信息安全等级保护工作实施经验介绍

信息安全等级保护工作

实施经验介绍信息安全等级保护工作实施经验介绍第1页主要内容一、中金所等保工作情况介绍二、等保工作标准和思绪三、等保测评经验分享四、测评关键点注意信息安全等级保护工作实施经验介绍第2页中金所等保工作情况介绍

基本情况

中金所当前申报信息安全等级保护定级立案系统有三个，其中两个三级系统，一个二级系统。1、交易系统（三级）；2、业务系统（三级）；3、互联网网站系统（二级）。

信息安全等级保护工作实施经验介绍第3页中金所等保工作情况介绍

测评情况

年申报定级并正式立案。年起，三个系统均每年测评一次。

年测评情况，两个三级系统测评项符合率均超出88%；一个二级系统测评项符合率超出96%。

年测评情况，两个三级系统测评项符合率均超出90%，高于上一年度；一个二级系统测评项符合率超出96%，与上年度基本持平。

信息安全等级保护工作实施经验介绍第4页中金所等保工作情况介绍

系统建设

中金所于年开始筹备，并于当年开始信息系统建设工作。

在系统设计上，遵照国内外通行信息安全基本标准，严格恪守国家相关法律法规、上级单位相关要求，吸收借鉴行业内先进经验。

信息安全等级保护工作实施经验介绍第5页中金所等保工作情况介绍

自查与测评

年，中金所信息系统建设已经初步完善。

在国家正式公布《信息安全等级保护管理方法》之后。我所依据信息安全等级保护已公布相关标准文件进行了深入自查，并邀请相关单位对我所系统进行了测评，测评结果良好，但也发觉了一些需要整改与完善问题。信息安全等级保护工作实施经验介绍第6页中金所等保工作情况介绍

整改与提升-年，我所对测评中发觉问题进行认真分析与讨论，在所领导统一布署下，分阶段完成了问题整改与系统完善工作；

年，信息系统正式申报定级立案。信息安全等级保护工作实施经验介绍第7页中金所等保工作情况介绍

定时测评完善

年起，邀请国家指定测评机构进行测评；

对测评中发觉问题，能马上整改则进行整改；暂不能整改，专员进行统计，督促相关岗位择机整改。

所领导尤其要求总结问题原因，寻根究底，举一反三，确保已发生问题未来不再重现。信息安全等级保护工作实施经验介绍第8页主要内容一、中金所等保工作情况介绍二、等保工作开展标准和思绪三、等保测评经验分享四、测评关键点注意信息安全等级保护工作实施经验介绍第9页等保工作开展标准和思绪领导重视是关键全员意识是关键扎实工作是确保基本标准：信息安全等级保护工作实施经验介绍第10页等保工作开展标准和思绪

领导重视是关键

我所领导一直重视信息安全工作，将严格恪守国家相关法律法规及上级单位要求，作为不可逾越红线来抓。信息系统建立早期，就建立起分工明确、协作高效信息安全组织架构。信息安全等级保护工作实施经验介绍第11页等保工作开展标准和思绪

领导重视是关键

信息安全组织架构建立本身就是《信息系统安全等级保护基本要求》中一项主要要求。众多事实和经验证实，领导重视是确保信息系统安全关键要素之一，也是推进信息系统安全等级保护工作必备要素。

能够想象，领导都不重视工作，其执行力会是怎样？信息安全等级保护工作实施经验介绍第12页等保工作开展标准和思绪

全员意识是关键

信息安全工作不是领导和部分人员工作，需要全员参加、统筹调度，只有全员意识到位，才能把工作做好。我所每年安排屡次全员信息安全意识培训，各部门领导、员工对信息安全等级保护工作主要性都有清楚认识。

重复培训、宣传是必不可少！信息安全等级保护工作实施经验介绍第13页等保工作开展标准和思绪

扎实工作是确保

信息系统安全等级保护工作不是靠口头说教、制订好制度就能做好，扎扎实实地将标准要求内容落实、把各项制度落到实处是做好等保工作确保。技术部门是信息安全等级保护工作重点部门之一，在信息系统建设、完善中重视每一处细节，才能将等保技术要求落实好。信息安全等级保护工作实施经验介绍第14页等保工作开展标准和思绪

