信息安全等级保护工作

关键词：集团信息系统保护工作

信息安全等级保护工作（精选10篇）

篇1：信息安全等级保护工作

篇一：信息安全等级保护工作实施方案白鲁础九年制学校

信息安全等级保护工作实施方案

为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。

一、指导思想

以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

（一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。

2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

四、主要内容、工作步骤

（一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。

（二）初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

（三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。

（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

（一）加强领导，落实保障。各部门要落实责任，并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。

（二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平，保证定级工作顺利进行，各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南（国标）》、《信息系统安全等级保护基本要求（报批）》、《信息系统安全等级保护实施指南（报批）》等材料。

（三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。

（四）自查自纠、完善制度。此次定级工作完成后，请各部门按照《信息安全等级保护管理办法》和有关技术标准，依据系统所定保护等级的要求，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，并不断完善安全管理制度，今后，若信息系统备案资料发生变化，应及时进行变更备案篇二：医院信息系统安全等级保护工作实施方案医院信息系统安全等级保护工作实施方案

医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行，根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发【2011】85号和省市有关文件精神，并结合我院信息化建设的工作实际，特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。

一、组织领导组长：副组长：组员：

领导小组办公室设在xx科，由xx同志兼任主任，xx等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》（gb/t22239-2008）等有关标准，结合医院工作实际，组织开展等级保护安全建设整改工作，具体要求如下：

三、工作要求

1、建立安全管理组织机构。成立信息安全工作组，网络办负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件，应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件，应在24小时内向公安机关报告，并保护好现场。篇三：2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报

一、加强领导

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》（扬办发[2012]57号）文件精神，对集团信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过ups供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的usb等外设接口的控制管理，采用key用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出sql注入，ftp匿名登录，网站目录遍历，探测主机地址漏洞等。

在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

建议市里加强工作指导，通过多种方式的等级保护技术交流和培训，提高单位领导及员工的等级保护意识，进一步推进集团的信息系统等级保护工作。

篇2：信息安全等级保护工作

信息安全等级保护工作检查总结材料

一、部署和组织实施情况

为加强我校信息系统等级保护工作的组织领导，扎实推进信息系统等级保护工作开展，预防和杜绝信息系统安全事件发生，确保信息系统安全，我校成立了网络与信息安全工作领导小组，并组织相关专业技术力量，全面负责信息系统安全管理工作。2011年6月份信息（网络）中心召开多次会议，学习、讨论《信息系统安全等级保护定级指南》等相关文件，组织开展我校信息安全等级保护工作，由各个信息系统的使用部门专人完成相应的信息系统定级工作。

二、定级备案情况

我校各个信息系统的定级报告及备案表汇总到信息（网络）中心，由信息（网络）中心统一使用专用备案工具生成备案电子数据，共8个信息系统，其中二级信息系统四个，其余的为一级系统，即将上报完成相关备案工作。

三、测评情况

我校信息安全等级保护测评工作已经开展，计划将在11月份请相关的测评机构来我校完成信息安全等级保护测评，并上报公安机关备案。

四、安全建设整改情况

我校制定了《南京林业大学计算机安全管理办法》、《南京林业大学网络安全使用制度》、《南京林业大学网络与信息安全应急处置工作预案》等管理制度。设置信息安全管理员岗位，负责我校信息安全管理工作。在校园网络边界部署了千兆防火墙，并设置了上网行为管理平台，保存日志审计等。我校每年都有相应的专项建设经费，用于定级保护安全建设。根据即将开展的测评情况，我们将进一步完成信息安全等级保护相关的建设整改工作。

篇3：浅谈企业信息安全等级保护工作

关键词：信息安全,等级保护,企业

1 当前企业信息安全等级保护工作现状

面对信息安全的威胁, 国家于2003年发布了《国家信息化领导小组关于加强信息安全保障工作的意见》, 明确提出在非密信息安全领域, 信息安全保障工作要“实行信息安全等级保护”, 明确要求建立信息安全保障体系。随后国家于2004年和2007年相继颁布了《关于信息安全等级保护的实施意见》及《信息安全等级保护管理办法》, 信息安全等级保护制度全面实行。

