安全等級(jí)保護(hù)管理辦法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的安全等級(jí)保護(hù)管理辦法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：安全等級(jí)保護(hù)管理辦法范文

根據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［200］27號(hào)）、《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》（市政府第67號(hào)令）、《北京市信息化工作領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的實(shí)施意見》（京辦發(fā)［200］3號(hào)）以及其他有關(guān)法律、法規(guī)的規(guī)定，結(jié)合本市實(shí)際情況，現(xiàn)就本市黨政機(jī)關(guān)開展網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)工作的有關(guān)要求通知如下：

一、充分認(rèn)識(shí)開展安全等級(jí)保護(hù)工作的重要意義

為進(jìn)一步提高信息安全保障能力和防護(hù)水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，國(guó)務(wù)院在全面分析全國(guó)信息安全保障工作形勢(shì)的基礎(chǔ)上，針對(duì)存在問(wèn)題，明確指示要抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)管理辦法和技術(shù)指南，突出重點(diǎn)，切實(shí)保護(hù)好基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。國(guó)務(wù)院的指示對(duì)于加強(qiáng)信息安全保障工作十分重要，我市要認(rèn)真貫徹執(zhí)行。

開展安全等級(jí)保護(hù)工作就是依據(jù)網(wǎng)絡(luò)與信息系統(tǒng)的重要程度和面臨的安全風(fēng)險(xiǎn)等因素，綜合平衡安全成本和風(fēng)險(xiǎn)，劃分系統(tǒng)的安全等級(jí)，優(yōu)化資源配置，進(jìn)行建設(shè)和管理。

開展安全等級(jí)保護(hù)工作是關(guān)系到信息化建設(shè)全局的重要舉措，是做好信息安全保障工作基本思路，是網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)的重要內(nèi)容，是一個(gè)非靜止、非僵化的系統(tǒng)工程。切實(shí)做好安全等級(jí)保護(hù)工作，建立安全等級(jí)保護(hù)制度，能夠使我市的網(wǎng)絡(luò)與信息系統(tǒng)防護(hù)水平從“獨(dú)立運(yùn)行、自主保護(hù)”的狀況盡快過(guò)渡到“統(tǒng)一管理平臺(tái)、統(tǒng)一安全標(biāo)準(zhǔn)”的階段；能夠有效地提高網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)的整體水平，增強(qiáng)使用效益；能夠使信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展，減少建設(shè)成本；重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；能夠明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任；能夠有力推動(dòng)信息安全產(chǎn)業(yè)發(fā)展，探索一套適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。同時(shí)，開展安全等級(jí)保護(hù)工作也是加速首都現(xiàn)代化建設(shè)和成功舉辦2008年奧運(yùn)會(huì)的迫切需要。

二、加強(qiáng)對(duì)安全等級(jí)保護(hù)工作的指導(dǎo)和管理

在北京市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組的統(tǒng)一領(lǐng)導(dǎo)下，市信息辦會(huì)同有關(guān)部門負(fù)責(zé)本市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)的統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)和監(jiān)督檢查，并對(duì)重要網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)保護(hù)定期進(jìn)行檢查指導(dǎo)，并定期通報(bào)。

各區(qū)縣信息化主管部門會(huì)同有關(guān)部門負(fù)責(zé)本區(qū)縣黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)的統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)和監(jiān)督檢查。

本市各級(jí)黨政機(jī)關(guān)負(fù)責(zé)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)的組織實(shí)施。

涉及到國(guó)家秘密的網(wǎng)絡(luò)與信息系統(tǒng)按照國(guó)家和本市有關(guān)保密規(guī)定執(zhí)行。

北京市信息安全測(cè)評(píng)中心負(fù)責(zé)本市各級(jí)黨政機(jī)關(guān)重要網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)過(guò)程中的檢查評(píng)估和驗(yàn)收的安全測(cè)評(píng)。

各單位在自定級(jí)過(guò)程中，可以委托專業(yè)信息安全服務(wù)機(jī)構(gòu)協(xié)助完成，市信息辦將定期公布通過(guò)信息安全服務(wù)能力評(píng)估的機(jī)構(gòu)目錄。

三、開展安全等級(jí)保護(hù)工作的實(shí)施計(jì)劃

本市各級(jí)黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)均要開展安全等級(jí)保護(hù)工作。新建和已建成但未正式運(yùn)行的網(wǎng)絡(luò)與信息系統(tǒng)要按照安全等級(jí)保護(hù)制度的有關(guān)要求進(jìn)行建設(shè)；已經(jīng)正式運(yùn)行的網(wǎng)絡(luò)與信息系統(tǒng)要按計(jì)劃逐步納入安全等級(jí)保護(hù)制度；網(wǎng)絡(luò)與信息系統(tǒng)結(jié)構(gòu)和功能等要素發(fā)生變化，要及時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估、安全定級(jí)和檢測(cè)評(píng)估。各單位均應(yīng)根據(jù)所核定的安全等級(jí)進(jìn)行使用和管理。主要職責(zé)是：落實(shí)相應(yīng)的管理制度和技術(shù)保護(hù)要求，組織管理人員和技術(shù)人員進(jìn)行安全教育培訓(xùn)；適時(shí)進(jìn)行安全應(yīng)急預(yù)案的演練；定期組織自評(píng)估，保持系統(tǒng)良好的安全狀態(tài)；認(rèn)真履行信息安全等級(jí)管理職責(zé)，協(xié)助主管部門做好網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)保護(hù)檢查工作。

安全等級(jí)保護(hù)是一項(xiàng)基礎(chǔ)性、長(zhǎng)期性的工作，各單位均要將其作為一項(xiàng)重要內(nèi)容納入整個(gè)信息化建設(shè)過(guò)程的始終，切實(shí)抓好落實(shí)工作。在全市黨政機(jī)關(guān)建立網(wǎng)絡(luò)與信息系統(tǒng)的安全等級(jí)保護(hù)制度，計(jì)劃用三年時(shí)間，分為四個(gè)步驟。

準(zhǔn)備階段：200年6月底完成。主要做好以下工作：明確主管部門、專業(yè)技術(shù)支撐單位和使用單位的職責(zé)、權(quán)利和義務(wù)，理順關(guān)系，建立協(xié)調(diào)配合和管理的運(yùn)行機(jī)制；依照國(guó)家有關(guān)法規(guī)，制定、完善安全等級(jí)保護(hù)工作的相關(guān)的配套文件；廣泛開展宣傳教育工作，組織培訓(xùn)，特別是對(duì)監(jiān)管隊(duì)伍和專業(yè)技術(shù)支撐單位人員的培訓(xùn)，在思想認(rèn)識(shí)、政策理論、管理和技術(shù)等方面作好充足準(zhǔn)備。

試行階段：200年底前完成。在前期準(zhǔn)備的基礎(chǔ)上，全面展開建立安全等級(jí)保護(hù)制度的工作。工作內(nèi)容包括：自定級(jí)、備案、建設(shè)整改、檢查評(píng)估。其中，200年9月底前，各單位要完成自身網(wǎng)絡(luò)與信息系統(tǒng)的自定級(jí)工作；200年10月底前，各單位要完成3級(jí)以上的網(wǎng)絡(luò)與信息系統(tǒng)向市信息辦備案工作；200年6月底前，各單位要完成對(duì)正在運(yùn)行的3級(jí)以上的網(wǎng)絡(luò)與信息系統(tǒng)的整改工作；200年12月底前，完成對(duì)本市部分重要網(wǎng)絡(luò)與信息系統(tǒng)的檢查評(píng)估工作。

完善階段：200年12月底前完成。其中，200年6月底前完成本市黨政機(jī)關(guān)開展安全等級(jí)保護(hù)的總結(jié)工作、相關(guān)配套文件的修訂工作和信息安全測(cè)評(píng)基礎(chǔ)設(shè)施能力建設(shè)工作；200年12月底前，完成本市重要網(wǎng)絡(luò)與信息系統(tǒng)的檢查評(píng)估工作。

正常階段：200年開始，全市各級(jí)黨政機(jī)關(guān)全面推行網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)制度，轉(zhuǎn)入經(jīng)常性工作。各單位每年應(yīng)對(duì)其自身的網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行一次自評(píng)估；市信息辦每?jī)赡陮?duì)本市各級(jí)黨政機(jī)關(guān)重要網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行一次檢查評(píng)估。

各單位要認(rèn)真執(zhí)行安全等級(jí)保護(hù)的有關(guān)規(guī)定，認(rèn)真落實(shí)安全等級(jí)保護(hù)制度，自覺接受主管部門的檢查指導(dǎo)，切實(shí)做好信息安全保障工作。

四、堅(jiān)決落實(shí)安全等級(jí)保護(hù)工作的各項(xiàng)措施

各單位要認(rèn)真貫徹執(zhí)行國(guó)家和本市關(guān)于信息化建設(shè)和信息安全保障工作的一系列指示、要求和規(guī)定，切實(shí)保證信息安全等級(jí)保護(hù)工作的順利開展。

(一)各單位在立項(xiàng)前對(duì)其網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)《北京市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全定級(jí)指南》（見附件）自行確定安全等級(jí)。3級(jí)以上網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)填寫《北京市黨政機(jī)關(guān)網(wǎng)絡(luò)與信息信息安全定級(jí)備案（審查）表》，報(bào)市信息化主管部門審查。未經(jīng)審查的，依據(jù)北京市人民政府第67號(hào)令《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》第八條規(guī)定，主管部門不予批準(zhǔn)立項(xiàng)，財(cái)政部門不予撥款。

(二)在信息化項(xiàng)目預(yù)算時(shí)，各單位要按照等級(jí)保護(hù)的要求將安全等級(jí)保護(hù)的各項(xiàng)費(fèi)用（風(fēng)險(xiǎn)評(píng)估、方案設(shè)計(jì)、工程實(shí)施、測(cè)評(píng)驗(yàn)收、工程監(jiān)理等）列入項(xiàng)目預(yù)算；在網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行后，也要按照安全等級(jí)保護(hù)的要求將相關(guān)費(fèi)用列入系統(tǒng)運(yùn)行維護(hù)費(fèi)。

(三)各單位的重要網(wǎng)絡(luò)與信息系統(tǒng)在正式投入運(yùn)行前應(yīng)依據(jù)北京市人民政府第67號(hào)令《北京市政務(wù)與公共服務(wù)信息化工程建設(shè)管理辦法》第十三條規(guī)定，經(jīng)過(guò)安全測(cè)評(píng)認(rèn)證，未經(jīng)測(cè)評(píng)認(rèn)證的，不得投入運(yùn)行。

(四)北京信息安全測(cè)評(píng)中心在測(cè)評(píng)過(guò)程中必須堅(jiān)持客觀公正、實(shí)事求是的原則，出具真實(shí)的測(cè)評(píng)報(bào)告，市信息辦對(duì)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)進(jìn)行監(jiān)督管理，對(duì)違反上述原則，出具虛假報(bào)告等行為的將追究有關(guān)領(lǐng)導(dǎo)和責(zé)任人的責(zé)任；情節(jié)嚴(yán)重構(gòu)成犯罪的，由有關(guān)部門追究其法律責(zé)任。

