信息安全等級(jí)保護(hù)體系設(shè)計(jì)5篇

信息安全等級(jí)保護(hù)體系設(shè)計(jì)5篇第一篇：信息安全等級(jí)保護(hù)體系設(shè)計(jì)信息安全等級(jí)保護(hù)體系設(shè)計(jì)《關(guān)于加強(qiáng)信息安全保障工作的意見》指出，實(shí)行等級(jí)保護(hù)是信息安全保障的基本政策，各部門、各單位都要根據(jù)等級(jí)保護(hù)制度的要求，結(jié)合各自的特點(diǎn)，建立相應(yīng)的安全保護(hù)策略、計(jì)劃和措施。通過將等級(jí)化方法和安全體系方法有效結(jié)合，設(shè)計(jì)一套等級(jí)化的信息安全保障體系，是適合我國國情、系統(tǒng)化地解決大型組織信息安全問題的一個(gè)非常有效的方法。設(shè)計(jì)思路與原則信息安全保障是一個(gè)極為復(fù)雜、系統(tǒng)性和長期性的工作。設(shè)計(jì)信息系統(tǒng)安全體系及實(shí)施方案時(shí)一般應(yīng)遵循以下四條原則：清晰定義安全模型；合理劃分安全等級(jí)；科學(xué)設(shè)計(jì)防護(hù)深度；確?？蓪?shí)施易評(píng)估。具體來說：1.清晰定義安全模型面對(duì)的難題：政府或大型企業(yè)組織的信息系統(tǒng)結(jié)構(gòu)復(fù)雜，難以描述。政府或大型企業(yè)的信息系統(tǒng)往往覆蓋全國范圍內(nèi)的各省、市、縣和鄉(xiāng)鎮(zhèn)，地域遼闊，規(guī)模龐大；各地信息化發(fā)展程度不一，東西部存在較大差別；前期建設(shè)缺乏統(tǒng)一規(guī)劃，各區(qū)域主要業(yè)務(wù)系統(tǒng)和管理模式往往都存在較大的差別。這樣就造成難以準(zhǔn)確、清晰地描述大型信息系統(tǒng)的安全現(xiàn)狀和安全威脅。因此，設(shè)計(jì)保障體系時(shí)也就無的放矢，缺乏針對(duì)性，也不具備實(shí)用性。解決方法：針對(duì)信息系統(tǒng)的安全屬性定義一個(gè)清晰的、可描述的安全模型，即信息安全保護(hù)對(duì)象框架。在設(shè)計(jì)信息安全保障體系時(shí)，首先要對(duì)信息系統(tǒng)進(jìn)行模型抽象。我們把信息系統(tǒng)各個(gè)內(nèi)容屬性中與安全相關(guān)的屬性抽取出來，參照IATF（美國信息安全保障技術(shù)框架），通過建立“信息安全保護(hù)對(duì)象框架”的方法來建立安全模型，從而相對(duì)準(zhǔn)確地描述信息系統(tǒng)的安全屬性。保護(hù)對(duì)象框架是根據(jù)信息系統(tǒng)的功能特性、安全價(jià)值以及面臨威脅的相似性，將其劃分成計(jì)算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、區(qū)域邊界和安全基礎(chǔ)設(shè)施四大類信息資產(chǎn)組作為保護(hù)對(duì)象。2.合理劃分安全等級(jí)面對(duì)的難題：如何解決在設(shè)計(jì)安全保障措施時(shí)所面對(duì)的需求差異性與經(jīng)濟(jì)性難題。因?yàn)樾畔⑾到y(tǒng)的差異性，從而其安全要求的屬性和強(qiáng)度存在較大差異性；又因?yàn)榻?jīng)濟(jì)性的考慮，需要考慮信息安全要求與資金人力投入的平衡。設(shè)計(jì)安全保障措施時(shí)不能一刀切，必須考慮差異性和經(jīng)濟(jì)性。解決方法：針對(duì)保護(hù)對(duì)象和保障措施劃分安全等級(jí)。首先進(jìn)行信息系統(tǒng)的等級(jí)化:通過將保護(hù)對(duì)象進(jìn)行等級(jí)化劃分，實(shí)現(xiàn)等級(jí)化的保護(hù)對(duì)象框架，來反映等級(jí)化的信息系統(tǒng)。其次，設(shè)計(jì)等級(jí)化的保障措施:根據(jù)保護(hù)對(duì)象的等級(jí)化，有針對(duì)性地設(shè)計(jì)等級(jí)化的安全保障措施，從而通過不同等級(jí)的保護(hù)對(duì)象和保障措施的一一對(duì)應(yīng)，形成整體的等級(jí)化安全保障體系。等級(jí)化安全保障體系為用戶提供以下價(jià)值：滿足大型組織中不同分支機(jī)構(gòu)的個(gè)性化安全需求；可動(dòng)態(tài)地改變保護(hù)對(duì)象的安全等級(jí)，能方便地調(diào)整不同階段的安全目標(biāo)；可綜合平衡安全成本與風(fēng)險(xiǎn)，能優(yōu)化信息安全資源配置；可清晰地比對(duì)目標(biāo)與現(xiàn)狀，能準(zhǔn)確、完備地提取安全需求。3.科學(xué)設(shè)計(jì)防護(hù)深度面對(duì)的難題：現(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù)，缺乏多重深度保障，缺乏抗打擊能力和可控性。信息安全問題包含管理方面問題、技術(shù)方面問題以及兩者的交叉，它從來都不是靜態(tài)的，隨著組織的策略、組織架構(gòu)、業(yè)務(wù)流程和操作流程的改變而改變?，F(xiàn)有安全體系大多屬于靜態(tài)的單點(diǎn)技術(shù)防護(hù)，單純部署安全產(chǎn)品是一種靜態(tài)的解決辦法，單純防范黑客入侵和病毒感染更是片面的。一旦單點(diǎn)防護(hù)措施被突破、繞過或失效，整個(gè)安全體系將會(huì)失效，從而威脅將影響到整個(gè)信息系統(tǒng)，后果是災(zāi)難性的。解決方法：設(shè)計(jì)多重深度保障，增強(qiáng)抗打擊能力。