扎实工作是确保

安全管理不是空泛口号，要把安全管理制度内容融入到日常工作中。

发觉与实际工作不匹配、内容不完善制度要伴随实践深入不停修订完善。实际去做了，才能发觉问题、处理问题！信息安全等级保护工作实施经验介绍第15页等保工作开展标准和思绪新建系统，严格要求，一步到位改建系统，统筹规划，适时完善安全工作融入日常管理关键要求必须符合循序渐进逐步提升主要思绪：信息安全等级保护工作实施经验介绍第16页等保工作开展标准和思绪新建系统，严格要求，一步到位

新建系统设计上应该严格要求，采取标准尽可能靠高不靠低；一次设计、实施后即符合等保要求。

我所在新一代系统设计中，总结以往建设经验，采取更严格设计，力争不走弯路。设计之初存在问题，依靠未来完善将困难重重！信息安全等级保护工作实施经验介绍第17页等保工作开展标准和思绪改建系统，统筹规划，适时完善

改建系统部分无法完全符合等级保护测评要求问题，要及早统筹规划，选择适当时机进行完善。

系统改建将可能影响业务运行，所以不能盲目地变更修改，需要在整体上统筹规划，制订整改时间表，选择适当时机进行完善。没有统筹规划变更可能带来更大安全隐患！信息安全等级保护工作实施经验介绍第18页等保工作开展标准和思绪安全工作融入日常管理

把安全工作融入到日常管理中，久而久之，形成习惯，难做事情就会变得轻易做。

我所安全制度、操作规范都含有很强操作性，制度是靠各岗位共同分析讨论制订且不停完善。日常工作符合安全规范，就不会以为安全工作难做！信息安全等级保护工作实施经验介绍第19页等保工作开展标准和思绪关键要求必须符合

信息系统安全等级保护工作即使没有尤其说明哪些要求是必须符合，不过一些属于信息安全基本标准性要求是必须符合。

比如：可用性要求很高环境下单点故障、弱访问控制、设备或系统弱口令、密码明文保留等相关要求，都是严格符合要求。关键标准与要求不能违反！信息安全等级保护工作实施经验介绍第20页等保工作开展标准和思绪循序渐进逐步提升

想要百分之百完全符合信息系统安全等级保护全部要求可能存在困难，而且即使是暂时符合了，伴随系统运行，系统可能遭受风险并不可能消失，所以必须不停完善与提升，这是一个循序渐进过程。

测评经过不是高枕无忧！信息安全等级保护工作实施经验介绍第21页主要内容一、中金所等保工作情况介绍二、等保工作开展标准和思绪三、等保等保经验分享四、测评关键点注意信息安全等级保护工作实施经验介绍第22页等保测评经验分享支持：取得领导支持意识：不把等保测评当负担自查：测评前要认真自查沟通：与测评机构保持良好沟通测评：实事求是，目标就是要发觉问题整改：问题要扎扎实实整改提升：靠日常管理，不靠年年“搞运动”主要经验：信息安全等级保护工作实施经验介绍第23页等保测评经验分享支持：取得领导支持

假如本单位领导都对信息系统安全等级保护工作不重视，那么等保测评工作基本上就可能成为应付差事表面文章。

所以测评前一定要取得单位最高领导、分管领导、部门领导大力支持。

我所领导重复强调等保工作主要性，对发觉问题都要求反思、整改、汇报结果。信息安全等级保护工作实施经验介绍第24页等保测评经验分享支持：取得领导支持

各部门、员工能切实感到领导重视及压力，才能顺利开展协调组织工作。

领导支持与重视在等保标准中有明确要求。

《信息系统安全等级保护基本要求》7.2.2.1（c）：应成立指导和管理信息安全工作委员会或领导小组，其最高领导由单位主管领导委任或授权。当压力转化为动力，工作开展就轻易了！