(五)專業(yè)信息安全服務(wù)機(jī)構(gòu)為本市各級(jí)黨政機(jī)關(guān)提供信息安全服務(wù)應(yīng)符合國(guó)家和本市的有關(guān)規(guī)定，北京信息安全測(cè)評(píng)中心應(yīng)定期了解為本市各級(jí)黨政機(jī)關(guān)提供信息安全服務(wù)機(jī)構(gòu)的有關(guān)情況、征求用戶意見，對(duì)有問(wèn)題的單位提出建議和警告，問(wèn)題嚴(yán)重的應(yīng)取消其信息安全服務(wù)能力等級(jí)證書并予以公布。

(六)市信息辦加強(qiáng)對(duì)安全等級(jí)保護(hù)工作的指導(dǎo)和監(jiān)督檢查。對(duì)違反有關(guān)規(guī)定的，要及時(shí)進(jìn)行糾正；情節(jié)嚴(yán)重并造成重大損失的，由其上級(jí)主管部門依照有關(guān)規(guī)定追究單位負(fù)責(zé)人和有關(guān)人員的行政責(zé)任。構(gòu)成犯罪的，由有關(guān)部門追究其法律責(zé)任。

五、切實(shí)加強(qiáng)對(duì)安全等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)

第2篇：安全等級(jí)保護(hù)管理辦法范文

【 關(guān)鍵詞 】 等級(jí)保護(hù)；等級(jí)測(cè)評(píng)；質(zhì)量控制

1 引言

近年來(lái)，隨著等級(jí)保護(hù)工作的深入開展，我國(guó)相繼出臺(tái)了一系列等級(jí)保護(hù)法律法規(guī)體系和標(biāo)準(zhǔn)規(guī)范體系，中國(guó)石化根據(jù)國(guó)家等級(jí)保護(hù)政策和技術(shù)標(biāo)準(zhǔn)，結(jié)合企業(yè)特點(diǎn)，在不低于國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)上，編寫了企業(yè)行業(yè)標(biāo)準(zhǔn)，形成了企業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)體系。對(duì)等級(jí)保護(hù)五個(gè)基本動(dòng)作（信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全檢查環(huán)節(jié)）進(jìn)行了針對(duì)性指導(dǎo)。其中《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》、《信息系統(tǒng)安全管理測(cè)評(píng)》 、《中國(guó)石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》等技術(shù)標(biāo)準(zhǔn)，對(duì)等級(jí)測(cè)評(píng)的主要原則和主要內(nèi)容，測(cè)評(píng)基本流程、過(guò)程分類、記錄文檔、測(cè)評(píng)報(bào)告等進(jìn)行了具體規(guī)范。就目前研究成果來(lái)看，我國(guó)還沒有形成以等級(jí)測(cè)評(píng)為主體的質(zhì)量管理體系與技術(shù)標(biāo)準(zhǔn)，缺乏針對(duì)等級(jí)測(cè)評(píng)活動(dòng)質(zhì)量控制的方法研究。本文從研究《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《中國(guó)石化集團(tuán)信息安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)入手，對(duì)等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制進(jìn)行分析，提出了相應(yīng)的工作方法和控制措施，基本滿足了等級(jí)測(cè)評(píng)活動(dòng)公正性、客觀性和保密性對(duì)質(zhì)量控制的需求。

2 等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制需求

等級(jí)測(cè)評(píng)活動(dòng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)等級(jí)保護(hù)相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，檢測(cè)評(píng)估信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)基本要求的過(guò)程，為石化行業(yè)等單位進(jìn)行信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改和國(guó)家監(jiān)管部門依法行政管理提供決策依據(jù)，是落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)。等級(jí)測(cè)評(píng)活動(dòng)不同于一般的風(fēng)險(xiǎn)評(píng)估和安全評(píng)價(jià)，是政策性、專業(yè)性很強(qiáng)的技術(shù)活動(dòng)。對(duì)等級(jí)測(cè)評(píng)活動(dòng)實(shí)施質(zhì)量控制的目的，就是建立和完善等級(jí)測(cè)評(píng)質(zhì)量管理體系，通過(guò)質(zhì)量方針目標(biāo)、管理制度、控制程序等系列管理措施，對(duì)等級(jí)測(cè)評(píng)活動(dòng)實(shí)施全過(guò)程實(shí)施質(zhì)量控制，保證測(cè)評(píng)活動(dòng)中引用的政策法規(guī)、技術(shù)標(biāo)準(zhǔn)正確，測(cè)評(píng)方法科學(xué)，測(cè)評(píng)過(guò)程可控，測(cè)評(píng)行為規(guī)范，測(cè)評(píng)結(jié)論客觀真實(shí)。要求等級(jí)測(cè)評(píng)人員在測(cè)評(píng)活動(dòng)中，不但要正確理解和把握等級(jí)保護(hù)相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，保證等級(jí)測(cè)評(píng)過(guò)程的合規(guī)性，還要通過(guò)職業(yè)道德規(guī)范教育和測(cè)評(píng)行為約束，保證等級(jí)測(cè)評(píng)結(jié)論的公正性、客觀性。

3 等級(jí)測(cè)評(píng)機(jī)構(gòu)的質(zhì)量管理體系結(jié)構(gòu)

等級(jí)保護(hù)政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)等級(jí)測(cè)評(píng)的原則、內(nèi)容、過(guò)程、方法以及測(cè)評(píng)強(qiáng)度的要求，體現(xiàn)了對(duì)等級(jí)測(cè)評(píng)活動(dòng)實(shí)施質(zhì)量控制的思想?！缎畔踩燃?jí)測(cè)評(píng)機(jī)構(gòu)能力要求》要求等級(jí)測(cè)評(píng)機(jī)構(gòu)建立、實(shí)施和維護(hù)符合等級(jí)測(cè)評(píng)工作需要的文件化的質(zhì)量管理體系。要求體系文件以制度、手冊(cè)、程序等形式執(zhí)行，并應(yīng)建立執(zhí)行記錄，為等級(jí)測(cè)評(píng)活動(dòng)質(zhì)量控制提出了基礎(chǔ)框架結(jié)構(gòu)。

等級(jí)測(cè)評(píng)機(jī)構(gòu)的質(zhì)量管理體系結(jié)構(gòu)和控制措施主要包括四個(gè)層次的內(nèi)容。

第一層指導(dǎo)性文件：依據(jù)等級(jí)保護(hù)政策法規(guī)體系、技術(shù)標(biāo)準(zhǔn)體系和等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求，制定等級(jí)測(cè)評(píng)機(jī)構(gòu)質(zhì)量管理體系，確立質(zhì)量方針和工作目標(biāo)，指導(dǎo)測(cè)評(píng)活動(dòng)。

第二層控制性文件：根據(jù)測(cè)評(píng)活動(dòng)要求，建立保密管理制度、項(xiàng)目管理制度、質(zhì)量管理制度、人員管理制度、教育培訓(xùn)制度、設(shè)備管理制度、申訴、投訴和爭(zhēng)議管理制度等，對(duì)等級(jí)測(cè)評(píng)活動(dòng)管理目標(biāo)進(jìn)行控制。

第三層操作性文件：依據(jù)等級(jí)測(cè)評(píng)管理目標(biāo)，建立和完善相應(yīng)的《合同評(píng)審控制程序》、《文件記錄控制程序》 、《管理評(píng)審控制程序》、《技術(shù)評(píng)審控制程序》、《測(cè)評(píng)設(shè)備控制程序》、《測(cè)評(píng)過(guò)程控制程序》、《風(fēng)險(xiǎn)控制程序》、《保密控制程序》、《人力資源管理與教育培訓(xùn)程序》、《糾正和預(yù)防措施控制程序》、《申訴、投訴及爭(zhēng)議處理控制程序》、《客戶滿意度管理程序》等操作性文件，對(duì)等級(jí)測(cè)評(píng)活動(dòng)過(guò)程和環(huán)節(jié)進(jìn)行控制。

第四層保證性文件：建立健全各項(xiàng)質(zhì)量記錄表單，制定測(cè)評(píng)機(jī)構(gòu)禁止行為和測(cè)評(píng)人員職業(yè)道德規(guī)范，對(duì)等級(jí)測(cè)評(píng)結(jié)論的公正性、客觀性、保密性進(jìn)行控制。

4 等保測(cè)評(píng)過(guò)程中的質(zhì)量控制

《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》將等級(jí)測(cè)評(píng)過(guò)程劃分為測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析與報(bào)告編制四個(gè)活動(dòng)階段。測(cè)評(píng)過(guò)程質(zhì)量控制強(qiáng)度與質(zhì)量管理體系各要素之間的關(guān)系如表1所示。

4.1 測(cè)評(píng)準(zhǔn)備活動(dòng)的質(zhì)量控制

4.1.1 項(xiàng)目啟動(dòng)活動(dòng)的質(zhì)量控制

依據(jù)《合同評(píng)審控制程序》組織有關(guān)管理、技術(shù)人員和法律顧問(wèn)召開合同評(píng)審會(huì)議，對(duì)測(cè)評(píng)雙方需要簽訂的委托協(xié)議或合同書進(jìn)行評(píng)審。根據(jù)雙方簽訂的委托協(xié)議或合同書，組建等級(jí)測(cè)評(píng)項(xiàng)目組，按照測(cè)評(píng)活動(dòng)實(shí)際要求進(jìn)行人員、設(shè)備、資金等資源配置。項(xiàng)目組設(shè)置質(zhì)量管理和技術(shù)管理部門，明確責(zé)任權(quán)限，以滿足測(cè)評(píng)活動(dòng)的技術(shù)和質(zhì)量管理要求。

依據(jù)《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》和《測(cè)評(píng)過(guò)程控制程序》編制《項(xiàng)目計(jì)劃書》。

4.1.2 信息收集和分析活動(dòng)的質(zhì)量控制

依據(jù)《測(cè)評(píng)過(guò)程控制程序》編制《基本情況調(diào)查表》，收集和分析被測(cè)信息系統(tǒng)等級(jí)測(cè)評(píng)需要的各種資料，包括各種方針文件、規(guī)章制度及相關(guān)過(guò)程管理記錄、被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。通過(guò)現(xiàn)場(chǎng)調(diào)查和工作交流等方式詳細(xì)了解被測(cè)系統(tǒng)狀況，明確等級(jí)測(cè)評(píng)的工作流程及可能帶來(lái)的風(fēng)險(xiǎn)和規(guī)避方法，為編制等級(jí)測(cè)評(píng)實(shí)施方案做好準(zhǔn)備。

4.1.3 工具和表單準(zhǔn)備活動(dòng)的質(zhì)量控制

測(cè)評(píng)人員依據(jù)《測(cè)評(píng)過(guò)程控制程序》要求，搭建模擬系統(tǒng)測(cè)試環(huán)境，按照測(cè)評(píng)機(jī)構(gòu)《測(cè)評(píng)設(shè)備控制程序》調(diào)試各種必備的測(cè)試工具，并按照《文件記錄控制程序》準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表等表單。

