等级保护管理办法

等级保护管理办法（精选14篇）

1.等级保护管理办法 篇一

信息安全等级保护测评机构管理办法

第一条 为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条 等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条 等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条 国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条 申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；

（三）从事信息系统安全相关工作两年以上，无违法记录；

（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有信息系统安全相关工作经验的技术人员，不少于10人；

（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；

（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；

（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务；

（十）应具备的其他条件。

第七条 申请时，申请单位应向等保办提交以下材料：

（一）《信息安全等级保护测评机构申请表》；

（二）从事信息系统安全相关工作情况；

（三）检测评估工作所需软硬件及其他服务保障设施配备情况；

（四）有关管理制度建设情况；

（五）申请单位及其测评人员基本情况；

（六）应提交的其他材料。

等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

第八条 通过初审的申请单位，应及时参加指定评估机构组织的测评人员培训。考试合格的人员，取得等级测评师证书。

等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书，其中高级和中级测评师均不得少于1人。

第九条 指定评估机构应根据标准规范对申请单位开展能力评估，出具信息安全等级保护测评机构能力评估报告，并及时将申请单位能力评估有关情况报送等保办。

第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的，颁发《信息安全等级保护测评机构推荐证书》。

省级等保办应及时将本地等级测评机构推荐情况报国家等保办，国家等保办定期发布公告，在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。

第十一条 下列事项发生变更时，等级测评机构应在变更后5个工作日内向等保办报告。

（一）等级测评机构名称、地址、测评人员和主要负责人发生变更的；

（二）等级测评机构法人、股权结构发生变更的；

（三）其他重大事项发生变更的。

省级等保办应及时将等级测评机构变更情况报国家等保办。

第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内，向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的，等保办应督促其限期整改。

省级等保办应及时将等级测评机构期满复审情况报国家等保办。

第十三条 等级测评师上岗前，等级测评机构应组织岗前培训。培训合格的，由等级测评机构配发上岗证。未取得测评师证书和上岗证的，不得参与等级测评项目。

等级测评师离职前，等级测评机构应与其签订离职保密承诺书，并收回上岗证。

第十四条 等级测评师应妥善保管等级测评师证书、上岗证，不得涂改、出借、出租和转让。

第十五条 等级测评机构应加强对本机构等级测评师的监督管理，定期组织开展安全保密教育和业务培训。

第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作，依据模板出具信息系统安全等级测评报告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。

第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内，向受理信息系统备案的公安机关报告等级测评项目有关情况。

第十八条 测评项目实施过程中，等级测评机构应接受等保办的监督、检查和指导。测评项目完成后，等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价，评价情况由被测单位反馈等保办。

第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践，每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标，对等级测评机构划分为五个星级，最低为一星级，最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。

第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。

等保办负责组织所推荐等级测评机构的星级评定审核工作，并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定，国家等保办定期发布星级评定结果。

第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的，不参加星级评定。

第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作，及时掌握等级测评机构工作情况。

第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的，当年可免予年审。年审时，等级测评机构应提交以下材料：