2 企业信息安全等级保护的实施方法

2.1 依据的标准

企业信息安全等级保护制度应当依据国家颁布的以下标准执行。

2.1.1 基础标准

《计算机信息系统安全保护等级划分准则》

2.1.2 安全要求

《信息系统安全等级保护基本要求》

2.1.3 系统等级

《信息系统安全等级保护定级指南》

2.1.4 方法指导

《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》

2.1.5 现状分析

《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》

2.2 企业信息安全等级保护工作的步骤

企业信息安全等级保护工作一般分为三个阶段, 及准备阶段、实施阶段和巩固阶段。

2.2.1 信息安全等级保护工作准备阶段

企业信息安全等级保护工作准备阶段工作主要包括以下几个方面:

(1) 确定总体目标。确定总体目标, 其主要目的是为企业等保工作确立一个明确的行动指南, 并成为企业等保工作决策、评价、协调的基本依据。总体目标的确定为等保工作前进指明了方向, 并明确了发展路线。确定总体目标也是等保工作计划和其他各项工作安排的基础。

(2) 明确责任部门。为等保工作明确首要责任部门, 以防止出现推诿扯皮的现象。一般等保工作责任部门为企业信息化工作主管部门。

(3) 业务培训。作为企业来说, 信息安全等级保护是一个相对陌生的概念, 但信息安全等级保护工作又是一个相对具有专业性的工作, 所以在工作开展之前对相关人员进行培训是非常必要的。

(4) 摸底调查。在全面开展等级保护工作前, 企业一定要对本单位所属的信息系统进行全面的摸底调查, 全面掌握信息系统 (包括信息网路) 的数量、分布、业务类型、应用或服务范围、系统结构等基本情况, 为下一步等保工作的全面展开、确定等级保护定级对象奠定基础。

2.2.2 信息安全等级保护工作实施阶段

信息安全等级保护工作实施阶段的内容主要包括三个方面, 系统定级备案、系统测评、系统安全建设整改。

(1) 系统定级备案。企业在系统定级备案前首先要明确定级的对象, 一般定级对象分为三个方面:起支撑、传输作用的信息网络;用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统;企业网站。

在确定系统定级对象后, 企业就需要根据信息系统重要性, 按照相关技术标准文件对系统进行定级。

按照国家标准系统等级分为五级, 但第五级系统在现实中基本不会出现, 所以在一般情况下, 信息系统一般按照前四个级别进行划分。

第一级系统, 信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公共利益。该级系统适用于小型私营、个体企业、中小学、乡镇所属信息系统, 县级单位中一般的信息系统。该级系统无需备案, 完全由企业自己来决定采用何种方式进行保护。

第二级系统, 信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全。该级系统适用于县级某些单位中重要的信息系统, 地市级以上国家机关、企事业单位内部一般的信息系统。该级系统需要到当地公安机关进行备案。

第三级系统, 信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。该级系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统。

第四级系统, 信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害。该系统一般适用于国家重要领域、部门影响涉及国计民生、国家利益、国家安全, 影响社会稳定的核心系统。

参照以上标准企业要自行确定信息系统的安全等级, 并组织相关领域的专家对定级结果进行评审。在专家出具相关评审意见后, 对二级及以上的系统, 企业需要到当地市级以上公安机关网络安全保卫部门办理备案手续, 以完成系统定级工作。

(2) 系统测评。按照相关规定, 三级及以上系统国家强制要求进行等级测评。等级测评的主要目的是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;衡量出信息系统安全保护措施是否符合等级保护基本要求, 是否具备了相应的等级的安全保护能力。

进行等级测评, 企业需要聘请《全国信息安全等级保护测评机构推荐目录》中具有专业资质的测评机构进行。对于测评结果, 企业需要将测评报告向受理定级备案的公安机关备案。

