信息安全等级保护办法精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息安全等级保护办法主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息安全等级保护办法范文

关键词：电力 信息安全防护 安全域 分级分域

中图分类号：TM73 文献标识码：A 文章编号：1674-098X（2016）12（b）-0121-02

该文适用于能源行业信息安全监管部门、各能源相关企业信息安全在岗人员、信息安全等级保护测评机构的管理与技术人员等。

1 定级信息系统划分方式

由于国家电网公司的信息系统涉及业务范围广，应用面宽，为了体现重要业务应用重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护工作原则，从管理、业务、物理位置和运行环境等方面综合分析，对信息系统进行划分。

从管理机构角度划分。不同管理机构（总部、网省、地市公司）管理控制下的信息系y应分开作为不同的定级对象。

从业务类型角度划分。根据不同业务应用的“相对独立”性，划分出信息系统的不同部分作为不同的定级对象。

2 定级信息系统分类

根据上述信息系统基本特征和信息系统划分方式，结合国家电网公司工程一体化企业级信息系统定义，将国家电网公司信息系统划分为一体化企业级信息集成平台、财务管理、营销及市场交易管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理9类，总部、网省（直辖市）、地市3层，共69个信息系统。

3 标准解读

3.1 电力行业网络与信息安全管理办法

3.1.1 总则

解读：《电力行业网络与信息安全管理办法》对电力行业管理部门、电力企业等单位在电力行业网络与信息安全保护工作中的职责与工作内容做出了明确规定。

第一章主要对电力行业网络与信息安全的依据、目标和原则等做出了具体阐述。

3.1.2 监督管理职责

解读：第二章主要明确了国家能源局及其派出机构对电力行业网络与信息安全工作的监管责任。国家能源局主管电力行业网络与信息安全工作，履行监督管理职责，并明确了国家能源局监督管理职责的主要内容。能源局派出机构根据授权，负责该辖区电力企业网络与信息安全监督管理。

3.1.3 电力企业职责

解读：第三章主要阐述电力企业在电力行业网络与信息安全工作的职责，明确了该单位的网络与信息安全工作的责任主体：电力企业（适用于两大电网公司、五大发电集团、中国核电和中广核等两家核电企业等）。网络与信息安全的第一责任人：电力企业主要负责人。

3.1.4 监督检查

解读：第四章主要阐述了国家能源局及其派出机构对电力企业网络与信息安全工作进行监督检查的职责以及检查时可采取的措施。

3.2 电力行业信息安全等级保护管理办法

3.2.1 总则

解读：《电力行业信息安全等级保护管理办法》明确了电力行业信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

第一章为总则，阐述了电力行业开展等保的目的、电力行业管理部门和企业的职责与关系。

3.2.2 等级划分与保护

解读：第二章对电力行业信息安全等级的划分和对应等级的保护做了详细阐述。简言之，电力企业依据等级划分规定自主确定相应电力系统的安全保护等级，自主依据有关管理规定和技术标准对其进行保护。等级划分以信息系统的重要性为依据，通过评估系统受到破坏后对公民、法人和其他组织，社会秩序和公共利益，国家安全的损害程度，确定其重要性。对于自主定级有困难的，也可以咨询电力行业保测评机构等单位。

3.2.3 等级保护的实施与管理

解读：第三章对电力行业等级保护的实施过程做了详细阐述。电力信息系统运营、使用单位应按《实施指南》（GB/T 25058-2010）开展等保工作。具体包括定级、备案、安全建设/整改、等级测评、监督检查几个方面。

系统的定级和备案由电力信息系统运营、使用单位采用“自主定级、自主保护”的原则确定，各区域（省）内的电力企业的系统定级结果报国家能源局派出机构备案。

安全建设/整改（参见第十条）可请专业机构等实施。

系统建设完成后需请符合规定（参见第十九条）第三方专业机构进行测评。

监督检查根据系统安全保护级别确定是自主保护还是上级监管部门及其授权的派出机构负责。

3.2.4 信息安全等级保护的密码管理

解读：第四章对等级保护的密码管理进行了详细阐述。对涉及国家秘密的系统采用秘密保护，应该报国家密码管理局审批，并按要求涉及、使用和管理。

3.2.5 法律责任

解读：第五章明确了电力信息系统等级保护工作中监管部门、工作人员及各单位违反规定的惩处措施。

4 结语

《电力行业网络与信息安全管理办法（国能安全[2014]317号）》和《电力行业信息安全等级保护管理办法（国能安全[2014]318号）》，跟《电力监控系统安全防护规定（发改委2014年14号令）》和《电力监控系统安全防护总体方案（国能安全[2015]36号文）一同，构成了电力行业信息安全防护体系文件，体现了电力行业标准跟国家标准的基本差异，突出了电力行业业务特色和管理特征。

参考文献

[1] 王栋，刘识，王怀宇.电力行业三级信息系统等级保护典型设计研究[J].电力信息与通信技术，2012（8）：81-84.