（一）《信息安全等级保护测评机构年审表》；

（二）信息安全等级保护测评机构推荐证书副本；

（三）测评工作总结；

（四）其他所需材料。

第二十五条

国家等保办负责组织开展等级测评机构能力验证和抽查工作。

第二十六条 等级测评机构有下列情形之一的，等保办应责令其限期整改；情形严重的，予以通报。

（一）未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的；

（二）影响被测评信息系统正常运行，危害被测评信息系统安全的；

（三）非授权占有、使用，未妥善保管等级测评相关资料及数据文件的；

（四）分包或转包等级测评项目，以及扰乱测评市场秩序的；

（五）限定被测评单位购买、使用指定信息安全产品的；

（六）测评人员未取得等级测评师证书和上岗证从事等级测评活动的；

（七）未按本办法规定向等保办提交材料、报告情况或弄虚作假的；

（八）其他违反等级测评有关规定的行为。

第二十七条 等级测评机构有下列情形之一的，等保办应取消其信息安全等级保护测评机构推荐证书，并向社会公告。

（一）因单位股权、人员等情况发生变动，不符合等级测评机构基本条件的；

（二）有信息安全产品开发、销售或信息系统安全集成行为的；

（三）故意泄露被测评单位工作秘密、重要信息系统数据信息的；

（四）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；

（五）一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的；

（六）连续两年年审不合格或限期整改后仍未通过复审的；

（七）违反本办法第二十六条规定，情节特别严重的。第二十八条 等级测评师有下列行为之一的，等保办应责令等级测评机构督促其限期改正；情节严重的，责令等级测评机构暂停其参与测评工作；情形特别严重的，应注销其等级测评师证书，并对其所在等级测评机构进行通报。

（一）未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的；

（二）违反本办法第十四条规定，未妥善保管等级测评师证书、上岗证，有涂改、出借、出租和转让等行为的；

（三）测评行为失误或不当，影响信息系统安全或造成运营使用单位利益损失的；

（四）其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定，给被测评信息系统运营使用单位造成严重危害和损失的，由相关部门依照有关法律、法规予以处理。

第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的，可向国家等保办举报、投诉。

第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。

2.等级保护管理办法 篇二

关键词：信息系统,等级测评,安全

随着互联网技术的快速发展,信息技术已在我国的各个领域里得到了广泛的应用,基础信息网络和重要信息系统已成为国家和社会的关键基础设施。由此也引发了一系列的信息安全问题:敌对势力的入侵、攻击、破坏;针对基础信息网络和重要信息系统的违法犯罪的持续上升;基础信息网络和重要信息系统存在的安全隐患等。为此,国家于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),明确的将等级保护制度提升为国家信息安全保障工作的基本制度、基本国策。并后续颁布了一系列的辅助政策标准[1,2,3,4],再次提升了开展等级保护的重要性,推动了等级保护测评[5,6]工作的发展。

1 信息安全等级保护

1.1 保护内容

信息安全等级保护将全国的信息系统按照重要性和遭到破坏后的危害性分为5个安全保护等级[2],第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。

信息安全等级保护工作主要分为5个环节:信息系统定级、备案、安全建设整改、等级测评[3]、监督检查。其中定级和备案是信息安全等级保护的首要环节。安全建设整改是信息安全等级保护工作落实的关键。等级测评工作的主体是第三方测评机构,监督检查工作的主体是信息安全职能管理部门,通过定期的监督、检查和指导,保障重要信息安全保护能力不断提高。

1.2 必要性和紧迫性

来自境内外敌对势力的入侵、攻击、破坏越来越严重,针对基础信息网络和重要信息系统的违法犯罪持续上升,是国家推行等级保护制度的重要原因。国家基础信息网络和重要信息系统安全隐患严重,由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,短时期无法实现自主可控。另外我国的信息安全保障工作基础还很薄弱,监管缺乏标准规范,许多部门安全管理制度和技术防范措施不落实等。

1.3 等级保护制度

等级保护制度是发达国家保护关键信息的基础设施,在借鉴国外经验的基础上,结合我们的国情,并根据多年来信息安全工作经验的总结,在我国需要强制执行等级保护制度。

2 安全等级测评

等级测评是信息安全等级保护实施中的一个重要环节。等级测评是指具有相关资质的、独立的第三方测评服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。

2.1 等级测评的目的

《信息安全等级保护管理办法》的规定,信息系统按照《信息系统安全等级保护基本要求》等技术标准建设完成后,由相应的符合条件的测评机构,定期对信息系统安全等级状况开展等级测评。通过测评,一是可以掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是安全机关等安全监管部门进行监督、检查、指导的参照。

2.2 等级测评内容

等级测评的基本内容是对信息系统安全等级保护状况进行测试评估,主要包括两个方面:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