(3) 系统安全建设整改。参照测评结果, 企业需要对测评中所体现的安全漏洞进行安全建设整改, 以落实相应的物理安全、网络安全、主机安全、应用数据安全等安全保护措施。

经过安全整改, 二级信息系统应具备防御小规模、较弱强度恶意攻击, 抵抗一般的自然灾害, 防范一般的计算机病毒和恶意代码的能力;具有检测常见的攻击行为, 并对安全事件进行记录的能力;具有恢复系统正常运行状态的能力。

三级信息系统整改后应在统一的安全保护策略下应具备抵抗大规模、较强恶意攻击的能力, 抵抗较为严重的自然灾害的能力, 防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置, 并能够追踪安全责任的能力;在系统遭到损害后, 具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统, 应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。

经过安全整改工作, 四级信息系统具备的安全防范能力在三级的基础上更为提升, 统一的安全保护策略下可抵御敌对势力有组织的大规模攻击, 抵抗严重的自然灾害。

2.2.3 信息安全等级保护工作巩固阶段

企业信息系统经过定级、测评、整改后进入日常运行时期。在这一时期, 企业的信息系统在技术上已经完全具备了系统安全等级的要求, 也建立相应的安全管理制度体系。如何应用各种安全防范技术, 如何持久的严格的按照安全管理体系要求执行日常工作成为巩固阶段的主要任务。

在本阶段, 企业一定要建立完善的信息系统安全状况日常监测制度, 严格执行信息系统的日常运维和安全管理制度, 及时消除安全隐患, 确保信息安全和系统正常运行。除此之外, 企业还要定期对信息系统安全状态进行自查, 并积极配合公安机关的监督检查工作。

3 结束语

本文对企业信息安全等级保护的重要作用, 实施的全过程以及实施过程中的技术要求进行了较为详细的论述。

篇4：信息安全等级保护工作

会上，国家信息安全等级保护协调小组组长、公安部副部长张新枫强调，信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容：一是开展信息系统基本情况的摸底调查，确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南，初步确定定级对象的安全保护等级，请专家进行评审，并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后，要对信息系统的安全保护等级和备案情况进行审核、管理。

同时，张新枫要求，各基础信息网络和重要信息系统在9月底前，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。

篇5：信息安全等级保护工作

我国信息安全等级保护工作全面展开

随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的`程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施.这些基础信息网络和重要信息系统安全,关系国家安全和社会稳定,关系广大人民群众切身利益.当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重.

作者：郭启全作者单位：国家公安部公共信息网络安全监察局刊名：信息技术与标准化英文刊名：INFORMATION TECHNOLOGY & STANDARDIZATION年，卷(期)：“”(9)分类号：X3关键词：

篇6：信息安全等级保护工作

医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》（鄂卫发〔2012〕14号）精神，并结合我院信息系统应用的特点，就相关事项通知如下。