第2篇：信息安全等级保护办法范文

关键词：等级保护；信息安全；风险评估

中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

随着信息化的快速发展，计算机网络与信息技术在各个行业都得到了广泛应用，对信息系统进行风险分析和等级评估，找出信息系统中存在的问题，对其进行控制和管理，己成为信息系统安全运行的重点。

一、信息系统安全

信息安全的发展大致为以下几个阶段，20世纪40-70年代，人们通过密码技术解决通信保密，保证数据的保密性和完整性；到了70-90年代，为确保信息系统资产保密性、完整性和可用性的措施和控制，采取安全操作系统设计技术；90年代后，要求综合通信安全和信息系统安全，确保信息在存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务，以及包括检测、记录和对抗此类威胁的措施，代表是安全评估保障CC；今天，要保障信息和信息系统资产，保障组织机构使命的执行，综合技术、管理、过程、人员等，需要更加完善的管理机制和更加先进的技术，出台的有BS7799/ISO17799管理文件[1]。

二、信息安全等级保护

信息安全等级保护是指对信息系统分等级实行安全保护，对信息系统中发生的信息安全事件等分等级响应、处置，对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算，同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理，国内2007年下发《信息安全等级保护管理办法》，规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会的一个关于信息安全管理的标准[2]。

三、等级保护划分

完整正确地理解安全保护等级的安全要求，并合理地确定目标系统的保护等级，是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》（GB 17859）将我国信息系统安全等级分为5个级别，以第1级用户自主保护级为基础，各级逐渐增强。

第一级：用户自主保护级，通过隔离用户和数据，实施访问控制，以免其他用户对数据的非法读写和破坏。

第二级：系统审计保护级，使用机制来鉴别用户身份，阻止非授权用户访问用户身份鉴别数据。

第三级：安全标记保护级，提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。

第四级：结构化保护级，将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制，系统具有相当的抗渗透能力。

第五级：访问验证保护级，访问监控器仲裁主体对客体的全部访问，具有极强的抗渗透能力。

四、信息系统定级

为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4]，定级范围包含：

1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。

3.市（地）级以上党政机关的重要网站和办公信息系统。

4.涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作，保障行业内的信息系统安全。

五、等级保护在行业中应用

（一）等级保护在电力行业信息安全中的应用

国家电网公司承担着为国家发展电力保障的基本使命，对电力系统的信息安全非常重视，已经把信息安全提升到电力生产安全的高度，并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。

（二）电信网安全防护体系研究及标准化进展

《国家信息化领导小组关于加强信息安全保障工作的意见》和《2006~2020年国家信息化发展战略》的出台，明确了我国信息安全保障工作的发展战略[5]。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络，充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容，将三部分工作有机结合，互为依托和补充，共同构成了电信网安全防护体系。

六、结束语

安全等级保护是指导信息系统安全防护工作的基础管理原则，其核心内容是根据信息系统的重要程度进行安全等级划分，并针对不同的等级，提出安全要求。我国信息安全等级保护正在不断地完善中，相信信息保护工作会越做越好。

参考文献：

[1]徐超汉.计算机信息安全管理[M].北京:电子工业出版社,2006,36-89

[2]ISO27001.信息安全管理标准[S].2005

[3]GB17859计算机信息系统安全保护等级划分准则[S].1999

[4]关于开展全国重要信息系统安全等级保护定级工作的通知［EB/OL］.公信安[2007]861号,20070716.