國家相關(guān)指導(dǎo)文件提出“堅(jiān)持積極防御、綜合防范的方針”，《美國國家安全戰(zhàn)略》中也指出，國家的關(guān)鍵基礎(chǔ)設(shè)施的“這些關(guān)鍵功能遭到的任何破壞或操縱必須控制在歷時(shí)短、頻率小、可控、地域上可隔離以及對(duì)美國的利益損害最小這樣一個(gè)規(guī)模上”。兩者都強(qiáng)調(diào)了抗打擊能力和可控性，這就要求采用多層保護(hù)的深度防御策略，實(shí)現(xiàn)安全管理和安全技術(shù)的緊密結(jié)合，防止單點(diǎn)突破。我們?cè)谠O(shè)計(jì)安全體系時(shí)，將安全組織、策略和運(yùn)作流程等管理手段和安全技術(shù)緊密結(jié)合，從而形成一個(gè)具有多重深度保障手段的防護(hù)網(wǎng)絡(luò)，構(gòu)成一個(gè)具有多重深度保障、抗打擊能力和能把損壞降到最小的安全體系。4.確保可實(shí)施易評(píng)估面對(duì)的難題：許多安全體系缺乏針對(duì)性，安全方案不可實(shí)施，安全效果難以評(píng)估。我國許多安全項(xiàng)目在安全體系框架設(shè)計(jì)方面，由于缺乏深入和全面的需求調(diào)研，往往不能切實(shí)反映信息系統(tǒng)的業(yè)務(wù)特性和安全現(xiàn)狀，安全體系框架中缺乏可行的實(shí)施方案與項(xiàng)目規(guī)劃，在堆砌安全產(chǎn)品的過程中沒有設(shè)計(jì)安全管理與動(dòng)態(tài)運(yùn)維流程，缺乏安全審計(jì)與評(píng)估手段，因此可實(shí)施性和可操作性不強(qiáng)。解決方法：綜合運(yùn)用用戶訪談、資產(chǎn)普查、風(fēng)險(xiǎn)評(píng)估等手段，科學(xué)設(shè)計(jì)安全體系框架，確?？蓪?shí)施易評(píng)估。我們?cè)谠O(shè)計(jì)安全體系時(shí)，充分考慮到了上述問題，采取如下措施：在設(shè)計(jì)安全體系前，通過對(duì)目標(biāo)信息系統(tǒng)的各方面進(jìn)行完整和深入調(diào)研，采取的手段包括選取典型抽樣節(jié)點(diǎn)的深入調(diào)查和安全風(fēng)險(xiǎn)評(píng)估，以及全范圍的信息資產(chǎn)和安全狀況普查。綜合兩種手段，得出反映現(xiàn)狀的安全保護(hù)對(duì)象框架及下屬的信息資產(chǎn)數(shù)據(jù)庫，以及全面的安全現(xiàn)狀報(bào)告。在體系框架設(shè)計(jì)的同時(shí)設(shè)計(jì)工程實(shí)施方案和項(xiàng)目規(guī)劃；安全體系本身具有非常詳盡的描述，具備很強(qiáng)的可工程化能力。在描述安全對(duì)策時(shí)，不是原則性的，而應(yīng)是可操作和可落實(shí)的。設(shè)計(jì)方法1.總體設(shè)計(jì)方法設(shè)計(jì)政府/大型企業(yè)組織安全體系的具體內(nèi)容包括：安全保護(hù)對(duì)象框架信息系統(tǒng)保護(hù)對(duì)象框架是根據(jù)對(duì)大型政府/企業(yè)組織總部及各省的評(píng)估調(diào)查和普查，參照信息保障體系的建模方法，按照威脅分析，將信息資產(chǎn)劃分為若干保護(hù)對(duì)象。安全保護(hù)對(duì)策框架信息系統(tǒng)安全保護(hù)對(duì)策框架是參照國內(nèi)外先進(jìn)的信息安全標(biāo)準(zhǔn)，參考業(yè)界通用的最佳實(shí)施，并結(jié)合大型政府/企業(yè)組織的實(shí)際情況和現(xiàn)實(shí)問題進(jìn)行定制，對(duì)大量可行的安全對(duì)策進(jìn)行等級(jí)劃分。信息系統(tǒng)安全體系信息系統(tǒng)安全體系是以保護(hù)對(duì)象為經(jīng)，以安全等級(jí)框架為緯，對(duì)保護(hù)對(duì)象逐個(gè)進(jìn)行威脅和風(fēng)險(xiǎn)分析，從而形成信息系統(tǒng)安全體系，其表現(xiàn)形式示意圖如圖1所示。2.等級(jí)化安全保護(hù)對(duì)象框架設(shè)計(jì)由于政府/大型企業(yè)組織的信息系統(tǒng)規(guī)模龐大，各分支機(jī)構(gòu)的信息系統(tǒng)之間存在差異，因此必須對(duì)信息系統(tǒng)進(jìn)行抽象，形成統(tǒng)一的保護(hù)對(duì)象框架。安全保護(hù)對(duì)象框架模型的設(shè)計(jì)（以銀行業(yè)為例）如圖2所示。3.等級(jí)化安全對(duì)策框架設(shè)計(jì)根據(jù)組織的特點(diǎn)設(shè)計(jì)和定制等級(jí)化安全對(duì)策框架，并針對(duì)組織的現(xiàn)狀選擇安全對(duì)策及其等級(jí)。(1)安全框架層次結(jié)構(gòu)和分類大型政府/企業(yè)組織安全對(duì)策框架體系包括安全策略、安全組織、安全運(yùn)作和安全技術(shù)四個(gè)子安全對(duì)策框架，分別包括一系列對(duì)策類，對(duì)策類可進(jìn)一步細(xì)分對(duì)策子類，甚至對(duì)策子類也可以再次細(xì)分為對(duì)策子類。細(xì)分到最后的對(duì)策類和對(duì)策子類由對(duì)策構(gòu)成。對(duì)策中則是一些較為具體的安全控制。通過對(duì)不同強(qiáng)度和數(shù)量安全控制的組合，將對(duì)策分級(jí)。(2)安全對(duì)策框架等級(jí)劃分每個(gè)安全對(duì)策可分為三個(gè)等級(jí)，每一等級(jí)由若干條安全控制細(xì)則組成。一般通過安全控制細(xì)則的增強(qiáng)、增加來提高對(duì)策的等級(jí)。當(dāng)安全對(duì)策某一等級(jí)中的所有安全控制細(xì)則均已實(shí)現(xiàn)時(shí)，可認(rèn)為已達(dá)到該等級(jí)的對(duì)策。