一、组织领导组长：副组长：组员：

领导小组办公室设在XX科，由XX同志兼任主任，ＸＸＸ等同志负责具体工作。

二、工作任务

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下：安全类别

控制项

主要安全措施

二级保护措施

三级保护措施

物理安全

物理访问控制

机房安排专人负责，来访人员须审批和陪同

√

重要区域配置门禁系统

√

防盗窃和防破坏

暴露在公共场所的网络设备须具备安全保护措施

√

主机房安装监控报警系统

√

防雷击

机房计算机系统接地符合GB 50057－1994《建筑物防雷设计规范》中的计算机机房防雷要求

√

机房电源、网络信号线、重要设备安装有资质的防雷装置

√

防火

机房设置灭火设备和火灾自动报警系统

√

机房配置自动灭火装置

√

电力供应

机房及关键设备应配置UPS备用电力供应

√

医院重要科室应采用双回路电源供电

√

环境监控

机房设置温、湿度自动调节设施

√

机房设置防水检测和报警设施

√

对机房关键设备和磁介质实施电磁屏蔽

√

网络安全

结构安全

网络应按职能和重要程度不同划分网段

√

重要网段之间应采用防火墙进行隔离

√

访问控制

网络边界部署防火墙或网闸

√

安全审计

网络日志审计、网络运维管理安全审计

√

边界完整性检查

采用准入控制系统，实现准入控制、非法外联检查

√

采用准入控制系统，实现准入控制及非法外联可阻断

√

入侵防范

入侵检测系统/入侵防御系统

√

恶意代码防范

防病毒网关

√

主机安全

入侵防范

采用服务器安全加固

√

安全审计

采用终端管理系统实现安全审计

√

恶意代码防范

防病毒软件

√

应用安全

身份鉴别

采用电子认证措施

√

安全审计

数据库安全审计系统

√

数据安全与备份恢复

备份和恢复

本地数据备份与恢复

√

硬件冗余

关键网络设备、线路和服务器硬件冗余 √

√

异地备份

异地数据备份

√

三、工作要求

1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，召开专题会议，确保信息安全等级保护工作顺利实施。

篇7：信息安全等级保护工作

简报

第（73）期

国家信息安全等级保护工作协调小组办公室2009年12月16日

浙江、江苏积极推进信息安全等级保护

测评体系建设和制度建设

今年以来，浙江、江苏两省在开展信息安全等级保护工作中，按照“突出测评整改、强化监督检查”的总体思路，不断摸索总结，勇于实践创新，结合本省信息安全等级保护工作的实际情况，大力开展等级测评体系建设和制度建设，工作取得了明显成效。

浙江省在2006年就开始摸索建设测评技术支撑体系和测评机构规范化管理模式，经过两年多的探索实践，目前已初步建立起了一套“行业协会主导、政府机构专控”的测评机构管理新模式，实现了政府专门审查管理和行业自律管理的有效结合。一是以信息安 — 1 —

全等级保护工作协调小组名义制定发布了《浙江省信息安全等级保护测评机构管理规定（试行）》，明确了省内从事信息安全等级测评工作的单位性质、条件和义务等要素，规范了测评机构的行为，建立起了测评机构年审制度，确保政府部门对测评机构的专控管理；二是组建测评机构评审专家专业委员会，对省内信息安全等级测评机构管理服务水平、资格和技术能力等进行客观评价，作为确定测评机构的重要依据；三是指导省计算机信息系统安全协会制定了《浙江省信息安全测评机构资信等级评定管理办法（试行）》，实现了对测评机构资信等级的分级管理，实现第三方测评机构的行业自律化管理；四是结合人事部“653工程”（“专业技术人才知识更新工程”），组织开展对测评技术人员的专门培训，对参训人员实行严格的准出制度，考核通过的颁发“浙江省信息安全等级保护测评师培训合格证”，实行持证上岗，实现了对测评人员的专控管理。测评机构管理制度的逐步建立完善，从根本上规范了浙江省信息安全等级评测机构的准入机制，促进了测评工作的有序开展和健康发展。目前，共有浙江省电子产品检验所、杭州安信检测技术有限公司、浙江省发展信息安全评估有限公司、杭州东安信息安全检测评估有限公司、宁波市鑫诺检测技术有限公司五家测评机构通过了浙江省信息安全等级保护工作协调小组的专门审查，并以信息安全等级保护工作协调小组文件形式向社会推荐。

