安全等级保护管理办法精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的安全等级保护管理办法主题范文，仅供参考，欢迎阅读并收藏。

第1篇：安全等级保护管理办法范文

根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［200］27号）、《北京市政务与公共服务信息化工程建设管理办法》（市政府第67号令）、《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发［200］3号）以及其他有关法律、法规的规定，结合本市实际情况，现就本市党政机关开展网络与信息系统安全等级保护工作的有关要求通知如下：

一、充分认识开展安全等级保护工作的重要意义

为进一步提高信息安全保障能力和防护水平，维护国家安全、社会稳定，保障和促进信息化建设的健康发展，国务院在全面分析全国信息安全保障工作形势的基础上，针对存在问题，明确指示要抓紧建立信息安全等级保护制度，制定信息安全等级保护管理办法和技术指南，突出重点，切实保护好基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。国务院的指示对于加强信息安全保障工作十分重要，我市要认真贯彻执行。

开展安全等级保护工作就是依据网络与信息系统的重要程度和面临的安全风险等因素，综合平衡安全成本和风险，划分系统的安全等级，优化资源配置，进行建设和管理。

开展安全等级保护工作是关系到信息化建设全局的重要举措，是做好信息安全保障工作基本思路，是网络与信息系统基础设施建设的重要内容，是一个非静止、非僵化的系统工程。切实做好安全等级保护工作，建立安全等级保护制度，能够使我市的网络与信息系统防护水平从“独立运行、自主保护”的状况尽快过渡到“统一管理平台、统一安全标准”的阶段；能够有效地提高网络与信息系统安全建设的整体水平，增强使用效益；能够使信息安全与信息化建设协调发展，减少建设成本；重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；能够明确国家、法人和其他组织、公民的信息安全责任；能够有力推动信息安全产业发展，探索一套适应社会主义市场经济发展的信息安全发展模式。同时，开展安全等级保护工作也是加速首都现代化建设和成功举办2008年奥运会的迫切需要。

二、加强对安全等级保护工作的指导和管理

在北京市网络与信息安全协调小组的统一领导下，市信息办会同有关部门负责本市党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查，并对重要网络与信息系统的安全等级保护定期进行检查指导，并定期通报。

各区县信息化主管部门会同有关部门负责本区县党政机关网络与信息系统安全等级保护的统筹规划、综合协调和监督检查。

本市各级党政机关负责本单位网络与信息系统安全等级保护的组织实施。

涉及到国家秘密的网络与信息系统按照国家和本市有关保密规定执行。

北京市信息安全测评中心负责本市各级党政机关重要网络与信息系统实行安全等级保护过程中的检查评估和验收的安全测评。

各单位在自定级过程中，可以委托专业信息安全服务机构协助完成，市信息办将定期公布通过信息安全服务能力评估的机构目录。

三、开展安全等级保护工作的实施计划

本市各级党政机关网络与信息系统均要开展安全等级保护工作。新建和已建成但未正式运行的网络与信息系统要按照安全等级保护制度的有关要求进行建设；已经正式运行的网络与信息系统要按计划逐步纳入安全等级保护制度；网络与信息系统结构和功能等要素发生变化，要及时重新进行风险评估、安全定级和检测评估。各单位均应根据所核定的安全等级进行使用和管理。主要职责是：落实相应的管理制度和技术保护要求，组织管理人员和技术人员进行安全教育培训；适时进行安全应急预案的演练；定期组织自评估，保持系统良好的安全状态；认真履行信息安全等级管理职责，协助主管部门做好网络与信息系统的安全等级保护检查工作。

安全等级保护是一项基础性、长期性的工作，各单位均要将其作为一项重要内容纳入整个信息化建设过程的始终，切实抓好落实工作。在全市党政机关建立网络与信息系统的安全等级保护制度，计划用三年时间，分为四个步骤。

准备阶段：200年6月底完成。主要做好以下工作：明确主管部门、专业技术支撑单位和使用单位的职责、权利和义务，理顺关系，建立协调配合和管理的运行机制；依照国家有关法规，制定、完善安全等级保护工作的相关的配套文件；广泛开展宣传教育工作，组织培训，特别是对监管队伍和专业技术支撑单位人员的培训，在思想认识、政策理论、管理和技术等方面作好充足准备。

试行阶段：200年底前完成。在前期准备的基础上，全面展开建立安全等级保护制度的工作。工作内容包括：自定级、备案、建设整改、检查评估。其中，200年9月底前，各单位要完成自身网络与信息系统的自定级工作；200年10月底前，各单位要完成3级以上的网络与信息系统向市信息办备案工作；200年6月底前，各单位要完成对正在运行的3级以上的网络与信息系统的整改工作；200年12月底前，完成对本市部分重要网络与信息系统的检查评估工作。

完善阶段：200年12月底前完成。其中，200年6月底前完成本市党政机关开展安全等级保护的总结工作、相关配套文件的修订工作和信息安全测评基础设施能力建设工作；200年12月底前，完成本市重要网络与信息系统的检查评估工作。

正常阶段：200年开始，全市各级党政机关全面推行网络与信息系统安全等级保护制度，转入经常性工作。各单位每年应对其自身的网络与信息系统进行一次自评估；市信息办每两年对本市各级党政机关重要网络与信息系统进行一次检查评估。

各单位要认真执行安全等级保护的有关规定，认真落实安全等级保护制度，自觉接受主管部门的检查指导，切实做好信息安全保障工作。

四、坚决落实安全等级保护工作的各项措施

各单位要认真贯彻执行国家和本市关于信息化建设和信息安全保障工作的一系列指示、要求和规定，切实保证信息安全等级保护工作的顺利开展。

(一)各单位在立项前对其网络与信息系统进行风险评估，依据《北京市党政机关网络与信息系统安全定级指南》（见附件）自行确定安全等级。3级以上网络与信息系统应填写《北京市党政机关网络与信息信息安全定级备案（审查）表》，报市信息化主管部门审查。未经审查的，依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第八条规定，主管部门不予批准立项，财政部门不予拨款。

(二)在信息化项目预算时，各单位要按照等级保护的要求将安全等级保护的各项费用（风险评估、方案设计、工程实施、测评验收、工程监理等）列入项目预算；在网络与信息系统运行后，也要按照安全等级保护的要求将相关费用列入系统运行维护费。

(三)各单位的重要网络与信息系统在正式投入运行前应依据北京市人民政府第67号令《北京市政务与公共服务信息化工程建设管理办法》第十三条规定，经过安全测评认证，未经测评认证的，不得投入运行。

(四)北京信息安全测评中心在测评过程中必须坚持客观公正、实事求是的原则，出具真实的测评报告，市信息办对安全等级保护测评活动进行监督管理，对违反上述原则，出具虚假报告等行为的将追究有关领导和责任人的责任；情节严重构成犯罪的，由有关部门追究其法律责任。

