推荐第1篇:等级保护
总结下关于等级保护工作的一些基础性知识,对等级保护工作有个快速的认识和了解。
一、什么是等级保护?
答:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
解读:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。
二、等级保护工作具体步骤是怎样的?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:
1)是信息系统定级。
2)是信息系统备案。
3)是系统安全建设。
4)是信息系统开始等级测评。
5)主管单位定期开展监督检查。
解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。
三、开展等级保护工作的相关法律法规或文件要求?
答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确要求我国信息安全保障工作实行等级保护制度;
《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;
《中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。
解读:网络安全法的出台将等级保护工作以法律形式确定下来,等级保护工作至此以法律的形式确定为国家网络安全的基本国策,没有网络安全就没有国家安全.
四、等级保护分为几个等级?
答:分为五个等级,分别为:
第一级(自主保护级)
第二级(指导保护级)
第三级(监督保护级)
第四级(强制保护级)
第五级(专控保护级)
系统的重要程度从1-5级逐级升高。
解读:我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。
五、去哪里进行信息系统的定级备案工作?
答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
解读:系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。
六、什么是等级保护测评?
答:等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程,测评结束后出具相应的信息系统测评报告。
解读:对测评机构要求一定是有资质且在用户所在地公安网安部门备案
七、信息系统的测评多久需要测一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。
解读:二级系统为什么建议是两年呢?
一、系统相对三级没那么重要,所以时间上相对长点;
二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。
八、等级保护测评一般多长时间能测完?
答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。
解读:测评周期最不确定的因素就是整改,整改的快自然结束的快,所以用户单位想早点结束的话就得把安全整改抓紧落实完成。
九、等级保护测评的费用是多少?
答:测评的费用首先是按照信息系统来算,不是按照一个单位,不同等级的测评费用不一样。费用每个省市具体要求不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,如某些省市:二级系统不低于4万元;三级系统不低于8万元。
解读:测评的费用按照系统个数和系统的等级去核算,等级越高的相对费用越高
十、用户单位需要开展等级保护测评,找谁去做?
答:找有测评资质在当地有资格的测评公司去做测评,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,同时要求在测评机构在省公安厅网安总队备案成功;另外部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
解读:测评必须是有资质有资格的测评公司去做,有些厂商或者集成商号称能做测评,他们可能是有这个技术水平,但是没有这个资格和资质。
十一、等级保护测评后的最终结论分为哪几种?
答:测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分,如82分。
解读:测评的结论理论上有符合这种结论,就是满分100分的情况,但是实际上很难达到,也几乎没有出现过,如果你们家测评达到100分了,或者你经常看到有人得100分,那一定是这家测评机构不负责任地在测评。一方面是没有绝对的安全,另一方面等保的一些条款确实很难达到或者不适用。初次做等保能达到65-75之间就已经不错了。
十二、等级保护测评结论不符合是不是等级保护工作就白做了?
答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
解读:测评结论不符合不是最重要的,最重要的是我们已经发现了问题,下面就需要及时对这些问题特别是高危风险及时进行安全整改,消除隐患,降低风险。
十三、测评结束后有什么书面性的材料证明自己开展过等保工作?
答:书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章。
解读:有不少人会问,测评报告出了后主管部门有没有一个类似通过测评的一个证明,这个据我了解全国只有极个别地方有类似证明文件,绝大多数地方都没有,拿到了正式测评报告测评的工作就可以算是告一段落了
推荐第2篇:等级保护
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准) 信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准) 信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
推荐第3篇:某信息等级安全保护自查报告
xx区地税局信息系统安全自查报告
根据xx市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《xx省地税局2010年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对xx区地税局信息安全系统进行了认真地自查与整改,现将自查情况报告如下:
一、领导高度重视,组织、部门健全
xx区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了xx区地税局信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:区局制定了《xx区地税局公文处理应急预案》、《xx区地税局内部网站应急预案》、《xx区地税局网络故障应急预案》、《xx区地税局计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。
确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。 区局中心机房于2008年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
xx区地税局办公网络已于2009年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器上。
(二)安全技术方面:区局的网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。
区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层,3台华为3026交换机作为接入层。 除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过1台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有5台华为3928交换机,1台防病毒网关,1台上网行为管理,1台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
xx区地税局共有服务器6台,5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安全管理。 xx区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固: 及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保护网络安全。
(六)加强中心机房的管理工作,提高机房运行环境,保障设备安全。
推荐第4篇:五、信息系统安全等级保护自查报告(范本)
某单位信息安全等级保护工作自查报告
为进一步做好某单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
一、等级保护工作部署和组织实施情况
某单位在上级行的统一领导和部署下,按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引(试行)》的要求,组织开展辖内人民银行系统信息安全等级保护工作。一是成立了某单位信息安全等级保护工作领导小组,由主管科技的副行长任组长,各科室主要负责人为成员,全面负责全辖人民银行系统信息安全等级保护工作,领导小组下设办公室,安排专人负责计算机信息系统安全管理,明确了各自的职责。二是建立健全了各项信息安全管理制度,做到了有章可循。三是加强相关工作人员的培训学习,增强信息系统安全工作的自觉性,提高信息系统安全工作管理水平。
二、信息系统安全保护等级备案情况
我行根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的系统向市公安局网监支队报备。
三、下一步工作计划
目前,某单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:一是进一步加强信息安全管理力度,督促各支行、各科室加强信息安全等级保护工作;二是加强网络信息安全队伍建设,提高网络管理人员和维护人员的技术水平和安全管理意识;三是进一步完善信息安全管理制度,开展信息系统安全评估和自测评;四是规范和完善安全事件处理流程。
人民银行郴州市中心支行 科技科
2012年8月2日
推荐第5篇:信息网络安全等级保护工作自检自查报告
信息网络安全等级保护工作
自检自查报告
XX县烟草专卖局(分公司)的信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息网络安全的防控能力,保障企业信息网络安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求,我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
一、等级保护工作部署和组织实施情况
XX县烟草公司企业信息化建设在市局(公司)的统一领导下,按照“统一网络、统一平台、统一数据库”的要求,以打造“数字烟草”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视网络信息的安全建设工作。从省公司到市公司、县公司,领导高度重视,统一规划,统一标准,同步实施。首先是逐级成立了领导小组和职能部门,XX分公司按照上级部门要求,2000年11月成立了信息化领导小组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各自的职责。由于网络推广应用迅速,2005年重新更设了计算机网络信息中心,旨在强化对企业的网络建设和网络安全管理。在历次的机构设置中,都明确了分公司主要领导分管信息工作,把网络信息安全的建设与管理摆到了企业各项工作的重要位置中来,表明了企业对信息化建设、网络安全管理的高度重视和决心。其次是对行业的网络安全建设高瞻远瞩、统一标准、规范运作、务求实效。先后省公司下发了《云南省烟草专卖局关于建设云南省行业计算机网络与信息安全系统的通知》,对全行业的网络信息安全建设作了明确、细致的规定,制定了高效规范的《云南省烟草行业计算机网络与信息安全系统建设方案》,统一在全系统范围内实施。随后市局公司又下发了《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》,对各分公司的网络安全建设作了具体的安排部署。XX县烟草公司严格按照上级部门要求,主动推进网络安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合上级部门在全行业开展网络安全建设工作。
二、信息系统安全保护等级备案情况