4.2 方案編制活動(dòng)的質(zhì)量控制

4.2.1 測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、測(cè)評(píng)內(nèi)容的質(zhì)量控制

測(cè)評(píng)人員根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息，按照《測(cè)評(píng)過(guò)程控制程序》規(guī)定的方法和步驟，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)活動(dòng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、測(cè)評(píng)內(nèi)容等，并以表單的形式進(jìn)行具體描述。

4.2.2 測(cè)評(píng)指導(dǎo)書開發(fā)、測(cè)評(píng)方案編制的質(zhì)量控制

測(cè)評(píng)人員按照《測(cè)評(píng)過(guò)程控制程序》要求和測(cè)評(píng)活動(dòng)內(nèi)容開發(fā)測(cè)評(píng)指導(dǎo)書、編制等級(jí)測(cè)評(píng)實(shí)施方案。

測(cè)評(píng)指導(dǎo)書由測(cè)評(píng)機(jī)構(gòu)按照《技術(shù)評(píng)審程序》進(jìn)行技術(shù)評(píng)審，評(píng)審合格后項(xiàng)目技術(shù)主管簽字，并按照控制范圍分發(fā)、管理。

等級(jí)測(cè)評(píng)實(shí)施方案由項(xiàng)目經(jīng)理按照《技術(shù)評(píng)審程序》組織雙方測(cè)評(píng)人員和專家小組成員進(jìn)行技術(shù)評(píng)審，評(píng)審合格的等級(jí)測(cè)評(píng)實(shí)施方案，提交石化單位代表簽字確認(rèn)，按照《文件記錄控制程序》、《保密控制程序》進(jìn)行和管理。

4.3 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的質(zhì)量控制

4.3.1 進(jìn)場(chǎng)前的準(zhǔn)備活動(dòng)的質(zhì)量控制

按照《測(cè)評(píng)過(guò)程控制程序》要求組織召開首次測(cè)評(píng)會(huì)議，測(cè)評(píng)雙方人員溝通等級(jí)測(cè)評(píng)實(shí)施方案，簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書，做好現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備。

4.3.2 現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)活動(dòng)的質(zhì)量控制

測(cè)評(píng)人員進(jìn)入測(cè)評(píng)現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，按照《測(cè)評(píng)過(guò)程控制程序》填寫《現(xiàn)場(chǎng)測(cè)評(píng)登記表》，詳細(xì)填寫出入現(xiàn)場(chǎng)時(shí)間、測(cè)評(píng)工作內(nèi)容、測(cè)評(píng)前后的信息系統(tǒng)安全狀況，并由石化單位配合人員現(xiàn)場(chǎng)簽字確認(rèn)。

嚴(yán)格按照測(cè)評(píng)指導(dǎo)書和等級(jí)測(cè)評(píng)實(shí)施方案確定的過(guò)程和方法進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)，通過(guò)人員訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等方法，測(cè)評(píng)被測(cè)系統(tǒng)的保護(hù)措施情況，獲取現(xiàn)場(chǎng)測(cè)評(píng)證據(jù)，并按照《文件記錄控制程序》要求填寫《現(xiàn)場(chǎng)測(cè)評(píng)記錄表》。

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中，及時(shí)匯總現(xiàn)場(chǎng)測(cè)評(píng)記錄和發(fā)現(xiàn)的問(wèn)題，對(duì)遺漏和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng)，測(cè)評(píng)記錄由測(cè)評(píng)雙方測(cè)評(píng)人員現(xiàn)場(chǎng)簽字確認(rèn)。

現(xiàn)場(chǎng)測(cè)評(píng)完成后，測(cè)評(píng)雙方人員召開現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束會(huì)，對(duì)現(xiàn)場(chǎng)測(cè)評(píng)工作進(jìn)行小結(jié)，將現(xiàn)場(chǎng)測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題形成書面報(bào)告，并由雙方代表簽字確認(rèn)。

現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中產(chǎn)生的所有現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果記錄以及石化單位提供的信息資料，均按照《文件記錄控制程序》、《保密控制程序》進(jìn)行管理，嚴(yán)格限制他們的知曉和使用范圍。

4.4 分析與報(bào)告編制活動(dòng)的質(zhì)量控制

4.4.1 測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成的的質(zhì)量控制

測(cè)評(píng)人員依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《中國(guó)石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)通用安全技術(shù)要求》等相關(guān)技術(shù)標(biāo)準(zhǔn)，按照《測(cè)評(píng)過(guò)程控制程序》規(guī)定的方法、步驟，對(duì)測(cè)評(píng)指標(biāo)中的每個(gè)測(cè)評(píng)項(xiàng)測(cè)評(píng)記錄，進(jìn)行客觀、準(zhǔn)確地分析，形成初步單項(xiàng)測(cè)評(píng)結(jié)果，并以表單形式給出。按照《測(cè)評(píng)過(guò)程控制程序》要求匯總單項(xiàng)測(cè)評(píng)結(jié)果，分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列出。測(cè)評(píng)人員針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng)，采取逐條判定和優(yōu)勢(shì)證據(jù)的方法，從安全控制間、層面間和區(qū)域間出發(fā)，對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)，給出整體測(cè)評(píng)的具體結(jié)果。采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問(wèn)題及可能對(duì)被測(cè)系統(tǒng)安全造成的影響。在此基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距，形成等級(jí)測(cè)評(píng)結(jié)論。

結(jié)論形成后，測(cè)評(píng)雙方有關(guān)人員和技術(shù)專家按照《技術(shù)評(píng)審控制程序》對(duì)形成等級(jí)測(cè)評(píng)結(jié)論進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)的結(jié)果判定由測(cè)評(píng)雙方授權(quán)代表簽字確認(rèn)。

本過(guò)程產(chǎn)生的文檔資料，按照《文件記錄控制程序》、《保密控制程序》進(jìn)行分類授權(quán)使用和管理。

4.4.2 測(cè)評(píng)報(bào)告的編制和分發(fā)的質(zhì)量控制

測(cè)評(píng)機(jī)構(gòu)按照《信息安全等級(jí)測(cè)評(píng)報(bào)告模板（試行）》格式編寫報(bào)告文檔。

測(cè)評(píng)雙方有關(guān)人員和專家召開等級(jí)測(cè)評(píng)末次會(huì)議，按照《管理評(píng)審控制程序》、《技術(shù)評(píng)審控制程序》對(duì)等級(jí)報(bào)告格式、內(nèi)容和結(jié)論進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)的測(cè)評(píng)報(bào)告文檔，按照《文件記錄控制程序》蓋章、編號(hào)，并由測(cè)評(píng)機(jī)構(gòu)項(xiàng)目經(jīng)理、質(zhì)量主管、技術(shù)主管聯(lián)合簽發(fā)。

測(cè)評(píng)人員按照《文件記錄控制程序》和《保密控制程序》和合同約定的控制范圍分發(fā)等級(jí)測(cè)評(píng)報(bào)告，交接有關(guān)資料文檔，刪除測(cè)評(píng)設(shè)備產(chǎn)生的電子數(shù)據(jù)。

5 結(jié)束語(yǔ)

本文依據(jù)等級(jí)保護(hù)相關(guān)的政策法規(guī)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，結(jié)合等級(jí)測(cè)評(píng)活動(dòng)的公正性、客觀性、保密性的要求，對(duì)等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制進(jìn)行了分析，為等級(jí)測(cè)評(píng)機(jī)構(gòu)建立質(zhì)量管理體系和等級(jí)測(cè)評(píng)質(zhì)量控制提供了借鑒和參考。隨著等級(jí)保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范的不斷更新和完善，等級(jí)測(cè)評(píng)活動(dòng)的質(zhì)量控制還有待更深入全面的探討和研究。

參考文獻(xiàn)

[1] GB/T 28448-2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求.

[2] GB/T 28449-2012 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南.

[3] 中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)（GA/T713-2007）.信息系統(tǒng)安全管理測(cè)評(píng).

[4] 中國(guó)石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)管理辦法.

[5] GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[6] 中國(guó)石化集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[7] 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求（試行）.

[8] GB/T20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求[S].

[9] 公信安[2009]1487號(hào).關(guān)于印發(fā)《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板（試行）》的通知.

[10] 郝文江，武捷.三網(wǎng)融合中的安全風(fēng)險(xiǎn)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012，（01）：5-9.

[11] 韓水玲，馬敏，王濤等.數(shù)字證書應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（09）：43-45.

[12] 常艷，王冠.網(wǎng)絡(luò)安全滲透測(cè)試研究[J].信息網(wǎng)絡(luò)安全，2012，（11）：3-4.

第3篇：安全等級(jí)保護(hù)管理辦法范文

信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則最新全文第一條 為加強(qiáng)和指導(dǎo)信息安全等級(jí)保護(hù)備案工作，規(guī)范備 案受理、審核和管理等工作，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》 制定本實(shí)施細(xì)則。

第二條 本細(xì)則適用于非涉及國(guó)家秘密的第二級(jí)以上信息系 統(tǒng)的備案。

第三條 地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級(jí)的備案單位， 其跨地 (市) 聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng) 運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級(jí)公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系 統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)(包括由上級(jí)主管部門定級(jí)，在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

第五條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng) 該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負(fù)責(zé)受理 備案工作，受理備案地點(diǎn)、時(shí)間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會(huì) 公布。

第六條 信息系統(tǒng)運(yùn)營(yíng)、使用單位或者其主管部門(以下簡(jiǎn) 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護(hù)等級(jí)確定后30日內(nèi)，到公 安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時(shí)，應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫備案表，準(zhǔn)備好 備案文件，然后到指定的地點(diǎn)備案。

第七條 備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 (以下簡(jiǎn)稱《備案表》 (一式兩份)及其電子文檔。第二級(jí)以上 信息系統(tǒng)備案時(shí)需提交《備案表》中的表一、二、三;第三級(jí)以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測(cè)評(píng)完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。

第八條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位 提交的備案材料后，對(duì)屬于本級(jí)公安機(jī)關(guān)受理范圍且備案材料齊 全的，應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級(jí)保護(hù)備案材料接 收回執(zhí)》 備案材料不齊全的， 應(yīng)當(dāng)當(dāng)場(chǎng)或者在五日內(nèi)一次性告知 其補(bǔ)正內(nèi)容;對(duì)不屬于本級(jí)公安機(jī)關(guān)受理范圍的，應(yīng)當(dāng)書面告知 備案單位到有管轄權(quán)的公安機(jī)關(guān)辦理。

第九條 接收備案材料后，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對(duì)下列內(nèi)容進(jìn)行審核： (一)備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護(hù)等級(jí)是否準(zhǔn)確。

第十條 經(jīng)審核，對(duì)符合等級(jí)保護(hù)要求的，公安機(jī)關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個(gè)工作日 內(nèi)，將加蓋本級(jí)公安機(jī)關(guān)印章(或等級(jí)保護(hù)專用章)的《備案表》 一份反饋備案單位，一份存檔;對(duì)不符合等級(jí)保護(hù)要求的，公安 機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個(gè)工作日內(nèi)通知備案單 位進(jìn)行整改， 并出具 《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知》