(五)专业信息安全服务机构为本市各级党政机关提供信息安全服务应符合国家和本市的有关规定，北京信息安全测评中心应定期了解为本市各级党政机关提供信息安全服务机构的有关情况、征求用户意见，对有问题的单位提出建议和警告，问题严重的应取消其信息安全服务能力等级证书并予以公布。

(六)市信息办加强对安全等级保护工作的指导和监督检查。对违反有关规定的，要及时进行纠正；情节严重并造成重大损失的，由其上级主管部门依照有关规定追究单位负责人和有关人员的行政责任。构成犯罪的，由有关部门追究其法律责任。

五、切实加强对安全等级保护工作的组织领导

第2篇：安全等级保护管理办法范文

【 关键词 】 等级保护；等级测评；质量控制

1 引言

近年来，随着等级保护工作的深入开展，我国相继出台了一系列等级保护法律法规体系和标准规范体系，中国石化根据国家等级保护政策和技术标准，结合企业特点，在不低于国家标准的基础上，编写了企业行业标准，形成了企业等级保护标准体系。对等级保护五个基本动作（信息系统定级、备案、安全建设整改、等级测评、安全检查环节）进行了针对性指导。其中《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》、《信息系统安全管理测评》 、《中国石化集团信息系统安全等级保护管理办法》等技术标准，对等级测评的主要原则和主要内容，测评基本流程、过程分类、记录文档、测评报告等进行了具体规范。就目前研究成果来看，我国还没有形成以等级测评为主体的质量管理体系与技术标准，缺乏针对等级测评活动质量控制的方法研究。本文从研究《信息系统安全等级保护基本要求》、《中国石化集团信息安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过程指南》等管理规范和技术标准入手，对等级测评活动的质量控制进行分析，提出了相应的工作方法和控制措施，基本满足了等级测评活动公正性、客观性和保密性对质量控制的需求。

2 等级测评活动的质量控制需求

等级测评活动是测评机构依据等级保护相关的政策法规、管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，为石化行业等单位进行信息系统等级保护安全建设整改和国家监管部门依法行政管理提供决策依据，是落实信息安全等级保护制度的重要环节。等级测评活动不同于一般的风险评估和安全评价，是政策性、专业性很强的技术活动。对等级测评活动实施质量控制的目的，就是建立和完善等级测评质量管理体系，通过质量方针目标、管理制度、控制程序等系列管理措施，对等级测评活动实施全过程实施质量控制，保证测评活动中引用的政策法规、技术标准正确，测评方法科学，测评过程可控，测评行为规范，测评结论客观真实。要求等级测评人员在测评活动中，不但要正确理解和把握等级保护相关的政策法规、管理规范和技术标准，保证等级测评过程的合规性，还要通过职业道德规范教育和测评行为约束，保证等级测评结论的公正性、客观性。

3 等级测评机构的质量管理体系结构

等级保护政策法规、管理规范和技术标准，对等级测评的原则、内容、过程、方法以及测评强度的要求，体现了对等级测评活动实施质量控制的思想。《信息安全等级测评机构能力要求》要求等级测评机构建立、实施和维护符合等级测评工作需要的文件化的质量管理体系。要求体系文件以制度、手册、程序等形式执行，并应建立执行记录，为等级测评活动质量控制提出了基础框架结构。

等级测评机构的质量管理体系结构和控制措施主要包括四个层次的内容。

第一层指导性文件：依据等级保护政策法规体系、技术标准体系和等级测评机构能力要求，制定等级测评机构质量管理体系，确立质量方针和工作目标，指导测评活动。

第二层控制性文件：根据测评活动要求，建立保密管理制度、项目管理制度、质量管理制度、人员管理制度、教育培训制度、设备管理制度、申诉、投诉和争议管理制度等，对等级测评活动管理目标进行控制。

第三层操作性文件：依据等级测评管理目标，建立和完善相应的《合同评审控制程序》、《文件记录控制程序》 、《管理评审控制程序》、《技术评审控制程序》、《测评设备控制程序》、《测评过程控制程序》、《风险控制程序》、《保密控制程序》、《人力资源管理与教育培训程序》、《纠正和预防措施控制程序》、《申诉、投诉及争议处理控制程序》、《客户满意度管理程序》等操作性文件，对等级测评活动过程和环节进行控制。

第四层保证性文件：建立健全各项质量记录表单，制定测评机构禁止行为和测评人员职业道德规范，对等级测评结论的公正性、客观性、保密性进行控制。

4 等保测评过程中的质量控制

《 信息系统安全等级保护测评过程指南》将等级测评过程划分为测评准备、方案编制、现场测评、分析与报告编制四个活动阶段。测评过程质量控制强度与质量管理体系各要素之间的关系如表1所示。

4.1 测评准备活动的质量控制

4.1.1 项目启动活动的质量控制

依据《合同评审控制程序》组织有关管理、技术人员和法律顾问召开合同评审会议，对测评双方需要签订的委托协议或合同书进行评审。根据双方签订的委托协议或合同书，组建等级测评项目组，按照测评活动实际要求进行人员、设备、资金等资源配置。项目组设置质量管理和技术管理部门，明确责任权限，以满足测评活动的技术和质量管理要求。

依据《 信息系统安全等级保护测评过程指南》和《测评过程控制程序》编制《项目计划书》。

4.1.2 信息收集和分析活动的质量控制

依据《测评过程控制程序》编制《基本情况调查表》，收集和分析被测信息系统等级测评需要的各种资料，包括各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。通过现场调查和工作交流等方式详细了解被测系统状况，明确等级测评的工作流程及可能带来的风险和规避方法，为编制等级测评实施方案做好准备。

4.1.3 工具和表单准备活动的质量控制

测评人员依据《测评过程控制程序》要求，搭建模拟系统测试环境，按照测评机构《测评设备控制程序》调试各种必备的测试工具，并按照《文件记录控制程序》准备现场测评授权书、文档交接单、会议记录表单、会议签到表等表单。

4.2 方案编制活动的质量控制

4.2.1 测评对象、测评指标、测试工具接入点、测评内容的质量控制

测评人员根据已经了解到的被测系统信息，按照《测评过程控制程序》规定的方法和步骤，分析整个被测系统及其涉及的业务应用系统，确定出本次测评活动的测评对象、测评指标、测试工具接入点、测评内容等，并以表单的形式进行具体描述。

4.2.2 测评指导书开发、测评方案编制的质量控制

测评人员按照《测评过程控制程序》要求和测评活动内容开发测评指导书、编制等级测评实施方案。

测评指导书由测评机构按照《技术评审程序》进行技术评审，评审合格后项目技术主管签字，并按照控制范围分发、管理。

等级测评实施方案由项目经理按照《技术评审程序》组织双方测评人员和专家小组成员进行技术评审，评审合格的等级测评实施方案，提交石化单位代表签字确认，按照《文件记录控制程序》、《保密控制程序》进行和管理。