安全對(duì)策的等級(jí)劃分，大體參考了GB17859、GB/T18336、TCSEC、SP800-53等國內(nèi)外信息安全標(biāo)準(zhǔn)。不同框架的對(duì)策，參照的標(biāo)準(zhǔn)有所不同。4.等級(jí)化安全保障體系設(shè)計(jì)安全保障體系的深度防御戰(zhàn)略模型將防御體系分為組織、技術(shù)和運(yùn)作三個(gè)要素。信息安全管理就是通過一系列的策略、制度和機(jī)制來協(xié)調(diào)這三者之間的關(guān)系，明確技術(shù)實(shí)施和安全操作中相關(guān)人員的安全職責(zé)，從而達(dá)到對(duì)安全風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)和有效控制，提高安全問題發(fā)生時(shí)的反應(yīng)速度和恢復(fù)能力，增強(qiáng)網(wǎng)絡(luò)的整體安全保障能力。安全策略體系指的是從信息資產(chǎn)安全管理的角度出發(fā)，為了保護(hù)信息資產(chǎn)，消除或降低風(fēng)險(xiǎn)而制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程的總和。安全組織體系作為安全工作的管理和實(shí)施體系，主要負(fù)責(zé)安全策略、制度、規(guī)劃的制訂和實(shí)施，確定各種安全管理崗位和相應(yīng)的安全職責(zé)，并負(fù)責(zé)選用合適的人員來完成相應(yīng)崗位的安全管理工作，監(jiān)督各種安全工作的開展，協(xié)調(diào)各種不同部門在安全實(shí)施中的分工和合作，保證安全目標(biāo)的實(shí)現(xiàn)。安全運(yùn)作體系，包括安全生命周期中各個(gè)安全環(huán)節(jié)的要求，包括：安全工程管理機(jī)制，安全預(yù)警機(jī)制、定期的安全風(fēng)險(xiǎn)識(shí)別和控制機(jī)制、應(yīng)急響應(yīng)機(jī)制和定期的安全培訓(xùn)機(jī)制等。安全技術(shù)體系包含鑒別和認(rèn)證、訪問控制、內(nèi)容安全、冗余和恢復(fù)以及審計(jì)響應(yīng)五個(gè)部分內(nèi)容。總結(jié)等級(jí)化安全體系的設(shè)計(jì)需要充分考慮信息系統(tǒng)的復(fù)雜性和信息安全保障的系統(tǒng)性與長期性，需要系統(tǒng)化的統(tǒng)一規(guī)劃設(shè)計(jì)。在安全體系設(shè)計(jì)時(shí)應(yīng)該考慮如何有效實(shí)施，并同時(shí)設(shè)計(jì)實(shí)施方案和建設(shè)規(guī)劃；通過將安全體系指標(biāo)和安全現(xiàn)狀的對(duì)比，產(chǎn)生安全需求，并將類似的一組安全需求打包并設(shè)計(jì)解決方案；然后將一組類似的解決方案打包成可以工程化實(shí)施的項(xiàng)目，并通過規(guī)劃，排出實(shí)施的先后順序，從而分步進(jìn)行實(shí)施。第二篇：信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。一、物理安全1、應(yīng)具有機(jī)房和辦公場地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測；9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對(duì)防雷裝置的檢測報(bào)告10、應(yīng)具有自動(dòng)檢測火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄12、應(yīng)具有水敏感的檢測儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測和報(bào)警；防水檢測裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄二、安全管理制度1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程2、應(yīng)具有安全管理制度的制定程序：3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長。（安全管理制度體系的評(píng)審記錄）7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）三、安全管理機(jī)構(gòu)1、應(yīng)設(shè)立信息安全管理工作的職能部門2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）4、安全管理員應(yīng)是專職人員5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。13、聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）四、人員安全管理1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）五、系統(tǒng)建設(shè)管理1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）2、應(yīng)具有系統(tǒng)建設(shè)/整改方案3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本8、應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)14、對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報(bào)告），檢測工具是否是第三方的商業(yè)產(chǎn)品18