XX县烟草专卖局(分公司)隶属曲靖市烟草专卖局(公司)子公司,无法人资格。网络信息安全建设也是依照市公司统一要求进行,信息安全保护等级为二级。按照本次检查要求,备案材料主要包括三类。一是各级各部门的文件,包括有:罗烟司字[2000]48号《关于成立云南省烟草XX县公司信息化领导小组的通知》,省公司云烟科[2000]209号《关于决举办云南省烟草行业计算机系统管理员培训班的通知》,省公司云烟信[2003]552号《云南省烟草专卖局关于建设云南省烟草行业计算机网络与信息安全系统的通知》,市公司云曲烟专司字[2004]35号《曲靖市烟草专卖局(公司)关于建设网络安全系统的通知》、《曲靖烟草专卖局(公司)党政工作部关于举办网络信息安全培训的通知》,市公司云曲烟办字[2004]98号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。第二类是各项网络信息安全建设规范、技术标准及方案等,主要包括有:《云南省烟草行业信息网络信息系统技术规范》两部分,《云南省烟草行业信息网络系统计算机网络系统建设技术规范》、《云南省烟草行业计算机网络与信息安全系统建设方案》。第三类是各类管理制度或规定,主要包括有:《云南省烟草行业信息网络管理规范》、《云南省烟草行业计算机网络与信息安全管理制度》、《信息化工作管理规定》的网络与信息安全管理,《网络建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息网络事件应急预案》等。
三、信息安全设施建设情况。
根据上级部门的统一规划、建设要求,XX县烟草公司积极推进各项网络安全建设工作。首先,为考虑网络安全,结合业务实际,在网络规划时以建设专线为重点,在全省烟草系统内全部采用专线连接,实现互联互通。在系统主干网络建设上,先是采用卫星专用通道联网,后改用DDN专线,随着网络技术的发展和普及,从2006年开始,全省烟草系统,从省公司至市公司,从市公司至分公司,从分公司至烟叶站、烟叶收购点,采用带宽不同的SDH专线连接。公司绝大部分业务均在内网里运行,各类数据信息通过内网服务器和网络流转、共享,无外网托管现象,只有极少部分业务需挂外网。其次是不断采用新技术、新手段做好网络信息安全防范工作,严格划分企业内网与外网,通过硬件防火墙设置,保证内外信息交互有效进行,实现对垃圾信息、非法访问的有效过滤。同时,通过网络版杀毒软件的安装使用,对计算机病毒进行整体防治,另一方面,对操作终端还配置防木马程序的软件,以及软件防火墙等软件的使用,配合杀毒软件对计算机病毒、黑客攻击、木马程序等进行了有效的防范。总之,通过软硬件技术手段的有效结合,使系统内网及每个终端计算机、系统内的信息、数据安全得到了有效保障,有效保证了企业各业务工作的顺利开展。
四、管理制度建设情况。
烟草企业自2004年工商分制以来,作为一分公司,在曲靖市烟草公司的直接领导下,各项工作稳步推进,伴随着社会效益、企业效益的逐年攀升,曲靖烟草企业更加注重管理模式的总结与创新,强调管理的精细化和规范化,通过长时间的积累、总结和创新,对各行各业各个环节都制定了规范、有效的管理制度。形成了具有行业标准的相关制度-《曲靖烟草商业管理(QTCM)-管理制度》,在网络信息安全方面涉及很多内容。制定了《计算机设备管理规定》,旨在规范烟草系统计算机及相关设备的管理工作,促进设备的有效管理,提高设备的综合效率,满足工作需求;制定了《计算机机房管理理规定》,旨在加强计算机机房的运行、使用和管理,保证各信息系统的稳定可靠运行,促进公司网络的健康发展;制定了《信息化工作管理规定》、以及《网站建设及信息维护管理规定》,包括网络和信息安全管理规定,旨在保证企业网络信息系统运行安全、可靠,做到实体安全、运行安全、数据安全和管理安全。2008年4月份,根据企业《职业健康安全管理体系》运行的整改要求,制定了《突发信息网络事件应急预案》,包括机房渗漏水应急预案、机房盗窃应急预案、机房火灾应急预案、机房长时间停电应急预案、通信网络故障应急预案、网络病毒爆发应急预案、服务器软件系统故障应急预案、核心设备硬件故障应急预案、业务数据损坏应急预案等九部分内容,旨在加强对系统内突发信息网络事件的控制,迅速有效开展应急救援行动,降低危害程度。总之,企业对网络安全高度重视,制定了众多管理制度,并积极层层落实,责任分明,有效地保证了了企业长期以来的网络信息系统的稳定运行。
五、信息安全产品选择和使用情况。
我司的网络信息安全产品,2004年开始根据市公司的要求,进行统一配置。其中,硬件防火墙采用中端型产品,品牌型号为天融信NGFWARES-VPN(S),版本TOPSEC集中管理器V2.2.17,基本满足管理要求。防病毒软件曾采用趋势Trend网络版,2007年以后统一改用瑞星企业专用版,与全国大多企业一致选用国产软件。网络管理平台软件曾使用复旦光华T_Manager网络综合管理系统,预计未来将采用其它新系统实现网络综合管理。此外,针对各终端设备的安全防范,我司还使用了正版的瑞星个人防火墙软件和免费版的奇虎360安全卫土等安全软件,实现防病毒、木马程序、黑客、非法程序等的辅助管理,进一步提高了整个系统的安全防范能力和管理水平。
六、聘请测评机构开展技术测评情况
我司的网络安全检测及风险评估工作也是依照市局(公司)的统一要求组织实施,按照市公司的统一安排,聘请测评机构为曲靖市麒麟区联创信息网络有限公司,检测时间一般为每年6至7月份,检测内容为:机房物理环境、服务器、网络设备(交换机、路由器、防火墙),桌面终端等,其中,桌面终端采用抽查方式进行检测,抽查率不少于总数的30%,检测工作中,工程师需签订《云南省网络与信息系统安全检测单位保密承诺》和安全检测保密协议,检测结果及报告由市公司保存。
七、定期自查情况
XX县烟草公司高度重视网络安全建设工作,强调日常维护、安全防范和定期自查工作。对管理制度不断完善更新,新技术新手段积极采用,借助于企业职业健康安全管理体系的贯标、运行和提升工作,不断开展网络信息安全的检查工作,对一经查出的问题及时整改,自己不能解决的及时上报上级部门,给予帮助解决,有效地促进了整个安全防控体系的完善和管理水平的提高。
曲靖市烟草公司XX分公司
二OO八年十月三十日 关于上报宣州区地税局信息系统安全自查的报告
宣州区地方税务局文件
宣区地税〔2010〕77号
签发人: 殷本辉
关于上报宣州区地税局信息系统安全自查的报告
宣城市地方税务局
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照安徽地税信息系统安全自查方案,我局对全区网络与信息安全现状进行了自查,查找薄弱环节和安全隐患,进一步强化信息安全意识、规范信息安全管理,以提高网络与信息系统的安全保障能力,现将自查情况上报给你们。
(本文只发电子文件)
二〇一〇年六月二十四日
宣州区地税局信息系统安全自查报告
根据宣城市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《安徽省地税局2010年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对宣州区地税局信息安全系统进行了认真地自查与整改,现将自查情况报告如下:
一、领导高度重视,组织、部门健全
宣州区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了宣州区地税局信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:区局制定了《宣州区地税局公文处理应急预案》、《宣州区地税局内部网站应急预案》、《宣州区地税局网络故障应急预案》、《宣州区地税局计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。 区局中心机房于2008年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
宣州区地税局办公网络已于2009年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器上。
(二)安全技术方面:区局的网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层,3台华为3026交换机作为接入层。 除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过1台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有5台华为3928交换机,1台防病毒网关,1台上网行为管理,1台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
宣州区地税局共有服务器6台,5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安全管理。
宣州区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固: 及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保护网络安全。
(六)加强中心机房的管理工作,提高机房运行环境,保障设备安全。
黄河科技学院网络信息安全防范系统
情况自查报告
随着网络在我校教学与管理环节中的普及,我校领导已充分认识到开展高校校园和网络信息安全防范工作,是加强维护高校稳定工作,为高校创造良好的教学科研环境,推进高校校园安全防范系统和网络信息安全系统建设的重要措施。自一九九九年我校初建校园网,一直到现在,上至领导下到我们中心的工作人员一直比较注重网络的安全性。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,各单位、部门层层落实责任制,明确责任人和职责,细化工作措施和流程,建立完善了一系列的管理制度和实施办法,确保使用的网络和提供服务信息的安全。现根据省教育厅的《关于在开展高校校园和网络信息安全防范系统情况调查工作的通知》的文件精神,对我校的网络与信息安全与网络与信息服务等内容做了详细的自查,自查情况如下:
(一)我校于一九九九年十月,成立了以常务副校长为组长,以网络中心主任董峰及保卫处处长宋同先为副组长的黄河科技学院网络中心安全组织。
(二)根据我校的网络发展情况以及国家、省、市等有关的文件精神,我们相继建立了一系列的安全管理制度,并落实到各部门。如:信息的发布审核由新闻办指办专人负责;信息的监视、保存、备份、清除由网络中心负责;校内所有上网的帐号、邮件帐号、网站帐号等我们都做有实名备案;对于较为知名的公众网络媒体,如我校相关的百度贴吧,我校新闻办公室也安排专人负责信息的监管工作,以实现正面的引导,并及时发现和删除各类有害信息,维护学校和社会的稳定。
(三)我们加强了安全保护技术措施,切实抓紧、抓实、抓好,保障了学校网络和信息安全,网络运行正常、使用规范,网站没有发现有害信息和不良连接,网络节点安全设施基本符合要求。我们使用了天融信防火墙与天阗入侵监测系统相结合,使日志留存具有保存60日以上系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,交互式栏目发布者和上、下网时间及信息、主页维护者、邮箱使用者和对应的IP地址情况等;对于邮件服务器,我们使用的是亿邮,并配套使用了亿邮网关,并与公安部门实行了数据对接,有效的隔离了垃圾邮件,防止有害信息的干扰和破坏。对于我们的网站信息服务系统建立了备份,一旦受到破坏能及时恢复正常。
(四)针对网上突发事件,我们制定了应急处置方案,细化流程,责任到人。做到及时预警、快速反应、果断处置网上突发事件。
(五)我校网络中心经过仔细排查,已经关闭所有校园网内开通的交互式栏目(BBS,留言板);对于必须使用留言服务的招生咨询网站,我们采取了用户发布信息必须审核和记录用户IP地址的机制。同时由新闻办公室安排专人负责信息审核工作,并在技术上采用了关键字过滤来防止有害信息。 由于我们的高度重视,认真组织,确保了网络正常运行和信息安全,至今为止没有发生任何事故,受到了我校有关领导的肯定和好评。当然,随着科技的发展,社会信息的不断扩大,新时代,新情况对网络安全技术的要求也越来越高,新的问题也会不断出现,我们真正希望通过省厅的此次网络信息安全防范系统情况的调查使我校的网络运行得更安全,有利于社会的安定及国家的繁荣昌盛。
永胜县供销合作社联合社
2010年上半年政府信息系统安全检查自查报告
根据《永胜县人民政府办公室关于开展政府信息系统安全检查的通知》(永政办发〔2010〕56号)文件精神,结合我社实际,认真组织开展了信息系统的安全自查工作。现将相关情况报告如下:
一、信息系统安全检查基本情况
㈠信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
㈡日常信息安全管理落实情况
根据供销合作社的工作实际,供销社日常信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、组织人事信息管理。根据这些实际,县联社已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。
一是,落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息保密工作。