4.3 现场测评活动的质量控制

4.3.1 进场前的准备活动的质量控制

按照《测评过程控制程序》要求组织召开首次测评会议，测评双方人员沟通等级测评实施方案，签署现场测评授权书，做好现场测评准备。

4.3.2 现场测评和结果记录、结果确认活动的质量控制

测评人员进入测评现场测评时，按照《测评过程控制程序》填写《现场测评登记表》，详细填写出入现场时间、测评工作内容、测评前后的信息系统安全状况，并由石化单位配合人员现场签字确认。

严格按照测评指导书和等级测评实施方案确定的过程和方法进行现场测评，通过人员访谈、文档审查、配置检查、工具测试和实地察看等方法，测评被测系统的保护措施情况，获取现场测评证据，并按照《文件记录控制程序》要求填写《现场测评记录表》。

现场测评活动中，及时汇总现场测评记录和发现的问题，对遗漏和需要进一步验证的内容实施补充测评，测评记录由测评双方测评人员现场签字确认。

现场测评完成后，测评双方人员召开现场测评结束会，对现场测评工作进行小结，将现场测评中发现的问题形成书面报告，并由双方代表签字确认。

现场测评活动中产生的所有现场测评结果记录以及石化单位提供的信息资料，均按照《文件记录控制程序》、《保密控制程序》进行管理，严格限制他们的知晓和使用范围。

4.4 分析与报告编制活动的质量控制

4.4.1 测评结果判定、整体测评、风险分析、等级测评结论形成的的质量控制

测评人员依据《信息系统安全等级保护基本要求》、《中国石化集团信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统通用安全技术要求》等相关技术标准，按照《测评过程控制程序》规定的方法、步骤，对测评指标中的每个测评项测评记录，进行客观、准确地分析，形成初步单项测评结果，并以表单形式给出。按照《测评过程控制程序》要求汇总单项测评结果，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。测评人员针对单项测评结果的不符合项，采取逐条判定和优势证据的方法，从安全控制间、层面间和区域间出发，对系统结构进行整体安全测评，给出整体测评的具体结果。采用风险分析的方法分析等级测评结果中存在的安全问题及可能对被测系统安全造成的影响。在此基础上，找出系统保护现状与等级保护基本要求之间的差距，形成等级测评结论。

结论形成后，测评双方有关人员和技术专家按照《技术评审控制程序》对形成等级测评结论进行评审，评审通过的结果判定由测评双方授权代表签字确认。

本过程产生的文档资料，按照《文件记录控制程序》、《保密控制程序》进行分类授权使用和管理。

4.4.2 测评报告的编制和分发的质量控制

测评机构按照《信息安全等级测评报告模板（试行）》格式编写报告文档。

测评双方有关人员和专家召开等级测评末次会议，按照《管理评审控制程序》、《技术评审控制程序》对等级报告格式、内容和结论进行评审，评审通过的测评报告文档，按照《文件记录控制程序》盖章、编号，并由测评机构项目经理、质量主管、技术主管联合签发。

测评人员按照《文件记录控制程序》和《保密控制程序》和合同约定的控制范围分发等级测评报告，交接有关资料文档，删除测评设备产生的电子数据。

5 结束语

本文依据等级保护相关的政策法规、管理规范和技术标准，结合等级测评活动的公正性、客观性、保密性的要求，对等级测评活动的质量控制进行了分析，为等级测评机构建立质量管理体系和等级测评质量控制提供了借鉴和参考。随着等级保护政策法规和标准规范的不断更新和完善，等级测评活动的质量控制还有待更深入全面的探讨和研究。

参考文献

[1] GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求.

[2] GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南.

[3] 中华人民共和国公共安全行业标准（GA/T713-2007）.信息系统安全管理测评.

[4] 中国石化集团信息系统安全等级保护管理办法.

[5] GB/T 22239-2008 信息系统安全等级保护基本要求[S].

[6] 中国石化集团信息系统安全等级保护基本要求.

[7] 信息安全等级测评机构能力要求（试行）.

[8] GB/T20271-2006 信息安全技术 信息系统通用安全技术要求[S].

[9] 公信安[2009]1487号.关于印发《信息系统安全等级测评报告模板（试行）》的通知.

[10] 郝文江，武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全，2012，（01）：5-9.

[11] 韩水玲，马敏，王涛等.数字证书应用系统的设计与实现[J].信息网络安全，2012，（09）：43-45.

[12] 常艳，王冠.网络安全渗透测试研究[J].信息网络安全，2012，（11）：3-4.

第3篇：安全等级保护管理办法范文

信息安全等级保护备案实施细则最新全文第一条 为加强和指导信息安全等级保护备案工作，规范备 案受理、审核和管理等工作，根据《信息安全等级保护管理办法》 制定本实施细则。

第二条 本细则适用于非涉及国家秘密的第二级以上信息系 统的备案。

第三条 地市级以上公安机关公共信息网络安全监察部门受 理本辖区内备案单位的备案。 隶属于省级的备案单位， 其跨地 (市) 联网运行的信息系统，由省级公安机关公共信息网络安全监察部 门受理备案。

第四条 隶属于中央的在京单位，其跨省或者全国统一联网 运行并由主管部门统一定级的信息系统，由公安部公共信息网络 安全监察局受理备案，其他信息系统由北京市公安局公共信息网 络安全监察部门受理备案。 隶属于中央的非在京单位的信息系统，由当地省级公安机关 公共信息网络安全监察部门(或其指定的地市级公安机关公共信 息网络安全监察部门)受理备案。 跨省或者全国统一联网运行并由主管部门统一定级的信息系 统在各地运行、应用的分支系统(包括由上级主管部门定级，在 当地有应用的信息系统) 由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条 受理备案的公安机关公共信息网络安全监察部门应 该设立专门的备案窗口，配备必要的设备和警力，专门负责受理 备案工作，受理备案地点、时间、联系人和联系方式等应向社会 公布。

第六条 信息系统运营、使用单位或者其主管部门(以下简 称备案单位 ) 应当在信息系统安全保护等级确定后30日内，到公 安机关公共信息网络安全监察部门办理备案手续。办理备案手续 时，应当首先到公安机关指定的网址下载并填写备案表，准备好 备案文件，然后到指定的地点备案。

第七条 备案时应当提交《信息系统安全等级保护备案表》 (以下简称《备案表》 (一式两份)及其电子文档。第二级以上 信息系统备案时需提交《备案表》中的表一、二、三;第三级以 上信息系统还应当在系统整改、 测评完成后30日内提交 《备案表》 表四及其有关材料。

第八条 公安机关公共信息网络安全监察部门收到备案单位 提交的备案材料后，对属于本级公安机关受理范围且备案材料齐 全的，应当向备案单位出具《信息系统安全等级保护备案材料接 收回执》 备案材料不齐全的， 应当当场或者在五日内一次性告知 其补正内容;对不属于本级公安机关受理范围的，应当书面告知 备案单位到有管辖权的公安机关办理。