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收?qǐng)?bào)告）23、應(yīng)具有工程測試驗(yàn)收方案（測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）24、應(yīng)具有測試驗(yàn)收?qǐng)?bào)告25、應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作（具有對(duì)系統(tǒng)測試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)14、對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報(bào)告），檢測工具是否是第三方的商業(yè)產(chǎn)品18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收?qǐng)?bào)告）23、應(yīng)具有工程測試驗(yàn)收方案（測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）24、應(yīng)具有測試驗(yàn)收?qǐng)?bào)告25、應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作（具有對(duì)系統(tǒng)測試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書六、系統(tǒng)運(yùn)維管理1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）10、對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。16、應(yīng)具有設(shè)備操作手冊(cè)17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報(bào)告23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測試，并對(duì)重要文件進(jìn)行備份。32、應(yīng)有補(bǔ)丁測試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測，并保存記錄。37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄38、應(yīng)對(duì)惡意代碼庫的升級(jí)情況進(jìn)行記錄（代碼庫的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告40、應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性44、應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔45、應(yīng)對(duì)安全事件記錄分析文檔46、應(yīng)具有不同事件的應(yīng)急預(yù)案47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。第三篇：信息安全等級(jí)保護(hù)管理辦法關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知各省、自治區(qū)、直轄市公安廳（局）、保密局、國家密碼管理局（國家密碼管理委員會(huì)辦公室）、信息化領(lǐng)導(dǎo)小組辦公室，新疆生產(chǎn)建設(shè)兵團(tuán)公安局、保密局、國家密碼管理局、信息化領(lǐng)導(dǎo)小組辦公室，中央和國家機(jī)關(guān)各部委保密委員會(huì)辦公室、密碼工作領(lǐng)導(dǎo)小組辦公室、信息化領(lǐng)導(dǎo)小組辦公室，各人民團(tuán)體保密委員會(huì)辦公室：為加快推進(jìn)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定了《信息安全等級(jí)保護(hù)管理辦法》?，F(xiàn)印發(fā)給你們，請(qǐng)認(rèn)真貫徹執(zhí)行。公安部國家保密局國家密碼管理局國務(wù)院信息工作辦公室二〇〇七年六月二十二日信息安全等級(jí)保護(hù)管理辦法第一章總則第一條為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)，制定本辦法。第二條國家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作。第五條信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。第二章等級(jí)劃分與保護(hù)第六條國家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。第八條信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。第一級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第三章等級(jí)保護(hù)的實(shí)施與管理第九條信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。第十條信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。第十一條信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。第十四條信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測評(píng)。