安全控制测评是使用工作单元方式来组织测评的。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等5个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5个方面的安全控制测评。

2.3 等级测评工作流程

等级测评过程可以分为4个活动:测评准备、方案编制、现场测评以及分析与报告编制,如图1所示等级测评基本工作流程[4]。

2.3.1 系统信息收集

本阶段是开展现场测评工作的前提和基础,是整个等级测评过程有效性的保证。其信息的收集包括物理环境信息、网络信息、主机信息、应用信息和管理信息等。

(1)物理环境信息收集,包括机房数量、每个机房中部署的信息系统、机房物理位置、办公环境等。

(2)系统网络信息收集,包括网络拓扑图、网络结构情况、系统外联情况、网络设备情况和安全设备情况等。

(3)主机信息收集,包括服务器设备情况和终端设备情况等。

(4)应用信息收集,包括系统情况和业务数据情况等。

(5)管理信息收集,包括管理机构的设置情况、人员职责的分配情况、各类管理制度的名称、各类设计方案的名称等。

2.3.2 编制测评方案

编制好测评方案对测评工作来说是相当重要的,一方面测评方案是测评人员进行内部工作交流、明确工作任务的指南;另一方面,测评方案给出具体的现场测评工作思路、方式、方法和具体测评对象及内容,为现场测评的顺利完成打下基础。此外,通过测评方案,可以和被测系统运营使用单位进行充分的交流,让被测系统运营使用单位理解并支持现场测评工作,并依据测评方案做好充分的准备。因此,可以说测评方案的好坏在很大程度上决定着一次测评工作能否顺利完成。

2.3.3 现场测评

现场测评阶段是开展等级测评工作的关键阶段,其活动全部在被测系统现场完成,在被测评系统运营使用单位的人员参与下,测评人员按照测评方案的总体要求,严格执行作业指导书,分布实施所有测评项目,通过查看、获取以及详细、准确、规范记录测评数据,并保留电子证书,为后期的结果分析和报告编制准备充足、详实的资料证据。

2.3.4 分析与报告编制

分析和报告编制是等级测评工作的最后环节,是对被测方系统整体安全保护能力的综合评价过程,其过程是根据现场测评结果和《测评准则》的有关要求,通过单项测评结论判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,最终编制测评报告。

2.4 测评方法

在等级测评过程中主要采用访谈、检查、测试等方法进行工作的开展。

(1)访谈,是测评人员通过与信息系统相关人员进行交流和讨论的活动,以此来获取被测系统的部分信息。

(2)检查,是测评人员通过对测评对象进行观测、分析等活动,获取更有力的证据以证明信息系统安全等级保护措施是否完善和生效。

(3)测试,是测评人员通过对测评对象按照预定的方法和工具来进行测试,通过查看和分析输出的结果,获取证据以证明信息系统安全等级保护措施是否完善和有效,其主要方法有功能测试、渗透测试和系统漏洞扫描等。

3 系统整体测评

系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,测评人员应根据特定信息系统的具体情况,结合标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

4 结语

近几年,国家针对信息系统安全等级保护先后颁布了多条法律法规,并明确提出了2012年底前完成所有第三级信息系统的测评工作,强制推动整个国家信息安全保障体系的发展,推动了等级保护测评工作的开展进程,为全面推动我国的国民经济和信息化进程提供了重要保障。

参考文献

[1]GB/T22239-2008.信息系统安全等级保护基本要求[S].

[2]GB17859-1999.计算机信息系统安全保护等级划分准则[S].

[3]GB/T22239-2008.信息系统安全等级保护测评过程指南[S].

[4]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2010.

[5]崔玉华.对“信息安全等级保护”的探讨[J].信息安全网络,2005,(2).