第九条 接收备案材料后，公安机关公共信息网络安全监察部门应当对下列内容进行审核： (一)备案材料填写是否完整，是否符合要求，其纸质材料 和电子文档是否一致; (二)信息系统所定安全保护等级是否准确。

第十条 经审核，对符合等级保护要求的，公安机关公共信 息网络安全监察部门应当自收到备案材料之日起的十个工作日 内，将加盖本级公安机关印章(或等级保护专用章)的《备案表》 一份反馈备案单位，一份存档;对不符合等级保护要求的，公安 机关公共信息网络安全监察部门应当在十个工作日内通知备案单 位进行整改， 并出具 《信息系统安全等级保护备案审核结果通知》

第十一条 《备案表》中表一、表二、表三内容经审核合格 的，公安机关公共信息网络安全监察部门应当出具《信息系统安 全等级保护备案证明》 (以下简称《备案证明》 《备案证明》由 公安部统一监制。

第十二条 公安机关公共信息网络安全监察部门对定级不 准的备案单位，在通知整改的同时，应当建议备案单位组织专家 进行重新定级评审，并报上级主管部门审批。 备案单位仍然坚持原定等级的，公安机关公共信息网络安全 监察部门可以受理其备案，但应当书面告知其承担由此引发的责 任和后果，经上级公安机关公共信息网络安全监察部门同意后， 同时通报备案单位上级主管部门。

第十三条 4 对拒不备案的，公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》 等其他有关法律、 法规规定， 责令限期整改。逾期仍不备案的，予以警告，并向其上级主管部 门通报。 依照前款规定向中央和国家机关通报的，应当报经公安部公 共信息网络安全监察局同意。

第十四条 受理备案的公安机关公共信息网络安全监察部 门应当及时将备案文件录入到数据库管理系统，并定期逐级上传 《备案表》中表一、表二、表三内容的电子数据。上传时间为每 季度的第一天。 受理备案的公安机关公共信息网络安全监察部门应当建立管 理制度， 对备案材料按照等级进行严格管理， 严格遵守保密制度， 未经批准不得对外提供查询。 第十五条 公安机关公共信息网络安全监察部门受理备案 时不得收取任何费用。

第十六条 本细则所称以上包含本数(级)

第十七条 各省(区、市)公安机关公共信息网络安全监察 部门可以依据本细则制定具体的备案工作规范，并报公安部公共 信息网络安全监察局备案。

第4篇：安全等级保护管理办法范文

关键词：信息安全；等级保护；技术方案

中图分类号：TP393.092

随着采供血业务对信息系统的依赖程度越来越高，信息安全问题日益突现，各采供血机构对信息安全保障工作给予了高度重视，各方面的信息安全保障工作都在逐步推进。《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号）指出[1]，依据国家信息安全等级保护制度，遵循相关标准规范，全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急能力，做好信息安全等级保护工作，对于促进采供血机构信息化发展，维护公共利益、社会秩序和国家安全具有重要意义。

1 信息安全等级保护概述

1994年国务院147号令《中华人民共和国计算机信息系统保护条例》，规定我国实行“计算机信息安全等级保护制度”[2]。根据147号令的要求，公安部制定了《计算机信息等级划分标准》（GB17859-1999以下简称GB17859），该标准是我国最早的信息安全等级标准。

当前实施的信息安全等级保护制度是由公安部等四部委联合发文《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）及《信息安全等级保护管理办法》（公通字[2007]43号），文件明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划，为信息安全工作提供了规范保障。这些信息安全的有关政策法规主要是从管理角度划分安全等级的要求。

2006年，国家信息安全技术标准化技术委员会以GB17859为基本依据，提出并制定了一系列信息安全国家标准（GB/T20269-2006《信息安全技术 信息系统安全管理要求》等）。这一系列规范性文件体现了从技术角度划分信息安全等级的要求，主要以信息安全的基本要素为单位，对实现不同安全要求的安全技术和机制提出不同的要求。本文主要讨论以GB17859为依据从技术角度探讨信息安全等级保护技术在采供血机构中的实践。

2 等级保护技术方案

信息安全等级保护制度明确了信息安全防护方案，要求确保信息系统安全稳定运行，确保信息内容安全。保证业务数据在生成、存储、传输和使用过程中的安全，重要业务操作行为可审计，保证应用系统可抵御黑客、恶意代码、病毒等造成的攻击与破坏，防范恶意人员对信息系统资源的非法、非授权访问。

2.1 实现要求。三级安全应用平台安全计算环境的安全目标是保护计算环境的终端、重要服务器、乃至上层的应用安全和数据安全，并对入侵事件进行检测/发现、防范/阻止和审计/追查。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络、安全管理中心及四个部分，形成“一个中心”三重保障体系[3]。

图1 三级安全应用平台TCB模型

2.2 安全计算机环境。安全计算机环境是由安全局域通信网络连接的各个安全的计算资源所组成的计算环境，其工作方式包括客户/服务器模式；主机/终端模式；服务器/工作站模式。

2.3 安全区域边界。是安全计算环境通过安全通信网络与外部连接的所有接口的总和，包括防火墙、防病毒网关及入侵检测等共同实现。

2.4 安全通信网络。实现信息系统中各个安全计算机环境之间互相连接的重要设施。包括安全性检测、安全审计病毒防杀、备份与故障恢复以及应急计划与应急反应。

2.5 安全管理中心。针对安全计算机环境、安全区域边界和安全通信网络三个部分的安全机制的集中管理设施。针对安全审计网络管理、防病毒等技术的安全集中管理。

3 采供血机构信息系统等级保护建设

3.1 定级。采供血机构为地市级公益卫生事业单位，信息管理系统受到破坏会严重损害社会秩序，采供血业务停滞会严重损害公共利益，信息泄露则会严重影响公众利益，按信息系统安全等级保护定级指南，确定采供血信息系统安全保护等级为第三级。

3.2 系统分析。采供血信息系统覆盖采供血业务和相关服务过程，包括献血者档案、血液采集、制备、检验和发放等信息记录必须妥善保存并保持可溯性。艾滋病疫情信息根据国家相关法律法规的要求，必须防止泄露，以免产生对国家安全及社会稳定的负面影响。

信息系统核心由两台双机热备服务器、磁盘阵列柜组成，采用硬件VPN、硬件防火墙作为网络安全设备。应用VPN技术将远离采供血机构本部的献血屋、移动采血车及医院输血科使用的业务计算机与站内的服务器联网。

3.3 等级保护建设。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络和安全管理中心四部分。构建“一个中心”管理下的“三重保障体系”，实现拓朴图如下：

图2 采供血机构拓扑图

3.3.1 安全计算环境。系统层主要进行身份认证及用户管理、访问控制、安全审计、审恶意代码防范，补丁升级及系统安全性检测分析。安全计算环境主要依靠在用户终端或是服务器中充分挖掘完善现有windows/Linux操作系统本身固有的安全特性来保证其安全性。在应用系统实现身份鉴别、访问控制、安全审计等安全机制。