信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條已運(yùn)營（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。第十六條辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測評(píng)估報(bào)告；（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。第十七條信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查：（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級(jí)是否準(zhǔn)確；（二）運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；（三）運(yùn)營、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況；（四）系統(tǒng)安全等級(jí)測評(píng)是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求；（六）信息系統(tǒng)安全整改情況；（七）備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合情況；（八）其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。第十九條信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件：（一）信息系統(tǒng)備案事項(xiàng)變更情況；（二）安全組織、人員的變動(dòng)情況；（三）信息安全管理制度、措施變更情況；（四）信息系統(tǒng)運(yùn)行狀況記錄；（五）運(yùn)營、使用單位及主管部門定期對(duì)信息系統(tǒng)安全狀況的檢查記錄；（六）對(duì)信息系統(tǒng)開展等級(jí)測評(píng)的技術(shù)測評(píng)報(bào)告；（七）信息安全產(chǎn)品使用的變更情況；（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告；（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。第二十條公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對(duì)整改情況組織檢查。第二十一條第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識(shí)產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；（五）對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成危害；（六）對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。第二十二條第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測評(píng)機(jī)構(gòu)進(jìn)行測評(píng)：（一）在中華人民共和國境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；（三）（四）（五）從事相關(guān)檢測評(píng)估工作兩年以上，無違法記錄；工作人員僅限于中國公民；法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求；（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。第二十三條從事信息系統(tǒng)安全等級(jí)測評(píng)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評(píng)估服務(wù)，保證測評(píng)的質(zhì)量和效果；（二）保守在測評(píng)活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私，防范測評(píng)風(fēng)險(xiǎn)；（三）對(duì)測評(píng)人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。第四章涉及國家秘密信息系統(tǒng)的分級(jí)保護(hù)管理第二十四條涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級(jí)保護(hù)的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國家秘密信息。第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況，及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。第二十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機(jī)密、絕密三級(jí)的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保護(hù)水平總體上不低于國家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。第二十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。