3.等级保护管理办法 篇三

会上，国家信息安全等级保护协调小组组长、公安部副部长张新枫强调，信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容：一是开展信息系统基本情况的摸底调查，确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南，初步确定定级对象的安全保护等级，请专家进行评审，并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后，要对信息系统的安全保护等级和备案情况进行审核、管理。

同时，张新枫要求，各基础信息网络和重要信息系统在9月底前，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。

4.等级保护 篇四

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级”

计算机信息系统安全等级保护划分准则（GB 17859-1999）（基础类标准）

信息系统安全等级保护实施指南（GB/T 25058-2010）（基础类标准）

信息系统安全保护等级定级指南（GB/T 22240-2008）（应用类定级标准）

信息系统安全等级保护基本要求（GB/T 22239-2008）（应用类建设标准）

信息系统通用安全技术要求（GB/T 20271-2006）（应用类建设标准）

信息系统等级保护安全设计技术要求（GB/T 25070-2010）（应用类建设标准）信息系统安全等级保护测评要求（GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南（GB/T 28449-2012）（应用类测评标准）信息系统安全管理要求（GB/T 20269-2006）（应用类管理标准）

5.机房安全等级和分区保护 篇五

（一）市级联社的主机房定为Ｃ级；重要业务系统的微机房定为Ｄ级；县联社管理的机房定为Ｄ级。

（二）机房内部划分为核心区、生产区、辅助区，各区之间应为物理割断。Ｃ级机房划分为核心区和辅助区；Ｄ级机房划分为生产区和辅助区。

●核心区是指安装有主计算机、主通信机、网络通信及控制设备、磁盘机、光盘机等数据存储设备、数据存储介质库、系统操作室等机房要害区域。允许计算机安全管理员、系统管理员或系统值班员等两人以上同时进出，其他人员进入核心区须经部门领导批准并由以上人员之一全程陪同；

●生产区是指信用社业务前端设备操作室、打印机室、数据资料室、介质交接室、运行值班室等金融业务运作区域和各部门或县级联社的微机房。允许经业务部门领导批准的业务操作人员进出，系统开发人员不得进入生产区；维护人员进出须有业务操作人员陪同。在非工作时间进入生产区，必须经主管领导批准，至少有两人同行；

6.信息系统安全等级保护备案表 篇六

信息系统安全等级保护备案表
单位名称 信息系统名称 信息系统类别 系统域名 系统 IP 地址 系统服务 情 况 系统网络平台 服务器情况 存储设备 情 况 服务范围 服务对象 覆盖范围 网络性质 是否有服务器 服务器位置 服务器操作系统 是否有专用存储 存储设备位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全国 □全（市、区）□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否 是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他

□其它___________

系统数据库情况 系统何时投入运行使用 系统主要承建单位 系统目前维护单位 系统责任人 姓 管理员情况 办公电话 系统是否是分系统 上级系统名称 信息系统安全保护等级 系统密级（涉及保密的信息系统 需要填写本项）系统分级保护实施情况 填表人： 名

联系方式 E-mail 手 □是 机

□否（如选择是请填下两项）所属单位

□第一级 □秘密 □ 已经实施

□第二级 □机密

□第三级 □绝密

□第四级

□第五级

□正在实施 填表日期：

□计划________年实施 年 月 日

填报单位：（盖章）

7.高校信息系统安全等级保护研究 篇七

关键词：高校,信息系统,安全等级,保护

随着信息技术的迅猛发展和计算机网络的快速普及,信息系统在各行业、各领域得到广泛应用。高校作为学术研究的重要阵地,信息化建设高速开展。校园网、信息系统的建立,为学校教学、科研和管理提供资源共享、信息交流和协同工作的网络平台,并且已成为高校信息化建设的重要组成部分,同时也是衡量一个高校教育信息化、现代化的重要标志。大数据、云计算、“互联网+”等新技术出现的同时,伪基站、BIOS(基本输入输出系统)后门、木马僵尸、SQL(结构化查询语言)注入、DDOS(分布式拒绝服务)攻击等各类网络攻击层出不穷、攻击方式变异频繁,因此,保障网络与信息系统安全,已成为高校信息化发展中迫切需要解决的重大问题。