第3篇：信息安全等级保护办法范文

信息安全等级保护备案实施细则最新全文第一条 为加强和指导信息安全等级保护备案工作，规范备 案受理、审核和管理等工作，根据《信息安全等级保护管理办法》 制定本实施细则。

第二条 本细则适用于非涉及国家秘密的第二级以上信息系 统的备案。

第三条 地市级以上公安机关公共信息网络安全监察部门受 理本辖区内备案单位的备案。 隶属于省级的备案单位， 其跨地 (市) 联网运行的信息系统，由省级公安机关公共信息网络安全监察部 门受理备案。

第四条 隶属于中央的在京单位，其跨省或者全国统一联网 运行并由主管部门统一定级的信息系统，由公安部公共信息网络 安全监察局受理备案，其他信息系统由北京市公安局公共信息网 络安全监察部门受理备案。 隶属于中央的非在京单位的信息系统，由当地省级公安机关 公共信息网络安全监察部门(或其指定的地市级公安机关公共信 息网络安全监察部门)受理备案。 跨省或者全国统一联网运行并由主管部门统一定级的信息系 统在各地运行、应用的分支系统(包括由上级主管部门定级，在 当地有应用的信息系统) 由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条 受理备案的公安机关公共信息网络安全监察部门应 该设立专门的备案窗口，配备必要的设备和警力，专门负责受理 备案工作，受理备案地点、时间、联系人和联系方式等应向社会 公布。

第六条 信息系统运营、使用单位或者其主管部门(以下简 称备案单位 ) 应当在信息系统安全保护等级确定后30日内，到公 安机关公共信息网络安全监察部门办理备案手续。办理备案手续 时，应当首先到公安机关指定的网址下载并填写备案表，准备好 备案文件，然后到指定的地点备案。

第七条 备案时应当提交《信息系统安全等级保护备案表》 (以下简称《备案表》 (一式两份)及其电子文档。第二级以上 信息系统备案时需提交《备案表》中的表一、二、三;第三级以 上信息系统还应当在系统整改、 测评完成后30日内提交 《备案表》 表四及其有关材料。

第八条 公安机关公共信息网络安全监察部门收到备案单位 提交的备案材料后，对属于本级公安机关受理范围且备案材料齐 全的，应当向备案单位出具《信息系统安全等级保护备案材料接 收回执》 备案材料不齐全的， 应当当场或者在五日内一次性告知 其补正内容;对不属于本级公安机关受理范围的，应当书面告知 备案单位到有管辖权的公安机关办理。

第九条 接收备案材料后，公安机关公共信息网络安全监察部门应当对下列内容进行审核： (一)备案材料填写是否完整，是否符合要求，其纸质材料 和电子文档是否一致; (二)信息系统所定安全保护等级是否准确。

第十条 经审核，对符合等级保护要求的，公安机关公共信 息网络安全监察部门应当自收到备案材料之日起的十个工作日 内，将加盖本级公安机关印章(或等级保护专用章)的《备案表》 一份反馈备案单位，一份存档;对不符合等级保护要求的，公安 机关公共信息网络安全监察部门应当在十个工作日内通知备案单 位进行整改， 并出具 《信息系统安全等级保护备案审核结果通知》

第十一条 《备案表》中表一、表二、表三内容经审核合格 的，公安机关公共信息网络安全监察部门应当出具《信息系统安 全等级保护备案证明》 (以下简称《备案证明》 《备案证明》由 公安部统一监制。

第十二条 公安机关公共信息网络安全监察部门对定级不 准的备案单位，在通知整改的同时，应当建议备案单位组织专家 进行重新定级评审，并报上级主管部门审批。 备案单位仍然坚持原定等级的，公安机关公共信息网络安全 监察部门可以受理其备案，但应当书面告知其承担由此引发的责 任和后果，经上级公安机关公共信息网络安全监察部门同意后， 同时通报备案单位上级主管部门。

第十三条 4 对拒不备案的，公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》 等其他有关法律、 法规规定， 责令限期整改。逾期仍不备案的，予以警告，并向其上级主管部 门通报。 依照前款规定向中央和国家机关通报的，应当报经公安部公 共信息网络安全监察局同意。

第十四条 受理备案的公安机关公共信息网络安全监察部 门应当及时将备案文件录入到数据库管理系统，并定期逐级上传 《备案表》中表一、表二、表三内容的电子数据。上传时间为每 季度的第一天。 受理备案的公安机关公共信息网络安全监察部门应当建立管 理制度， 对备案材料按照等级进行严格管理， 严格遵守保密制度， 未经批准不得对外提供查询。 第十五条 公安机关公共信息网络安全监察部门受理备案 时不得收取任何费用。

第十六条 本细则所称以上包含本数(级)

第十七条 各省(区、市)公安机关公共信息网络安全监察 部门可以依据本细则制定具体的备案工作规范，并报公安部公共 信息网络安全监察局备案。

第4篇：信息安全等级保护办法范文

【关键词】等级保护；虚拟专网；VPN

1.引言

随着因特网技术应用的普及，以及政府、企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长，VPN技术为企业提供了一种低成本的组网方式。同时，我国现行的“计算机安全等级保护”也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品，为企业提供符合安全等级保护要求、性价比高的网络安全总体解决方案，是当前企业信息系统设计中面临的挑战。