江苏省在开展信息安全等级保护工作中，积极致力于各项规定规范的创新完善，力求通过法制化、制度化推动等级保护工作的深

入开展。一是建立备案单位联系通报制度。全省网监部门进一步密切与信息系统运营使用单位的沟通和交流，不断完善联系通报制度。省公安厅与103家省级单位建立了日常联系渠道，定期通过《信息安全等级保护工作简报》、《江苏网络警察服务平台》通报等级保护工作情况和近期信息安全状况等，及时告知信息系统运营使用单位的安全责任，督促其落实等级保护工作要求。国庆前夕，省公安厅专门组织对交通、财政、税务系统等重点保护单位的161个政府网站进行了远程扫描，发现存在SQL注入、跨站等安全漏洞的88个，均及时将网站存在漏洞的情况通报所属单位，要求相关单位认真查找、及时整改；二是完善应急响应处置机制。省公安厅按照《江苏省互联网网络安全事件协作处置暂行办法》等规定要求，对全省发生的网络安全事件实行红、橙、黄三级响应处置，及时为等级保护备案单位提供应急处置响应。今年9月，省公安网警总队接省证监会报告，常州中信证券、国泰君安证券、中信建投证券、信达证券等多家证券公司的电话委托系统遭不明攻击，造成线路堵塞，影响正常交易，总队立即会同省证监会赴常州开展调查，迅速查清了案情，并及时对当事人进行了处理，为证券公司挽回了损失。三是启动等级保护地方立法。2009年1月，江苏省人大常委会正式批准了《徐州市计算机信息系统安全保护条例》，并于2009年6月1日起正式施行，条例以地方立法的形式，明确了信息系统运营使用单位按照国家有关规定开展信息安全等级保护工作的任务和要求，有力的推动了全省信息安全等级保护工作立法进程。近期，省公安厅已

报请有关部门，将信息安全等级保护工作纳入2010年省政府规章立法范畴，拟以省长令的方式出台全省信息安全等级保护规定，推动全省信息安全等级保护工作的深入开展。

报：国家信息安全等级保护工作协调小组组长。

送：外交部、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、国家民族事务

委员会、国家安全部、民政部、司法部、财政部、人力资源和社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、铁道部、水利部、农业部、商务部、文化部、卫生部、中国人民银行、审计署、海关总署、国家新闻出版总署、国家税务总局、国家工商行政管理总局、国家质量监督检验检疫总局、国家广播电影电视总局、中国民用航空总局、国家邮政总局、国家体育总局、国家安全生产监督管理总局、国家统计局、国家林业局、国家食品药品监督管理局、中国气象局、中国地震局、国家信访局、国家粮食局、国家烟草专卖局、国家海洋局、国家测绘局、国家机关事务管理局、国家档案局、国家外国专家局、国务院国有资产监督委员会、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家电力监管委员会、最高人民法院、最高人民检察院、新华通讯社、中国科学院、中国社会科学院、中国工程院办公厅，国务院法制办公室、国务院新闻办公室、中央610办公室秘书局，国家保密局、国家密码管理局。

发：各省、自治区、直辖市公安厅（局）公共信息网络安全监察总队（处）、信息化领导小组办公

室，新疆生产建设兵团公安局公共信息网络安全监察处、信息化领导小组办公室。

（共印1000份，存档5份）

篇8：谈我院信息安全等级保护建设工作

随着我国信息化建设的快速发展与广泛应用, 信息安全的重要性愈发突出。在国家重视信息安全的大背景下, 推出了信息安全等级保护制度。为统一管理规范和技术标准, 公安部等四部委联合发布了《信息安全等级保护管理办法》 (公通字[2007]43 号) 。随着等级保护工作的深入开展, 原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》 (卫办发[2011]85 号) , 进一步规范和指导了我国医疗卫生行业信息安全等级保护工作, 并对三级甲等医院核心业务信息系统的安全等级作了要求, 原则上不低于第三级。

从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分, 并按等级对信息安全事件响应[1]。

二、医院信息安全等级保护工作实施步骤

2.1 定级与备案[2]。根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》, 有两个定级要素决定了信息系统的安全保护等级, 一个是等级保护对象受到破坏时所侵害的客体, 另外一个是对客体造成侵害的程度。表1 是根据定级要素制订的信息系统等级保护级别。

对于三级医院, 门诊量与床位相对较多, 影响范围较广, 一旦信息系统遭到破坏, 将会给患者造成生命财产损失, 对社会秩序带来重大影响。因此, 从影响范围和侵害程度来看, 我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。

在完成定级报告编制工作后, 填写备案表, 并按属地化管理要求到市级公安机关办理备案手续, 在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队, 同时也是我市信息安全等级保护工作领导小组办公室, 提交了定级报告与备案表。