1 信息系统等级保护

信息网络的全球化使信息网络的安全问题日益严峻,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。信息系统安全最重要的3 个属性是机密性、完整性与可用性。

信息系统等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度,针对信息的机密性、完整性和可用性要求及信息系统必须要达到的基本安全保护水平等因素,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2 高校信息系统安全现状

为保证高校信息系统安全性,对信息系统按重要程度、数据的机密性等进行不同等级的划分并按级别进行保护是必要的。目前,高校信息系统的安全等级保护主要存在以下几个问题。

第一,思想认识不到位。部分高校对信息系统安全等级保护工作认识不足,认为信息系统定级过高会提高管理成本,造成不必要的麻烦。

第二,在信息安全方面的资金投入不足,等级保护工作整改不到位。部分高校学校经费紧张,信息化建设主要投资在校园网络的基础设施,针对网络安全方面的专项投入不足。

第三,未建立相应的安全管理机构和安全管理制度,一些必要的管理制度没有制定。此外一些管理制度修订不及时,已经不能满足当前系统安全管理的需求。

第四,专业技术力量较弱,技术防护与制度落实不彻底。部分高校网管人员专业技术力量较弱,一些不属于网络中心的网络处于无人监管的状态。

第五,部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护也不统一。此外,还存在科研教学机构替其他用户单位在校内开发、运营系统的情况。

第六,在建设网络安全体系时,存在重技术、轻管理的现象。许多安全设备处于系统默认配置,安全设备不能起到应有的作用,部分系统没有配备安全管理员。

3 高校信息系统等级保护

3.1 实施流程

高校信息系统安全等级保护的实施应按照公安部门及教育主管部门的相关文件要求严格执行,其主要包含明确责任主体、自主定级、专家评审、主管部门审核批准、公安机关备案、差距测评、安全整改建设、验收测评等流程。

第一,明确责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统的主管单位为定级工作的责任主体,负责组织运维单位、使用单位开展信息系统定级工作。

第二,自主定级。首先要确定本单位有哪些符合定义的信息系统需要做等级保护工作。在定级时要坚持自主定级、自主保护的原则。参照《信息系统安全等级保护定级指南》,根据本单位实际情况,对本单位的信息系统作自我评估,完成自主定级。

第三,专家评审。主管单位完成信息系统自主定级后,聘请有关信息安全等级保护专家对信息系统自主定级情况进行评审,形成评审意见,以求准确对信息系统进行定级。

第四,主管部门审核批准。主管单位完成信息系统专家评审后,填写《信息系统安全等级保护定级报告》《信息系统安全等级保护备案表》和信息系统安全等级保护专家评审意见等材料报送至所属教育主管部部门进行审批,并出具行业定级意见。

第五,公安机关备案。高校定级为二级及以上的信息系统需要到当地公安局网监部门备案审核。

第六,差距测评。完成定级、备案后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统安全保护状况开展差距测评,并编写差距测评报告及整改建议。

第七,安全整改建设。高校根据差距测评报告和整改建议,针对存在安全问题的信息系统,有针对性地进行整改建设,提高信息系统的安全性。

第八,验收测评。完成安全整改建设后,高校应委托具备信息安全等级保护测评资质的且熟悉教育行业的第三方测评机构,按照相关要求和标准,对信息系统开展验收测评,编写验收测评报告,并送至公安机关备案,以完成安全等级保护工作。

3.2 保障策略

高校信息系统的等级保护存在各种各样的问题,以至于等级保护工作落实不到位,为保证安全等级保护工作顺利进行,应采取如下保障策略。

第一,提高安全意识。信息安全等级保护管理部门应加大信息系统安全等级保护工作的宣传力度,定期召开由各高校有关信息系统部门负责人参加的信息安全等级保护相关会议,宣传信息安全等级保护工作的重要性和意义,促使高校加强对信息系统的安全意识。