2.信息安全管理体系发展轨迹

对于信息安全管理问题，在上世纪90年代初引起世界主要发达国家的注意，并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》，规定信息安全管理体系与控制要求和实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织（ISO）联合国际电工委员会（IEC）分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》，并向全世界推广。中国国家标准化管理委员会（SAC）于1999年了GB/T 17859《计算机信息系统安全保护等级划分准则》标准，把信息安全管理划分为五个等级，分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分，并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC 27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。

3.信息系统安全的等级

为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，国家公安部、保密局、密码管理局和国务院信息化工作办公室等，于2007年联合了《信息安全等级保护管理办法》，就全国机构/企业的信息安全保护问题，进行了行政法规方面的规范，并组织和开展对全国重要信息系统安全等级保护定级工作。同时，制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范（国家标准审批稿），来指导国内机构/企业进行信息安全保护。

在《信息系统安全等级保护基本要求》中，要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面，按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求，对信息流进行不同等级的划分，从而达到有效保护的目的。信息系统的安全保护等级分为五级：第一级为自主保护级，第二级指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。

针对政府、企业常用的三级安全保护设计中，主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下，实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。

图1 三级系统安全保护示意图

图2 VPN产品部署示意图

4.VPN技术及其发展趋势

VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求，目前VPN技术主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障，协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术，对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。

SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备，无需安装客户端软件，授权用户能够从任何标准的WEB浏览器和互联网安全地连接到企业网络资源。SSL VPN产品最适合于远程单机用户与中心之间的虚拟网构建。

整个VPN通信过程可以简化为以下4个步骤：

（1）客户机向VPN服务器发出连接请求。

（2）VPN服务器响应请求并向客户机发出身份认证的请求，客户机与VPN服务器通过信息的交换确认对方的身份，这种身份确认是双向的。

（3）VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数，形成安全隧道。

（4）最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。

目前国外公开的相关VPN产品多数采用软件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合国家密码产品管理和应用的要求。《商用密码管理条例》（中华人民共和国国务院第273号令，1999年10月7日）第四章第十四条规定：任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。国家密码管理局在2009年针对VPN产品下发了《IPSec VPN技术规范》和《SSL VPN技术规范》，明确要求了VPN产品的技术体系和算法要求。

5.VPN技术在等级保护中的应用

在三级防护四大方面的设计要求中，VPN技术可以说是在四大方面的设计要求中都有广泛的应用：

在安全计算环境的设计要求中：首先在实现身份鉴别方面，在用户访问的中心，系统管理员都统一建立的有用户的用户组和用户名，用户会通过VPN的设备登录访问中心的应用系统，当身份得到鉴别通过时才可访问应用系统；其次在数据的完整性保护和保密性保护上都能够防止用户的数据在传输过程中被恶意篡改和盗取。

在安全区域边界的设计要求中：网络边界子系统的边界控制与VPN功能一体化实现，在保证传输安全性的同时提高网络数据包处理效率。

在安全通信网络的设计要求中：网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道，通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护，为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关，通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输，实现应用数据的加密通信。

在安全管理中心的设计要求中：系统管理中，VPN技术在主机资源和用户管理能够实现很好的保护，对用户登录、外设接口、网络通信、文件操作及进程服务等方面进行监视机制，确保重要信息安全可控，满足对主机的安全监管需要。

在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。

第5篇：信息安全等级保护办法范文

信息安全等级保护建设背景

信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

2011年，原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）。针对医疗卫生行业的信息系统，原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》（卫发办〔2011〕85号）要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级，并且要求2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。

医疗行业面临的主要风险

1.医疗行业特点

随着我国医疗卫生事业的迅速发展，医学科学的不断进步，医药卫生事业体制改革的逐步深入，医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件，医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点：系统运行连续性要求高，要求7×24小时不间断服务；网络间断时间不允许超过2小时；信息高度集成，所有信息需要集中使用；异构系统多，系统复杂度高；系统间接口复杂，涉及厂家多；系统内存储资料价值较高，存储着医院大量运用数据，其中包含大量患者隐私；存储的数据内容本身具备法律效力；核心网络采用网络物理隔离。