第二十九條涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請(qǐng)，由國家保密局授權(quán)的系統(tǒng)測評(píng)機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測評(píng)指南》，對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測評(píng)。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見；（二）系統(tǒng)承建單位資質(zhì)證明材料；（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；（四）系統(tǒng)安全保密檢測評(píng)估報(bào)告；（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；（六）其他有關(guān)材料。第三十一條涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況，決定是否對(duì)其重新進(jìn)行測評(píng)和審批。第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，消除泄密隱患和漏洞。第三十三條國家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：（一）指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展；（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級(jí)；（三）參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；（四）依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理；（五）嚴(yán)格進(jìn)行系統(tǒng)測評(píng)和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況；（六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評(píng)，對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評(píng)；（七）了解掌握各級(jí)各類涉密信息系統(tǒng)的管理使用情況，及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章信息安全等級(jí)保護(hù)的密碼管理第三十四條國家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度，被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。第三十六條信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對(duì)不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。第三十七條運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條信息系統(tǒng)中的密碼及密碼設(shè)備的測評(píng)工作由國家密碼管理局認(rèn)可的測評(píng)機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測和監(jiān)控。第三十九條各級(jí)密碼管理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評(píng)，對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評(píng)。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第六章法律責(zé)任第四十條第三級(jí)以上信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)情況，建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果：（一）未按本辦法規(guī)定備案、審批的；（二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的；（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評(píng)的；（五）接到整改通知后，拒不整改的；（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評(píng)機(jī)構(gòu)的；（七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的；（八）違反保密管理規(guī)定的；（九）違反密碼管理規(guī)定的；（十）違反本辦法其他規(guī)定的。違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。第七章附則第四十二條已運(yùn)行信息系統(tǒng)的運(yùn)營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí)；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。第四十三條本辦法所稱“以上”包含本數(shù)（級(jí)）。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級(jí)保護(hù)管理辦法（試行）》（公通字[2006]7號(hào)）同時(shí)廢止。第四篇：淺談信息安全等級(jí)保護(hù)問題淺談信息安全等級(jí)保護(hù)問題當(dāng)今，我國關(guān)于實(shí)現(xiàn)信息安全的一項(xiàng)重要的舉措就是信息系統(tǒng)安全等級(jí)保護(hù)。