第二,增强技术能力。高校信息系统安全,需要强大的技术团队作支撑。在开展安全等级保护工作中,专业的技术能力是保证测评工作和整改工作顺利高效进行的基础。因而,应注重技术能力的培养和提高。

第三,建立安全管理机构、健全安全管理制度,保证信息系统安全的专项预算。针对高校信息系统,应及时建立及更新各项管理制度,以达到安全等级保护的要求,并满足系统安全管理的需求,同时在制度中规划高校信息系统安全建设的整体方针,并保证网络安全方面的专项投入。

4 结语

高校信息系统的安全至关重要,信息系统安全等级保护是保障信息安全的重要屏障。充分了解高校信息系统安全的现状和存在的问题,并严格按照等级保护的要求、实施流程对高校信息系统进行等级保护,建立高校信息系统安全等级保护完整体系,有利于高校信息系统的安全保护。

参考文献

[1]冼伟铨,王厚奎.等级保护要求下的高校Web安全[J].信息安全与技术,2012(2).

[2]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京:北京工业大学,2012.

[3]路萍,翟跃.信息安全等级保护备案在高等院校中的研究与实践[J].中国教育信息化:高教职教,2015(21).

[4]刘玉燕.高校信息安全等级保护评测[J].信息技术,2011(2).

8.等级保护管理办法 篇八

关键词：信息安全；等级保护；定级；备案

中图分类号：G203 文献标志码：A 文章编号：1673-8454（2015）21-0012-05

一、背景

近些年来，随着互联网和信息通信技术的发展，信息系统在各行业、各领域快速拓展。随着大数据时代的到来，伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异，保障网络与信息系统安全，已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全，逐步推出了相关政策和工作办法。

二、信息安全等级保护概述

信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]

系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统，为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施，所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理，不涉及国家秘密的系统。[2]

1.信息系统定级备案基本分类

信息系统定级是等级保护的第一步，需分析系统的业务信息类型和系统服务类型，确定信息安全受到破坏时所侵害的客体，确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中，招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏，可能影响学校正常秩序，影响高校正常行使工作职能，侵害学校、教师、学生及部分社会公众合法权益，可能在一定范围内对社会秩序造成影响，可能侵害公共利益，引起法律纠纷等；教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏，可能影响学校正常秩序，影响高校正常行使工作职能，侵害学校、教师、学生合法权益，引起法律纠纷等。[4]

2.高等院校信息系统定级备案的基本原则

为了保护信息安全等级保护工作的科学性、合理性，高等院校的信息系统在实施过程中应遵循以下原则：

（1）自主保护原则。在高等院校的信息安全等级保护工作中，学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护，并接受信息化主管部门的监督、管理。

（2）重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中，依据相关标准建设安全保护体系，建立安全保护制度，落实安全责任，优化信息安全资源配置。

（3）同步建设原则。按照等保要求，在学校新建和改建的信息化项目中，将信息安全建设与系统建设同步规划、实施。

（4）动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时，应根据等级保护管理规范和技术标准的要求重新定级、备案，实施安全保护。

三、高等院校等保定级备案管理办法的研究

1.高校信息安全管理存在的主要问题

目前高等院校在信息安全等级保护备案方面存在着以下问题：

（1）二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。

（2）系统、网站的建设注重业务应用的实现，缺少安全设计和部署，开发环境与生产环境混淆，没有足够的测试急于上线，缺少安全防护意识。

（3）系统的不断改造升级，增加了网络安全的脆弱性，降低了系统的安全状态。

（4）部分二级单位对本单位的信息系统及网站底数不清，依然存在各自为政开设网站的情况，安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。

（5）由于学校人员组织、编制等限制，无法严格按照等保要求组建专门的、专业的安全运维管理组织，配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱，不足以开展安全自查、安全防范和风险分析排查。

针对上述问题，本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等，以改进高校等保定级备案工作。

2.高校信息安全保障机构的建立

以高校现有校院两级管理实体为基础，确定信息安全领导小组、专家组以及信息安全主管部门和责任人，统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制，保证全校的信息安全建设与运维的管理职责得到落实。