2.信息系统的威胁来源

信息系统的威胁来源主要可以分为两个方面，一个是环境因素造成的威胁，另一个方面是人为因素造成的威胁，而人为因素所带来的损失往往是不可估量的。

在环境因素方面，威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障。

在人员因素方面又可以分为有意和无意两种情况，对于有意而为之的人，通常指恶意造成破坏的人，怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏，采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益。而外部人员也可以利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力。对于无意的情况来说，通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如，内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。

3.信息系统负面影响

医院内部的信息系统如果受到威胁、入侵或被破坏等，会给国家、医院以及人民的利益带来严重的影响。

系统如果出现宕机的现象，首先会造成患者情绪激动，耽误治疗流程，甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱，甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询，信息中心则会电话不断、手忙脚乱。医院业务停顿，从经济上受损失，而媒体也会曝光医院，使得医院信誉受损。

如果医院信息系统的内部信息丢失，则会造成员工信息被公开、患者信息泄露等风险。例如，据《劳动报》报道，一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便，在2011年至2012年4月期间，每月两次非法进入该院数据库，偷偷下载新生儿出生信息并进行贩卖，累计达到了10万条，给医疗卫生行业带来了严重的负面影响。

信息安全等级保护建设体系

由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性，医院开展信息安全等级保护建设工作就尤为重要，急需一套适合医院的等级保护安全防御体系。

信息安全等级保护体系主要包括技术与管理两方面，在安全技术方面包括：物理安全、网络安全、主机安全、应用安全、数据安全；在安全管理方面包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项，顺利通过测评至少要达到控制项的80%以上（表1）。

如表1所示，控制项中G表示基本要求类，三级必须达到G3标准；S表示业务信息安全类，A表示系统服务保证类，三级标准中S与A任选一项达到三级即可。

根据信息安全等级保护标准，我院主要建设经验如下：

1.信息安全技术

（1）物理安全：数据中心机房是物理安全的核心，机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外，日常的管理工作也尤为重要，在物理权限控制方面应配备门禁系统，并且应做到两种或两种以上的身份识别机制，如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统，利用传感器监控温湿度、漏水、电压、设备状态等信息，一旦发生异常通过短信及时告知机房管理人员。

（2）网络安全：按照等级保护思路进行安全域的划分，将不同级别的信息系统通过防火墙和网闸进行隔离，根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表，仅开放必要的端口，并在旁路架设网络流量审计设备和入侵检测系统，对所有流量进行记录及审计，能够及时发现攻击行为；客户端安全域制定网络准入和非法外联策略，禁止未经授权的计算机随意接入医院网络，并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网；架设安全管理域，该区域主要用于对网络设备、服务器、安全设备的管理，并集中收集设备的日志，及时通过分析日志发现安全隐患。

（3）安全：服务器进行统一安全策略的制定，部署网络版杀毒系统、补丁分发系统、入侵防范系统等，并结合服务器承载的业务特点制定详细的资源控制列表，按照最小授权原则，授予最低资源访问权限。

（4）应用安全：部署数据库审计系统，对所有流经数据库的网络流量进行数据分析，制定审计策略，发生违规数据操作及时通过短信报给安全审计人员；同时部署CA数字签名系统，医生通过USBKEY进行系统登录，并对其所有操作进行数字签名，有效保证了应用系统的安全性及数据的不可抵赖性。

（5）数据安全：利用专业的数据备份软件在异地部署数据备份中心，对各系统数据库和文件继续高频率集中加密备份，并且应至少六个月进行一次数据还原演练，保证在出现问题是可以有效进行恢复。

2.信息安全管理

（1）安全管理制度：从医院层面制定信息安全管理制度，对信息安全制度进行重新整理修改，规定信息安全的各方面应遵守的原则、方法和指导策略，指定具体管理规定、处罚措施。制度应具备可操作性，同时应由专人负责随时进行修正，并由信息安全领导小组进行评审，最终进行。

（2）安全管理机构：组织建立信息安全工作领导小组，设置信息安全管理岗位，设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位，制定各岗位的工作职责，与各岗位相关人员签署保密协议。同时制定沟通协作机制，内部定期组织会议进行信息安全工作部署，外部每日向公安局上报备案信息系统的安全情况，与数据库、存储、网络设备、安全设备等厂商签署协议，提供所有设备的备机备件，每月进行设备巡检，并要求在发生紧急事件时及时到场提供技术支持。

