信息安全等级保护体系设计5篇

信息安全等级保护体系设计5篇第一篇：信息安全等级保护体系设计信息安全等级保护体系设计《关于加强信息安全保障工作的意见》指出，实行等级保护是信息安全保障的基本政策，各部门、各单位都要根据等级保护制度的要求，结合各自的特点，建立相应的安全保护策略、计划和措施。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。设计思路与原则信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则：清晰定义安全模型；合理划分安全等级；科学设计防护深度；确保可实施易评估。具体来说：1.清晰定义安全模型面对的难题：政府或大型企业组织的信息系统结构复杂，难以描述。政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇，地域辽阔，规模庞大；各地信息化发展程度不一，东西部存在较大差别；前期建设缺乏统一规划，各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此，设计保障体系时也就无的放矢，缺乏针对性，也不具备实用性。解决方法：针对信息系统的安全属性定义一个清晰的、可描述的安全模型，即信息安全保护对象框架。在设计信息安全保障体系时，首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来，参照IATF（美国信息安全保障技术框架），通过建立“信息安全保护对象框架”的方法来建立安全模型，从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性，将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。2.合理划分安全等级面对的难题：如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。因为信息系统的差异性，从而其安全要求的属性和强度存在较大差异性；又因为经济性的考虑，需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切，必须考虑差异性和经济性。解决方法：针对保护对象和保障措施划分安全等级。首先进行信息系统的等级化:通过将保护对象进行等级化划分，实现等级化的保护对象框架，来反映等级化的信息系统。其次，设计等级化的保障措施:根据保护对象的等级化，有针对性地设计等级化的安全保障措施，从而通过不同等级的保护对象和保障措施的一一对应，形成整体的等级化安全保障体系。等级化安全保障体系为用户提供以下价值：满足大型组织中不同分支机构的个性化安全需求；可动态地改变保护对象的安全等级，能方便地调整不同阶段的安全目标；可综合平衡安全成本与风险，能优化信息安全资源配置；可清晰地比对目标与现状，能准确、完备地提取安全需求。3.科学设计防护深度面对的难题：现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗打击能力和可控性。信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影响到整个信息系统，后果是灾难性的。解决方法：设计多重深度保障，增强抗打击能力。国家相关指导文件提出“坚持积极防御、综合防范的方针”，《美国国家安全战略》中也指出，国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在设计安全体系时，将安全组织、策略和运作流程等管理手段和安全技术紧密结合，从而形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。4.确保可实施易评估面对的难题：许多安全体系缺乏针对性，安全方案不可实施，安全效果难以评估。我国许多安全项目在安全体系框架设计方面，由于缺乏深入和全面的需求调研，往往不能切实反映信息系统的业务特性和安全现状，安全体系框架中缺乏可行的实施方案与项目规划，在堆砌安全产品的过程中没有设计安全管理与动态运维流程，缺乏安全审计与评估手段，因此可实施性和可操作性不强。解决方法：综合运用用户访谈、资产普查、风险评估等手段，科学设计安全体系框架，确保可实施易评估。我们在设计安全体系时，充分考虑到了上述问题，采取如下措施：在设计安全体系前，通过对目标信息系统的各方面进行完整和深入调研，采取的手段包括选取典型抽样节点的深入调查和安全风险评估，以及全范围的信息资产和安全状况普查。综合两种手段，得出反映现状的安全保护对象框架及下属的信息资产数据库，以及全面的安全现状报告。在体系框架设计的同时设计工程实施方案和项目规划；安全体系本身具有非常详尽的描述，具备很强的可工程化能力。在描述安全对策时，不是原则性的，而应是可操作和可落实的。设计方法1.总体设计方法设计政府/大型企业组织安全体系的具体内容包括：安全保护对象框架信息系统保护对象框架是根据对大型政府/企业组织总部及各省的评估调查和普查，参照信息保障体系的建模方法，按照威胁分析，将信息资产划分为若干保护对象。安全保护对策框架信息系统安全保护对策框架是参照国内外先进的信息安全标准，参考业界通用的最佳实施，并结合大型政府/企业组织的实际情况和现实问题进行定制，对大量可行的安全对策进行等级划分。信息系统安全体系信息系统安全体系是以保护对象为经，以安全等级框架为纬，对保护对象逐个进行威胁和风险分析，从而形成信息系统安全体系，其表现形式示意图如图1所示。2.等级化安全保护对象框架设计由于政府/大型企业组织的信息系统规模庞大，各分支机构的信息系统之间存在差异，因此必须对信息系统进行抽象，形成统一的保护对象框架。安全保护对象框架模型的设计（以银行业为例）如图2所示。3.等级化安全对策框架设计根据组织的特点设计和定制等级化安全对策框架，并针对组织的现状选择安全对策及其等级。(1)安全框架层次结构和分类大型政府/企业组织安全对策框架体系包括安全策略、安全组织、安全运作和安全技术四个子安全对策框架，分别包括一系列对策类，对策类可进一步细分对策子类，甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合，将对策分级。(2)安全对策框架等级划分每个安全对策可分为三个等级，每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安全控制细则均已实现时，可认为已达到该等级的对策。安全对策的等级划分，大体参考了GB17859、GB/T18336、TCSEC、SP800-53等国内外信息安全标准。不同框架的对策，参照的标准有所不同。4.等级化安全保障体系设计安全保障体系的深度防御战略模型将防御体系分为组织、技术和运作三个要素。信息安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系，明确技术实施和安全操作中相关人员的安全职责，从而达到对安全风险的及时发现和有效控制，提高安全问题发生时的反应速度和恢复能力，增强网络的整体安全保障能力。安全策略体系指的是从信息资产安全管理的角度出发，为了保护信息资产，消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。安全组织体系作为安全工作的管理和实施体系，主要负责安全策略、制度、规划的制订和实施，确定各种安全管理岗位和相应的安全职责，并负责选用合适的人员来完成相应岗位的安全管理工作，监督各种安全工作的开展，协调各种不同部门在安全实施中的分工和合作，保证安全目标的实现。