二是,结合供销社工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,主要是由上级组织人事部门、业务主管部门下发的业务工作应用软件,均按照上级部门的要求和规定,严格进行操作管理。
三是,结合供销社政府信息公开工作,按照信息公开的相关保密规定和程序,初步建立了《永胜县供销合作社政府信息公开保密审查制度(试行)》,对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了规范,完善相关信息审批备案和日常记录。
㈢等级保护与风险评估
永胜县供销合作社的相关信息系统主要是业务工作,不是重要涉密部门,还达不到涉密信息系统等级,所以,没有对信息系统定级、测评和评估。
㈣技术安全防范措施和手段落实情况
1、计算机及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并按县委保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标识,杜绝涉密和非涉密计算机之间的混用。
2、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,也没有非法链接。同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,加强安全监管。我单位使用的计算机都为非涉密计算机,主要是用于业务工作,没有用于处理涉密信息的情况。目前,网络运行良好,安全防范措施和设备运行良好,没有涉及国家秘密的相关信息,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。
3、密码技术防范方面。我单位的相关信息还达不到涉密信息系统等级,目前还没有使用密码技术防护措施。
㈤应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章制度,要求县社信息安全管理办公室根据信息安全工作情况及时向工作领导小组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关问题。目前,还没有应急响应方案。
2、对非涉密的相关重要工作信息实行光盘备份,以防范计算机系统故障带来的损失和影响。
3、目前,我社的信息安全管理工作还没有明确应急技术支援队伍,主要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。目前,没有发生信息安全事件。
㈥信息技术产品和信息安全产品使用情况
我单位终端计算机安装的防火墙、入侵检测设备、杀毒软件等信息安全产品,使用360安全卫士等软件,皆为国产产品。公文处理软件具体使用金山软件的WPS office系统和Microsoft Office系统。单位使用的工资系统、业务统计报表系统、组织人事统计系统等应用软件均为县委、县政府相关部门和市供销社统一指定的产品系统。
㈦安全教育培训情况
1、县供销社积极参加全县保密工作会议和县委政府相关部门组织的信息系统安全知识培训,并专门负责机关的网络安全管理和信息安全工作。
2、结合集中学习,县供销社对全县保密工作会议精神进行了传达学习。同时,在日常工作中相关保密、信息安全工作人员也结合《保密工作》杂志及相关文件精神,开展自学,提高信息安全意识、保密意识。
㈧信息安全经费保障。
县供销合作社信息安全工作得到县社领导高度重视,信息安全相关学习培训材料的征订购买和相关防护设施建设、运行、维护和管理经费均纳入预算,实报实销,为信息安全提供了经费保障。
二、信息安全检查存在的主要问题及整改情况
经过安全检查,我单位信息安全总体情况良好,但也存在了一些不足,同时结合单位工作实际,进行了整改同时提出了进一步整改的措施。
1、部分干部职工对信息安全工作的认识不到位。由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。结合工作开展,今后将继续加强对机关干部的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。部分股室计算机的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。针对这些问题,办公室已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作的水平还有待加强。供销社的信息系统工作人员均为兼职人员,非专业人员,对信息安全的管护水平低,还需要加强专业学习培训,提高信息安全管理和管护工作的水平。
4、信息安全工作机制还有待完善。部门信息安全相关工作机制制度、应急预案等还不健全,还要完善信息安全工作机制,建立完善信息安全应急响应机制,以提高机关网络信息工作的运行效率,促进办公秩序的进一步规范,防范风险。
三、对信息安全检查工作的意见和建议
一是,进一步加大对信息安全工作人员的业务培训。由于很多部门的信息安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
二是,加强对各级各部门干部职工的信息系统安全教育。通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
三是,加强分类指导。由于各部门工作性质不同,信息安全的级别也不同。希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
二○一○年六月二十二日
泸州市人民政府信息化管理办公室:
根据你办《关于印发的通知》(市府信管办〔2009〕33号)文件要求和市府办召开的网络与信息安全事件应急预案暨信息系统安全检查工作会的要求,现就我区政府信息系统安全检查自查情况汇报如下:
一、信息安全总体情况
10月15日、16日参加完市上会议之后,我区及时开展了信息系统安全情况的调查摸底工作,制定了工作方案,并获得领导的大力支持。于10月23日印发了《2009年度泸州市纳溪区政府信息系统安全检查指南》的通知。在10月27日,我区召开了全区网络与信息安全事件应急预案暨政府信息系统安全检查工作会,安排布置了全区的工作。
1、安全制度落实情况
经自查发现,我区各级各单位的网络与信息系统管理机构比较完善,有主管领导和具体检查人员,信息安全责任制和各项安全保密制度较完善,重要部门人员管理制度落实,每个部门都落实了一名人员,负责信息日常安全。严格实行了“谁上网,谁使用,谁负责”的原则。重要信息上网必须经过单位分管领导批准,一般信息上网必须经过部门负责人审核。我区针对新中国成立60周年国庆制定了完善的应急工作方案,坚持了网络值班。同时将信息安全经费列入财政预算,今年全区已落实近15万元用于网络与信息安全建设。
近年来,通过中心机房建设和对网络配套改造,建成了覆盖全区的高速信息网络系统。我区部署了网络硬件路由、防火墙,党政网上应用了金山毒霸网络版杀毒软件,政务外网上应用了卡巴斯基网络版杀毒软件。机房实施了UPS供电,建立了中心机房网络雷电防护
体系。 我区建立健全了网络值班制度,加强了网络值班工作,区信息化办工作人员每天对设备运行情况、网站信息发布情况进行监控,并填写值班日志。
2、安全防范措施落实情况
我区要求各级各单位严格按保密管理、密码管理、等级保护要求,对上党政网的计算机进行了加密保护。涉密计算机实行专人管理,责任到人。对涉密介质,如光盘、磁盘、优盘等由专人管理。做到了涉密计算机定点维修,保证了涉密计算机的安全和保密;同时加强对涉密文件资料的管理,所有印发的涉及单位秘密的文件资料者是在单位文印部门(打印中心)制作,并编排序号;上级发来的涉密文件资料都是作好严格登记,并根据工作需要,严格控制范围,认真履行了传借阅国家秘密文件登记、签收手续,未有丢失现象;对秘密文件都是实行专门文件夹传阅,并将领导阅后的秘密文件收回并专门保管,防止秘
密文件的流失。
自查发现,我区计算机使用国产化率较高,主要的品牌有联想、清华同方等,使用较多的非国产品牌有HP、DELL等。字处理软件95%以上都使用微软Office,只有少数使用国产WPS。互联网终端计算机上85%使用的瑞星和金山毒霸等杀毒软件,少数使用360安全卫士和卡巴斯基等。党政网的计算机90%以上都使用了网络版金山毒霸,电子政务外网
85%以上都使用了网络版的卡巴斯基。
我区各级各单位都高度重视政府信息系统安全检查工作,为了搞好这次检查,都成立了领导小组,主要领导亲自抓,分管领导具体抓。对这次检查进行了统筹安排,严密组织,明确了职责,强化了责任,以确保检查不走过场,注重实效,确保检查质量,以切实提高政府信息系统安全保障能力,确保我区政府信息系统安全运行。
二、信息安全检查发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我区实际,今后要在以下几个方面进行整改。
1、部分单位安全意识不够。部分单位工作人员信息安全意识不够,未引起高度重视。检查要求其要高度保持信息安全工作的警惕性,从政治和大局出发,继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、部分单位缺乏相关专业人员。由于部分单位缺乏相关专业技术人员,信息系统安全方面可投入的力量非常有限,下一步要加强相关技术人员的培训工作。
3、部分单位安全制度落实不力。要求各单位要加强制度建设,加大安全制度的执行力度,责任追究力度。要强化问责制度,对于行动缓慢、执行不力、导致不良后果的单位和个人,要严肃追究相关责任人责任,从而提高人员安全防护意识。
4、部分单位工作机制有待完善。部分单位网络与信息安全管理混乱,要进一步创新安全工作机制,提高机关网络信息工作的运行效率,进一步规范办公秩序。
5、计算机病毒问题较为严重。由于单位经费紧张,部分单位使用的是盗版杀毒软件,有的是网上下载的,有的是已过期不能升级的,更有不装杀毒软件的。要求各单位加大投
入,确保用上正版杀毒软件。
6、计算机密码管理重视不够。相当部分计算机未设置密码,有的密码设置也过于简单。要求各台计算机至少要设置8-10个字符的开机密码。
三、对信息安全检查工作的建议和意见
信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。明确信息安全检查工作是为了加强安全防范,在此,对于做好安全防范工作建议如下:
1、明确各层组织机构和人员的网络和信息安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实
现基础管理上的安全保证;
3、组织好单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
4、我区对网络与信息安全检查工作进行了部署,建议市上指导我区开展网络和信息
系统安全应急演练。
泸州市纳溪区人民政府信息化管理办公室
二OO九年十一月五日
推荐第6篇:信息安全等级保护专项检查自查报告
河南省环境保护厅环境自动监控系统信息安全等级保护专项检查自查报告
为了认真贯彻落实省公安厅《关于组织开展全省2011年度信息安全等级保护专项检查工作的通知》文件精神,为进一步做好我省环境自动监控系统信息安全工作,提高环境自动监控系统安全保证能力和水平,切实加强省环境监控系统网络信息安全,为中原经济区建设创造良好的社会和网络环境。
环保部和省委、省政府领导高度重视环境自动监控系统建设和应用工作。陈新贵副厅长和易旭生副巡视员对省环境信息自动监控系统信息安全等级保护专项检查工作做出重要批示,要求认真准备,做好检查工作。
按照省环境监控中心(以下简称“监控中心”)各位领导严格要求,安排专门科室和人员,制定了一系列信息安全管理制度,加强日常信息安全监测和预警,促进了中心信息安全建设和管理,营造出健康、和谐的网络环境。近期,我中心进行了信息安全自查,现将中心信息安全自查工作情况报告如下:
一、信息安全工作的基本情况
(一)积极组织部署等级保护工作
1、专门成立等级保护协调领导机构
成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组,确保环境自动监控系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2、明确等级保护责任部门和工作岗位
监控中心非常注重环境自动监控系统建设,多次开会明确等级保护责任部门,做到分工明确,责任具体到人。
3、贯彻落实等级保护各项工作文件或方案
等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案,根据环境自动监控工作的特点,制定出《河南省环境保护厅网络与信息安全事件应急预案》、《河南省环境自动监控系统机房管理制度》等一系列规章制度,落实等级保护工作。
4、召开工作动员会议,组织人员培训,专门部署等级保护工作
监控中心每季度召开一次工作动员会议,定期、不定期对技术人员进行培训,并开展考核。技术人员认真学习贯彻有关文件精神,把信息安全等级保护工作提升到重要位置,常抓不懈。
5、有关主要领导认真听取等级保护工作汇报并做出重要指示