第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級(jí)保護(hù)備案證明》 (以下簡(jiǎn)稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對(duì)定級(jí)不 準(zhǔn)的備案單位，在通知整改的同時(shí)，應(yīng)當(dāng)建議備案單位組織專家 進(jìn)行重新定級(jí)評(píng)審，并報(bào)上級(jí)主管部門審批。 備案單位仍然堅(jiān)持原定等級(jí)的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果，經(jīng)上級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后， 同時(shí)通報(bào)備案單位上級(jí)主管部門。

第十三條 4 對(duì)拒不備案的，公安機(jī)關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 等其他有關(guān)法律、 法規(guī)規(guī)定， 責(zé)令限期整改。逾期仍不備案的，予以警告，并向其上級(jí)主管部 門通報(bào)。 依照前款規(guī)定向中央和國(guó)家機(jī)關(guān)通報(bào)的，應(yīng)當(dāng)報(bào)經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。

第十四條 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門應(yīng)當(dāng)及時(shí)將備案文件錄入到數(shù)據(jù)庫(kù)管理系統(tǒng)，并定期逐級(jí)上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時(shí)間為每 季度的第一天。 受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管 理制度， 對(duì)備案材料按照等級(jí)進(jìn)行嚴(yán)格管理， 嚴(yán)格遵守保密制度， 未經(jīng)批準(zhǔn)不得對(duì)外提供查詢。 第十五條 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案 時(shí)不得收取任何費(fèi)用。

第十六條 本細(xì)則所稱以上包含本數(shù)(級(jí))

第十七條 各省(區(qū)、市)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門可以依據(jù)本細(xì)則制定具體的備案工作規(guī)范，并報(bào)公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。

第4篇：安全等級(jí)保護(hù)管理辦法范文

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；技術(shù)方案

中圖分類號(hào)：TP393.092

隨著采供血業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高，信息安全問(wèn)題日益突現(xiàn)，各采供血機(jī)構(gòu)對(duì)信息安全保障工作給予了高度重視，各方面的信息安全保障工作都在逐步推進(jìn)。《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號(hào)）指出[1]，依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，全面開展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制，切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急能力，做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)采供血機(jī)構(gòu)信息化發(fā)展，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。

1 信息安全等級(jí)保護(hù)概述

1994年國(guó)務(wù)院147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)保護(hù)條例》，規(guī)定我國(guó)實(shí)行“計(jì)算機(jī)信息安全等級(jí)保護(hù)制度”[2]。根據(jù)147號(hào)令的要求，公安部制定了《計(jì)算機(jī)信息等級(jí)劃分標(biāo)準(zhǔn)》（GB17859-1999以下簡(jiǎn)稱GB17859），該標(biāo)準(zhǔn)是我國(guó)最早的信息安全等級(jí)標(biāo)準(zhǔn)。

當(dāng)前實(shí)施的信息安全等級(jí)保護(hù)制度是由公安部等四部委聯(lián)合發(fā)文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）及《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），文件明確了信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、工作要求、部門分工和實(shí)施計(jì)劃，為信息安全工作提供了規(guī)范保障。這些信息安全的有關(guān)政策法規(guī)主要是從管理角度劃分安全等級(jí)的要求。

2006年，國(guó)家信息安全技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)以GB17859為基本依據(jù)，提出并制定了一系列信息安全國(guó)家標(biāo)準(zhǔn)（GB/T20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等）。這一系列規(guī)范性文件體現(xiàn)了從技術(shù)角度劃分信息安全等級(jí)的要求，主要以信息安全的基本要素為單位，對(duì)實(shí)現(xiàn)不同安全要求的安全技術(shù)和機(jī)制提出不同的要求。本文主要討論以GB17859為依據(jù)從技術(shù)角度探討信息安全等級(jí)保護(hù)技術(shù)在采供血機(jī)構(gòu)中的實(shí)踐。

2 等級(jí)保護(hù)技術(shù)方案

信息安全等級(jí)保護(hù)制度明確了信息安全防護(hù)方案，要求確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保信息內(nèi)容安全。保證業(yè)務(wù)數(shù)據(jù)在生成、存儲(chǔ)、傳輸和使用過(guò)程中的安全，重要業(yè)務(wù)操作行為可審計(jì)，保證應(yīng)用系統(tǒng)可抵御黑客、惡意代碼、病毒等造成的攻擊與破壞，防范惡意人員對(duì)信息系統(tǒng)資源的非法、非授權(quán)訪問(wèn)。

2.1 實(shí)現(xiàn)要求。三級(jí)安全應(yīng)用平臺(tái)安全計(jì)算環(huán)境的安全目標(biāo)是保護(hù)計(jì)算環(huán)境的終端、重要服務(wù)器、乃至上層的應(yīng)用安全和數(shù)據(jù)安全，并對(duì)入侵事件進(jìn)行檢測(cè)/發(fā)現(xiàn)、防范/阻止和審計(jì)/追查。依據(jù)GB17859-1999等系列標(biāo)準(zhǔn)把相關(guān)技術(shù)要求落實(shí)到安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)、安全管理中心及四個(gè)部分，形成“一個(gè)中心”三重保障體系[3]。

圖1 三級(jí)安全應(yīng)用平臺(tái)TCB模型

2.2 安全計(jì)算機(jī)環(huán)境。安全計(jì)算機(jī)環(huán)境是由安全局域通信網(wǎng)絡(luò)連接的各個(gè)安全的計(jì)算資源所組成的計(jì)算環(huán)境，其工作方式包括客戶/服務(wù)器模式；主機(jī)/終端模式；服務(wù)器/工作站模式。

2.3 安全區(qū)域邊界。是安全計(jì)算環(huán)境通過(guò)安全通信網(wǎng)絡(luò)與外部連接的所有接口的總和，包括防火墻、防病毒網(wǎng)關(guān)及入侵檢測(cè)等共同實(shí)現(xiàn)。

2.4 安全通信網(wǎng)絡(luò)。實(shí)現(xiàn)信息系統(tǒng)中各個(gè)安全計(jì)算機(jī)環(huán)境之間互相連接的重要設(shè)施。包括安全性檢測(cè)、安全審計(jì)病毒防殺、備份與故障恢復(fù)以及應(yīng)急計(jì)劃與應(yīng)急反應(yīng)。

2.5 安全管理中心。針對(duì)安全計(jì)算機(jī)環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)三個(gè)部分的安全機(jī)制的集中管理設(shè)施。針對(duì)安全審計(jì)網(wǎng)絡(luò)管理、防病毒等技術(shù)的安全集中管理。

3 采供血機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)建設(shè)

3.1 定級(jí)。采供血機(jī)構(gòu)為地市級(jí)公益衛(wèi)生事業(yè)單位，信息管理系統(tǒng)受到破壞會(huì)嚴(yán)重?fù)p害社會(huì)秩序，采供血業(yè)務(wù)停滯會(huì)嚴(yán)重?fù)p害公共利益，信息泄露則會(huì)嚴(yán)重影響公眾利益，按信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南，確定采供血信息系統(tǒng)安全保護(hù)等級(jí)為第三級(jí)。

3.2 系統(tǒng)分析。采供血信息系統(tǒng)覆蓋采供血業(yè)務(wù)和相關(guān)服務(wù)過(guò)程，包括獻(xiàn)血者檔案、血液采集、制備、檢驗(yàn)和發(fā)放等信息記錄必須妥善保存并保持可溯性。艾滋病疫情信息根據(jù)國(guó)家相關(guān)法律法規(guī)的要求，必須防止泄露，以免產(chǎn)生對(duì)國(guó)家安全及社會(huì)穩(wěn)定的負(fù)面影響。

信息系統(tǒng)核心由兩臺(tái)雙機(jī)熱備服務(wù)器、磁盤陣列柜組成，采用硬件VPN、硬件防火墻作為網(wǎng)絡(luò)安全設(shè)備。應(yīng)用VPN技術(shù)將遠(yuǎn)離采供血機(jī)構(gòu)本部的獻(xiàn)血屋、移動(dòng)采血車及醫(yī)院輸血科使用的業(yè)務(wù)計(jì)算機(jī)與站內(nèi)的服務(wù)器聯(lián)網(wǎng)。

3.3 等級(jí)保護(hù)建設(shè)。依據(jù)GB17859-1999等系列標(biāo)準(zhǔn)把相關(guān)技術(shù)要求落實(shí)到安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)和安全管理中心四部分。構(gòu)建“一個(gè)中心”管理下的“三重保障體系”，實(shí)現(xiàn)拓樸圖如下：

圖2 采供血機(jī)構(gòu)拓?fù)鋱D

3.3.1 安全計(jì)算環(huán)境。系統(tǒng)層主要進(jìn)行身份認(rèn)證及用戶管理、訪問(wèn)控制、安全審計(jì)、審惡意代碼防范，補(bǔ)丁升級(jí)及系統(tǒng)安全性檢測(cè)分析。安全計(jì)算環(huán)境主要依靠在用戶終端或是服務(wù)器中充分挖掘完善現(xiàn)有windows/Linux操作系統(tǒng)本身固有的安全特性來(lái)保證其安全性。在應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問(wèn)控制、安全審計(jì)等安全機(jī)制。

3.3.2 安全區(qū)域邊界。在網(wǎng)絡(luò)邊界處以網(wǎng)關(guān)模式部署深信服下一代防火墻AF-1320，電信及聯(lián)通兩條線路都接入其中，達(dá)到以下防護(hù)目的：（1）區(qū)域邊界訪問(wèn)控制：邏輯隔離數(shù)據(jù)、透明并嚴(yán)格進(jìn)行服務(wù)控制，隔離本單位網(wǎng)絡(luò)和互聯(lián)網(wǎng)，成為網(wǎng)絡(luò)之間的邊界屏障，單位內(nèi)部電腦上網(wǎng)，實(shí)施相應(yīng)訪問(wèn)控制策略，設(shè)置自主和強(qiáng)制訪問(wèn)控制機(jī)制；（2）區(qū)域邊界包過(guò)濾：通過(guò)檢查數(shù)據(jù)包源地址、過(guò)濾與狀態(tài)檢測(cè)提供靜態(tài)的包過(guò)濾和動(dòng)態(tài)包過(guò)濾功能；（3）區(qū)域邊界安全審計(jì)：由內(nèi)置數(shù)據(jù)中心和獨(dú)立數(shù)據(jù)中心記錄各類詳細(xì)事件，并產(chǎn)生統(tǒng)計(jì)報(bào)表。還可根據(jù)管理者定義的風(fēng)險(xiǎn)行為特征自動(dòng)挖掘并輸出風(fēng)險(xiǎn)行為智能報(bào)表；（4）完整性保護(hù)：保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵，過(guò)濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。該防火墻具有IPS入侵防護(hù)，防護(hù)類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測(cè)/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等；具有網(wǎng)絡(luò)應(yīng)用層防護(hù)，識(shí)別及清殺惡意代碼功能。