2.2 安全建设与整改[3]。在完成定级备案后, 就要结合医院实际, 分析信息安全现状, 进行合理规划与整改。

2.2.1等保差距分析与风险评估。了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全, 主要是由在信息系统中使用的网络安全产品 (包括硬件和软件) 及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理, 主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制, 以期达到安全管理要求[4]。

技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类 (S类) 、系统服务安全类 (A类) 、通用安全保护类 (G类) 。如受条件限制, 可以逐步完成三级等级保护, A类和S类有一类满足即可, 但G类必须达到三级, 最严格的G3S3A3 控制项共计136 条[5]。医院可以结合自身建设情况, 选择其中一个标准进行差距分析。

管理方面要求很严格, 只有完成所有的154 条控制项, 达到管理G3 的要求, 才能完成三级等级保护要求。这需要我们逐条对照, 发现医院安全管理中的不足与漏洞, 找出与管理要求的差距。

对于有条件的三甲医院, 可以先进行风险评估, 通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁, 形成《风险评估报告》。

经过与三级基本要求对照, 我院还存在一定差距。比如:在物理环境安全方面, 我院机房虽有灭火器, 但没安装气体灭火装置。当前的安全设备产品较少, 不能很好的应对网络入侵。在运维管理方面, 缺乏预警机制, 无法提前判断系统潜在威胁等。

2.2.2 建设整改方案。根据差距分析情况, 结合医院信息系统安全实际需求和建设目标, 着重于保证业务的连续性与数据隐私方面, 满足于临床的实际需求, 避免资金投入的浪费、起不到实际效果。

整改方案制订应遵循以下原则:安全技术和安全管理相结合, 技术作保障, 管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护, 建立安全管理中心[6]。方案设计完成后, 应组织专家或经过第三方测评机构进行评审, 以保证方案的可用性。

整改方案实施。实施过程中应注意技术与管理相结合, 并根据实际情况适当调整安全措施, 提高整体保护水平。

我院整改方案是先由医院内部自查, 再邀请等级测评公司进行预测评, 结合医院实际最终形成的方案。网络技术人员熟悉系统现状, 易于发现潜在安全威胁, 所以医院要先自查, 对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院, 经过与医院技术人员沟通, 利用安全工具进行测试, 可以形成初步的整改报告, 对我院安全整改具有指导意义。

2.3 开展等级保护测评[7]。下一步工作就是开展等级测评。在测评机构的选择上, 首先要查看其是否具有“DICP”认证, 有没有在当地公安部门进行备案, 还可以到中国信息安全等级保护网站 (网站地址:www.djbh.net) 进行核实。测评周期一般为1 至2 月, 其测评流程如下。

2.3.1 测评准备阶段。医院与测评机构共同成立项目领导小组, 制定工作任务与测评计划等前期准备工作。项目启动前, 为防止医院信息泄露, 还需要签订保密协议。项目启动后, 测评机构要进行前期调研, 主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况, 然后再选择相应的测评工具和文档。

在测评准备阶段, 主要是做好组织机构建设工作, 配合等级测评公司人员的调查工作。

2.3.2 测评方案编制阶段。测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通, 制定工具测试方法与测评指导书, 编制测评方案。在此阶段, 主要工作由等级测评机构来完成。

2.3.3 现场测评阶段。在经过实施准备后, 测评机构要对上述控制项进行逐一测评, 大约需要1 至2 周, 需要信息科人员密切配合与注意。为保障医院业务正常开展, 测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期, 可以选择下班时间或晚上。为避免对现有业务造成影响, 测评工具应在接入前进行测试, 同时要做好应急预案准备, 一旦影响医院业务, 应立即启动应急预案[8]。在对209 条控制项进行测评后应进行结果确认, 并将资料归还医院。

该阶段是从真实情况中了解信息系统全面具体的主要工作, 也是技术人员比较辛苦的阶段。除了要密切配合测评, 还不能影响医院业务开展, 除非必要, 不然安全测试工作必须在夜间进行。