3.3.2 安全区域边界。在网络边界处以网关模式部署深信服下一代防火墙AF-1320，电信及联通两条线路都接入其中，达到以下防护目的：（1）区域边界访问控制：逻辑隔离数据、透明并严格进行服务控制，隔离本单位网络和互联网，成为网络之间的边界屏障，单位内部电脑上网，实施相应访问控制策略，设置自主和强制访问控制机制；（2）区域边界包过滤：通过检查数据包源地址、过滤与状态检测提供静态的包过滤和动态包过滤功能；（3）区域边界安全审计：由内置数据中心和独立数据中心记录各类详细事件，并产生统计报表。还可根据管理者定义的风险行为特征自动挖掘并输出风险行为智能报表；（4）完整性保护：保护计算机网络免受非授权人员的骚扰与黑客的入侵，过滤所有内部网和外部网之间的信息交换。该防火墙具有IPS入侵防护，防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；具有网络应用层防护，识别及清杀恶意代码功能。

3.3.3 安全通信网络。当用户跨区域访问时，根据三级标准要求，需要进行数据传输保护。通过部署VPN安全设备构建安全隧道，实施机密性和完整性保护，实现对应用数据的网络传输保护。（1）本单位用采两台深信服VPN网关为跨区域边界的通信双方建立安全的通道。一台为IPsec VPN用于连接采供血机构的分支机构如大型献血屋，另一台为SSL VPN用于小型捐血屋、流动采血车、各医院与采供血机构的数据通信。VPN设备可为采供血机构内部网络与外部网络间信息的安全传输提供加密、身份鉴别、完整性保护及控制等安全机制。另外，VPN安全网关中设计了审计功能来记录、存储和分析安全事件，可为安全管理员提供有关追踪安全事件和入侵行为的有效证据；（2）在防火墙下端部署华为S5700系列三层核心交换机，并在网络中划分VLAN，设置部门应用终端的访问权限，规定哪些部门可以访问哪些服务器等以减少网络中的广播风暴，提高网络效率；（3）在行政办公区域利用深信服上网行为管理（Sinfor-M5000-AC）有效管理与利用互联网资源，合理封堵非业务网络应用。

3.3.4 安全管理中心。信息安全等级保护三级的信息系统，应建立安全管理中心，主要用于监视和记录信息系统中比较重要的服务器、网络设备等环节，以及所有应用系统和主要用户的安全状况。本单位目前安全管理中心由两部分组成，配置赛门铁克赛门铁克SEP12.1，采用分布式的体系结构部署了防病毒系统中心、防病毒服务器端、防病毒客户端、防病毒管理员控制台。防病毒软件与防火墙、VPN及上网行为管理协同完成通信线路、主机、网络设备、应用软件的运行等监测和报警，并形成相关报表。对设备状态、恶意代码、补丁升级及安全审计等相关事项进行集中管理。

4 结束语

按照等级保护的相关规范和技术要求，结合采供血机构具体网络和系统应用，设计三级信息安全等级保护方案并建设，保证采供血机构网络的安全、稳定、通畅，保障了整个采供血业务的正常运转，更好地服务于广大患者。

参考文献：

[1]网神信息技术（北京）股份有限公司[J].信息网络安全，2012（10）：28.

[2]郎漫芝，王晖，邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件，2013（01）：206.

[3]胡志昂，范红.信息系统等级保护安全建设技术方案设计实现与应用[M].北京：电子工业出版社，2011：98-104.

第5篇：安全等级保护管理办法范文

该文对供水企业信息集成系统安全进行分析，并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析，然后研究了在“自主定级，自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案，最终实现供水企业信息集成系统的信息安全防护。

关键词：

供水企业信息集成系统；等级保护；信息安全

供水行业对国计民生很重要的一个行业，供水企业的业务性质要求以信息的整体化为基本立足点，集中管理所有涉及运营的相关数据，针对供水企业运行的特殊要求，进行集中的规划和架构，将不同专业的应用系统进行整合，最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来，网格、分布式计算、云计算、物联网等新技术相继推出，对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展，应用中存在着大量的安全隐患，网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告，截至2014年12月，网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升，计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告，2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年，搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月，某域名服务商的域名解析服务器发生了网络黑客的集中式攻击，造成在其公司注册的13%的网站无法访问，时间长达17个小时，经济损失不可估量。因此，从信息安全的角度，要对供水企业信息集成系统进行防护，降低信息安全事故的发生的概率，降低其危害，是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展，供水企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问，存在大量的安全隐患。目前，威胁到供水企业信息安全的风险因素主要分为三个大类：1）人为原因，如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2）数据存储位置位置的风险。可能由自然灾害引发的问题，缺乏数据备份和恢复能力。3）不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中，存在大量涉及公民个人隐私的信息，也存在像生产调度这样涉及国计民生的信息。因此，需要按照国家有关信息安全的法律法规，明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》（公通字[2007]43号）第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》（GB/T22240—2008）实施，根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

3分别防护实施步骤

根据有关法律法规，建设完成并投入使用的信息系统，其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示：通常情况下，供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果，有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容：细化各业务系统服务器的物理位置；按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际，主要有等级包括三个业务区域，以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器，而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务，不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果，将安全区域进行细化表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。根据表2得到的结果，可以将信息安全设备存放在不同信息区域边界内，以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界，也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议，供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内，如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展，对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求，也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下，还需要加强信息审计，及时发现和补救系统缺陷，加强数据库安全防护，维护管理系统的隐患。

参考文献：

[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).

第6篇：安全等级保护管理办法范文

【关键词】信息系统 身份鉴别 漏洞扫描 信息安全管理体系（ISMS）

近年来，“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷，引起各国领导的重视和社会关注。为提高网络安全和互联网治理，2014年，我国成立了以主席为最高领导的信息安全管理机构-中央网信办；2016年11月，在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为，为求现有的网络系统能够提高安全能力，为广大社会群众提供服务的同时，能够保证人民的利益。

信息系统是由硬件、软件、信息、规章制度等组成，主要以处理信息流为主，信息系统的网络安全备受关注。企业在应对外部攻击，安全风险的同时，当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下，分布实施，开展各项安全工作。

目前，大多数企业的信息安全工作比较单一，主要是部署安全防护设备，进行简单的配置。信息安全工作不全面，安全管理相对薄弱，不足以抵抗来自外部的威胁。

1 信息安全问题

1.1 身份鉴别不严格

考虑到方便记忆和频繁的登录操作，企业普遍存在管理员账号简单或者直接采用系统的默认账号现象，并且基本不设定管理员的权限，默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号，攻击者如入无人之境，可以任意妄为。最终可造成数据泄露，系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号，设定较为复杂的口令，并定期进行口令更换。但是也仅仅使用一种身份鉴别技术，不足以抵抗外部攻击。