3.3.3 安全通信網(wǎng)絡(luò)。當(dāng)用戶跨區(qū)域訪問(wèn)時(shí)，根據(jù)三級(jí)標(biāo)準(zhǔn)要求，需要進(jìn)行數(shù)據(jù)傳輸保護(hù)。通過(guò)部署VPN安全設(shè)備構(gòu)建安全隧道，實(shí)施機(jī)密性和完整性保護(hù)，實(shí)現(xiàn)對(duì)應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)傳輸保護(hù)。（1）本單位用采兩臺(tái)深信服VPN網(wǎng)關(guān)為跨區(qū)域邊界的通信雙方建立安全的通道。一臺(tái)為IPsec VPN用于連接采供血機(jī)構(gòu)的分支機(jī)構(gòu)如大型獻(xiàn)血屋，另一臺(tái)為SSL VPN用于小型捐血屋、流動(dòng)采血車、各醫(yī)院與采供血機(jī)構(gòu)的數(shù)據(jù)通信。VPN設(shè)備可為采供血機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間信息的安全傳輸提供加密、身份鑒別、完整性保護(hù)及控制等安全機(jī)制。另外，VPN安全網(wǎng)關(guān)中設(shè)計(jì)了審計(jì)功能來(lái)記錄、存儲(chǔ)和分析安全事件，可為安全管理員提供有關(guān)追蹤安全事件和入侵行為的有效證據(jù)；（2）在防火墻下端部署華為S5700系列三層核心交換機(jī)，并在網(wǎng)絡(luò)中劃分VLAN，設(shè)置部門應(yīng)用終端的訪問(wèn)權(quán)限，規(guī)定哪些部門可以訪問(wèn)哪些服務(wù)器等以減少網(wǎng)絡(luò)中的廣播風(fēng)暴，提高網(wǎng)絡(luò)效率；（3）在行政辦公區(qū)域利用深信服上網(wǎng)行為管理（Sinfor-M5000-AC）有效管理與利用互聯(lián)網(wǎng)資源，合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用。

3.3.4 安全管理中心。信息安全等級(jí)保護(hù)三級(jí)的信息系統(tǒng)，應(yīng)建立安全管理中心，主要用于監(jiān)視和記錄信息系統(tǒng)中比較重要的服務(wù)器、網(wǎng)絡(luò)設(shè)備等環(huán)節(jié)，以及所有應(yīng)用系統(tǒng)和主要用戶的安全狀況。本單位目前安全管理中心由兩部分組成，配置賽門鐵克賽門鐵克SEP12.1，采用分布式的體系結(jié)構(gòu)部署了防病毒系統(tǒng)中心、防病毒服務(wù)器端、防病毒客戶端、防病毒管理員控制臺(tái)。防病毒軟件與防火墻、VPN及上網(wǎng)行為管理協(xié)同完成通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件的運(yùn)行等監(jiān)測(cè)和報(bào)警，并形成相關(guān)報(bào)表。對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)及安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理。

4 結(jié)束語(yǔ)

按照等級(jí)保護(hù)的相關(guān)規(guī)范和技術(shù)要求，結(jié)合采供血機(jī)構(gòu)具體網(wǎng)絡(luò)和系統(tǒng)應(yīng)用，設(shè)計(jì)三級(jí)信息安全等級(jí)保護(hù)方案并建設(shè)，保證采供血機(jī)構(gòu)網(wǎng)絡(luò)的安全、穩(wěn)定、通暢，保障了整個(gè)采供血業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，更好地服務(wù)于廣大患者。

參考文獻(xiàn)：

[1]網(wǎng)神信息技術(shù)（北京）股份有限公司[J].信息網(wǎng)絡(luò)安全，2012（10）：28.

[2]郎漫芝，王暉，鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)的實(shí)施探討[J].計(jì)算機(jī)應(yīng)用與軟件，2013（01）：206.

[3]胡志昂，范紅.信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)實(shí)現(xiàn)與應(yīng)用[M].北京：電子工業(yè)出版社，2011：98-104.

第5篇：安全等級(jí)保護(hù)管理辦法范文

該文對(duì)供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析，并探討了可以針對(duì)性改進(jìn)的安全防護(hù)措施。首先對(duì)當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析，然后研究了在“自主定級(jí)，自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案，最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級(jí)保護(hù)；信息安全

供水行業(yè)對(duì)國(guó)計(jì)民生很重要的一個(gè)行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)，集中管理所有涉及運(yùn)營(yíng)的相關(guān)數(shù)據(jù)，針對(duì)供水企業(yè)運(yùn)行的特殊要求，進(jìn)行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合，最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國(guó)Radicati公司于2015年3月的調(diào)查報(bào)告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬(wàn)億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升，計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)2015年的中國(guó)網(wǎng)絡(luò)安全分析報(bào)告，2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國(guó)各地都出現(xiàn)了長(zhǎng)達(dá)25分鐘無(wú)法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊(cè)的13%的網(wǎng)站無(wú)法訪問(wèn)，時(shí)間長(zhǎng)達(dá)17個(gè)小時(shí)，經(jīng)濟(jì)損失不可估量。因此，從信息安全的角度，要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問(wèn)題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問(wèn)，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2）數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)?？赡苡勺匀粸?zāi)害引發(fā)的問(wèn)題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長(zhǎng)的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。

2有關(guān)分級(jí)防護(hù)的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個(gè)人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國(guó)計(jì)民生的信息。因此，需要按照國(guó)家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。定級(jí)標(biāo)準(zhǔn)按照國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—2008）實(shí)施，根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴(yán)重?fù)p害；3）造成特別嚴(yán)重?fù)p害。

3分別防護(hù)實(shí)施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測(cè)評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)來(lái)對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測(cè)評(píng)工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測(cè)評(píng)結(jié)果，有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容：細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際，主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域，以及一個(gè)公共業(yè)務(wù)區(qū)和測(cè)評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進(jìn)行保護(hù)分級(jí)。測(cè)評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測(cè)試服務(wù)器。

依據(jù)表1的測(cè)評(píng)結(jié)果，將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問(wèn)題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。

4結(jié)束語(yǔ)

隨著大數(shù)據(jù)的發(fā)展，對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求，也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下，還需要加強(qiáng)信息審計(jì)，及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷，加強(qiáng)數(shù)據(jù)庫(kù)安全防護(hù)，維護(hù)管理系統(tǒng)的隱患。

參考文獻(xiàn)：

[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).

第6篇：安全等級(jí)保護(hù)管理辦法范文

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來(lái)，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國(guó)領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國(guó)成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國(guó)烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過(guò)一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡(jiǎn)單的配置。信息安全工作不全面，安全管理相對(duì)薄弱，不足以抵抗來(lái)自外部的威脅。

1 信息安全問(wèn)題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號(hào)簡(jiǎn)單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過(guò)猜測(cè)或其他手段獲得管理員賬號(hào)，攻擊者如入無(wú)人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào)，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識(shí)薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí)，存在離開辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房?jī)?nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測(cè)試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說(shuō)，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無(wú)法有效實(shí)施。使相關(guān)工作過(guò)程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過(guò)程中，開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識(shí)到代碼安全開發(fā)的問(wèn)題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問(wèn)題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問(wèn)題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下，對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng)，并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過(guò)程，以確定該用戶是否具有訪問(wèn)某種資源的權(quán)限，防止非法用戶訪問(wèn)系統(tǒng)資源，保障合法用戶訪問(wèn)授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識(shí)，且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高，但會(huì)遇到各種問(wèn)題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問(wèn)題，移動(dòng)終端無(wú)USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測(cè)

入侵檢測(cè)能夠依據(jù)安全策略，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫(kù)安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫(kù)安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫(kù)的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)以及應(yīng)用平臺(tái)軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場(chǎng)上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)洌诰W(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過(guò)截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái)，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等?？梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過(guò)直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu)；可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ)，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱加密（DES、AES）和不對(duì)稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語(yǔ)權(quán)在增多，肩上的擔(dān)子也越來(lái)越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問(wèn)題。即安全團(tuán)隊(duì)修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競(jìng)爭(zhēng)實(shí)際上是人才的競(jìng)爭(zhēng)，除了定期進(jìn)行技能培訓(xùn)外，還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語(yǔ)）、視頻、專場(chǎng)、外培等形式。通過(guò)對(duì)員工的安全意識(shí)教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來(lái)越多，且存在部分攻擊來(lái)自公司組織內(nèi)部。單靠個(gè)人的力量已無(wú)法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過(guò)PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評(píng)審和持續(xù)改進(jìn)）?？梢罁?jù)ISO27000，信息安全等級(jí)保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語(yǔ)

國(guó)家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過(guò)ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測(cè)評(píng)等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長(zhǎng)期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國(guó)，馮登國(guó)等.信息安全綜述[J].中國(guó)科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡(jiǎn)介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

第7篇：安全等級(jí)保護(hù)管理辦法范文

（一）信息科技支撐不足，信息化戰(zhàn)略風(fēng)險(xiǎn)凸顯目前村鎮(zhèn)銀行支撐業(yè)務(wù)運(yùn)轉(zhuǎn)的信息科技建設(shè)與傳統(tǒng)銀行相比嚴(yán)重落后，難以保證其健康運(yùn)行和快速發(fā)展，形成了村鎮(zhèn)銀行發(fā)展的戰(zhàn)略風(fēng)險(xiǎn)。一是系統(tǒng)支撐能力不足。如漳平民泰村鎮(zhèn)銀行未加入當(dāng)?shù)厝嗣胥y行大小額支付系統(tǒng)和財(cái)稅庫(kù)行橫向聯(lián)網(wǎng)系統(tǒng)，大量小微企業(yè)因無(wú)法進(jìn)行開戶代扣稅等原因只能對(duì)其“望而卻步”，目前該行某些業(yè)務(wù)須借助當(dāng)?shù)嘏d業(yè)銀行的平臺(tái)。二是漳平民泰村鎮(zhèn)銀行無(wú)法并入銀聯(lián)銀行卡網(wǎng)絡(luò)，無(wú)法提供網(wǎng)上銀行服務(wù)等電子化服務(wù)渠道，因此直接“屏蔽”了許多客戶的需求，難以適應(yīng)農(nóng)村信息化建設(shè)，滿足深入推進(jìn)和滿足農(nóng)民日益迫切的新興電子化金融服務(wù)和產(chǎn)品的強(qiáng)烈需求。三是信息科技投入不足，一方面部分設(shè)備老化、性能較差，未達(dá)到重要設(shè)備及系統(tǒng)的雙機(jī)備份要求；另一面專業(yè)科技人才稀缺，且技術(shù)水平和實(shí)踐經(jīng)驗(yàn)相對(duì)不足，難以勝任地方特色中間業(yè)務(wù)的開發(fā)運(yùn)維任務(wù)。