（3）人员安全管理：在人员录用方面，严格审查人员的背景、身份，并签署保密协议，人员离岗时执行离岗流程，各部门主管负责回收本部门负责的相关权限，所有权限回收后方可办理离职手续。同时定期对人员进行相关培训，每周进行一次内部培训，每年进行两次外部培训。对于外部厂商人员，其对设备的相关操作均需进行审批流程，并通过技术手段记录所有操作行为，做好操作记录，并不定期进行行为审计。

第6篇：信息安全等级保护办法范文

关键词:电子政务信息安全

0引言

随着电子政务不断推进，社会各阶层对电子政务的依赖程度越来越高，信息安全的重要性日益突出，在电子政务的信息安全管理问题中，基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。

1电子政务信息安全的总体要求

随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据与信息的安全，因此应充分保证以下几点：

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成，在该模型中：

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器：该模型中采用两个LDAP目录服务器，一个存放公钥证书（PKC）和公钥证书吊销列表（CRL），另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

第7篇：信息安全等级保护办法范文

关键词：信息安全；风险评估；教学

信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年7月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，无法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行。

一、现状与存在的问题

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化。

当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高：

1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计；

2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力；

3.实验环境无法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练。

二、教学改革与探索

高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索：

1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力：信息安全风险评估的关键是对信息系统的资产进行分类，对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法，包括使用各种自动化和半自动化的工具，可在模拟实验里，通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力：随着信息化的不断发展，信息系统所面临的安全威胁急剧增加，为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准，培养和提高学生继续学习的能力。另外，《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力，培养学生对信息安全风险评估领域进行探索和研究的兴趣，最终使学生掌握信息安全风险评估的知识和技能，能够解决具体信息系统的安全问题。

2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》（国信办2006年5号文）；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要包括：《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》（GB/T 20984~2007）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现，我们在教学过程中，增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T

22080-2008信息安全管理体系要求》、《GB/T22081-

2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习，并编制相关的调查、检查、测试表，重点强调对脆弱性检测的理论依据的描述，检测方法及其步骤的详细记录。

3.利用各种测评工具，提高学生实践能力。在信息安全风险评估过程中，资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具，并对具体的信息系统进行自动化或半自动化的分析，加深了学生信息安全风险评估的理论知识理解，同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估，该系统的服务器存在感染病毒的症状，其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描，发现了“远程代码被执行”漏洞，而且该漏洞能被蠕虫病毒利用，形成针对系统的攻击。通过案例特征提供了的信息，培养学生使用测评工具对具体信息系统进行安全风险评估的能力，并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。

笔者结合自己的教学实践体会，论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程，需要不断地根据信息系统在新环境下面临的各种威胁，制定新的评估标准和评估方案，并使得学生在有限的时间和环境下掌握相应的知识和技能，以满足社会对信息安全人才的需求。

参考文献：

[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010，26（8）：6-8.

[2]杨春晖，张昊，王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密，2007，（12）：75-77.

[3]潘平，杨平，罗东梅，何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

第8篇：信息安全等级保护办法范文

【关键词】电力企业；信息网络；安全体系

【中图分类号】TP309【文献标识码】A【文章编号】1672-5158（2013）07-0498-02

引言

随着电力企业不断发展，信息化已广泛应用于生产运营管理过程中的各个环节，信息化在为企业带来高效率的同时，也为企业带来了安全风险。一方面企业对信息化依赖性越来越强，尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产；另一方面黑客技术发展迅速，今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此，建设信息安全防护体系建设工作是刻不容缓的。

1 信息安全防护体系的核心思想

电力企业信息安全防护体系的核心思想是“分级、分区、分域”（如图1所示）。分级是将各系统分别确定安全保护级别实现等级化防护；分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护；分域是依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。

2 信息安全防护系统建设方针

2.1整体规划：在全面调研的基础上，分析信息安全的风险和差距，制订安全目标、安全策略，形成安全整体架构。

2.2分步实施：制定信息安全防护系统建设计划，分阶段组织项目实施。

2.3分级分区分域：根据信息系统的重要程度，确定该系统的安全等级，省级公司的信息系统分为二级和三级系统；根据生产控制大区和管理信息大区，划分为控制区（安全I区）、非控制区（安全II区）、管理信息大区（III区）；依据业务系统类型进行安全域划分，二级系统统一成域，三级系统独立成域。

2.4等级防护：按照国家和电力行业等级保护基本要求，进行安全防护措施设计，合理分配资源，做好重点保护和适度保护。

2.5多层防御：在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计，以实现纵深防御。

2.6持续改进：定期对信息系统进行安全检测，发现潜在的问题和系统可能的脆弱性并进行修正；检查防护系统的运行及安全审计日志，通过策略调整及时防患于未然；定期对信息系统进行安全风险评估，修补安全漏洞、改进安全防护体系。