信息安全等级保护工作实施经验介绍第25页等保测评经验分享意识：不把等保测评当负担

要树立等保测评是好事，不是负担意识。外部测评机构均含有丰富经验，请他们来帮自己找问题是一个难得机会。是一个很好学习、交流、提升机会。我所从来抱着欢迎测评态度开展工作。不一样人从不一样角度来检验可能会发觉我们忽略了问题。信息安全等级保护工作实施经验介绍第26页等保测评经验分享意识：不把等保测评当负担

在测评前，难免会有部分员工对测评工作不了解，以为测评就是来“挑毛病”思想。

应该经过重复宣传使全部员工对测评有一个清醒认识——及早发觉问题给予整改，比这些“毛病”在未来酿成大祸好。换个角度去对待测评工作，可能就不再以为“头疼”了！信息安全等级保护工作实施经验介绍第27页等保测评经验分享自查：测评前要认真自查

在测评前，要对信息系统进行自查。一些显而易见问题要及时整改。违反关键标准问题假如不整改，系统不可能经过测评。能够对照《证券期货业信息系统安全等级保护三级系统测评（自查）表》《证券期货业信息系统安全等级保护二级系统测评（自查）表》逐条检验。

提议把每条内容统计在案，是否符合一目了然。信息安全等级保护工作实施经验介绍第28页等保测评经验分享自查：测评前要认真自查

自查绝对不能停留在表面，要对实际情况做梳理和检验，就能够对本系统符合情况有一个清醒认识。

将查找到问题汇总、分析、讨论后进行整改。

我所自查普通是每季度执行一次。自己都不清楚本单位信息系统中问题，那一定是问题重重！信息安全等级保护工作实施经验介绍第29页等保测评经验分享沟通：与测评机构保持良好沟通要和当地测评机构保持良好沟通与协调。很好方法是在测评前即与确定测评机构建立沟通机制，对于测评要求中不能把握测评项，能够向测评机构资深人员进行咨询。

选择在本行业内做过屡次测评机构可能更有利于测评工作开展。良好沟通是测评工作顺利开展前提条件之一！信息安全等级保护工作实施经验介绍第30页等保测评经验分享测评：实事求是，目标就是要发觉问题测评工作中，实事求是，保持开放态度，不回避问题，测评机构提出检验点全力配合。

“一句谎话要用十句谎话去圆”，抱着与测评机构相同目标才能真正找到问题，愈加有利于整改。一次查到问题要比下一次继续掩盖好得多。对测评机构不怀有抵触情绪，配合检验才能发觉潜在问题！信息安全等级保护工作实施经验介绍第31页等保测评经验分享整改：问题要扎扎实实整改测评中发觉问题，要扎扎实实地整改，确保下次不再发生。

部分测评项几乎极难满足，能够和测评机构进行沟通、解释、说明，最终是否定可取决于测评机构。

除关键问题外，有些问题即使存在，但假如有合理赔偿控制办法，在整体评定中会被视为符合。及早将问题整改能大大降低信息系统风险！信息安全等级保护工作实施经验介绍第32页等保测评经验分享提升：靠日常管理，不靠年年“搞运动”信息系统安全提升主要应该依靠日常管理和控制，不能靠年年“搞运动”。风险是伴随系统运行不停累加，仅仅依靠测评来降低系统风险不切实际。日常信息安全管理才是最主要。

测评是检验伎俩，不是检验目标。日常工作中加强信息安全管理，测评就变得简单！信息安全等级保护工作实施经验介绍第33页主要内容一、中金所等保工作情况介绍二、等保工作开展标准和思绪四、测评关键点注意三、等保测评经验分享信息安全等级保护工作实施经验介绍第34页测评关键点注意测评经过基本标准标准上测评全部项中，符合率大于60%，不符合率小于15%，且不存在高风险安全问题即可经过。但因为各单位系统规模、主要程度以及对保密性、