（二）信息科技發(fā)展意識(shí)淡薄，治理架構(gòu)不到位一是中小金融機(jī)構(gòu)管理層目前關(guān)注點(diǎn)仍立足利潤(rùn)、收息、不良貸款等傳統(tǒng)經(jīng)濟(jì)效益指標(biāo)，對(duì)信息化建設(shè)的潛在效益重視不足，未形成有效的信息科技治理架構(gòu)，科學(xué)性、規(guī)范性決策欠缺。二是系統(tǒng)運(yùn)行穩(wěn)定性、安全性較差，部分核心系統(tǒng)剛開發(fā)投入使用不久，需要經(jīng)常進(jìn)行補(bǔ)丁更新和升級(jí)，核心數(shù)據(jù)安全無(wú)法保障。數(shù)據(jù)備份周期過(guò)長(zhǎng)、備份方式落后，備份介質(zhì)存放環(huán)境差且未進(jìn)行異地存放，有些核心數(shù)據(jù)完全依托發(fā)起行備份管理，如個(gè)人和企業(yè)征信業(yè)務(wù)存在數(shù)據(jù)泄密隱患。三是業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)隱患大。中小金融機(jī)構(gòu)未建立專業(yè)的機(jī)房，科技設(shè)備及系統(tǒng)運(yùn)行整體環(huán)境較差，管理人員為單人，業(yè)務(wù)中斷風(fēng)險(xiǎn)嚴(yán)重。

（三）信息科技對(duì)外依賴性強(qiáng)，外包風(fēng)險(xiǎn)突出中小金融機(jī)構(gòu)由于自身科技力量不足，信息化建設(shè)嚴(yán)重依賴外部，從系統(tǒng)開發(fā)上線到運(yùn)行管理維護(hù)等各個(gè)環(huán)節(jié)都依賴發(fā)起行或外包公司的支持。在未與發(fā)起行或外包公司簽訂明確的服務(wù)水平協(xié)議的情況下，普遍缺乏對(duì)發(fā)起行或外包公司科技管理維護(hù)人員的有效制約機(jī)制。外包公司倒閉、服務(wù)響應(yīng)時(shí)間長(zhǎng)等外包風(fēng)險(xiǎn)都對(duì)銀行信息化建設(shè)發(fā)展提出挑戰(zhàn)。

（四）約束機(jī)制不到位，存在操作風(fēng)險(xiǎn)及案件隱患中小金融機(jī)構(gòu)整體科技人員不足，各類約束制約機(jī)制不到位，在信息安全方面普遍存在操作風(fēng)險(xiǎn)及案件隱患。在銀行只有1名兼職科技人員的情況下，信息科技運(yùn)行中存在單人操作現(xiàn)象；同時(shí)，科技人員權(quán)限過(guò)大，數(shù)據(jù)備份、系統(tǒng)管理、安全管理等職責(zé)集于一身。如漳平民泰村鎮(zhèn)銀行的保衛(wèi)監(jiān)控室與計(jì)算機(jī)房合為一體，這都為操作風(fēng)險(xiǎn)及案件發(fā)生創(chuàng)造了可能性。

（五）信息安全指導(dǎo)和監(jiān)管明顯滯后與中小金融機(jī)構(gòu)信息化高速發(fā)展相比，中小金融機(jī)構(gòu)的信息安全指導(dǎo)和監(jiān)管工作還需要進(jìn)一步加強(qiáng)。首先，人民銀行對(duì)中小金融機(jī)構(gòu)信息安全工作的指導(dǎo)和協(xié)調(diào)職責(zé)，與銀監(jiān)部門監(jiān)督檢查內(nèi)容重疊且標(biāo)準(zhǔn)不一，極易造成多頭管理且口徑要求不統(tǒng)一的問(wèn)題，導(dǎo)致監(jiān)管部門之間分工不明確，在缺乏有效的溝通和協(xié)調(diào)下，易造成中小金融機(jī)構(gòu)間的誤解。其次，中小金融機(jī)構(gòu)與人民銀行之間在信息安全方面缺乏交流機(jī)制，人民銀行對(duì)中小金融機(jī)構(gòu)信息安全措施是否符合規(guī)范缺乏了解，對(duì)中小金融機(jī)構(gòu)信息安全工作缺乏指導(dǎo)，造成人民銀行與中小金融機(jī)構(gòu)在信息安全保障方面安全標(biāo)準(zhǔn)不對(duì)稱的局面。

二、政策建議

中小金融機(jī)構(gòu)的設(shè)立和發(fā)展，是推進(jìn)金融深化改革，完善金融組織體系的必由之路。在此過(guò)程中，能否處理好信息科技與業(yè)務(wù)發(fā)展的關(guān)系至關(guān)重要，對(duì)此我們提出以下建議。

（一）立足長(zhǎng)遠(yuǎn)，以科技驅(qū)動(dòng)業(yè)務(wù)發(fā)展并提升管理水平中小金融機(jī)構(gòu)應(yīng)立足長(zhǎng)遠(yuǎn)，在發(fā)展中樹立科技先行的理念，不僅將信息科技作為支撐，而且把它作為引領(lǐng)業(yè)務(wù)實(shí)現(xiàn)跨越式發(fā)展并最終走向成熟的引擎，切實(shí)以科技驅(qū)動(dòng)業(yè)務(wù)發(fā)展并提升管理水平。一是高管層應(yīng)提高對(duì)信息科技的認(rèn)識(shí)，理順信息科技與業(yè)務(wù)發(fā)展的關(guān)系。二是加大人財(cái)物投人，長(zhǎng)遠(yuǎn)、科學(xué)合理規(guī)劃信息科技發(fā)展。三是在信息科技方面建章立制，加強(qiáng)執(zhí)行力建設(shè)，以規(guī)矩成方圓。

（二）完善中小金融機(jī)構(gòu)信息安全管理機(jī)制中小金融機(jī)構(gòu)應(yīng)建立和完善信息安全管理的組織架構(gòu)，明確部門和崗位職責(zé)，形成分工合理、職責(zé)明確、相互制衡的信息安全組織架構(gòu)；應(yīng)制訂符合總體業(yè)務(wù)發(fā)展的信息安全運(yùn)行規(guī)劃，確保配置足夠的人力、物力、財(cái)力，維持穩(wěn)定、安全的信息安全環(huán)境；應(yīng)制訂全面的信息安全管理策略，包括信息分級(jí)與保護(hù)、運(yùn)行和維護(hù)、訪問(wèn)控制、物理安全、人員安全以及外包管理機(jī)制等；應(yīng)強(qiáng)化運(yùn)維體系建設(shè)，完善運(yùn)維管理流程，明確運(yùn)維管理標(biāo)準(zhǔn)，并且針對(duì)目前中小金融機(jī)構(gòu)信息系統(tǒng)的開發(fā)、建設(shè)和運(yùn)維依靠外包服務(wù)的趨勢(shì)，應(yīng)建立健全科技外包管理制度，積極防范外包服務(wù)風(fēng)險(xiǎn)，規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程；應(yīng)建立持證上崗制度，加強(qiáng)中小金融機(jī)構(gòu)信息安全工作人員培訓(xùn)，在信息安全崗位設(shè)置上要滿足信息安全工作的需要，信息安全工作人員應(yīng)考取相關(guān)上崗資格證后方能上崗；應(yīng)建立信息安全考核評(píng)價(jià)機(jī)制和獎(jiǎng)懲制度，出臺(tái)考核辦法，并對(duì)信息安全工作進(jìn)行評(píng)價(jià)，有效落實(shí)信息安全責(zé)任制和問(wèn)責(zé)制。

（三）引導(dǎo)中小金融機(jī)構(gòu)加強(qiáng)等級(jí)保護(hù)工作金融信息安全體系的構(gòu)建必須建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。信息安全等級(jí)保護(hù)能夠有效提高信息以及金融信息安全體系建設(shè)的整體水平，為金融信息安全體系的構(gòu)建提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源的配置。一是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》，加大中小金融機(jī)構(gòu)等級(jí)保護(hù)工作的開展力度，做好等級(jí)保護(hù)評(píng)估工作。二是當(dāng)?shù)厝嗣胥y行應(yīng)根據(jù)中小金融機(jī)構(gòu)的特點(diǎn)，建立切實(shí)可行的中小金融機(jī)構(gòu)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)和監(jiān)管措施，對(duì)中小金融機(jī)構(gòu)的系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)進(jìn)行分類，對(duì)其信息系統(tǒng)安全定級(jí)過(guò)程與結(jié)果進(jìn)行審核監(jiān)督。三是人民銀行應(yīng)與公安部門、金融監(jiān)管部門建立協(xié)調(diào)檢查機(jī)制，適時(shí)組織對(duì)中小金融機(jī)構(gòu)等級(jí)保護(hù)工作開展情況進(jìn)行檢查，加強(qiáng)信息安全等級(jí)保護(hù)制度在中小金融機(jī)構(gòu)中的有效落實(shí)。

第8篇：安全等級(jí)保護(hù)管理辦法范文

關(guān)鍵詞：證券行業(yè)信息安全網(wǎng)絡(luò)安全體系

近年來(lái)，我國(guó)資本市場(chǎng)發(fā)展迅速，市場(chǎng)規(guī)模不斷擴(kuò)大，社會(huì)影響力不斷增強(qiáng)．成為國(guó)民經(jīng)濟(jì)巾的重要組成部分，也成為老百姓重要的投資理財(cái)渠道。資本市場(chǎng)的穩(wěn)定健康發(fā)展，關(guān)系著億萬(wàn)投資者的切身利益，關(guān)系著社會(huì)穩(wěn)定和國(guó)家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè)，高度依賴信息技術(shù)，而信息安全是維護(hù)資本市場(chǎng)穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場(chǎng)的穩(wěn)定。

目前．國(guó)內(nèi)外網(wǎng)絡(luò)信息安全問(wèn)題日益突出。從資本市場(chǎng)看，近年來(lái)，隨著市場(chǎng)快速發(fā)展，改革創(chuàng)新深入推進(jìn)，市場(chǎng)交易模式日趨集巾化，業(yè)務(wù)處理邏輯日益復(fù)雜化，網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對(duì)行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行帶來(lái)新的挑戰(zhàn)。資本市場(chǎng)交易實(shí)時(shí)性和整體性強(qiáng)，交易時(shí)問(wèn)內(nèi)一刻也不能中斷。加強(qiáng)信息安全應(yīng)急丁作，積極采取預(yù)防、預(yù)警措施，快速、穩(wěn)妥地處置信息安全事件，盡力減少事故損失，全力維護(hù)交易正常，對(duì)于資本市場(chǎng)來(lái)說(shuō)至關(guān)重要。

1證券行業(yè)倍息安全現(xiàn)狀和存在的問(wèn)題

1．1行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系方面

健全的信息安全法律法規(guī)和標(biāo)準(zhǔn)體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進(jìn)證券市場(chǎng)的平穩(wěn)運(yùn)行，中國(guó)證監(jiān)會(huì)自1998年先后了一系列信息安全法規(guī)和技術(shù)標(biāo)準(zhǔn)。其中包括2個(gè)信息技術(shù)管理規(guī)范、2個(gè)信息安全等級(jí)保護(hù)通知、1個(gè)信息安全保障辦法、1個(gè)信息通報(bào)方法和10個(gè)行業(yè)技術(shù)標(biāo)準(zhǔn)。行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系的初步形成，推動(dòng)了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標(biāo)準(zhǔn)化邁進(jìn)。