省环保厅陈新贵副厅长、易旭生副巡视员分别对等级保护工作给与批示,要求认真做好有关工作。监控中心陶冶主任、丁卫东副主任、郭新望总工程师分别听取等级保护工作汇报,指示责任部门做好自检、自查,精心准备,迎接公安厅专项检查。
(二)认真落实信息安全责任制
1、高规格建设信息安全协调领导机构
在监控中心等级保护协调领导小组中,陶冶主任亲自担任协调领导小组组长,主管领导郭新望总工程师担任协调领导小组常务副组长,信息管理室汪太鹏主任兼任领导小组办公室主任。
2、成立信息安全职能部门
监控中心成立了信息管理室作为信息安全职能部门,负责环境网络建设,信息安全,日常运行管理。
3、制定信息安全责任追究制度
监控中心制定出相应信息安全责任追究制度,定岗到人,明确责任分工,把信息安全责任事故降低到最低。
(三)积极推进信息安全制度建设
1、加强人员安全管理制度建设
监控中心建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度,对新进人员进行培训,加强人员安全管理,不定期开展考核。
2、严格执行机房安全管理制度 监控中心制定出《机房管理制度》,加强机房进出人员管理和日常监控制度,严格实施机房安全管理条例,做好防火防盗,保证机房安全。
3、建立系统建设管理制度
监控中心制订了产品采购、工程实施、验收交付、服务外包等系统建设管理制度,通过公开招标,择优选用,大大提高了系统建设的质量。
(四)大力加强信息系统运维
1、开展日常信息安全监测和预警
监控中心建立日常信息安全监测和预警机制,提高处置网络与信息安全突发公共能力事件,加强网络信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发公共事件的危害。
2、建立安全事件报告和响应处理程序
监控中心建立健全分级负责的应急管理体制,完善日常安全管理责任制。相关部门各司其职,做好日常管理和应急处置工作。设立安全事件报告和相应处理程序,根据安全事件分类和分级,进行不同的上报程序,开展不同的响应处理。
3、制定应急处置预案,定期演练并不断完善 监控中心制定了安全应急预案,根据预警信息,启动相应应急程序,加强值班值守工作,做好应急处理各项准备工作。定期演练预警方案,不断完善预警方案可行性、可操作性。
二、扎实开展信息系统定级备案
(一)信息系统定级工作概况
监控中心积极有效开展信息系统定级工作,认真编制安全等级保护定级报告。省环境自动监控系统是通过前端自动监控设施自动采样、分析、获取各污染源、环境质量点位的监测数据,通过VPN网络上传至省、市监控中心,监控中心管理人员对数据进行审核后应用于环境管理工作。
该系统主要服务于省、市环保部门环境管理,同时对审核后数据通过网站向公众发布。
系统服务受到破坏时侵害的客体是公众利益,即社会公众的环境知情权。
系统服务受到破坏后,对侵害客体的侵害是一般损害。
(二)信息系统备案工作情况
监控中心按期规范开展信息系统备案工作。根据《信息安全等级保护管理办法》,填写信息系统安全等级保护备案表。
对单位基本情况、信息系统情况、信息系统定级情况等信息做出明确备案。
三、有效推进信息系统等级测评和安全建设整改工作部署和经费保障
(一)制定等级测评工作计划
认真制定等级测评工作计划表,按照工作计划表,有条不紊的开展等级测评。
(二)制定安全建设整改工作计划
制定安全建设整改工作计划,根据自查结果,对发现问题进行安全建设整改。编制整改方案,限期完成整改计划。
(三)保证等级测评工作经费
中心优先保证等级测评工作经费的划拨、使用。
(四)落实安全建设整改工作经费保障
中心积极落实安全建设整改工作经费,协调财政部门保障整改经费保障。
(五)选择等级测评机构
四、不断完善等级保护自查和整改
(一)组织部署等级保护自查工作
领导协调小组开专题会议,部署等级保护自查工作。按照信息安全等级保护工作检查表的要求,细化各项检查指标,落实各项指标。
(二)按期整改存在的问题
五、认真做好三级信息系统等级测评和安全建设整改工作
(一)等级评测工作开展情况
(二)安全建设整改工作开展情况
推荐第7篇:某区关于开展信息系统等级保护检查工作自查报告
***区关于开展信息系统等级保护检查工作自
查报告
为进一步推进信息安全等级保护工作,提高基础信息网络和重要信息系统安全保障能力,保障党的十八大胜利召开,根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求,我区高度重视,及时召开信息系统安全等级保护工作领导小组会议,积极部署工作、明确责任、具体落实,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,认真对照信息安全等级保护自查项目表,对我区医疗单位信息安全等级保护工作进行了一次摸底调查,现将此项工作自查情况汇报如下:
一、等级防护工作的组织部署和实施情况
成立了区卫生系统信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;区主管卫生的副区(局)长对等级保护工作作出了重要批示,并在工作会议上提出了工作点要求。
二、信息系统安全等级保护定级备案情况
我区卫生系统目前的信息系统所承载的业务、服务范围、安全需求暂时未发生变化;各单位重要信息系统的重要性均有清楚的认识。
三、信息技术产品和信息系统安全产品使用情况
我区各卫生系统计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、卡巴
斯基等安全软件。公文处理软件使用了MicrosoftOffice系统。各单位使用的业务系统、数据传输平台系统、数据库等应用软件均为省卫生厅,统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。
四、信息系统安全检查存在的主要问题及整改情况
1、信息系统安全工作的水平还有待提高。各单位的信息系统工作人员均为兼职人员,非专业人员,对信息系统安全的管护水平低,还需要加强专业学习培训,提高信息系统安全管理和管护工作的水平。
2、信息系统安全工作机制还有待完善。信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
五、对信息系统安全检查工作的意见和建议
1、进一步加大对信息系统安全工作人员的业务培训。由于很多部门的信息系统安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望上级相关部门组织培训班进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
2、加强分类指导。由于各单位、部门的工作性质不同,信息系统安全的防护级别也不同。希望结合各单位、部门工作实际,对重点信息系统安全单位、部门和非重点信息系统安全单位、部门进行分类指导。
*****卫生局
二〇一二年九月五日
推荐第8篇:市中医医院开展信息系统等级保护检查工作自查报告
市中医医院开展信息系统等级保护检查工作自查报告 为进一步推进信息安全等级保护工作,提高基础信息网络和重要信息系统安全保障能力,保障党的十八大胜利召开,根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求,医院高度重视,及时召开院信息系统安全等级保护工作领导小组会议,积极部署工作、明确责任、具体落实,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,认真对照信息安全等级保护自查项目表,对我院信息安全等级保护工作进行了一次摸底调查,现将此项工作自查情况汇报如下:
一、等级防护工作的组织部署和实施情况
成立了xx市中医医院信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;医院主要领导对等级保护工作作出了重要批示,并在工作会议上提出了四点要求。
二、信息安全管理制度的建立和落实情况
院信息中心制定了《xx市中医医院信息化建设总体规划》、《xx市中医医院信息系统工作制度与人员岗位职责目录》、《xx市中医医院计算机管理系统应急预案》、《xx市中医医院HIS信息系统工作制度》等相关制度,并在实际工作中对照制度严格执行各项操作流程。
三、信息系统安全等级保护定级备案情况
我院目前的信息系统所承载的业务、服务范围、安全需求暂时未发生变化;对本单位重要信息系统的重要性均有清楚的认识。
四、信息技术产品和信息系统安全产品使用情况
我院计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、卡巴斯基等安全软件。公文处理软件使用了MicrosoftOffice系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。
五、信息系统安全检查存在的主要问题及整改情况
1、信息系统安全工作的水平还有待提高。医院的信息系统工作人员均为兼职人员,非专业人员,对信息系统安全的管护水平低,还需要加强专业学习培训,提高信息系统安全管理和管护工作的水平。
2、设备维护、更新有待加强。部分科室计算机的杀毒软件、防护软件没有及时进行更新升级,存在系统漏洞。针对这些问题,信息中心已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高医院网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
六、对信息系统安全检查工作的意见和建议
1、进一步加大对信息系统安全工作人员的业务培训。由于很多部门的信息系统安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望上级相关部门组织培训班进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
2、加强对全院职工的信息系统安全教育。通过开展专题警示教
育培训,增强信息系统安全意识,提高做好信息系统安全工作的主动性和自觉性。
3、加强分类指导。由于各科的工作性质不同,信息系统安全的防护级别也不同。希望结合各科室工作实际,对重点信息系统安全部门和非重点信息系统安全部门进行分类指导。
二〇一二年六月二十六日
推荐第9篇:林地保护等级分级
附 录 A (规范性附录)
林地保护等级分级及保护管理措施
A.1 保护等级分级 A.1.1 Ⅰ级保护林地
是我国重要生态功能区内予以特殊保护和严格控制生产活动的区域,以保护生物多样性、特有自然景观为主要目的。包括流程1000公里以上江河干流及其一级支流的源头汇水区、自然保护区的核心区和缓冲区、世界自然遗产地、重要水源涵养地、森林分布上限与高山植被上限之间的林地。 A.1.2 Ⅱ级保护林地
是我国重要生态调节功能区内予以保护和限制经营利用的区域,以生态修复、生态治理、构建生态屏障为主要目的。包括除Ⅰ级保护林地外的国家级公益林地、军事禁区、自然保护区实验区、国家森林公园、沙化土地封禁保护区和沿海防护基干林带内的林地。 A.1.3 Ⅲ级保护林地
是维护区域生态平衡和保障主要林产品生产基地建设的重要区域。包括除Ⅰ、Ⅱ级保护林地以外的地方公益林地,以及国家、地方规划建设的丰产优质用材林、木本粮油林、生物质能源林培育基地。 A.1.4 Ⅳ级保护林地
是需要予以保护并引导合理、适度利用的区域,包括未纳入上述Ⅰ、Ⅱ、Ⅲ级保护范围的各类林地。 A.2 保护管理措施
A.2.1 Ⅰ级保护林地管理措施
实行全面封禁保护,禁止生产性经营活动,禁止改变林地用途。 A.2.2 Ⅱ级保护林地管理措施
实施局部封禁管护,鼓励和引导抚育性管理,改善林分质量和森林健康状况,禁止商业性采伐。除必需的工程建设占用外,不得以其他任何方式改变林地用途,禁止建设工程占用森林,其他地类严格控制。 A.2.3 Ⅲ级保护林地管理措施 严格控制征占用森林。适度保障能源、交通、水利等基础设施和城乡建设用地,从严控制商业性经营设施建设用地,限制勘查、开采矿藏和其他项目用地。重点商品林地实行集约经营、定向培育。公益林地在确保生态系统健康和活力不受威胁或损害下,允许适度经营和更新采伐。
A.2.4 Ⅳ级保护林地管理措施
严格控制林地非法转用和逆转,限制采石取土等用地。推行集约经营、农林复合经营,在法律允许的范围内合理安排各类生产活动,最大限度地挖掘林地生产力。
推荐第10篇:网络安全等级保护条例
第一章第二章第三章第四章第五章第六章第七章第八章 网络安全等级保护条例
(征求意见稿)
目
录
总 则 ..........................................支持与保障 ......................................网络的安全保护 ..................................涉密网络的安全保护 .............................密码管理 .......................................监督管理 .......................................法律责任 .......................................附 则 .........................................