安全运作体系，包括安全生命周期中各个安全环节的要求，包括：安全工程管理机制，安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。安全技术体系包含鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分内容。总结等级化安全体系的设计需要充分考虑信息系统的复杂性和信息安全保障的系统性与长期性，需要系统化的统一规划设计。在安全体系设计时应该考虑如何有效实施，并同时设计实施方案和建设规划；通过将安全体系指标和安全现状的对比，产生安全需求，并将类似的一组安全需求打包并设计解决方案；然后将一组类似的解决方案打包成可以工程化实施的项目，并通过规划，排出实施的先后顺序，从而分步进行实施。第二篇：信息安全等级保护信息安全等级保护(二级)信息安全等级保护(二级)备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。一、物理安全1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录15、应具有冗余或并行的电力电缆线路（如双路供电方式）16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录二、安全管理制度1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程2、应具有安全管理制度的制定程序：3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）----安全管理制度应注明发布范围，并对收发文进行登记。6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查，对需要改进的制度进行修订。（应具有安全管理制度修订记录）三、安全管理机构1、应设立信息安全管理工作的职能部门2、应设立安全主管、安全管理各个方面的负责人3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职），数量情况（管理人员名单、岗位与人员对应关系表）4、安全管理员应是专职人员5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人是何人。审批程序：8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表）12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格，安全检查报告，检查结果通告记录）四、人员安全管理1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）13、应具有外部人员访问重要区域的书面申请14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）五、系统建设管理1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）2、应具有系统建设/整改方案3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定（配套文件的论证评审记录或文档）6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本8、应按照国家的相关规定进行采购和使用系统信息安全产品9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品10、应具有专门的部门负责产品的采购11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）24、应具有测试验收报告25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）27、应具有系统交付时的技术培训记录28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同或安全责任合同书11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）24、应具有测试验收报告25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）27、应具有系统交付时的技术培训记录28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同或安全责任合同书六、系统运维管理1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责。2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录3、应指定部门和人员负责机房安全管理工作4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件）5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）6、应指定资产管理的责任部门或人员7、应依据资产的重要程度对资产进行标识8、介质存放于何种环境中，应对存放环境实施专人管理（介质存放在安全的环境（防潮、防盗、防火、防磁，专用存储空间））9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理记录）10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的记录）12、对送出维修或销毁的介质如何管理，销毁前应对数据进行净化处理。（对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准）（送修记录、带出记录、销毁记录）13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，专用存储空间）14、介质上应具有分类的标识或标签15、应对各类设施、设备指定专人或专门部门进行定期维护。16、应具有设备操作手册17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记录）18、应监控主机、网络设备和应用系统的运行状况等19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警20、应具有日常运维的监控日志记录和运维交接日志记录21、应定期对监控记录进行分析、评审22、应具有异常现象的现场处理记录和事后相关的分析报告23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理24、应指定专人负责维护网络安全管理工作25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修补。27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线备份）28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何人/何部门批准。应定期检查违规联网的行为。29、对便携式和移动式设备的网络接入应进行限制管理30、应具有内部网络外联的授权批准书，应具有网络违规行为（如拨号上网等）的检查手段和工具。31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。