雖然我國(guó)涉及信息安全的規(guī)范性文件眾多，但在現(xiàn)行的法律法規(guī)中。立法主體較多，法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對(duì)新形勢(shì)下信息安全保障工作的發(fā)展需要，行業(yè)信息安全工作在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問(wèn)題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)滯后，缺乏總體規(guī)劃；二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強(qiáng)，部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性差；三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)，無(wú)法應(yīng)對(duì)某些新型信息安全的威脅；四是部分信息安全規(guī)范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到落實(shí)。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術(shù)手段都離不開人員的組織和實(shí)施，組織體系是信息安全保障工作的核心。目前，證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執(zhí)行層。

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立健全信息安全管理制度和運(yùn)行機(jī)制，切實(shí)提高行業(yè)信息安全保障工作水平，根據(jù)證監(jiān)會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu)．頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性)，正面是行業(yè)組織結(jié)構(gòu)．側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式。

1．3IT治理方面

整個(gè)證券業(yè)處于高度信息化的背景下，IT治理已直接影響到行業(yè)各公司實(shí)現(xiàn)戰(zhàn)略目標(biāo)的可能性，良好的IT治理有助于增強(qiáng)公司靈活性和創(chuàng)新能力，規(guī)避IT風(fēng)險(xiǎn)。通過(guò)建立IT治理機(jī)制，可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問(wèn)題。幫助管理者處理IT問(wèn)題，自我評(píng)估IT管理效果．可以加強(qiáng)對(duì)信息化項(xiàng)目的有效管理，保證信息化項(xiàng)目建設(shè)的質(zhì)量和應(yīng)用效果，使有限的投入取得更大的績(jī)效。

2003年lT治理理念引入到我國(guó)證券行業(yè)，當(dāng)前我國(guó)證券業(yè)企業(yè)的IT治理存在的問(wèn)題：一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數(shù)指標(biāo)；是lT治理的責(zé)任與職能不清晰。

1．4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計(jì)，2008年我同證券網(wǎng)上交易量比重已超過(guò)總交易量的80％。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接，方便了投資者。但由于互聯(lián)網(wǎng)的開放性，來(lái)自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計(jì)算機(jī)威脅事件，都時(shí)刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此，維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來(lái)，證券行業(yè)各機(jī)構(gòu)采取了一系列措施，建立了相對(duì)安全的網(wǎng)絡(luò)安全防護(hù)體系和災(zāi)舴備份系統(tǒng)，基木保障了信息系統(tǒng)的安全運(yùn)行。但細(xì)追究起來(lái)，我國(guó)證券行業(yè)的網(wǎng)絡(luò)安全防護(hù)體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善，還存存以下幾方面的問(wèn)題：一是網(wǎng)絡(luò)安全防護(hù)體系缺乏統(tǒng)一的規(guī)劃；二是網(wǎng)絡(luò)訪問(wèn)控制措施有待完善；三是網(wǎng)上交易防護(hù)能力有待加強(qiáng)；四是對(duì)數(shù)據(jù)安全重視不夠，數(shù)據(jù)備份措施有待改進(jìn)；五是技術(shù)人員的專業(yè)能力和信息安全意識(shí)有待提高。

1．5IT人才資源建設(shè)方面

近20年的發(fā)展歷程巾，證券行業(yè)對(duì)信息系統(tǒng)日益依賴，行業(yè)IT隊(duì)伍此不斷發(fā)展壯大。據(jù)統(tǒng)計(jì)，2008年初，在整個(gè)證券行業(yè)中，103家證券公司共有IT人員7325人，占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9．90％，總體上達(dá)到了行業(yè)協(xié)會(huì)的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6％”的最低要求。目前，證券行業(yè)的IT隊(duì)伍肩負(fù)著信息系統(tǒng)安全、平穩(wěn)、高效運(yùn)行的重任，IT隊(duì)伍建設(shè)是行業(yè)信息安全I(xiàn)T作的根本保障。但是，IT人才隊(duì)伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問(wèn)題，此行業(yè)的人才培養(yǎng)有待加強(qiáng)。

2采取的對(duì)策和措施

2．1進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系

首先，在法規(guī)規(guī)劃上，要統(tǒng)籌兼顧，制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。一是全面做好立法規(guī)劃；二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層：第一層是管理辦法等巾同證監(jiān)會(huì)部門規(guī)章；第二層是證監(jiān)會(huì)相關(guān)部門制定的管理規(guī)范等規(guī)范性文件；第三層是技術(shù)指引等自律規(guī)則，一般由交易所、行業(yè)協(xié)會(huì)在證監(jiān)會(huì)總體協(xié)調(diào)下組織制定。其次，在法規(guī)制定上．要兼顧規(guī)范和發(fā)展，重視法規(guī)的可行性。最后，在法規(guī)實(shí)施上．要堅(jiān)持規(guī)范和指引相結(jié)合，重視監(jiān)督檢查和責(zé)任落實(shí)。

2．2深入開展證券行業(yè)IT治理工作

2．2．1提高IT治理意識(shí)

中國(guó)證券業(yè)協(xié)會(huì)要進(jìn)一步加強(qiáng)IT治理理念的教育宣傳工作，特別是對(duì)會(huì)員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn)，將IT治理的定義、工具、模型等理論知識(shí)納入到高管任職資格考試的內(nèi)容之中。通過(guò)舉辦論壇、交流會(huì)等形式強(qiáng)化證券經(jīng)營(yíng)機(jī)構(gòu)的IT治理意識(shí)，提高他們IT治理的積極性。

2．2．2通過(guò)設(shè)立IT治理試點(diǎn)形成以點(diǎn)帶面的示范效應(yīng)

根據(jù)IT治理模型的不同特點(diǎn)，建議證券公司在決策層使用CISR模型，通過(guò)成立lT治理委員會(huì)，建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系；在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補(bǔ)充，規(guī)范信息技術(shù)部門的各項(xiàng)控制和管理流程。同時(shí)，證監(jiān)會(huì)指定一批證券公司和基金公司作為lT試點(diǎn)單位，進(jìn)行IT治理模型選擇、剪裁以及組合的實(shí)踐探索，形成一批成功實(shí)施IT治理的優(yōu)秀范例，以點(diǎn)帶面地提升全行業(yè)的治理水平。

2．3通過(guò)制定行業(yè)標(biāo)準(zhǔn)積極落實(shí)信息安全等級(jí)保護(hù)

行業(yè)監(jiān)管部門在推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作中的作用非常關(guān)鍵．應(yīng)進(jìn)一步明確監(jiān)管部門推動(dòng)行業(yè)信息安全等級(jí)保護(hù)工作的任務(wù)和工作機(jī)制，統(tǒng)一部署、組織行業(yè)的等級(jí)保護(hù)丁作，為該項(xiàng)丁作的順利開展提供組織保證。行業(yè)各機(jī)構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級(jí)保護(hù)的行業(yè)要求，對(duì)照標(biāo)準(zhǔn)逐條落實(shí)。同時(shí)，應(yīng)對(duì)各單位實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)情況進(jìn)行測(cè)評(píng)，在測(cè)評(píng)環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足，被測(cè)評(píng)單位應(yīng)立即制定相應(yīng)的整改方案并實(shí)施．且南相芙的監(jiān)督機(jī)構(gòu)進(jìn)行督促。

2．4加強(qiáng)網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護(hù)水平

2．4．1以等級(jí)保護(hù)為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃

等級(jí)保護(hù)是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性的管理制度，通過(guò)將等級(jí)化的方法和安全體系規(guī)劃有效結(jié)合，統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè)，建立一套信息安全保障體系，將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問(wèn)題的一個(gè)非常有效的方法。

2．4．2通過(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制提高網(wǎng)絡(luò)防護(hù)能力

對(duì)向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠(chéng)信加強(qiáng)管理，確保其符合國(guó)家、行業(yè)技術(shù)標(biāo)準(zhǔn)。根據(jù)網(wǎng)絡(luò)隔離要求，要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對(duì)不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離；對(duì)主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測(cè)試，進(jìn)行系統(tǒng)和設(shè)備的安全加固．降低系統(tǒng)漏洞帶來(lái)的安全風(fēng)險(xiǎn)；在網(wǎng)上交易方面，采取電子簽名或數(shù)字認(rèn)證等高強(qiáng)度認(rèn)證方式，加強(qiáng)訪問(wèn)控制；針對(duì)現(xiàn)存惡意攻擊網(wǎng)站的事件越來(lái)越多的情況，要采取措施加強(qiáng)網(wǎng)站保護(hù)，提高對(duì)惡意代碼的防護(hù)能力，同時(shí)采用技術(shù)手段，提高網(wǎng)上交易客戶端軟件使朋的安全性。

2．4．3提高從業(yè)人員安全意識(shí)和專業(yè)水平

目前在證券行業(yè)內(nèi)，從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)比較薄弱．必要時(shí)可定期對(duì)從業(yè)人員進(jìn)行安全意識(shí)考核，從行業(yè)內(nèi)部強(qiáng)化網(wǎng)絡(luò)安全工作。要加強(qiáng)網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)，提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。

2．5扎實(shí)推進(jìn)行業(yè)災(zāi)難備份建設(shè)

數(shù)據(jù)的安全對(duì)證券行業(yè)是至關(guān)重要的，數(shù)據(jù)一旦丟失對(duì)市場(chǎng)各方的損失是難以估量的。無(wú)論是美國(guó)的“9·11”事件，還是我國(guó)2008年南方冰雪災(zāi)害和四川汶川大地震，都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上，針對(duì)自身需要，對(duì)重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進(jìn)證券、基金公司同城災(zāi)難備份建設(shè)，以及證券交易所、結(jié)算公司等市場(chǎng)核心機(jī)構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案，并加強(qiáng)應(yīng)急預(yù)案的演練，確保災(zāi)難備份系統(tǒng)應(yīng)急有效．使應(yīng)急工作與日常工作有機(jī)結(jié)合。

2．6抓好人才隊(duì)伍建設(shè)

證券行業(yè)要采取切實(shí)可行的措施，建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機(jī)制。積極吸引有技術(shù)專長(zhǎng)的人才到行業(yè)巾來(lái)，加強(qiáng)lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn)，注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進(jìn)從業(yè)人員提高水平、轉(zhuǎn)變觀念，行業(yè)各機(jī)構(gòu)應(yīng)采取采取請(qǐng)進(jìn)來(lái)、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過(guò)建立規(guī)范有效的人才評(píng)價(jià)體系，對(duì)信息技術(shù)人員進(jìn)行科學(xué)有效的考評(píng)，提升行業(yè)人才資源的優(yōu)化配置和使用效率，促進(jìn)技術(shù)人才結(jié)構(gòu)的涮整和完善。