第一章 总 则
第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。
第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
- 23络安全防范意识。
国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。
第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
第三章 网络的安全保护
第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造
- 56用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。
第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自
- 9第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。
第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。
行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。
第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约
- 1112涉密网络中使用的安全保密产品,应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品,密码产品应当选用国家密码管理部门批准的产品。
第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。
第四十一条【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设臵安全保密管理人员,落实安全保密责任。
第四十二条【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处臵措施,并向保密行政管理部门报告。
- 14密码产品应当经过密码管理部门批准,采用密码技术的软件系统、硬件设备等产品,应当通过密码检测。
密码的检测、装备、采购和使用等,由密码管理部门统一管理;系统设计、运行维护、日常管理和密码评估,应当按照国家密码管理相关法规和标准执行。
第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。
第四十八条【密码安全管理责任】网络运营者应当按照国家密码管理法规和相关管理要求,履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。
任何单位和个人不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动。
第六章 监督管理
第四十九条【安全监督管理】县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
第五十条【安全检查】县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处臵和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
- 17自参加境外组织的网络攻防活动。
第五十五条【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。
网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。
第五十六条【紧急情况断网措施】网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。
第五十七条【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。
第五十八条【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况。其中重要涉密信息系统每两年至少开展一次监督检查。监督检查中发现存在安全隐患,或者违反密码管理相关规定,或者不符合密码相关标准规范要求的,按照国家密码管理相关规定予以处理。
第五十九条【行业监督管理】行业主管部门应当组织制定本行业、本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。
行业主管部门应当监督管理本行业、本领域网络运营者依照网络安全等级保护制度和相关标准规范要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处臵、重大活动网络安全保护等工作。
第六十条【监督管理责任】网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。
第六十一条【执法协助】网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。
第六十二条【网络安全约谈制度】省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
第七章 法律责任
第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
第六十四条【违反技术维护要求】网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第六十五条【违反数据安全和个人信息保护要求】网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。
第六十六条【网络安全服务责任】违反本条例第二十六条
- 21保密管理和密码管理规定的,由保密行政管理部门或者密码管理部门按照各自职责分工责令改正,拒不改正的,给予警告,并通报向其上级主管部门,建议对其主管人员和其他直接责任人员依法给予处分。
第六十九条【监管部门渎职责任】网信部门、公安机关、国家保密行政管理部门、密码管理部门以及有关行业主管部门及其工作人员有下列行为之一,对直接负责的主管人员和其他直接责任人员,或者有关工作人员依法给予处分:
(一)玩忽职守、滥用职权、徇私舞弊的;
(二)泄露、出售、非法提供在履行网络安全等级保护监管职责中获悉的国家秘密、个人信息和重要数据;或者将获取其他信息,用于其他用途的。
第七十条【法律竞合处理】违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第七十一条【术语解释】本条例所称的“内”、“以上”包含本数;所称的“行业主管部门”包含行业监管部门。
第七十二条【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。
第七十三条【生效时间】本条例由自
年 月 日起施行。
- 23 -
第11篇:等级保护会议发言稿
讲话稿
一、信息系统安全等级保护工作意义
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,开展信息安全等级保护工作是实现国家对重要信息系统重点保护的重大措施,可以有效解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我市信息安全保障工作的整体水平。
二、我市信息系统等级保护工作组织机构
我市已由市公安局牵头建立了与市政府信息办、市机要局、市保密局联络机制,并坚持“分工负责、密切配合”的原则,公安机关牵头,负责等级保护全面工作的监督、检查、指导,并主要负责非涉及国家秘密的信息系统的等级保护工作,市政府信息办负责部门间协调,机要局密码工作的监督、检查,涉及国家秘密的信息系统由国家保密工作部门负责。
在联络机制的基础上,市局拟争取市委、市政府支持,成立信息安全等级保护领导小组,明确各部门职责,加强领导 ,进一步推进我市信息安全等级保护工作。
三、我市信息安全的前期情况
1
随着我市工业化、信息化的发展,信息系统在带来高效和便捷的同时,系统的安全性对社会生产、生活影响越来越大。在我市比较典型的两个重要信息系统是:人社局的社会保险系统和建委的房屋产权登记管理系统,这两个大的系统存贮的信息关系到全市居民的医疗金、养老金、和房屋产权的安全,目前以上数据都已完全电子化,而且数据库在本市存贮,如果说这两个系统的安全受到破坏,可以讲后果不堪设想。虽然我市目前各个重要单位的重要信息系统都相应建立了比较严密的管理制度,也落实了较为完备的安全技术措施,但是存在的缺点是各单位、各行业自主保护,各自为营;造成了安全标准不统一,安全制度不健全的打游击战的状况。导致的结果是隐患重重,。目前市区比较重要的单位已经基本完成信息系统的定级备案,并将在明年把三级以上系统的安全测评和安全措施的改进作为工作重点。
系统定级备案工作,就是根据系统的业务和数据对国民经济和社会生活的影响大小,确定系统的安全保护级别,不同的安全级别采取不同标准的安全保护措施,并由国家确定有资质的测评机构进行测评,及时发现系统安全问题,及时整改。系统定级备案可以简单的理解为网安部门由打击涉网犯罪向指导预防犯罪延伸,当然这样比喻不太全面,因为安全事件产生的原因是多方面的,网上违法犯罪只是计算机系统安全事件的一个方面。
四、信息系统定级备案工作的法律依据
《人民警察法》和《中华人民共和国计算机信息系统安全保护条例》规定了公安机关负责监督管理信息系统特别是重点领域信息系统安全保护工作。组织开展信息安全等级保护工作是公安机关肩负的新的历史使命,是在信息网络领域开展的面向全社会的管理监察工作。具体职责是:监督、检查、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作;监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况、定级和备案情况、安全整改、等级测评、产品使用、自查等情况;组织开展信息安全等保护的政策、法规、标准规范的宣传培训。
五、工作要求:
前期,由于市局对县局等级保护工作没有部署和具体指导,县级单位除了少数行业自身定级和部分县局网安部门已经开展了一些前期工作外,等级保护工作在县级单位还没有完全展开,随着社会信息化的发展和信息安全面临的严峻形势,今后将把等级保护工作纳入到县级网安部门的日常工作,而且将是一个长期性的系统性的工作,借这个机会提几点要求:
1切实加强对此次定级工作的组织领导,主动争取当地党委政府的领导。成立等级保护工作协调小组或领导小组,党委政府有关领导担任组长,有关职能部门和主管部门作为
成员。协调小组或领导小组下设办公室,县级公安机关分管网监工作的局长担任办公室主任,办事机构设在网监部门。
2、调动社会力量,积极推动信息安全等级保护工作。信息安全等级保护是一项复杂庞大的系统工程,需要全社会广泛动员和支持。公安机关在组织开展等级保护各项工作时要注意充分发挥社会力量的作用,共同推动等级保护工作。要注意在本地区科研机构、高校、协会、学会中选择和培养一批技术能力强,背景可靠的单位作为开展信息安全等级保护的技术支持力量;选择和确定一批专业人才作为等级保护的专家队伍。
3、加强宣传培训,提高开展等级保护工作的能力。公安机关要认真组织相关部门学习和掌握等级保护有关政策、规范和标准,针对信息系统运营、使用单位及信息安全相关技术支持单位对等级保护有关政策、方法、标准不了解等问题,要有针对性地加强宣传和培训。同时,要充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,为顺利实施等级保护工作奠定坚实的基础。
第12篇:安全等级保护管理办法
安全等级保护管理办法
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法:
第1条 网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条 根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录。
第3条 根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录。
第4条 根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录。
第5条 根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录。
第6条 每周对网络信息系统安全管理策略进行数据备份,并作详细记录。 第7条 网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第8条 网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第9条 每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密局,并做详细记录。
第10条 每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录。
第11条 每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录,并将安全评估分析报告上报保密办。
第12条 每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录。
第13条 每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录。 第14条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第15条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第16条 每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录,遇有重大问题上报保密部门。
第17条 涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录。
第18条 新增涉密计算机联入涉密网络,需经保密局审批,由安全保密管理员统一进行操作,并做详细记录。
第13篇:等级保护全面自查
潞安容海发电有限责任公司信息安全等级保护自查报告
随着我国信息网络事业的飞速发展,信息安全保障能力提到了一个新的高度,我厂信息安全以及信息安全等级保护工作就提到了日常议程上来了。围绕提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设的要求,一年来,我厂认真贯彻落实行业和公司的总体部署,在公司和企业信息化工作的统一部署下,按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,狠抓系统维护、培训和流程梳理,促进管理规范,提高系统运行效率。进一步完善企业新的运行机制条件下的信息化管理工作,促进企业年度信息安全管理工作目标的实现。特别是今年9月以来,我厂在总结以往工作的基础上,通过认真学习和领会《信息系统安全等级保护基本要求》精神,根据公司的统一部署,结合我厂的具体情况,认真梳理和开展了信息安全等级保护这项工作,取得一定成效。现简要总结汇报我厂2011年度开展信息安全等级保护工作情况。
一、企业开展信息安全等级保护主要工作回顾
1、加强宣传,增强认识,积极推进企业信息安全等级保护工作。为提高企业对信息安全等级保护这项工作的认识,我厂组织信息化管理部门和相关人员认真宣传学习了工业和信息化部文件,大家充分了解到开展定级等工作内容、要求和技术标。一是增强了大家对推行信息安全等级保护制度的重要性和必要性以及信息安全等级保护工作的认识。二是在总结过去工作经验的基础上,确定了将信息安全等级保护工作作为今年网络安全保障工作的一项重要任务来抓。三是采取一定措施,积极推进了公司和企业信息安全等级保护工作。从系统定级、定级评审、系统备案、测评整改、监督检查等五个阶段进行了一些有益的探索。并按照既定的工作目标和时限要求,确保等级保护定级工作保质保量完成。
2、对照要求,认真查找和消除企业信息安全等级保护工作中的差距。信息化管理部门和相关人员通过对照国家和行业有关信息安全等级保护工作文件相关规定和我厂实际,认真开展自查和总结。针对企业现状展开分析和讨论,寻找我厂开展信息安全等级保护这项工作的差距,理清工作思路,进一步确立了企业信息安全等级保护工作思路和目标。一是对企业信息安全总体情况进行了全面摸底,检查了企业信息安全管理、信息安全技术、和信息安全运维三个体系建设情况。二是对信息安全检查中发现的主要问题进行了及时整改,采取了相应的对策和措施。