本文建立的信息安全保障机构实质上是一个三级机构，如图1所示：

（1）信息化主管部门

信息安全领导小组领导下的信息化主管部门通常包括两类：

一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理，包括网站审批、舆情监控；负责信息安全组织机构的人员信息登记等工作。

另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作；负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全；根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。

（2）信息安全第一责任人

二级单位信息安全第一责任人原则上为本部门一把手，对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任，负责建立和完善本部门网络安全和信息安全组织，统筹本单位的信息系统建设，建立健全本部门信息化管理制度，审批确定本部门信息系统的安全运维方案和应急预案。

信息系统和网站的申请建设、改造升级以及撤销，信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作，报信息化主管部门备案。

（3）二级单位信息安全工作实施小组

二级单位信息安全工作实施小组主要包括四类人员。

①信息安全员

各二级单位须指定信息安全管理员，负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导，协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作：

协助信息安全第一责任人统筹本单位的网络建设和信息系统建设，管理本单位的二级网站和三级网站，包括信息系统安全等级保护定级备案以及自查等实施工作。

负责本单位局域网管理，学校固定IP、域名等网络资源的申请、配置、管理工作。

负责本单位的信息收集与维护工作，保证数据的准确性、及时性，支持校内外信息交流和交换、数据上报。

负责本单位网络安全、信息安全与保密工作，对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。

②系统管理员和网站管理员

系统管理员和网站管理员应是在职教职工，根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作，从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作，保障系统正常、稳定运行。

③信息发布员

信息发布员是网页具体内容的审核发布人员，应保证信息的及时有效性，能根据上级领导或主管部门的要求更新、撤销、归档网页信息。

④资产管理员

通常高等院校各二级单位都有固定资产管理员，虽然这些管理者不是信息化专业人员，但是负责软硬件各类设备的管理，因此也应纳入等保安全保障体系范畴。

3.校内定级备案工作

高等院校，特别是理工类高等院校内的系统/网站繁多，且教学、科研、服务等应用目标不同，管辖等级不同（校级、院部处级、实验室以及群团组织等），但无论系统大小都应按照有关法律法规进行等级保护定级备案。

各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求，参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级（高校一般不涉及四、五级系统），实施安全保护。原则上安全等级应不低于建议级别；对于承载复杂功能的信息系统，安全等级可高于建议级别；对于承载多个业务功能的信息系统，应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]

本文设计的高等院校内部定级备案工作流程如图2所示。

本工作流程中，等级保护定级备案的关键节点在于二级单位在新建系统或网站时，需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作，以防疏漏。

如果是校级系统、二级单位重要业务管理系统，通常需要经过经信委等上级主管部门的审批，因此可以在立项之时就进行相应的定级备案、安全规划，落实信息安全等级保护相关控制，以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。

4.自查监察管理办法

（1）等保自查

学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点，对管辖范围内的信息系统依据保护级别制定安全策略，规范管理和技术实施，并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果，上报主管部门备案。

（2）安全监控

信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态；从物理环境、网络、系统、应用、数据，到最终的用户终端汇集安全监控审计信息（详见图3），并进行分析及时发现安全隐患，提供可能的解决方案和技术支持。

信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作，完成每年度的信息安全等级保护工作汇报，保障敏感时期的信息安全保障工作。

（3）整改管理办法

对于自行发现的安全隐患以及上级下达的整改通知，信息化主管部门通知二级单位，落实人员限期实施整改，并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后，二级单位以书面形式上交整改报告，说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统，信息化技术主管部门有权停止网络服务，经核准整改效果后方可销案，同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组，寻求领导层和校外专业团队的指导。

四、高等院校等保定级备案管理系统探究

信息安全等级保护定级备案以及自查整改的实施，大多是信息采集、录入和管理工作。然而又不同于一般的行政管理，需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。