第9篇：安全等級(jí)保護(hù)管理辦法范文

在國(guó)際信息安全環(huán)境日趨惡劣，國(guó)家全面倡導(dǎo)信息安全的大環(huán)境下，為了確保信息安全工作的可持續(xù)性開展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行，依據(jù)集團(tuán)總部《關(guān)于建立集團(tuán)公司網(wǎng)絡(luò)與信息安全組織保障體系的通知》、鄂通信局發(fā)[2013]127號(hào)《關(guān)于進(jìn)一步落實(shí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核及有關(guān)工作的意見》等相關(guān)文件精神，同時(shí)參考《GA/T708-2007信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)體系框架》、《GB/T22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《GB/T20269-2006信息安全技術(shù)-信息系統(tǒng)安全管理要求》、《GB/T0984-2007信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等國(guó)家標(biāo)準(zhǔn)，制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規(guī)范》規(guī)范等，率先在企業(yè)內(nèi)建立并實(shí)施該體系，全面倡導(dǎo)企業(yè)向信息安全生產(chǎn)經(jīng)營(yíng)轉(zhuǎn)型，同時(shí)積極引導(dǎo)合作伙伴樹立信息安全意識(shí)，規(guī)范自身的生產(chǎn)及合作行為，明確安全風(fēng)險(xiǎn)責(zé)任、細(xì)化管理要求，立足自身，兼顧第三方，共同打造信息安全的綠色長(zhǎng)城，確保企業(yè)長(zhǎng)足健康發(fā)展。通過(guò)該安全管理體系的實(shí)施，從中全面深入地挖掘現(xiàn)有安全體系的不足之處，并針對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)中的各類安全隱患制定了有效的整改方案并予以實(shí)施、預(yù)警，確保了移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的可持續(xù)性發(fā)展及業(yè)務(wù)信息系統(tǒng)的穩(wěn)定運(yùn)行。首先，組織完成企業(yè)的自有業(yè)務(wù)信息系統(tǒng)和合作業(yè)務(wù)信息系統(tǒng)的安全等級(jí)劃分工作，將平臺(tái)安全管理工作落實(shí)到具體的責(zé)任人，并簽署責(zé)任狀，從而樹立全員安全責(zé)任意識(shí)，實(shí)現(xiàn)人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術(shù)對(duì)業(yè)務(wù)信息系統(tǒng)進(jìn)行安全掃描、安全審計(jì)，并應(yīng)用HIVE、Waka、PIG、Mahout等工具對(duì)海量日志、數(shù)據(jù)進(jìn)行分析和審核，發(fā)現(xiàn)相關(guān)漏洞與脆弱點(diǎn)，并針對(duì)自有及合作業(yè)務(wù)信息系統(tǒng)編寫了整改建議和系統(tǒng)層面的加固方案。通過(guò)持續(xù)對(duì)自有及合作信息系統(tǒng)的檢查，共發(fā)現(xiàn)自有業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞攻擊39處，合作業(yè)務(wù)信息系統(tǒng)存在各類安全漏洞14處，目前這些漏洞已經(jīng)全部整改與加固完畢，消除了安全隱患。其次，以信息安全管理為導(dǎo)向，組建了由電信營(yíng)運(yùn)商、合作伙伴、專業(yè)公司三方共同構(gòu)成的一支業(yè)務(wù)信息系統(tǒng)安全管理團(tuán)隊(duì)，通過(guò)從合作業(yè)務(wù)管理規(guī)范的建立到合作伙伴安全技能培訓(xùn)，從信息安全制度宣貫到系統(tǒng)安全處罰辦法的落實(shí)執(zhí)行，從系統(tǒng)安全的定期評(píng)估到系統(tǒng)漏洞的及時(shí)加固等一系列舉措，最終創(chuàng)建一套業(yè)務(wù)信息系統(tǒng)全新的安全管理模型，提高業(yè)務(wù)信息系統(tǒng)運(yùn)行質(zhì)量和服務(wù)能力，提升創(chuàng)新業(yè)務(wù)品牌形象。從安全管理模型啟用至今，未發(fā)生一起信息安全事故，這樣強(qiáng)化了合作伙伴的信息安全概念，督促合作伙伴在發(fā)展業(yè)務(wù)的同時(shí)也重點(diǎn)關(guān)注信息安全問(wèn)題，極大地降低了由于合作系統(tǒng)的信息安全漏洞導(dǎo)致的中病毒或木馬、假冒網(wǎng)站、賬號(hào)或密碼被盜、個(gè)人信息泄露等客戶信息安全事件的發(fā)生概率，此類原因造成創(chuàng)新業(yè)務(wù)投訴比率和往年相比降低了15%，改變了用戶對(duì)創(chuàng)新業(yè)務(wù)的固有印象，建立了良好的創(chuàng)新業(yè)務(wù)服務(wù)品牌形象。此模型具備良好的可復(fù)制性，可指導(dǎo)通信領(lǐng)域運(yùn)營(yíng)企業(yè)開展信息安全工作。在全國(guó)率先打造這套移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全管理體系，包含一系列業(yè)務(wù)系統(tǒng)信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規(guī)范等相關(guān)業(yè)務(wù)系統(tǒng)管理制度及規(guī)范，業(yè)務(wù)系統(tǒng)安全管理體系的先進(jìn)性和時(shí)效性在通信行業(yè)內(nèi)名列前茅，同時(shí)通過(guò)近兩年的安全理論研究和安全評(píng)估加固實(shí)踐，針對(duì)當(dāng)前企業(yè)業(yè)務(wù)平臺(tái)系統(tǒng)在信息安全監(jiān)管中面臨的一些問(wèn)題，對(duì)當(dāng)前主流關(guān)聯(lián)分析技術(shù)進(jìn)行研究的基礎(chǔ)上，提出了一種新的安全事件關(guān)聯(lián)分析技術(shù)。該技術(shù)涉及到多源數(shù)據(jù)預(yù)處理、報(bào)警聚合、關(guān)聯(lián)分析、大數(shù)據(jù)分析和安全狀況態(tài)勢(shì)評(píng)估等相關(guān)技術(shù)。此技術(shù)運(yùn)用到電信行業(yè)的信息安全監(jiān)管上，就能夠?qū)ΡO(jiān)控設(shè)備收集的日志及安全設(shè)備產(chǎn)生的告警進(jìn)行關(guān)聯(lián)分析和挖掘，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，通過(guò)對(duì)此類信息的統(tǒng)計(jì)、濃縮、總結(jié)、關(guān)聯(lián)和分類，抽象出利于進(jìn)行判斷和比較的特征庫(kù)，并智能地學(xué)習(xí)和維護(hù)其特征庫(kù)，從而在提高安全事件報(bào)警準(zhǔn)確率的情況下保證極高的識(shí)別效率。同時(shí)該安全管理體系成功應(yīng)用到與百度公司合作開發(fā)的愛奇藝視頻業(yè)務(wù)系統(tǒng)、與騰訊科技公司聯(lián)合開發(fā)的微信平臺(tái)、與奇虎科技公司共同開發(fā)的安全衛(wèi)士手機(jī)應(yīng)用系統(tǒng)，得到部分在美國(guó)納斯達(dá)克上市的中國(guó)互聯(lián)網(wǎng)精英公司的高度認(rèn)可和贊許，并表示今后與電信運(yùn)營(yíng)商共同開發(fā)產(chǎn)品都依照此安全管理規(guī)范和體系，確保產(chǎn)品的各項(xiàng)安全性能指標(biāo)。

2創(chuàng)新點(diǎn)

為順應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代，運(yùn)營(yíng)商從基礎(chǔ)通信運(yùn)營(yíng)向流量運(yùn)營(yíng)轉(zhuǎn)型的新趨勢(shì)，湖北移動(dòng)確定了“業(yè)務(wù)轉(zhuǎn)型，安全先行”的發(fā)展思路，堅(jiān)持“以安全保發(fā)展、以發(fā)展促安全”。在已有的網(wǎng)絡(luò)與信息安全管理辦法的基礎(chǔ)上，積極開展適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代安全管理體系建設(shè)，不斷推進(jìn)科學(xué)的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規(guī)劃，突出體系建設(shè)，促進(jìn)職責(zé)高效履行。制定下發(fā)安全標(biāo)準(zhǔn)化管理與評(píng)價(jià)體系建設(shè)計(jì)劃，內(nèi)容涵蓋安全工作方針目標(biāo)、安全目標(biāo)、各方職責(zé)、安全管理體系和模式、安全設(shè)施和機(jī)房環(huán)境保護(hù)設(shè)施標(biāo)準(zhǔn)、安全文明操作保證金、安全考核與獎(jiǎng)懲、過(guò)程的主要控制措施、應(yīng)急準(zhǔn)備和響應(yīng)等方面。嚴(yán)格按計(jì)劃有序開展體系建設(shè)工作；嚴(yán)格按體系文件要求開展業(yè)務(wù)或系統(tǒng)試運(yùn)行工作；加強(qiáng)保證與監(jiān)督體系的建設(shè)。（2）注重文化建設(shè)，突出信息安全特色，促進(jìn)習(xí)慣養(yǎng)成。以人為本，加強(qiáng)企業(yè)安全文化建設(shè)，促使安全文化落地，提高員工安全與風(fēng)險(xiǎn)防范意識(shí)。（3）注重教育培訓(xùn)，突出行業(yè)特色，達(dá)到安全管理效果。通過(guò)多種渠道、形式多樣的安全教育和培訓(xùn)方式，組織各單位安全管理人員開展安全教育和培訓(xùn)工作：一是安排專家和行業(yè)資深人士進(jìn)行專題講座；二是在專題培訓(xùn)的基礎(chǔ)上，做好網(wǎng)絡(luò)與信息安全專項(xiàng)工作如何開展的培訓(xùn)。（4）注重設(shè)備管理，突出針對(duì)特色，實(shí)現(xiàn)安全管理精細(xì)化。首先，網(wǎng)絡(luò)設(shè)備較多，加強(qiáng)網(wǎng)絡(luò)安全管理提高設(shè)備安全可靠性是首要任務(wù)，為此各維護(hù)單位對(duì)每臺(tái)設(shè)備均建立了安全技術(shù)臺(tái)帳，臺(tái)帳包括運(yùn)行記錄、檢查保養(yǎng)記錄和定期檢驗(yàn)記錄。其次，組織精干力量先后兩次對(duì)所有設(shè)備、流程、機(jī)房進(jìn)行全面的安全評(píng)估工作。第三，使隱患排查整改形成機(jī)制。（5）注重安全投入，突出專用特色，合理使用安全生產(chǎn)費(fèi)用。認(rèn)真落實(shí)安全管理費(fèi)用投入長(zhǎng)效機(jī)制，加大安全費(fèi)用的管理，做到?？顚Ｓ?，確保安全生產(chǎn)費(fèi)用規(guī)范化、合理化和足額投入。并加強(qiáng)安全生產(chǎn)保證金的管理，建立安全生產(chǎn)保證金并實(shí)行年底考核的機(jī)制，有效促進(jìn)了安全管理工作。（6）注重應(yīng)急預(yù)案，突出超前特色，安全管理贏在主動(dòng)。在安全管理中，把預(yù)防工作落到實(shí)處，建立健全了應(yīng)急處置機(jī)構(gòu)，將應(yīng)急處置工作進(jìn)一步制度化，規(guī)范化，形成了完整的安全事故預(yù)防體系。同時(shí)，開展形式多樣、符合實(shí)際的應(yīng)急演練。

3結(jié)語(yǔ)