3、落实组织,建立企业信息安全等级保护工作长效机制。我厂领导高度重视信息安全等级保护工作的开展。企业有关领导和相关信息安全职能部门充分认识到开展信息安全等级保护是保障全市政治稳定、经济发展和社会和谐的有效手段。为适应公司组织机构调整需要,提高企业信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,我厂及时调整了信息化工作领导机构,同时,成立了潞安容海电厂关于成立信息系统安全工作领导小组,进一步落实了信息系统安全工作责任。在落实企业信息安全等级保护工作目标责任基础上,一是重新梳理和调整了企业信息化队伍;二是建立健全了信息安全管理制度;三是落实和发挥了系统备份、安全巡检、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能;四是实现了集中安全管理控制,快速安全事件响应,高可信的安全防护;五是重申了对IT系统和产品开展入网前安全检查,消除安全隐患等几项具体措施。
4、总体规划,分步实施和落实信息安全策略。我厂信息安全规划坚持行业和政策实际,着眼于企业长远的发展目标,以及高新技术迅猛发展的需要,立足企业当前的基础和迫切需要解决的问题。信息安全规划主要是企业部署了网络硬件路由、防火墙和网络防毒墙。实施和应用了中心机房安全监控、火灾报警系统,瑞星网络版企业杀毒软件和上网行为管理系统。机房和综合楼办公楼实施了 UPS供电,建立了中心机房网络雷电防护体系。安全策略主要是针对网络进行了CISCO PIX515安全策略配置,企业内部网络采用了路由和VLAN技术;服务器采取用户和密码登录;各部门上网用户实行等级权限,采用帐户和密码登录方式进行单个PC管理。各个终端运维强调Windows补丁管理,并通过Windows安全策略向用户提供限制性的访问权限,有效地保护了windows机器。
另外,结合企业职业健康安全管理体系建设要求,对供电体系、雷电防护体系缺陷、计算机的安全保护,信息泄露、数据备份、病毒或黑客入侵等危险源进行了认真的辨识,对二级以上危险源都制订了预控措施,明确了各岗位的岗位职责并对相关职责抓好落实。目前,企业信息系统的安全正式纳入烟草行业安全管理信息系统管理,并着手规划建立健全信息安全技术和信息安全运维两个体系建设。
5、完善制度,建立和落实了信息安全保护责任制。自从2009年组建信息系统网络以来,我厂就先后制订并修改了各项信息安全相关制度,坚持对重大节日期间的信息安全保障工作进行专门部署。今年,我厂在加强内部信息化管理制度建设方面,将国家局行业卷烟生产经营决策管理系统五个操作文件纳入了企业贯标管理。另外,为加强企业网络安全与信息管理,适应行业改革与发展机制的需要,企业除执行国家、行业和公司有关信息网络管理法律法规和制度外,内部制订和修订了一系列规章制度(包括预案和管理办法)。这些制度的制订和修改遵循了相关流程,并形成了记录。目前已正式印发的制度主要包括:《计算机和网络信息系统管理办法》、《通信管理制度》、《网络与信息安全事件专项应急预案》、《潞安矿业(集团)公司容海热电厂计算机安全管理规定》、《通信突发事件应急处置专项预案》。制度下发以后,日常开展督导和制度执行力检查,促进信息安全保护责任的落实。
6、抓好人员培训和系统演练,促进企业重要信息系统日常信息安全保护工作落到实处。另外,在下半年的10月和11月,内部分两期采取模拟信息网络及中心机房突发事件、发生网络中断等突发事件,以训带练的形式开展了这两个应急预案的演练。由生技部牵头,安全科、生产(设备)、物资科等相关部门安排相关人员参加了这次预案的培训和演练。培训和演练取得了预期目的。
5、日常认真抓好信息安全检查和系统运维,促进信息安全管理和系统整治规范。为了营造良好的网络环境,保护自身信息的安全,我厂信息化主管部门结合信息技术支持与服务本职,突出工作重点,积极抓好网络安全管理,进一步使安全落到实处。
(一)、坚持日常信息系统运维检查。针对企业信息网络系统管理和因特网上病毒和欺骗木马程序(病毒)攻击猖獗现状,信息化主管部门日常组织开展了专业性和群众性的信息及安全检查,集中消除和治理安全隐患,杜绝各种信息安全事故发生。
(二)、定期开展信息系统管理制度执行情况检查。按照企业制度督察检查办法,信息化主管部门编制了《计算机网络系统管理办法检查表》,对照信息系统管理制度内容开展对各部门和各岗位以及重点部位、重点项目检查,形成检查记录。
(三)、结合节假日和安全生产月、6S以及内部审核活动等开展信息网络安全专项检查。按照节假日和安全生产月、6S以及内部审核活动要求,开展网络设备全面检查和现场清理整顿工作,(1)是检查全厂各部门采用集线束对办公设备连线的整理规范状况;(2)是重点对两个机房以及各网络交换点场所的开关线路和周围杂物及时进行清理。对检查发现的问题,尤其是严重对网络系统造成安全隐患的项目立即下达通知整改,使问题消灭在萌芽状态,促进信息网络安全监督检查到位,安全记录真实规范。(3)是按照电力行业严格规范的总要求,对全厂网络的一些历史遗留问题和以往布线(电话线、有线、网线等)凸显瑕疵的地方,结合厂区布局的规范化,结合网络规范和6S管理要求,严格按相关标准进行了一次全面清理。
二、企业信息安全工作存在的问题是和改善工作意见或建议
1、企业在网络审计、安全设备统一管理、网站防篡改、行业数字证书(CA)认证等系统方面的建设工作未开展,建议公司加强企业信息安全技术体系建设这些方面给予特别支持和引导。另外,指导企业对信息系统备份措施的检查,包括检查的方法和内容。
2、公司对国家局行业生产经营决策管理系统的安全运维今年正式进行了部署,建议对每次巡检发现的问题能给予统一解决和处理。另外,指导企业开展网络和应用系统应急预案的编制和演练。
三、2012年企业信息安全工作重点
信息安全管理的对象是计算机网络和相关硬件系统以及在此系统上构架应用的软件和信息系统的决策规划、效能应用、系统安全、网络监察、个人上网等一切网络管理行为。而信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。为此,需要做好以下安全防范工作。
1、明确各层组织机构和人员的信息和信息网络安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;
3、规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实现基础管理上的安全保证;
4、除采用相应的物理防火墙和安全软件外,做好应急预案是确保万无一失的第一步,实现技术上的安全保证;
5、组织好本单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
6、定期组织开展信息和网络安全检查活动。通过对现场检查和清理,系统的监管,促进网络现场规范,营造一个整洁、规范、安全、高效的网络和信息系统环境,实现环境上的安全保证。
2011年12月3日
第14篇:等级保护与分级保护
等级保护与分级保护
一、信息系统等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。
第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统; 网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
二、涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多; (3)信息系统使用单位对信息系统的依赖程度较高。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视。
系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节,因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级\"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,不同的级别采取不同的安全措施,更加科学地实施分级保护,在一定程度上可以解决保重点,保核心的问题,也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时,必须报主管部门审批。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求,当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施以及后续测评要按照国家的标准执行,并且要求文档化。在设计完成之后要进行方案论证,由建设使用单位组织有关的专家和部门进行方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理的要求;建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求。
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行。通过安全检查和持续改进,不断跟踪涉密信息系统的变化,并依据变化进行调整,确保涉密信息系统满足相应分级的安全要求,并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化,操作自动化,减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性,使安全策略作为安全运行的驱动力以及重要的制约规则,从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程。
随着我们国家民主与法制建设进程的不断推进,保密的范围和事项正在逐步减少,致使一些涉密人员保密意识和敌情观念淡化,对保密工作的必要性和重要性认识不足。虽然长期处于和平时期,但并不意味着无密可保。事实上,政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。
三、等级保护和分级保护之间的关系 国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:
(1) 国家事务处理信息系统(党政机关办公系统);
(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;
(3) 国防工业企业、科研等单位的信息系统;
(4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统; (5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统; (6)其他领域的重要信息系统。
国家实行信息安全等级保护制度,有利于建立长效机制,保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全保护水平,保障信息系统安全正常运行,保障信息安全,进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转;有利于根据所保护的信息的重要程度,决定保护等级,防止“过保护”和“欠保护”的情况发生;有利于信息安全保护科学技术和产业化发展。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全,国家就会丧失信息主权和信息控制权,所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。
因为不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以需要不同的保护强度种措施。对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。对涉密信息系统的保护,既要反对只重应用不讲安全,防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发,防护措施“一刀切”,造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。
由上可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展。
第15篇:等级保护三级承诺书
承诺书
中国交通通信信息中心:
根据〘关于认真贯彻〖道路运输车辆卫星定位系统平台技术要求〗和〖道路运输车辆卫星定位系统车载终端技术要求〗两项标准的通知〙(交运发〔2011〕158号)、〘关于进一步开展交通运输行业信息安全等级保护工作的通知〙(厅科技字〔2012〕120号)以及〘道路运输车辆卫星定位系统平台和道路运输车辆卫星定位系统车载终端标准符合性审查办法(试行)〙(中交通信字〔2011〕75号)的规定,我公司承诺于2013年12月31日前,按照交通运输部关于行业信息安全等级保护工作的要求提交XXXX(平台名称)的信息系统安全等级保护三级备案证明和测评报告。如未按期完成,愿意接受从符合性审查公告目录中删除的处理。
二〇一二年 月 日
第16篇:信息网络安全等级保护
信息网络安全等级保护
自检自查报告
临河人民医院的的信息网络安全建设在上级部门的 关心指导下,近年取得了快速的进步和发展,根据市卫生局《关于开展信息系统等级保护检查工作的通知》文件精神和要求及接到公安局文件后,医院高度重视,及时召开院信息系统安全等级保护工作领导小组会议,积极部署工作、明确责任、具体落实,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,认真对照信息安全等级保护自查项目表,对我院信息安全等级保护工作进行了一次摸底调查,现将此项工作自查情况汇报如下:
一、等级保护工作组织开展、实施情况:
成立了临河区人民医院信息系统安全等级保护工作领导小组,落实了信息安全责任制;对等级保护责任部门和岗位人员进行了确定,确保专人落实;制定了等级保护工作的文件及相关工作方案;严格按照国家等级保护政策、标准规范和行业主管部门的要求,组织开展各项工作;及时召开了信息系统安全等级保护工作领导小组工作会议;医院主要领导对等级保护工作作出了重要批示,并在工作会议上提出了四点要求。
2信息安全管理制度的建立和落实情况 院信息中心制定了《临河区人民医院信息化建设总体规划》、《临河区人民医院信息系统工作制度与人员岗位职责目录》、《临河区人民医院计算机管理系统应急预案》、《临河区人民医院HIS信息系统工作制度》等相关制度,并在实际工作中对照制度严格执行各项操作流程。
3按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况
遵照有关法律法规,对医院信息服务网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对医院信息服务网信息安全保护等级进行了自主定级。
二、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字,2007‟861号),对本单位维护的医院内网站(医院信息和服务网)安全保护等级级别定位第二级。
三、信息安全设施建设情况和信息安全整改情况:
1安全设施建设情况:我院计算机、公文处理软件和信息系统安全产品均为国产产品,包括使用360、金山安全卫士、金山毒霸、诺顿nod正版软件等安全软件。公文处理软件使用了Microsoft Office系统。单位使用的工资系统、业务系统、数据传输平台系统、数据库等应用软件均为市委、市政府政府相关部门、市财政局和市卫生局统一指定的产品系统。重点信息系统使用的服务器、路由器、交换机等均为国产产品。 2信息安全整改情况:
一信息系统安全工作还需要继续完善和提高相应的维护能力。随着移动护理查房的展开,信息工作人员还需要继续提高信息系统安全管理和管护工作的水平。 二设备维护、更新有待加强。科室的正版nod杀毒软件维护能够自动更新升级,并进行了定时扫描,确保不存在系统漏洞,偶尔更换新主机ip地址会有冲突,IP网络地址也进行了统一管理。今后将对线路、系统等的及时维护和保养,及时更新升级软件和管理网络地址。
三信息系统安全工作机制还有待完善。部门信息系统安全相关工作机制制度、应急预案等还不健全,还要完善信息系统安全工作机制,建立完善信息系统安全应急响应机制,以提高医院网络信息工作的运行效率,促进医疗、办公秩序的进一步规范,防范风险。
四、信息安全管理制度建设和落实情况:
1制定了医院信息服务网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对医院信息服务网信息安全管理负直接责任,并接受上级单位的监管。
2对医院信息服务网机房实施了24小时值班,操作系统、数据库系统、防病毒系统、网站软件系统实时升级,
3发现安全隐患,第一时间由技术人员解决。
五、信息安全产品选择和使用情况:
医院内部服务器使用了IBM和戴尔的服务器,交换机使用了H3C.