32、应有补丁测试记录和系统补丁安装操作记录33、应对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）35、应对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本（对员工的恶意代码防范教育的相关培训文档）36、应指定专人对恶意代码进行检测，并保存记录。37、应具有对网络和主机进行恶意代码检测的记录38、应对恶意代码库的升级情况进行记录（代码库的升级记录），对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件，如何处理39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告40、应具有变更方案评审记录和变更过程记录文档。41、重要系统的变更申请书，应具有主管领导的批准42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统（备份文件记录）43、应定期执行恢复程序，检查和测试备份介质的有效性44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档45、应对安全事件记录分析文档46、应具有不同事件的应急预案47、应具有应急响应小组，应具备应急设备并能正常工作，应急预案执行所需资金应做过预算并能够落实。48、应对系统相关人员进行应急预案培训（应急预案培训记录）49、应定期对应急预案进行演练（应急预案演练记录）50、应对应急预案定期进行审查并更新51、应具有更新的应急预案记录、应急预案审查记录。第三篇：信息安全等级保护管理办法关于印发《信息安全等级保护管理办法》的通知各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们，请认真贯彻执行。公安部国家保密局国家密码管理局国务院信息工作办公室二〇〇七年六月二十二日信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理第九条信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：（一）信息系统安全需求是否发生变化，原定保护等级是否准确；（二）运营、使用单位安全管理制度、措施的落实情况；（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；（四）系统安全等级测评是否符合要求；（五）信息安全产品使用是否符合要求；（六）信息系统安全整改情况；（七）备案材料与运营、使用单位、信息系统的符合情况；（八）其他应当进行监督检查的事项。第十九条信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：（一）信息系统备案事项变更情况；（二）安全组织、人员的变动情况；（三）信息安全管理制度、措施变更情况；（四）信息系统运行状况记录；（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；（六）对信息系统开展等级测评的技术测评报告；（七）信息安全产品使用的变更情况；（八）信息安全事件应急预案，信息安全事件应急处置结果报告；（九）信息系统安全建设、整改结果报告。第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危害；（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）（四）（五）从事相关检测评估工作两年以上，无违法记录；工作人员仅限于中国公民；法人及主要业务、技术人员无犯罪记录；（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（八）对国家安全、社会秩序、公共利益不构成威胁。第二十三条从事信息系统安全等级测评的机构，应当履行下列义务：（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。第四章涉及国家秘密信息系统的分级保护管理第二十四条涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。第二十七条涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。第二十九条涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。第三十条涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：（一）系统设计、实施方案及审查论证意见；（二）系统承建单位资质证明材料；（三）系统建设和工程监理情况报告；（四）系统安全保密检测评估报告；（五）系统安全保密组织机构和管理制度情况；（六）其他有关材料。第三十一条涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。第三十二条涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。第三十三条国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：（一）指导、监督和检查分级保护工作的开展；（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；（四）依法对涉密信息系统集成资质单位进行监督管理；（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。第五章信息安全等级保护的密码管理第三十四条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。第三十六条信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。第三十七条运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。第三十八条信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。第六章法律责任第四十条第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：（一）未按本办法规定备案、审批的；（二）未按本办法规定落实安全管理制度、措施的；（三）未按本办法规定开展系统安全状况检查的；（四）未按本办法规定开展系统安全技术测评的；（五）接到整改通知后，拒不整改的；（六）未按本办法规定选择使用信息安全产品和测评机构的；（七）未按本办法规定如实提供有关文件和证明材料的；（八）违反保密管理规定的；（九）违反密码管理规定的；（十）违反本办法其他规定的。违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。第四十一条信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第七章附则第四十二条已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数（级）。第四十四条本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。第四篇：浅谈信息安全等级保护问题浅谈信息安全等级保护问题当今，我国关于实现信息安全的一项重要的举措就是信息系统安全等级保护。