全态势进行监测预警,重点监控电子银行系统及其相关产品漏洞和入侵事件,对其存在的漏洞和重要信息安全事件进行预警,定期对其面临的信息安全形势作出分析研判;针对金融移动支付领域的各种主流操作系统应用,建立涵盖手机银行业务交易处理与关键流程安全性审核、客户端安全检测与防护措施验证、服务器端内控措施等多方面的安全检测与防护措施,并形成相应标准规范体系。提出手机银行从设计、开发、测试、部署、运维等不同阶段的安全性要求和实施要点,完善手机银行应用安全检测指引和相关安全设计规范。 (三)关于金融领域钓鱼网站和金融诈骗事件安全应急保障试点示范的要求 支持信息安全专业机构、商业银行、行业主管部门对电子银行系统联合建立针对钓鱼网站和金融诈骗事件的应急 保障体系。研究建立信息安全专业机构、商业银行、执法部门联合处置、应急保障的协调机制。具体是:
等级保护、风险评估、安全测评三者的内在联系及实施建议 赵瑞颖 前言 自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC 过程中的实施建议。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。 B、风险评估 基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。 工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信
(备注:具体编号由网监部门编写) 信息系统安全等级保护 备案表 备案单位:广东X 网公司佛山XX 局(盖章) 备案日期: 2011-7-25 _______________ 受理备案单位:佛 ________ 受理日期:2011-7-28 ___________________________ 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”填写;本表由四张 表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信 息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一~ 张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“V”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位, 为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404-1997 )填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立 (港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部 门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位 和个人不得对本表进行改动。
等级保护、风险评估和安全测评三者之间的区别与联系 刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大家一起分享。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
操作系统安全 第一章安全法则 概述:基本概念 NT的安全性 UNIX的安全性 一、基本概念: 1、安全级别: 低安全性:在一个安全的位置,没有保存扫描病毒 敏感信息 中等安全性:保存公众数据,需要被多人使设置权限,激活审核,实现账号策略用 高安全性:位于高风险的位置,保存有敏感最小化操作系统的功能,最大化安全 机制 信息 2、安全机制: 具体的安全机制: 环绕机制:在进程或系统之间加密数据 签名机制:抗抵赖性和抗修改性 填充机制:增加数据捕获的难度 访问控制机制:确保授权的合法性 数据统一性机制:确保数据的顺序发送 广泛的安全性机制: 安全标记:通过指出数据的安全性级别来限制对数据的访问 信任机制:提供了敏感信息的传输途径 审核:提供了监控措施 安全恢复:当出现安全性事件的时候采取的一组规则 3、安全管理: 系统安全管理:管理计算机环境的安全性,包括定义策略,选择安全性机制,负责 审核和恢复进程 安全服务管理: 安全机制管理:实现具体的安全技术 二、NT的安全性:当一个系统刚安装好的时候,处于一个最不安全的环境 1、NT的安全性组件: 随机访问控制:允许对象的所有人制定别人的访问权限
对象的重复使用: 强制登陆: 审核: 通过对象来控制对资源的访问 对象:将资源和相应的访问控制机制封装在一起,称之为对象,系统通过调用对象来 提供应用对资源的访问,禁止对资源进行直接读取 包括:文件(夹),打印机,I/O 设备,视窗,线程,进程,内存 安全组件: 安全标识符:SID ,可变长度的号码,用于在系统中唯一标示对象,在对象创建时由 系统分配,包括域的SID 和RID 。创建时根据计算机明、系统时间、进 程所消耗CPU 的时间进行创建。 S-1-5-
信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 备案表编号:
中华人民共和国公安部监制 填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在其后的横线中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:共5位,前两位为受理备案的年份的后两位;如2016年的后两位为16。后三位是备案单位自行编写的单位内信息系统的编号。 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息
专业.资料.整理 信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单 位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。 专业.资料.整理
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。 从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括: 1)识别组织面临的各种风险; 2)评估风险概率和可能带来的负面影响;
信息系统安全等级保护 备案表 Company number【1089WT-1898YT-1W8CB-9UUT-92108】
信息系统安全等级保护 备案表 备案单位:(盖章) 备案日期: 受理备案单位:(盖章) 受理日期: 中华人民共和国公安部监制 填 表 说 明 一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43 号)之规定,制作本表; 二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门 (以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案 公安机关存档; 四、 本表中有选择的地方请在选项左侧“”划“√”,如选择“其 他”,请在其后的横线中注明详细内容; 五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部 分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全 监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行 政区划代码; 九、 表一05单位负责人:是指主管本单位信息安全工作的领导; 十、 表一06责任部门:是指单位内负责信息系统安全工作的部门; 备案表编号:
精品范文下载后可编辑 信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单 位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。 精品范文下载后可编辑
项目编号: 信息化项目安全测评申请书 项目名称: 申请单位:(盖章) 申请日期: 上海市信息安全测评认证中心 年月日