六、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:暂无聘请测评机构开展技术测评工作。
七、自行定期开展自查情况:
1每半年对医院信息服务网进行一次信息系统安全保护自查和应急演练措施。 2开展信息安全知识和技能培训情况:主动学习信息安全法律法规,积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。
第17篇:信息安全等级保护
信息安全等级保护(二级) 信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
2
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
6
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
8
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
9
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
10
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
11
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
13
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
14
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
15
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
16
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录) 50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第18篇:等级评审____自查报告
宝力根花等级评审方案
宝力根花卫生院
根据卫生局工作安排,我院于2011年3月5日认真组织全院职工学习了《宝力根花卫生院等级评审实施方案》,并根据《宝力根花卫生院等级评审标准》的要求,进行了自查,现将我院等级评审自查情况报告如下:
一、基本情况
宝力根花卫生院下属管理32个村级卫生所、9个卫生室。现有房屋1700平方米,其中:门诊、住院部用房600平方米,设置床位36张,拥有100mAX光机、全自动尿液分析仪、血细胞分析仪等千元以上设备6台件,配有120急救车一辆及急诊抢救箱、洗胃机、简易呼吸机等急救设备。现有专业技术人员22人(本科学历3人,大专学历9人、中专13),其中:中级职称13人护士5人,开设内、外、妇、儿、牙理疗等临床科室及放射、检验、B超、心电图等辅助科室,主要承担全乡1.2万人的公共卫生服务、预防接种、计划生育技术服务及农村常见病、多发病的诊治,服务范围东西40公里南北20是新型农村合作医疗定点医院。
二、重点工作
近年来,宝力根花卫生院严格执行农村卫生各类规章制度,按照“管理机构下基层,疾控机构进医院,健康教育进万家”的工作思路,不断强化服务水平,提升业务技能,探索乡村医疗服务一体化管理,努力促进标准化乡村卫生院建设,使业务水平全面提升,服务功能迅速提高。
(一)公共卫生服务
我院历来将公共卫生服务作为全院工作的重点,放在突出位置,不折不扣地全面贯彻落实,在具体工作中创出了特色,提升了服务质量,建立了一整套完善的规章制度和行之有效的办事规程,公共卫生服务水平明显提升。
1、全面落实疾病预防,流行性疾病明显下降。按照预防在基层的原则,做好重点流行性疾病的检测和预防,并严格如实填写各类登记表、卡、册,无一列重大疾病漏报事故,对辖区内各类重点疾病人群全面掌控,及时详细地了解疾病发展趋势。积极做好辖区内食品卫生、公共场所、学校卫生的监督检查,每半年开展一次全乡流行性疾病预防知识宣传,提高群众对流行性疾病知识的知晓率。严格落实疫苗管理流程,做到冷链运转正常,国家免疫规划疫苗接种率达95%以上,结核病报告率和及时率均达100%。
2、落实妇幼保健制度,提高服务妇幼能力。以孕产妇系统管理为平台,提高服务妇幼保健能力,新生儿患病率逐 2 年下降,辖区优生优育水平逐步提高。全面开展计划生育技术服务,为辖区群众提供避孕节育及相关咨询。加强孕产妇住院分娩宣传,督促辖区孕产妇住院分娩,孕产妇住院分娩率、系统管理率、新生儿疾病筛查率、听力筛查率、儿童系统管理率、儿童体检率均达85%以上。孕产妇产前检测不少于5次,产后访视不少于2次;新生儿访视不少于4次。结合“卫Ⅺ”项目的开展,全面实施妇女保健和妇科病筛查与治疗。
3、完善居民健康档案,提升健康教育水平。以居民健康档案建设为推手,全面掌握辖区居民健康状况,认真抓好档案建设工作,力争使数据真实可靠,能真实反应居民健康状况,建档率达100%以上,并进行适时更新,动态管理。严格落实重性精神病、高血压、糖尿病患者登记管理制度,登记管理率达98%以上,并在上级专业机构指导下进行治疗随访和康复指导;65岁老年人登记管理率达76%以上。在抓好建档工作的同时,重点突出健康教育的宣传,充分利用各种健康主题日和宣传板报、宣传栏、播放音像资料等方式大力宣传健康知识,并定期举办健康知识讲座,使群众的健康意识和行为明显改善,群众防病知识明显提高。
4、健全乡管村体系,促进乡村一体化。为充分调动村级卫生所的工作积极性,依据对基本化公共卫生目标任务的完成情况进行考核并落实村医公共卫生补助,取得了明显成 3 效。严格实行“收支两条线”管理,对所管辖的七个村卫生室及11名乡村医生进行业务统
一、财务统
一、药械统一和绩效考核统一。为充分落实各项公共卫生任务,提高村医业务水平,将每月最后一天定为例会日,对职工及村医进行技术培训,并在例会上听取村医公共卫生任务落实情况的汇报,提升全乡公共卫生服务水平。
5、管好新农合资金,确保平稳安全运行。在新农合的补偿减免工作中,我们严格执行补偿审核制度和各项诊疗规范,严格执行新农合基本用药目录、诊疗项目目录,落实公示制和告知制。在门诊减免上实行微机自动审核补偿,在住院补偿工作中严格把关,严格各种证件的审核,杜绝了以假乱真、冒名顶替骗取新农合资金的现象发生。实行村级门诊统筹,门诊统筹比例达100%以上,住院病人费用报销达95%以上。
(二)基本医疗
医疗质量是医院发展的基础。我院历来把提高医疗质量作为提升医院服务水平,和谐建院的根本。大力推广适宜技术的应用,全面规范医疗行为,突出医疗质量管理和医德医风建设。
1、以常见病诊治为基础,全面开展医疗诊治。立足当地常见病、多发病谱的特点,我院不断提高常见病诊疗技术, 4 能开展服务范围内24小时急诊,能正确处理内、儿、妇科常见病,对疑难杂症能进行恰当处理并转诊。
2、规范检验程序,提升检验水平。在保证各类检验设备正常运转的前提下,严格按检验程序流程操作,规范书写检验报告单,坚决杜绝不按程序操作的现象发生。目前,能开展生化、血细胞分析、尿常规、血糖、乙肝表抗检验等,能为临床提供真实可靠的依据,大大提升诊断的准确性。
4、严格控制指标,优化卫生服务。以规范指标为前提,提升优质服务为目的,各种登记表,处方、病例书写合格率达98%以上,出入院诊断符合率达95%以上,放射诊断、B超检查诊断、心电图检查诊断符合率达95%以上。门诊抗菌药2联及以上联用处方百分比在14%以下,门诊平均处方费用在34元/张以下。能开展中医药适宜技术5项,中医药就诊人次、中医药使用量、中医药总收入接近1/3。
(三)保障措施
1、以人为本,完善管理制度。结合工作实际,不断总结完善了行政管理制度、疾病预防控制工作制度、妇幼保健规章制度、药品使用管理制度等,并严格执行。人员工资全额拨付,会计账簿、凭证、报表符合会计制度。新农合、公共卫生经费专户、专账管理。未发生预防接种、护理、医疗、财务等事故。各类资料齐全,数据完整,归档整齐,管理完善。
2、完善综合评价机制,促进医德医风建设。将医德医风建设作为提升服务质量,改善就医环境的根本,建立医德医风综合评价机制,认真落实医德医风考核制度,严肃处理违纪人员,杜绝了大处方、过度检查、过度治疗现象的发生。
3、强化基础设施建设,改善办公环境。通过各种方式积极争取资金,2009年新建了面积600平方米的综合门诊,更新了办公设备,硬化了地面,修建煤房1间,垃圾池子一座,绿化了院落,2011年对院子进行了美化,使医院面貌焕然一新,大大改善了职工办公、群众就医环境。
三、存在的问题
1、中医适宜技术开展项目较少,中医药文化氛围不足。
2、人才结构不合理,人才梯队尚未形成,缺乏业务骨干,缺乏学术带头人,医技人才紧缺,没有检验、放射等专业人才。
3、职工自学氛围不浓,外出学习深造机会较少。
四、下一步打算
在今后的工作中,我院将以这次评审为契机,努力在以下几个方面提升医院水平:
1、加大对中医药人才的培养,派送人员到上级医院观摩、学习;加大对中医药设备的投入;加大中医药文化在群众中的宣传。
2、进一步抓好继续教育,探索建立跟师带教制度,解决“一人走、全院瘫”的人才断层问题。积极派送人员参加上级医疗单位组织的各种培训,并选送相应专业技术人员到上级医院进修学习。
3、不断总结经验,完善医院绩效考核机制,提高服务质量和效率。
第19篇:烟草专卖局信息网络安全等级保护工作自检自查报告
烟草专卖局信息网络安全等级保护工作自检自查报告
根据市局通知要求,我局立即开展了一系列的自查自评活动,认真对照2010年综治、安全目标管理考评办法,精心部署并周密安排了对全年综治、安全工作的自查自纠活动,自查自纠结束后,我局还对照2010年综治、安全考评表对自查结果进行自我评价。现将自查自评情况汇报如下:
一、制定科学的安全管理制度,确保各项规定落实到位
二、
为使综治工作进一步规范化、制度化,确保综治安全工作做到有章可循、严格依章管好每一个岗位的人员,我局在原有制度的基础上,完善了安全工作十三条制度、七项职责,完善健全了车辆和驾驶员管理台帐,车辆派车单、车队工作、车辆使用、维修、派车、停放制度和驾驶员管理制度。同时成立了各类机构,设立了专门安全员,并与各部门及相关岗位签订了安全责任奖。为了确保制度的行之有效,我局把安全工作列入各科室的绩效考评。
二、对重点部位进行细致的检查。
对局卷烟仓库、财务室、微机房、网点中队等重点部位灭火器、应急照明、疏散指示标志等进行自查,有10个灭火器需在11月中旬换药,目前已全部更换好,均达安全要求,其他各类防盗设施、监控系统完整好用,网络系统安全稳定,制定了安全保卫管理制度,并定期对员工进行安全教育和突发事件应对措施教育,加强员工的安全防患意
识,全面落实人防、物防、技防措施,确保安全。
三、节假日值班及日常检查情况。
我县局(公司)联系实际,在重大节日和非常时期都落实了24小时值班制度,并由领导亲自带班,交接班按严格进行登记,值班人员坚守岗位,没有无故缺岗,值班巡查作好了详细记录。坚持开展常规性检查、突击性检查和专项检查相结合的方式,发现隐患及时认真整改,防止了事故的发生,并对自查、整改情况记入《安全检查档案》。
四、综治安全教育培训情况。
我局定期对驾驶员、综治安全员、财务人员进行培训教育,并做好学习记录,我局还定期组织驾驶员学习交通法律法规,经常交流驾驶经验和心得,使其自觉遵守交通规则和单位制度,同时,抓好派车、用车、管车等制度的落实,严防交通事故的发生。
五、职业健康安全体系开展情况
在安全体系运行的过程中,全员认真学习体系文件,全面掌握体系标准的基本内容,深刻领会其精神实质,领导带头遵守体系文件的各项规定,确保了贯标工作落到实处,同时不断完善和修改体系文件,针对辨识的危险源,在认真调查研究的基础上,多次召开专题会议,先后修订完善了防盗、抢应急预案、防触电事故应急预案、食物中毒应急预案、防震救灾、防交通事。安全管理水平逐步迈上规范化、制度化的轨道。
六、发现的问题及自评情况。
通过本次对全局一年来综治安全工作的自查自纠活动,我局也发现了一些问题和不足,如:综治安全工作一些方面做得还不够细,安全检查人员的素质不够高;矛盾纠纷排查工作开展力度还不够;综治安全方面法律法规和相关制度的学习应加强。
总的来说,我局本年度的综治安全工作基本可以达到市局考评方案要求,我局将立即整改自查自纠中发现的问题,扬长补短,迎接好即将到来的省、市局综治安全年终考评工作。
南丰县烟草专卖局
二0一0年十一月二十九日
第20篇:等级保护中心机房管理制度
Iyunke信息化管理制度
中心机房管理制度
为科学、有效地管理中心机房,保证网络系统安全、高效运行和使用,结合本局网络结构及运行情况,特制定如下制度,请遵照执行。
一、机房日常管理
1.管理目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作环境。
2.机房日常管理指定专人负责。
3.机房钥匙要严格保管,不得随意转借,一旦丢失要及时报告并积极寻找,并采取有效措施予以补救。
4.无关人员未经批准不得进入机房,更不得动用机房设备、物品和资料,确因工作需要,相关人员需要进入机房操作必须经过批准方可在管理人员的指导或协同下进行。
5.机房应保持清洁、卫生,温度、湿度适可,机房内严禁吸烟,严禁携带无关物品尤其是易燃、易爆物品及其他危险品进入机房。
6.消防物品要放在指定位置,任何人不得随意挪动;机房工作人员要掌握防火技能,定期检查消防设施是否正常。出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理。
7.硬件设备要注意维护和保养,做到设备物卡相符、设备使
Iyunke信息化管理制度
用状态记录完整。
8.建立机房登记制度,对本地局域网、广域网的运行情况建立档案。未发生故障或故障隐患时,网管人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等要做好详细记录。
9.网管人员应做好网络安全工作,严格保密服务器的各种帐号,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
10.网管人员要对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、设备管理
1.网管人员对各种网络设备的使用需按操作程序或使用说明书进行。
2.经常对硬件设备进行检查、测试和修理,确保其运行完好。3.所有贵重设备均由专人保管,专人使用,不得外借或由非专业人员单独操作。
4.中心机房的所有设备未经许可一律不得挪用和外借,特殊情况经批准后办理借用手续,借用期间如有损坏由借用单位或使用人员负责赔偿。
5.硬件设备发生损坏、丢失等事故,应及时上报,填写报告
Iyunke信息化管理制度