2.3.4 报告编制阶段。通过判定测评单项, 测评机构对单项测评结果进行整理, 逐项分析, 最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲, 医院能否通过等级测评的主要标准就是测评结果。因此, 测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分, 最后给出总分, 以分值来判定是否通过测评。为得到理想测评结果, 需要医院落实安全整改方案。

2.4 安全运维。我们必须清醒地认识到, 实施安全等级保护是一项长期工作, 它不仅要在信息化建设规划中考虑, 还要在日常运维管理中重视, 是不断循环的过程。按照等级保护制度要求, 信息系统等级保护级别定为三级的三甲医院每年要自查一次, 还要邀请测评机构进行测评并进行整改, 监管部门每年要抽查一次。因此, 医院要按照PDCA的循环工作机制, 不断改进安全技术与管理上, 完善安全措施, 更好地保障医院信息系统持续稳定运行[10]。

三、结语

医院信息安全工作是信息化建设的一部分, 是一项长期的系统工程, 需要分批分期的循序改建。还要结合医院实际, 考虑安全产品的实用性, 不能盲目的进行投资。医院通过实施等级保护工作, 可以有效增强网络与信息系统整体安全性, 有力保障医院各项业务的持续开展, 适应医院信息化不断发展的需求。

参考文献

[1]公安部, 国家保密局, 国家密码管理局, 国务院信息化办公室文件.关于信息安全等级保护工作的实施意见 (公通字[2004]66号) [R], 2004-9-15.

[2]GB/T 22240-2008.信息安全技术信息系统安全等级保护定级指南[S], 2008-06-19.

[3]GB/T 25058-2010.信息安全技术信息系统安全等级保护实施指南[S], 2010-09-02.

[4]GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S], 2008-06-19.

[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播, 2013, 5 (99) :208-209.

[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信, 2014 (141) :148-149.

[7]GB/T 28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S], 2012-06-29.

[8]姚红磊, 杨文.三级系统信息安全等级保护测评指标体系研究[J].铁路计算机应用, 2015, 24 (2) :59-61.

[9]廉明, 郭浩, 蒋凡.等级测评报告管理系统研究与设计[A].第二届全国信息安全等级保护技术大会会议论文集[C], 2013.

篇9：信息安全等级保护工作

省教育技术中心唐连章主任介绍了信息安全工作背景，提出要全面贯彻落实教育部和省教育厅关于加强教育行业网络与信息安全工作的指导意见等文件精神，要求各省属中等职业学校认真部署本校的信息安全等级保护工作、强化信息网络安全责任、明确开展等级保护各项工作的时间节点，增强安全预警和应急处置能力，提高学校整体安全防护水平，形成与教育信息化发展相适应、完备的网络与信息安全保障体系。

省公安厅网警总队蔡旭副总队长以丰富的案例勾勒出当前信息安全工作面临的严峻形势，强调信息安全的重要性和紧迫性，要求各省属中职学校增强网络信息安全意识，选择符合资质的信息安全测评机构进行信息安全等级保护测评工作，建立信息化和安全建设同步机制和应急处置机制，共同维护国家信息安全。

教育信息安全等级保护测评中心广东测评部有关负责人作了专题培训，介绍了教育行业信息安全的形势、等级保护的政策和制度以及信息安全等级保护的工作流程。

广东省民政职业技术学校副校长刘伟峰代表学校作了信息安全建设工作的经验介绍。

篇10：信息安全等级保护工作

2009-06-29 10:13:18

来源：本站

网友评论 0条

第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作，根据《信息安全等级保护管理办法》（以下简称《管理办法》），制定本规范。