告用户 在正式填写本申请书前,请认真阅读并理解以下内容: 1.适用范围 本申请书适用于对已建信息系统进行部分改造建设的信息化项目,建设内容可以包括系统应用开发,网络、系统平台改造,系统安全加固,环境建设,系统安全管理制度建设等方面。 新建完整信息系统的信息化项目(完整信息系统建设包括机房物理环境、网络平台、系统平台、应用系统、系统运行安全保障、安全管理体系等方面),应按照国家《信息安全等级保护管理办法》和市政府58号令《上海市公共信息系统安全测评管理办法》》进行信息系统安全测评。 2.测评内容 信息化项目安全测评内容包括分别对信息系统网络、服务器等平台改造的安全测试和评估;对信息系统应用系统开发进行功能、安全功能测试;对信息系统安全加固实施的安全测试和评估;对网络环境建设中安全、基本链路测试;对安全管理制度建设的评估等。 3.提交文档 以下申请书填写项中,如无备注说明,均属信息化项目申请安全测评的必填项。用户申请安全测评时,应请交纸质版申请书及附件原件一份,同时交电子版一份。如填写内容较多,可另加附页。 4.联系方式 上海市信息安全测评认证中心地址:上海市陆家浜路1308号 邮编:200011 电话:(021)63789900 传真:(021)63789039 E-mail:yewubu@https://www.doczj.com/doc/f710179043.html,,cyj@https://www.doczj.com/doc/f710179043.html,
一、申请单位基本情况
二、提交申请材料详细内容 提交的申请文档须包括但不限于以下内容: 1、项目任务书 内容要求:包括项目类型、项目名称、承担单位、项目建设内容、项目投资总额、项目成果和项目要求实现的技术指标等; 2、项目设计(实施)方案 具体描写项目的主要建设内容,应用业务及需求说明,主要开发内容和功能模块,实施周期等; 3、应用开发设计方案、用户手册、功能说明 具体描写应用开发软件的主要功能项,软件功能详细说明,用户操作手册等; 4、网络环境描述 提供项目实施范围内的网络拓扑图,标明涉及的具体网络环境、设备情况; 5、主要购买软硬件设备清单 包括购买的主要服务器的型号、类型及配置描述等,购买的主要应用软件的版本和功能,购买的网络设备和安全设备的型号及性能指标。 6、项目自测分析报告(可选) 本部分可以是:1.项目运行前由集成单位或开发人员进行系统安全功能联调或相关指标测试(如系统峰值容量、系统延迟、系统容错能力、系统可靠性、有关资源配置的重要数据等)的方法和报告,测试过程中出现的
等级保护安全风险评估报告模版
附件: 信息安全等级保护风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 ............................................... 错误!未定义书签。 1.1工程项目概况......................................................... 错误!未定义书签。 1.1.1 建设项目基本信息............................................ 错误!未定义书签。 1.1.2 建设单位基本信息............................................ 错误!未定义书签。 1.1.3承建单位基本信息 ........................................... 错误!未定义书签。 1.2风险评估实施单位基本情况 ................................. 错误!未定义书签。 二、风险评估活动概述 ............................................... 错误!未定义书签。 2.1风险评估工作组织管理 ......................................... 错误!未定义书签。 2.2风险评估工作过程................................................. 错误!未定义书签。 2.3依据的技术标准及相关法规文件 ......................... 错误!未定义书签。 2.4保障与限制条件..................................................... 错误!未定义书签。 三、评估对象 .............................................................. 错误!未定义书签。 3.1评估对象构成与定级 ............................................. 错误!未定义书签。 3.1.1 网络结构 ........................................................... 错误!未定义书签。 3.1.2 业务应用 ........................................................... 错误!未定义书签。 3.1.3 子系统构成及定级............................................ 错误!未定义书签。 3.2评估对象等级保护措施 ......................................... 错误!未定义书签。 3.2.1XX子系统的等级保护措施 .............................. 错误!未定义书签。 3.2.2子系统N的等级保护措施............................... 错误!未定义书签。
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
附件1:《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 —9 —
3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服—10 —
GB17859-1999计算机信息系统安全保护等级划分准则 1 范围 本标准规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。 2 引用标准 下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。 GB/T 5271 数据处理词汇 3 定义
除本章定义外,其他未列出的定义见GB/T 5271。 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel
1.填表范围: 本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成:表一为单位信息,每个备案单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表 二、表三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统,则填写过程中要遵循表二()、表二()……表二()的编号和命名规则。 如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(),则相对应的表四的编号也应当是表四()。 2.保存方式: 本表一式二份,由备案单位和受理备案的公安机关分别盖章 —9—后,一份由备案单位保存,一份交受理备案公安机关存档。 3.《备案表》中有选择的地方请在选项左侧划“√”,如选择“其他”,请在其后的横线中注明详细内容,需要填写数字代码的地方,请在“0”中直接填写。 4.备案表编号: 封面中的“备案表编号”由两组共11位数字组成,第一组6位,代表受理备案的公安机关代码前六位(可参照行标GA380-2002);第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。 5.备案单位:
本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。 6.受理备案单位: 本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。此项由受理备案的公安机关负责填写。 7.行政区划代码: 表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。以北京市举例,标准6位地址码的构成如下:110000北京市,110105朝阳区……。 —10— 8.单位负责人: 表一中的“单位负责人”是指负责本单位信息安全的领导。 9.责任部门: 表一中的“责任部门”是指单位内负责信息系统安全的部门。 如果单位内的信息系统分别由不同的责任部门管理,则可以统一填写在表一的责任部门一栏中,或分别填写表一。 10.责任部门联系人: 表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个,则可以分别填写表一或均填写在表一责任部门联系人一栏中。 11.隶属关系: 表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照国家标准《单位隶属关系代码》(GB/T12404-1997)分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。