1.2 外部攻击，层出不穷

随着计算机技术的发展，信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷，攻击系统软件、硬件和数据，进行非法操作，造成系统瘫痪或者数据丢失。 目前主要存在的攻击手段包括扫描技术、邮件

攻击、拒绝服务攻击、口令攻击、恶意程序等等；入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击，如果不采取相应的防御手段，很容易被黑客攻击，造成损失。

1.3 员工安全意识薄弱

很多互联网企业的员工缺乏信息安全意识，存在离开办公电脑时不锁屏现象；将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料；优盘未经杀毒直接连接公司电脑；随意点击不明邮件的链接；更有员工将系统账号、密码粘贴在办公桌上；在系统建设阶段，大到管理者，小到开发人员、测试人员，均注重技术实现和业务要求，而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱，很容易造成公司信息泄露，进而导致公司的损失。

1.4 内部管理制度不完善

俗话说，“不以规矩，不能成方圆”。未形成全面的信息安全管理制度体系，缺失部分安全策略、管理制度、操作规程，可能导致信息安全管理制度体系存在疏漏，部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障，进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中，开发人员会因为各种原因而忽略安全开发（存在开发人员没有意识到代码安全开发的问题；有些开发人员不愿意使用边界检查，怕影响系统的效率和性能；当然也存在许多遗留代码存在问题的现象，从而导致二次开发同样产生问题），可能导致系统存在后门，被黑客攻击。

2 防范措施

企业需依据《信息安全等级保护管理办法（公通字[2007]43号）》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下，对企业信息系统的安全进行测评，并出具相应测评结果。根据测评结果和整改建议，采用相应的技术手段（安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等）和管理措施（安全团队、教育与培训、管理体系等）对信息系统进行整改。如图1所示。

2.1 技术手段

2.1.1 安全认证

身份鉴别是指在计算机系统中确认执行者身份的过程，以确定该用户是否具有访问某种资源的权限，防止非法用户访问系统资源，保障合法用户访问授权的信息系统。凡登录系统的用户，均需进行身份鉴别和标识，且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制，常用的鉴别技术（认证技术）如表1所示。

不同的认证技术，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高，但会遇到各种问题，导致便捷性较差（比如存在软硬件适配性问题，移动终端无USB口等）。一般认为在相同的便捷性前提下，选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。

2.1.2 入侵检测

入侵检测能够依据安全策略，对网络和系统进行监视，发现各种攻击行为，能够实时保护内部攻击、外部攻击和误操作的情况，保证信息系统网络资源的安全。入侵检测系统（IDS）是一个旁路监听设备，需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，从而掌控整个信息系统安全状况。

2.1.3 漏洞扫描

漏洞扫描是指基于漏洞数据库，通过扫描等手段对目标系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同，分为基于网络的和基于主机的系统安全扫描，可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况，它能有效避免黑客攻击行为，做到防患于未然。

2.1.4 监控管理

网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑，在网络关键点接入监控工具监测当前网络数据流量，分析可疑信息流，通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理；可以分析网络流量；可以对服务器上运行的服务和进程进行自动监控，并在故障发生时及时告警；可对VOIP的相关参数进行监控；可以通过直观的网络控制台管理整个IP架构；可快速检测、诊断及解决虚拟化环境的网络性能；强大的应用程序监视、告警、报告功能等。

2.1.5 数据备份与加密

企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储，防止黑客攻击系统，轻易获得敏感数据，造成公司的重大经济损失。常用的加密算法包括对称加密（DES、AES）和不对称加密算法（RSA）。密码技术不仅可以防止信息泄露，同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。

除了对数据进行加密存储外，由于存在数据丢失、系统断电、机房着火等意外，需对系统数据进行备份。按照备份环境，备份分为本地备份和异地备份；按照备份数据量的多少，备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况，选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。

2.2 管理措施

2.2.1 安全团队

企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作，该团队包括信息安全委员会，信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力，还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加，话语权在增多，肩上的担子也越来越大。安全团队需要定好自己的位，多检查少运维，多帮企业解决问题。即安全团队修路，各部门在上面跑自己的需求。

2.2.2 教育c培训

保护企业信息安全，未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化，树立员工信息安全责任心，是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争，除了定期进行技能培训外，还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划，包括但不限于在线、邮件、海报（标语）、视频、专场、外培等形式。通过对员工的安全意识教育，能从内部预防企业安全事件的发生，提高企业的安全保障能力。

2.2.3 管理体系

随着计算机攻击技术的不断提高，攻击事件越来越多，且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此，企业需建立自上而下的信息安全管理体系（ISMS， Information Security Management System），以达到分工明确，职责清晰，安全开发，可靠运维。安全管理制度作为安全管理体系的纲领性文件，在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时，可根据自身情况，采取不同的方法，一般经过PDCA四个基本阶段（Plan：策划与准备；Do文件的编制；Check运行；Action审核、评审和持续改进）。可依据ISO27000，信息安全等级保护等，从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常，信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成，如图2所示。

3 结语

国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督，通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式，规范企业的信息安全建设工作。同样，信息安全工作长期面临挑战，不能一蹴而就，需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。

参考文献

[1]沈昌祥，张焕国，冯登国等.信息安全综述[J].中国科学杂志社，2007（37）：129-150.

[2]李嘉，蔡立志，张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社，2016（01）.

[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真，2006（08），28-4.

作者简介

康玉婷（1988-），女，上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。

作者单位

第7篇：安全等级保护管理办法范文

（一）信息科技支撑不足，信息化战略风险凸显目前村镇银行支撑业务运转的信息科技建设与传统银行相比严重落后，难以保证其健康运行和快速发展，形成了村镇银行发展的战略风险。一是系统支撑能力不足。如漳平民泰村镇银行未加入当地人民银行大小额支付系统和财税库行横向联网系统，大量小微企业因无法进行开户代扣税等原因只能对其“望而却步”，目前该行某些业务须借助当地兴业银行的平台。二是漳平民泰村镇银行无法并入银联银行卡网络，无法提供网上银行服务等电子化服务渠道，因此直接“屏蔽”了许多客户的需求，难以适应农村信息化建设，满足深入推进和满足农民日益迫切的新兴电子化金融服务和产品的强烈需求。三是信息科技投入不足，一方面部分设备老化、性能较差，未达到重要设备及系统的双机备份要求；另一面专业科技人才稀缺，且技术水平和实践经验相对不足，难以胜任地方特色中间业务的开发运维任务。

（二）信息科技发展意识淡薄，治理架构不到位一是中小金融机构管理层目前关注点仍立足利润、收息、不良贷款等传统经济效益指标，对信息化建设的潜在效益重视不足，未形成有效的信息科技治理架构，科学性、规范性决策欠缺。二是系统运行稳定性、安全性较差，部分核心系统刚开发投入使用不久，需要经常进行补丁更新和升级，核心数据安全无法保障。数据备份周期过长、备份方式落后，备份介质存放环境差且未进行异地存放，有些核心数据完全依托发起行备份管理，如个人和企业征信业务存在数据泄密隐患。三是业务连续性风险隐患大。中小金融机构未建立专业的机房，科技设备及系统运行整体环境较差，管理人员为单人，业务中断风险严重。