单并按有关规定处理。
6.中心机房及其附属设备的管理(登记)与维修由网管人员负责。设备管理人员每半年要核准一次设备登记情况。
7.中心机房主机(系统服务器)、网络服务器及其外围设备由网管人员每周进行一次例行检查和维护,尤其是设备供电、运行状态是否正常等要时常检查和维护。
三、系统软件、应用软件管理
1.软件要定期进行系统维护与备份,备份至少保持一式两套,并存放在温度湿度适宜的磁介质库存中。
2.应用软件、应用数据应根据运行频率进行定期或不定期的备份工作,备份软件和数据亦应存放于的磁介质库存中。
3.应用软件的源程序除了在磁介质上备份以外,网管员应自己进行备份,以防应用程序发生意外,难以恢复。
4.为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使用手册和各种指南等资料,以便维护人员查阅。其资料未经许可,任何人不得拿出机房。
5.应用软件人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。
6.当应用软件修改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。
7.为确保软件系统的安全,磁介质除了应有专人管理外,还
Iyunke信息化管理制度
应配备防火器具,确立防磁、防静电、防灰尘等有效措施(建筑上保证),磁介质保管要明确责任,遵守出入库制度。
四、计算机病毒防范管理
1.网管人员应有较强的病毒防范意识,定期进行病毒检测(特别是服务器),发现病毒应立即处理。
2.采用国家许可的正版防病毒软件并及时更新软件版本。3.未经领导许可,网管人员不得在服务器上安装新软件,若确实需要安装,安装前应进行病毒例行检测。
4.经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
五、数据保密及数据备份
1.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2.禁止泄露、外借和转移专业数据信息。3.未经批准不得随意更改业务数据。
4.网管人员制作数据的备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5.业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6.备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。
7.备份数据资料保管地点应有防火、防热、防潮、防尘、防
Iyunke信息化管理制度
磁、防盗设施。
六、安全检查管理
1.中心机房安全是关系到行业安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须坚持定期安全检查。
2.中心机房自检每年进行一次,且须认真做好检查记录。3.对检查中发现的问题将进行限期整改。
附1:网络管理员职责
1.主要负责全市网络(包含局域网、广域网、城域网)的系统安全性及正常运行。
2.负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
3.应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到病毒预防为主。
4.良好周密的日志记录以及细致的分析是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网管员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5.对机房进行管理,严格按照机房制度执行日常维护。6.每月管理人员应向主管领导提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法见附
Iyunke信息化管理制度
件。
7.严格控制进入机房人员,不允许私自带他人入内。8.要定期检查机房及各种安全设备,做好记录确保安全。 9.对机房各种设备均应建立技术档案,认真填写、妥善保管登记备案。
10.定期对机器进行维护,保证机器正常运行。
11.负责对门、窗、灯、电源、机器的安全情况进行全面检查、管理,全面保证机房的安全无误。
12.搞好机房卫生,保持一个良好的环境。
13.不允许私自将机房内的设备、工具、部件等带出机房,借物须办理借物手续。
14.对因责任心不强而造成事故和严重后果的,要追究责任。
附2:计算机使用和管理制度
信息中心电脑管理和维护由专职管理人员负责,并完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
1.未经许可,不准随便动用电脑设备。
2.未经许可,任何人不准更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。
3.严格按规定程序开启和关闭电脑系统。(1)开机流程:
Iyunke信息化管理制度
接通电源→打开显示器、打印机等外设→开通电脑主机→按显示菜单提示,键入规定口令或密码→在权限内对工作任务进行操作。
(2)关机流程:
退出应用程序、各个子目录→关断主机→关闭显示器、打印机等外设→切断电源。
4.使用人员如发现计算机系统运行异常应及时与管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
5.外请人员对电脑进行维修时,单位应有人自始至终地陪同,电脑维修维护过程中,首先确保对单位信息进行拷贝,防止遗失。
6.凡因个人使用不当所造成的电脑维护费用和损失,使用者是否赔偿由单位视情决定。
7.计算机及其相关设备的报废需经过本局办公室或专职人员鉴定,确认不符合使用要求后方可申请报废。
Iyunke信息化管理制度
本制度提供各单位专门用于机房内部,作为机房工作人员的日常行为规范。
一、机房人员日常行为准则
1、
必须注意环境卫生。禁止在机房、办公室内吃食物、抽烟、随地吐痰;对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。
2、
必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。
3、
机房用品要各归其位,不能随意乱放。
4、
机房应安排人员值日,负责机房的日常整理和行为督导。
5、
进出机房必须换鞋,雨具、鞋具等物品要按位摆放整齐。
6、
注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,下雨天时应及时主动检查和关闭窗户、检查去水通风等设施。
7、
机房内部不应大声喧哗、注意噪音/音响音量控制、保持安静的工作环境。
8、
坚持每天下班之前将桌面收拾干净、物品摆放整齐。
二、机房保安制度
1、
出入机房应注意锁好防盗门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。应主动拒绝陌生人进出机房。
2、
工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。如检查并锁上自己工作柜枱、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。
3、
工作人员、到访人员出入应登记。
4、
外来人员进入必须有专门的工作人员全面负责其行为安全。
5、
未经主管领导批准,禁止将机房相关的钥匙、保安密码等物品和信息外借或透露给其它人员,同时有责任对保安信息保密。对于遗失钥匙、泄露保安信息的情况要即时上报,并积极主动采取措施保证机房安全。
6、
机房人员对机房保安制度上的漏洞和不完善的地方有责任及时提出改善建议。
Iyunke信息化管理制度
7、
禁止带领与机房工作无关的人员进出机房。
8、
绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。
9、
出现机房盗窃、破门、火警、水浸、110报警等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
三、机房用电安全制度
1、
机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。
2、
机房人员应经常实习、掌握机房用电应急处理步骤、措施和要领。
3、
机房应安排有专业资质的人员定期检查供电、用电设备、设施。
4、
不得乱拉乱接电线,应选用安全、有保证的供电、用电器材。
5、
在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。
6、
严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。
7、
如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出解决。
8、
机房人员对个人用电安全负责。外来人员需要用电的,必须得到机房管理人员允许,并使用安全和对机房设备影响最少的供电方式。
9、
机房工作人员需要离开当前用电工作环境,应检查并保证工作环境的用电安全。
10、
最后离开机房的工作人员,应检查所有用电设备,应关闭长时间带电运作可能会产生严重后果的用电设备。
11、
禁止在无人看管下在机房中使用高温、炽热、产生火花的用电设备。
12、
在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路保险的基础上使用。
Iyunke信息化管理制度
13、
在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
14、
在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。
15、
应注意节约用电。
四、机房消防安全制度
1、
机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
2、
任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得主管领导批准。工作人员更应保护消防设备不被破坏。
3、
应定期进行消防演习、消防常识培训、消防设备使用培训。
4、
如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
5、
应严格遵守张贴于相应位置的操作和安全警示及指引。
6、
最后离开的机房工作人员,应检查消防设备的工作状态,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房用水制度
1、
禁止将供水管道和设施安装在机房内。
2、
应格遵守张贴于相应位置的安全操作、警示以及安全指引。
六、机房硬件设备安全使用制度
1、
机房人员必须熟知机房内设备的基本安全操作和规则。
2、
应定期检查、整理硬件物理连接线路,定期检查硬件运作状态(如设备指示灯、仪表),定期调阅硬件运作自检报告,从而及时了解硬件运作状态。
3、
禁止随意搬动设备、随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。
Iyunke信息化管理制度
4、
禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5、
对会影响到全局的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。
6、
对重大设备配置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
7、
不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,更需要小组人员的共同同意后才能进行。
8、
要注意和落实硬件设备的维护保养措施。
七、软件安全使用制度
1、
必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份。
2、
禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
3、
对会影响到全局的软件更改、调试等操作应先发布通知,并且应有充分的时间、方案、人员准备,才能进行软件配置的更改。
4、
对重大软件配置的更改,应先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
5、
不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许,不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。
6、
应严格遵守张贴于相应位置的安全操作、警示以及安全指引。
八、机房资料、文档和数据安全制度
1、
资料、文档、数据等必须有效组织、整理和归档备案。
Iyunke信息化管理制度
2、
禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其它无关人员或向外随意传播。
3、
对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
4、
重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
九、机房财产登记和保护制度
1、
机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须建立一套较为完善的借取和归还制度进行管理。
2、
机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,在使用完毕后,应将物品归还并存放于原处,不应随意摆放。
3、
对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
4、
未经主管领导同意,不允许向他人外借或提供机房设备和物品。
十、团队精神和相互协作
1、
机房工作小组人员应树立团队协作精神。
2、
任何将要发生的给其他人员工作和安排产生影响的事情,或需要与其他工作人员互相协调的事情,应先提出和协调一致,禁止个人独断独行的作风。
3、
工作分工要明确,责任要到位、工作计划要清晰,工作总结要具体。
4、
小组人员有义务服从工作安排,并有义务对工作安排提出更加合理化建议和意见。
5、营造民主协作的工作环境,任何人员有权利和义务组织、联络其他小组成员、主管领导等展开讨论、开展会议、及时反映问题、做到相互沟通、协同工作。