3 信息安全防护体系建设探索

一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下，构建起来并发挥作用的。

3.1 建立信息安全管理体系

安全管理体系是整个信息安全防护体系的基石，它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面，信息安全组织机构的建立尤为重要。

3.1.1建立信息安全管理小组

建立具有管理权的信息安全小组，负责整体信息安全管理工作，审批信息安全方针，分配安全管理职责，支持和推动组织内部信息安全工作的实施，对信息安全重大事项进行决策。处置信息安全事件，对安全管理体系进行评审。

3.1.2分配管理者权限

按照管理者的责、权、利一致的原则，对信息管理人员作级别上的限制；根据管理者的角色分配权限，实现特权用户的权限分离。对工作调动和离职人员及时调整授权，根据管理职责确定使用对象，明确某一设备配置、使用、授权信息的划分，制订相应管理制度。

3.1.3职责明确，层层把关

制订操作规程要根据职责分离和多人负责的原则各负其责，不能超越自己的管辖范围。系统维护时要经信息管理部门审批，有信息安全管理员在场，对故障原因、维护内容和维护前后情况做详细记录。

（1）多人负责制度 每一项与安全有关的活动必须有2人以上在场，签署工作情况记录，以证明安全工作已得到保障。

（2）重要岗位定期轮换制度 应建立重要岗位应定期轮换制度，在工作交接期间必须更换口令，重要技术文件或数据必须移交清楚，明确泄密责任。

（3）在信息管理中实行问责制，各信息系统专人专管。

3.1.5系统应急处理

制定信息安全应急响应管理办法，按照严重性和紧急程度及危害影响的大小来确定全事件的等级，采取措施，防止破坏的蔓延与扩展，使危害降到最低，通过对事件或行为的分析结果，查找事件根源，彻底消除安全隐患。

3.2 建立信息安全技术策略

3.2.1物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的工作环境；防止非法进入机房和各种偷窃、破坏活动的发生，抑制和防止电磁泄露等采取的安全措施。

3.2.2 网络安全策略

网络安全防护措施主要包括以下几种类型：

（1）防火墙技术。通过防火墙配置，控制内部和外部网络的访问策略，结合上网行为管理，监控网络流量分配，对于重要数据实行加密传输或加密处理，使只有拥有密钥的授权人才能解密获取信息，保证信息在传输过程中的安全。

（2）防病毒技术。根据有关资料统计，对电力信息网络和二次系统的威胁除了黑客以外，很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速，对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件，保障升级和更新的时效性，是行之有效的措施。

（3）安全检测系统。通过专用工具，定期查找各种漏洞，监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等，确保对网络非法访问、入侵行为做到及时报警，防止非法入侵。

3.2.3安全策略管理

对建的电力二次系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略；对已投运且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞；定期分析本系统的安全风险，分析当前黑客非法入侵的特点，及时调整安全策略。

3.2.4 数据库的安全策略

数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言，它可以分为以下几种策略。

（1） 最小特权策略： 是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些权限恰好可以让用户完成自己的工作，其余的权利一律不给。

（2） 数据库加密策略： 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。

（3）数据库备份策略：就是保证在数据库系统出故障时，能够将数据库系统还原到正常状态。

（4）审计追踪策略：是指系统设置相应的日志记录，特别是对数据更新、删除、修改的记录，以便日后查证。

第9篇：信息安全等级保护办法范文

关键词：证券行业信息安全网络安全体系

近年来，我国资本市场发展迅速，市场规模不断扩大，社会影响力不断增强．成为国民经济巾的重要组成部分，也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展，关系着亿万投资者的切身利益，关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业，高度依赖信息技术，而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前．国内外网络信息安全问题日益突出。从资本市场看，近年来，随着市场快速发展，改革创新深入推进，市场交易模式日趋集巾化，业务处理逻辑日益复杂化，网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强，交易时问内一刻也不能中断。加强信息安全应急丁作，积极采取预防、预警措施，快速、稳妥地处置信息安全事件，尽力减少事故损失，全力维护交易正常，对于资本市场来说至关重要。

1证券行业倍息安全现状和存在的问题

1．1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行，中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成，推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多，但在现行的法律法规中。立法主体较多，法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要，行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后，缺乏总体规划；二是规范和标准互通性和协调性不强，部分规范和标准的可执行性差；三是部分规范和标准已不适应，无法应对某些新型信息安全的威胁；四是部分信息安全规范和标准在行业内难以得到落实。