嚴(yán)格按照等級(jí)保護(hù)的規(guī)定，建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問題。本文主要介紹了信息安全等級(jí)的劃分以及如何對(duì)具體的信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)措施的方法。隨著現(xiàn)在高科技的快速發(fā)展以及當(dāng)前社會(huì)對(duì)信息系統(tǒng)需求的不斷增加，信息系統(tǒng)的規(guī)模也在日益擴(kuò)大，它的諸多應(yīng)用都給社會(huì)創(chuàng)造了巨大的財(cái)富，與此同時(shí)，信息系統(tǒng)也成為了威脅、攻擊以及破壞的對(duì)象。由于信息在網(wǎng)絡(luò)上的存儲(chǔ)、傳輸和共享等過程的非法利用，導(dǎo)致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點(diǎn)問題。當(dāng)前，我們正在有計(jì)劃的開展信息安全等級(jí)保護(hù)制度實(shí)施工作。為了確保計(jì)算機(jī)信息系統(tǒng)的安全，一定要系統(tǒng)地、深入地研究和學(xué)習(xí)信息系統(tǒng)安全技術(shù)和等級(jí)保護(hù)方法。1、信息安全等級(jí)保護(hù)2003年，中辦、國辦轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003327號(hào))，提出實(shí)行信息安全等級(jí)保護(hù)，建立國家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶自主保護(hù)級(jí)。完全由用戶自己來決定如何對(duì)資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外，它還要求對(duì)訪問者和訪問對(duì)象實(shí)施強(qiáng)制訪問控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督審計(jì)。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪問驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)管理訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)，管理訪問者能否訪問某些對(duì)象從而對(duì)訪問對(duì)象實(shí)行?？兀Ｗo(hù)信息不能被非授權(quán)獲取。2、信息安全等級(jí)劃分2．1按相關(guān)政策規(guī)定劃分安全保護(hù)等級(jí)對(duì)于我國中央和國家各級(jí)機(jī)關(guān)、國家重點(diǎn)科研部門機(jī)構(gòu)、國防建設(shè)部門等需要對(duì)信息系統(tǒng)施行特殊隔離和保護(hù)的單位機(jī)關(guān)，均應(yīng)按照相關(guān)政策、相關(guān)法律法規(guī)，實(shí)施安全等級(jí)保護(hù)。2．2按照保護(hù)數(shù)據(jù)的價(jià)值劃分保護(hù)等級(jí)不同類別的數(shù)據(jù)信息需要實(shí)施不同安全等級(jí)的保護(hù)，這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證，而且又能縮減一部分不必要的開銷。3、信息安全等級(jí)保護(hù)具體方法信息系統(tǒng)安全等級(jí)劃分的最優(yōu)的選擇是全方位劃分等級(jí)，其最基本的思想為重點(diǎn)保護(hù)和適度保護(hù)。在此基礎(chǔ)上，投入合理的安全投入，運(yùn)用以下兩點(diǎn)信息安全等級(jí)保護(hù)方法，努力使信息系統(tǒng)得到應(yīng)有的安全保護(hù)。3．1全系統(tǒng)的同一安全等級(jí)的安全保護(hù)全系統(tǒng)同一安全等級(jí)安全保護(hù)：在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的信息系統(tǒng)中，在組成系統(tǒng)的任何部分，所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息，都需進(jìn)行相同的安全保護(hù)等級(jí)的保護(hù)措施。當(dāng)有這樣要求，規(guī)定所要保護(hù)的數(shù)據(jù)信息，不管處于系統(tǒng)中任何位置，進(jìn)行任何形式的數(shù)據(jù)處理都需采取相同安全保護(hù)等級(jí)是，都應(yīng)嚴(yán)格按照全系統(tǒng)同一安全等級(jí)安全保護(hù)方法開展系統(tǒng)安全性設(shè)計(jì)，設(shè)計(jì)出要求所需的安全機(jī)制。3．2分系統(tǒng)不同安全等級(jí)安全保護(hù)所謂分系統(tǒng)不同安全等級(jí)安全保護(hù)：在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的計(jì)算機(jī)信息系統(tǒng)中，其中所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息，應(yīng)該按照信息在組成計(jì)算機(jī)信息系統(tǒng)的每個(gè)分系統(tǒng)中的不同保護(hù)要求的原則，對(duì)其實(shí)施不同安全保護(hù)等級(jí)的安全保護(hù)。3．3虛擬系統(tǒng)不同安全等級(jí)安全保護(hù)絡(luò)信息安全進(jìn)行控制。