（三）信息科技对外依赖性强，外包风险突出中小金融机构由于自身科技力量不足，信息化建设严重依赖外部，从系统开发上线到运行管理维护等各个环节都依赖发起行或外包公司的支持。在未与发起行或外包公司签订明确的服务水平协议的情况下，普遍缺乏对发起行或外包公司科技管理维护人员的有效制约机制。外包公司倒闭、服务响应时间长等外包风险都对银行信息化建设发展提出挑战。

（四）约束机制不到位，存在操作风险及案件隐患中小金融机构整体科技人员不足，各类约束制约机制不到位，在信息安全方面普遍存在操作风险及案件隐患。在银行只有1名兼职科技人员的情况下，信息科技运行中存在单人操作现象；同时，科技人员权限过大，数据备份、系统管理、安全管理等职责集于一身。如漳平民泰村镇银行的保卫监控室与计算机房合为一体，这都为操作风险及案件发生创造了可能性。

（五）信息安全指导和监管明显滞后与中小金融机构信息化高速发展相比，中小金融机构的信息安全指导和监管工作还需要进一步加强。首先，人民银行对中小金融机构信息安全工作的指导和协调职责，与银监部门监督检查内容重叠且标准不一，极易造成多头管理且口径要求不统一的问题，导致监管部门之间分工不明确，在缺乏有效的沟通和协调下，易造成中小金融机构间的误解。其次，中小金融机构与人民银行之间在信息安全方面缺乏交流机制，人民银行对中小金融机构信息安全措施是否符合规范缺乏了解，对中小金融机构信息安全工作缺乏指导，造成人民银行与中小金融机构在信息安全保障方面安全标准不对称的局面。

二、政策建议

中小金融机构的设立和发展，是推进金融深化改革，完善金融组织体系的必由之路。在此过程中，能否处理好信息科技与业务发展的关系至关重要，对此我们提出以下建议。

（一）立足长远，以科技驱动业务发展并提升管理水平中小金融机构应立足长远，在发展中树立科技先行的理念，不仅将信息科技作为支撑，而且把它作为引领业务实现跨越式发展并最终走向成熟的引擎，切实以科技驱动业务发展并提升管理水平。一是高管层应提高对信息科技的认识，理顺信息科技与业务发展的关系。二是加大人财物投人，长远、科学合理规划信息科技发展。三是在信息科技方面建章立制，加强执行力建设，以规矩成方圆。

（二）完善中小金融机构信息安全管理机制中小金融机构应建立和完善信息安全管理的组织架构，明确部门和岗位职责，形成分工合理、职责明确、相互制衡的信息安全组织架构；应制订符合总体业务发展的信息安全运行规划，确保配置足够的人力、物力、财力，维持稳定、安全的信息安全环境；应制订全面的信息安全管理策略，包括信息分级与保护、运行和维护、访问控制、物理安全、人员安全以及外包管理机制等；应强化运维体系建设，完善运维管理流程，明确运维管理标准，并且针对目前中小金融机构信息系统的开发、建设和运维依靠外包服务的趋势，应建立健全科技外包管理制度，积极防范外包服务风险，规范服务商的服务标准和流程；应建立持证上岗制度，加强中小金融机构信息安全工作人员培训，在信息安全岗位设置上要满足信息安全工作的需要，信息安全工作人员应考取相关上岗资格证后方能上岗；应建立信息安全考核评价机制和奖惩制度，出台考核办法，并对信息安全工作进行评价，有效落实信息安全责任制和问责制。

（三）引导中小金融机构加强等级保护工作金融信息安全体系的构建必须建立在风险评估的基础上。信息安全等级保护能够有效提高信息以及金融信息安全体系建设的整体水平，为金融信息安全体系的构建提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本，优化信息安全资源的配置。一是根据《信息安全等级保护管理办法》和《金融行业信息系统信息安全等级保护实施指引》，加大中小金融机构等级保护工作的开展力度，做好等级保护评估工作。二是当地人民银行应根据中小金融机构的特点，建立切实可行的中小金融机构信息安全等级保护标准和监管措施，对中小金融机构的系统风险和操作风险进行分类，对其信息系统安全定级过程与结果进行审核监督。三是人民银行应与公安部门、金融监管部门建立协调检查机制，适时组织对中小金融机构等级保护工作开展情况进行检查，加强信息安全等级保护制度在中小金融机构中的有效落实。

第8篇：安全等级保护管理办法范文

关键词：证券行业信息安全网络安全体系

近年来，我国资本市场发展迅速，市场规模不断扩大，社会影响力不断增强．成为国民经济巾的重要组成部分，也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展，关系着亿万投资者的切身利益，关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业，高度依赖信息技术，而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前．国内外网络信息安全问题日益突出。从资本市场看，近年来，随着市场快速发展，改革创新深入推进，市场交易模式日趋集巾化，业务处理逻辑日益复杂化，网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强，交易时问内一刻也不能中断。加强信息安全应急丁作，积极采取预防、预警措施，快速、稳妥地处置信息安全事件，尽力减少事故损失，全力维护交易正常，对于资本市场来说至关重要。

1证券行业倍息安全现状和存在的问题

1．1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行，中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成，推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多，但在现行的法律法规中。立法主体较多，法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要，行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后，缺乏总体规划；二是规范和标准互通性和协调性不强，部分规范和标准的可执行性差；三是部分规范和标准已不适应，无法应对某些新型信息安全的威胁；四是部分信息安全规范和标准在行业内难以得到落实。

1．2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施，组织体系是信息安全保障工作的核心。目前，证券行业采用“统一组织、分工有序”的信息安全工作体系，分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调，建立健全信息安全管理制度和运行机制，切实提高行业信息安全保障工作水平，根据证监会颁布的《证券期货业信息安全保障管理暂行办法》，参照ISO／IEC27001：2005，提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构．顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性)，正面是行业组织结构．侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1．3IT治理方面

整个证券业处于高度信息化的背景下，IT治理已直接影响到行业各公司实现战略目标的可能性，良好的IT治理有助于增强公司灵活性和创新能力，规避IT风险。通过建立IT治理机制，可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题，自我评估IT管理效果．可以加强对信息化项目的有效管理，保证信息化项目建设的质量和应用效果，使有限的投入取得更大的绩效。

2003年lT治理理念引入到我国证券行业，当前我国证券业企业的IT治理存在的问题：一是IT资源在公司的战略资产中的地位受到高层重视，但具体情况不清楚；二是IT治理缺乏明确的概念描述和参数指标；是lT治理的责任与职能不清晰。