1．2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施，组织体系是信息安全保障工作的核心。目前，证券行业采用“统一组织、分工有序”的信息安全工作体系，分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调，建立健全信息安全管理制度和运行机制，切实提高行业信息安全保障工作水平，根据证监会颁布的《证券期货业信息安全保障管理暂行办法》，参照ISO／IEC27001：2005，提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构．顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性)，正面是行业组织结构．侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1．3IT治理方面

整个证券业处于高度信息化的背景下，IT治理已直接影响到行业各公司实现战略目标的可能性，良好的IT治理有助于增强公司灵活性和创新能力，规避IT风险。通过建立IT治理机制，可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题，自我评估IT管理效果．可以加强对信息化项目的有效管理，保证信息化项目建设的质量和应用效果，使有限的投入取得更大的绩效。

2003年lT治理理念引入到我国证券行业，当前我国证券业企业的IT治理存在的问题：一是IT资源在公司的战略资产中的地位受到高层重视，但具体情况不清楚；二是IT治理缺乏明确的概念描述和参数指标；是lT治理的责任与职能不清晰。

1．4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流模式。据统计，2008年我同证券网上交易量比重已超过总交易量的80％。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来，证券行业各机构采取了一系列措施，建立了相对安全的网络安全防护体系和灾舴备份系统，基木保障了信息系统的安全运行。但细追究起来，我国证券行业的网络安全防护体系及灾备系统建设还不够完善，还存存以下几方面的问题：一是网络安全防护体系缺乏统一的规划；二是网络访问控制措施有待完善；三是网上交易防护能力有待加强；四是对数据安全重视不够，数据备份措施有待改进；五是技术人员的专业能力和信息安全意识有待提高。

1．5IT人才资源建设方面

近20年的发展历程巾，证券行业对信息系统日益依赖，行业IT队伍此不断发展壮大。据统计，2008年初，在整个证券行业中，103家证券公司共有IT人员7325人，占证券行业从业总人数73990人的9．90％，总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6％”的最低要求。目前，证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任，IT队伍建设是行业信息安全IT作的根本保障。但是，IT人才队伍依然存在着结构不合理、后续教育不足等问题，此行业的人才培养有待加强。

2采取的对策和措施

2．1进一步完善法规和标准体系

首先，在法规规划上，要统筹兼顾，制定科学的信息技术规范和标准体系框架。一是全面做好立法规划；二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层：第一层是管理办法等巾同证监会部门规章；第二层是证监会相关部门制定的管理规范等规范性文件；第三层是技术指引等自律规则，一般由交易所、行业协会在证监会总体协调下组织制定。其次，在法规制定上．要兼顾规范和发展，重视法规的可行性。最后，在法规实施上．要坚持规范和指引相结合，重视监督检查和责任落实。

2．2深入开展证券行业IT治理工作

2．2．1提高IT治理意识

中国证券业协会要进一步加强IT治理理念的教育宣传工作，特别是对会员单位高层领导的IT治理培训，将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识，提高他们IT治理的积极性。

2．2．2通过设立IT治理试点形成以点带面的示范效应

根据IT治理模型的不同特点，建议证券公司在决策层使用CISR模型，通过成立lT治理委员会，建立各部门之间的协调配合、监督制衡的责权体系；在执行层以COBIT模型、ITFL模型等其他模型为补充，规范信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为lT试点单位，进行IT治理模型选择、剪裁以及组合的实践探索，形成一批成功实施IT治理的优秀范例，以点带面地提升全行业的治理水平。

2．3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键．应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施．且南相芙的监督机构进行督促。

2．4加强网络安全体系规划以提升网络安全防护水平

2．4．1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划证券网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2．4．2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固．降低系统漏洞带来的安全风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使朋的安全性。

2．4．3提高从业人员安全意识和专业水平

目前在证券行业内，从业人员的网络安全意识比较薄弱．必要时可定期对从业人员进行安全意识考核，从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训，提高行业网络安全的管理水平和专业技术水平。

2．5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的，数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件，还是我国2008年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上，针对自身需要，对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设，以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效．使应急工作与日常工作有机结合。

2．6抓好人才队伍建设

证券行业要采取切实可行的措施，建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强lT人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系，对信息技术人员进行科学有效的考评，提升行业人才资源的优化配置和使用效率，促进技术人才结构的涮整和完善。