具體的實(shí)施措施可以使用路由器對(duì)外界進(jìn)行控制，將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡(luò)服務(wù)的信息流量，也可以通過對(duì)系統(tǒng)文件權(quán)限的設(shè)置來確認(rèn)訪問是否合法，以此來保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。3．4計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范技術(shù)計(jì)算機(jī)病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的重大因素，因此應(yīng)該對(duì)常見的計(jì)算機(jī)病毒知識(shí)進(jìn)行熟練地掌握，對(duì)其基本的防治技術(shù)手段有一定的了解，能夠在發(fā)現(xiàn)病毒的第一時(shí)間里對(duì)其進(jìn)行及時(shí)的處理，將危害降到最低。對(duì)于計(jì)算機(jī)病毒的防范可以采用以下一些技術(shù)手段，可以通過加密執(zhí)行程序，引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控和讀寫控制等手段，對(duì)系統(tǒng)中是否有病毒進(jìn)行監(jiān)督判斷，進(jìn)而阻止病毒侵人計(jì)算機(jī)系統(tǒng)。3.5漏洞掃描及修復(fù)技術(shù)計(jì)算機(jī)系統(tǒng)中的漏洞是計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的極大隱患，因此，要定期對(duì)計(jì)算機(jī)進(jìn)行全方位的系統(tǒng)漏洞掃描，以確認(rèn)當(dāng)前的計(jì)算機(jī)系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計(jì)算機(jī)中存在系統(tǒng)漏洞，要及時(shí)的對(duì)其進(jìn)行修復(fù)，避免被黑客等不放法子利用。漏洞的修復(fù)分兩種，有的漏洞系統(tǒng)自身可以進(jìn)行恢復(fù)，而有一部分漏洞則需要手動(dòng)進(jìn)行修復(fù)。4、結(jié)語在當(dāng)前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢下，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用也應(yīng)該與時(shí)俱進(jìn)，不斷地研究探討更加優(yōu)化的計(jì)算機(jī)網(wǎng)絡(luò)防范技術(shù)，將其應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行中，減少計(jì)算機(jī)網(wǎng)絡(luò)使用的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)安全的進(jìn)行信息交流，資源共享的目的，使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。第五篇：信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。一、物理安全1、應(yīng)具有機(jī)房和辦公場地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測；9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對(duì)防雷裝置的檢測報(bào)告10、應(yīng)具有自動(dòng)檢測火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄12、應(yīng)具有水敏感的檢測儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測和報(bào)警；防水檢測裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄二、安全管理制度1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程2、應(yīng)具有安全管理制度的制定程序：3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長。（安全管理制度體系的評(píng)審記錄）7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）三、安全管理機(jī)構(gòu)1、應(yīng)設(shè)立信息安全管理工作的職能部門2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）4、安全管理員應(yīng)是專職人員5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。13、聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）四、人員安全管理1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）五、系統(tǒng)建設(shè)管理1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）2、應(yīng)具有系統(tǒng)建設(shè)/整改方案3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本8、應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）13、