严格按照等级保护的规定，建设安全的信息系统成为了目前面临的主要问题。本文主要介绍了信息安全等级的划分以及如何对具体的信息系统实施安全等级保护措施的方法。随着现在高科技的快速发展以及当前社会对信息系统需求的不断增加，信息系统的规模也在日益扩大，它的诸多应用都给社会创造了巨大的财富，与此同时，信息系统也成为了威胁、攻击以及破坏的对象。由于信息在网络上的存储、传输和共享等过程的非法利用，导致目前如何确保信息系统的安全性就成为了我们现阶段亟待解决的重点问题。当前，我们正在有计划的开展信息安全等级保护制度实施工作。为了确保计算机信息系统的安全，一定要系统地、深入地研究和学习信息系统安全技术和等级保护方法。1、信息安全等级保护2003年，中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级别是系统审计保护级。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外，它还要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督审计。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级别是结构化保护级。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责管理访问者对访问对象的所有访问活动，管理访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。2、信息安全等级划分2．1按相关政策规定划分安全保护等级对于我国中央和国家各级机关、国家重点科研部门机构、国防建设部门等需要对信息系统施行特殊隔离和保护的单位机关，均应按照相关政策、相关法律法规，实施安全等级保护。2．2按照保护数据的价值划分保护等级不同类别的数据信息需要实施不同安全等级的保护，这样不仅能使信息系统中的数据信息的安全得到应有的保证，而且又能缩减一部分不必要的开销。3、信息安全等级保护具体方法信息系统安全等级划分的最优的选择是全方位划分等级，其最基本的思想为重点保护和适度保护。在此基础上，投入合理的安全投入，运用以下两点信息安全等级保护方法，努力使信息系统得到应有的安全保护。3．1全系统的同一安全等级的安全保护全系统同一安全等级安全保护：在一个需要进行安全等级保护的信息系统中，在组成系统的任何部分，所存储、传输和处理的全部数据信息，都需进行相同的安全保护等级的保护措施。当有这样要求，规定所要保护的数据信息，不管处于系统中任何位置，进行任何形式的数据处理都需采取相同安全保护等级是，都应严格按照全系统同一安全等级安全保护方法开展系统安全性设计，设计出要求所需的安全机制。3．2分系统不同安全等级安全保护所谓分系统不同安全等级安全保护：在一个需要进行安全等级保护的计算机信息系统中，其中所存储、传输和处理的全部数据信息，应该按照信息在组成计算机信息系统的每个分系统中的不同保护要求的原则，对其实施不同安全保护等级的安全保护。3．3虚拟系统不同安全等级安全保护络信息安全进行控制。具体的实施措施可以使用路由器对外界进行控制，将路由器作为网关的局域网上的诸?~llnternet等网络服务的信息流量，也可以通过对系统文件权限的设置来确认访问是否合法，以此来保证计算机网络信息的安全。3．4计算机网络病毒的防范技术计算机病毒是威胁计算机网络安全的重大因素，因此应该对常见的计算机病毒知识进行熟练地掌握，对其基本的防治技术手段有一定的了解，能够在发现病毒的第一时间里对其进行及时的处理，将危害降到最低。对于计算机病毒的防范可以采用以下一些技术手段，可以通过加密执行程序，引导区保护、系统监控和读写控制等手段，对系统中是否有病毒进行监督判断，进而阻止病毒侵人计算机系统。3.5漏洞扫描及修复技术计算机系统中的漏洞是计算机网络安全中存在的极大隐患，因此，要定期对计算机进行全方位的系统漏洞扫描，以确认当前的计算机系统中是否存在着系统漏洞。一旦发现计算机中存在系统漏洞，要及时的对其进行修复，避免被黑客等不放法子利用。漏洞的修复分两种，有的漏洞系统自身可以进行恢复，而有一部分漏洞则需要手动进行修复。4、结语在当前通信与信息产业高速发展的形势下，计算机网络安全技术的研究与应用也应该与时俱进，不断地研究探讨更加优化的计算机网络防范技术，将其应用到计算机网络系统的运行中，减少计算机网络使用的安全风险。实现安全的进行信息交流，资源共享的目的，使计算机网络系统更好的为人们的生活工作服务。第五篇：信息安全等级保护(二级)信息安全等级保护(二级)备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。一、物理安全1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录15、应具有冗余或并行的电力电缆线路（如双路供电方式）16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录二、安全管理制度1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程2、应具有安全管理制度的制定程序：3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）----安全管理制度应注明发布范围，并对收发文进行登记。6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查，对需要改进的制度进行修订。（应具有安全管理制度修订记录）三、安全管理机构1、应设立信息安全管理工作的职能部门2、应设立安全主管、安全管理各个方面的负责人3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职），数量情况（管理人员名单、岗位与人员对应关系表）4、安全管理员应是专职人员5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人是何人。审批程序：8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表）12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格，安全检查报告，检查结果通告记录）四、人员安全管理1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）13、应具有外部人员访问重要区域的书面申请14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）五、系统建设管理1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）2、应具有系统建设/整改方案3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定（配套文件的论证评审记录或文档）6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本8、应按照国家的相关规定进行采购和使用系统信息安全产品9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品10、应具有专门的部门负责产品的采购11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）13、