第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

第三条信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

第四条公安机关开展检查工作，应当按照“严格依法，热情服务”的原则，遵守检查纪律，规范检查程序，主动、热情地为运营使用单位提供服务和指导。

第五条信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行。

第六条检查的主要内容：

（一）等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；

（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况；

（三）信息系统定级备案情况，信息系统变化及定级备案变动情况；

（四）信息安全设施建设情况和信息安全整改情况；

（五）信息安全管理制度建设和落实情况；

（六）信息安全保护技术措施建设和落实情况；

（七）选择使用信息安全产品情况；

（八）聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；

（九）自行定期开展自查情况；

（十）开展信息安全知识和技能培训情况。

第七条检查项目：

（一）等级保护工作部署和组织实施情况

1．下发开展信息安全等级保护工作的文件，出台有关工作意见或方案，组织开展信息安全等级保护工作情况。

2．建立或明确安全管理机构，落实信息安全责任，落实安全管理岗位和人员。

3．依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。

4．制定本行业、本部门信息安全等级保护行业标准规范并组织实施。

（二）信息系统安全等级保护定级备案情况

1．了解未定级、备案信息系统情况以及第一级信息系统有关情况，对定级不准的提出调整建议。

2．现场查看备案的信息系统，核对备案材料，备案单位提交的备案材料与实际情况相符合情况。

3．补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。

4．信息系统所承载的业务、服务范围、安全需求等发生变化情况，以及信息系统安全保护等级变更情况。

5．新建信息系统在规划、设计阶段确定安全保护等级并备案情况。

（三）信息安全设施建设情况和信息安全整改情况 1．部署和组织开展信息安全建设整改工作。

2．制定信息安全建设规划、信息系统安全建设整改方案。

3．按照国家标准或行业标准建设安全设施，落实安全措施。

（四）信息安全管理制度建立和落实情况

1．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。

2．建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。

3．建立安全审计管理制度、岗位和人员管理制度。

4．建立技术测评管理制度，信息安全产品采购、使用管理制度。

5．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。

6．建立教育培训制度，定期开展信息安全知识和技能培训。

（五）信息安全产品选择和使用情况

1．按照《管理办法》要求的条件选择使用信息安全产品。

2．要求产品研制、生产单位提供相关材料。包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。

3．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测。

（六）聘请测评机构开展技术测评工作情况

1．按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。

2．按照《管理办法》规定的条件选择技术测评机构。

3．要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。

4．与测评机构签订保密协议。

5．要求测评机构制定技术检测方案。

6．对技术检测过程进行监督，采取了哪些监督措施。

7．出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。

8．根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改。

（七）定期自查情况

1．定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。

2．经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。

第八条各级公安机关按照“谁受理备案，谁负责检查”的原则开展检查工作。具体要求是：

对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统，由部、省、市级公安机关分别对所受理备案的信息系统进行检查。对辖区内独自运行的信息系统，由受理备案的公安机关独自进行检查。

第九条对跨省或者全国联网运行的信息系统进行检查时，需要会同其主管部门。因故无法会同的，公安机关可以自行开展检查。

第十条公安机关开展检查前，应当提前通知被检查单位，并发送《信息安全等级保护监督检查通知书》。

第十一条检查时，检查民警不得少于两人，并应当向被检查单位负责人或其他有关人员出示工作证件。第十二条检查中应当填写《信息系统安全等级保护监督检查记录》（以下简称《监督检查记录》）。检查完毕后，《监督检查记录》应当交被检查单位主管人员阅后签字；对记录有异议或者拒绝签名的，监督、检查人员应当注明情况。《监督检查记录》应当存档备查。[!--empirenews.page--] 第十三条检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》（以下简称《整改通知》）。逾期不改正的，给予警告，并向其上级主管部门通报：

（一）未按照《管理办法》开展信息系统定级工作的；

（二）信息系统安全保护等级定级不准确的；

（三）未按《管理办法》规定备案的；

（四）备案材料与备案单位、备案系统不符合的；

（五）未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的；

（六）系统发生变化，安全保护等级未及时进行调整并重新备案的；

（七）未按《管理办法》规定落实安全管理制度、技术措施的；

（八）未按《管理办法》规定开展安全建设整改和安全技术测评的；

（九）未按《管理办法》规定选择使用信息安全产品和测评机构的；

（十）未定期开展自查的；

（十一）违反《管理办法》其他规定的。

第十四条检查发现需要限期整改的，应当出具《整改通知》，自检查完毕之日起10个工作日内送达被检查单位。