1．4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流模式。据统计，2008年我同证券网上交易量比重已超过总交易量的80％。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来，证券行业各机构采取了一系列措施，建立了相对安全的网络安全防护体系和灾舴备份系统，基木保障了信息系统的安全运行。但细追究起来，我国证券行业的网络安全防护体系及灾备系统建设还不够完善，还存存以下几方面的问题：一是网络安全防护体系缺乏统一的规划；二是网络访问控制措施有待完善；三是网上交易防护能力有待加强；四是对数据安全重视不够，数据备份措施有待改进；五是技术人员的专业能力和信息安全意识有待提高。

1．5IT人才资源建设方面

近20年的发展历程巾，证券行业对信息系统日益依赖，行业IT队伍此不断发展壮大。据统计，2008年初，在整个证券行业中，103家证券公司共有IT人员7325人，占证券行业从业总人数73990人的9．90％，总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6％”的最低要求。目前，证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任，IT队伍建设是行业信息安全IT作的根本保障。但是，IT人才队伍依然存在着结构不合理、后续教育不足等问题，此行业的人才培养有待加强。

2采取的对策和措施

2．1进一步完善法规和标准体系

首先，在法规规划上，要统筹兼顾，制定科学的信息技术规范和标准体系框架。一是全面做好立法规划；二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层：第一层是管理办法等巾同证监会部门规章；第二层是证监会相关部门制定的管理规范等规范性文件；第三层是技术指引等自律规则，一般由交易所、行业协会在证监会总体协调下组织制定。其次，在法规制定上．要兼顾规范和发展，重视法规的可行性。最后，在法规实施上．要坚持规范和指引相结合，重视监督检查和责任落实。

2．2深入开展证券行业IT治理工作

2．2．1提高IT治理意识

中国证券业协会要进一步加强IT治理理念的教育宣传工作，特别是对会员单位高层领导的IT治理培训，将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识，提高他们IT治理的积极性。

2．2．2通过设立IT治理试点形成以点带面的示范效应

根据IT治理模型的不同特点，建议证券公司在决策层使用CISR模型，通过成立lT治理委员会，建立各部门之间的协调配合、监督制衡的责权体系；在执行层以COBIT模型、ITFL模型等其他模型为补充，规范信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为lT试点单位，进行IT治理模型选择、剪裁以及组合的实践探索，形成一批成功实施IT治理的优秀范例，以点带面地提升全行业的治理水平。

2．3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键．应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施．且南相芙的监督机构进行督促。

2．4加强网络安全体系规划以提升网络安全防护水平

2．4．1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划证券网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2．4．2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固．降低系统漏洞带来的安全风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使朋的安全性。

2．4．3提高从业人员安全意识和专业水平

目前在证券行业内，从业人员的网络安全意识比较薄弱．必要时可定期对从业人员进行安全意识考核，从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训，提高行业网络安全的管理水平和专业技术水平。

2．5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的，数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件，还是我国2008年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上，针对自身需要，对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设，以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效．使应急工作与日常工作有机结合。

2．6抓好人才队伍建设

证券行业要采取切实可行的措施，建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强lT人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系，对信息技术人员进行科学有效的考评，提升行业人才资源的优化配置和使用效率，促进技术人才结构的涮整和完善。

第9篇：安全等级保护管理办法范文

在国际信息安全环境日趋恶劣，国家全面倡导信息安全的大环境下，为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行，依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神，同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准，制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等，率先在企业内建立并实施该体系，全面倡导企业向信息安全生产经营转型，同时积极引导合作伙伴树立信息安全意识，规范自身的生产及合作行为，明确安全风险责任、细化管理要求，立足自身，兼顾第三方，共同打造信息安全的绿色长城，确保企业长足健康发展。通过该安全管理体系的实施，从中全面深入地挖掘现有安全体系的不足之处，并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警，确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先，组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作，将平台安全管理工作落实到具体的责任人，并签署责任状，从而树立全员安全责任意识，实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计，并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核，发现相关漏洞与脆弱点，并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查，共发现自有业务信息系统存在各类安全漏洞攻击39处，合作业务信息系统存在各类安全漏洞14处，目前这些漏洞已经全部整改与加固完毕，消除了安全隐患。其次，以信息安全管理为导向，组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队，通过从合作业务管理规范的建立到合作伙伴安全技能培训，从信息安全制度宣贯到系统安全处罚办法的落实执行，从系统安全的定期评估到系统漏洞的及时加固等一系列举措，最终创建一套业务信息系统全新的安全管理模型，提高业务信息系统运行质量和服务能力，提升创新业务品牌形象。从安全管理模型启用至今，未发生一起信息安全事故，这样强化了合作伙伴的信息安全概念，督促合作伙伴在发展业务的同时也重点关注信息安全问题，极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率，此类原因造成创新业务投诉比率和往年相比降低了15%，改变了用户对创新业务的固有印象，建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性，可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系，包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范，业务系统安全管理体系的先进性和时效性在通信行业内名列前茅，同时通过近两年的安全理论研究和安全评估加固实践，针对当前企业业务平台系统在信息安全监管中面临的一些问题，对当前主流关联分析技术进行研究的基础上，提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上，就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘，从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息，通过对此类信息的统计、浓缩、总结、关联和分类，抽象出利于进行判断和比较的特征库，并智能地学习和维护其特征库，从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统，得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许，并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系，确保产品的各项安全性能指标。

2创新点

为顺应移动互联网时代，运营商从基础通信运营向流量运营转型的新趋势，湖北移动确定了“业务转型，安全先行”的发展思路，坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上，积极开展适应移动互联网时代安全管理体系建设，不断推进科学的安全管理方法，做到六“注重”六“突出”，即：（1）注重整体规划，突出体系建设，促进职责高效履行。制定下发安全标准化管理与评价体系建设计划，内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作；严格按体系文件要求开展业务或系统试运行工作；加强保证与监督体系的建设。（2）注重文化建设，突出信息安全特色，促进习惯养成。以人为本，加强企业安全文化建设，促使安全文化落地，提高员工安全与风险防范意识。（3）注重教育培训，突出行业特色，达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式，组织各单位安全管理人员开展安全教育和培训工作：一是安排专家和行业资深人士进行专题讲座；二是在专题培训的基础上，做好网络与信息安全专项工作如何开展的培训。（4）注重设备管理，突出针对特色，实现安全管理精细化。首先，网络设备较多，加强网络安全管理提高设备安全可靠性是首要任务，为此各维护单位对每台设备均建立了安全技术台帐，台帐包括运行记录、检查保养记录和定期检验记录。其次，组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三，使隐患排查整改形成机制。（5）注重安全投入，突出专用特色，合理使用安全生产费用。认真落实安全管理费用投入长效机制，加大安全费用的管理，做到专款专用，确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理，建立安全生产保证金并实行年底考核的机制，有效促进了安全管理工作。（6）注重应急预案，突出超前特色，安全管理赢在主动。在安全管理中，把预防工作落到实处，建立健全了应急处置机构，将应急处置工作进一步制度化，规范化，形成了完整的安全事故预防体系。同时，开展形式多样、符合实际的应急演练。

3结语