目前已经有公司推出了信息安全等级保护综合管理系统，通过应用软件实现各种备案信息的录入、批量导入/导出、审核，从而进行备案信息的查询、检索和统计，以及为上级主管部门提供本单位的信息系统备案状况。但是，这些系统大都缺乏分层管理、数据关联、约束检查，使等保信息还是处于分散的状态中，也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发，讨论此类系统的设计思想，以实现定级备案工作在高校实施中的有效落地。

1.数据关联与约束（见图4）

建立信息安全保障体系对照表，通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统，分别是几级系统；可以知道每个系统使用了哪些固定资产，管理员是谁；可以知道每个系统建立或使用了哪些制度，是校级的还是二级单位内部的，等等。例如，通过上述关联可以很容易得到如表1所示的查询统计表。

而从表2不仅可以获得二级单位各系统的资产信息（软硬件），而且可按系统、部门进行汇总计算，获得国外产品百分比统计等信息。

通过资产编码Assets_code关联资产信息和资产检查表，按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果，并记录日期，可以用作后续的变更记录和跟踪。

通过系统编码System_code从系统定级信息获取系统安全等级G_level，对应到管理要求表得到相应的检查项信息，再根据“制度-管理检查项对照”自动获取校级制度，便于二级单位的管理制度检查信息的填报。

这些关系的建立，不但可以获得更多的级联信息，而且可以进行约束。例如，通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度；通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备，等等。

2.数图关联

资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步，以确定学校各系统的资产，明确责任人、物理位置、使用情况以及数据信息交互情况。

高校信息系统的资产管理大多还处于手工管理的离散状态，即便有固定资产管理系统，也只是从财产角度对各类资产进行注册在案（其分类与信息化角度不同），没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。

本文建议建立基于拓扑结构图的信息系统资产管理，便于基础信息的录入、等保检查项检查和直观展示。因为，如果只是通过二维表或者树状结构图的形式输入资产信息，难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理，可以通过图形符号的方式建立资产之间的关联，便于掌握一个系统的整体资产情况。例如，一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产，逐一录入（包括没有固定资产的免费资源）。如果少了哪一层资产没有填报（没有需说明理由），即当前备案信息尚不完备，则该系统应该是不允许访问的状态。从等保管理要求，信息化主管部门就可以停止其运行服务。

五、结束语

每个高等院校都会有自己的信息化组织机构、管理制度和办法，信息化建设进程也不尽相同，在具体应用《信息安全等级保护基本要求》时，不应一味追求所有的安全项，而是要根据学校自身信息化建设情况、特点，兼顾可操作性设计和实施信息安全体系建设，稳步渐进地落实等级保护工作。

参考文献：

[1]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社，2008.

[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http：//www.ict.edu.cn/laws/difang/n20140623_14386.shtml，2014-06-23.

[3]沈昌祥，信息安全保障建设中的等级保护[J].信息技术与标准化，2007（11）.

[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南（试行）[Z].2014.10.

9.等级保护管理办法 篇九

一、加强领导

2013年，根据扬州市信息安全等级保护办公室的的通知，集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责，具体工作由网络技术部和扬州网等部门承担，负责集团信息系统等级保护工作，并开展对集团所属单位的监督指导。根据安排，集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时通过组织培训等方式，不断加强技术人员的培养，强化信息安全保护能力。

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》（扬办发[2012]57号）文件精神，对集团信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过UPS供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的IP绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；

在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的USB等外设接口的控制管理，采用KEY用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞 扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工

作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出SQL注入，FTP匿名登录，网站目录遍历，探测主机地址漏洞等。

在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

10.网络安全等级保护基础知识 篇十

信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级，但主要还是根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的需要根据定级指南来，总之一句话合理定级，该是几级就是几级，不要定的高也不要定的低。

二、备案

第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县网监大队的，具体根据各地市要求来。

三、系统安全建设

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

四、等级测评

信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态。

五、监督检查

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

其中定级、备案工作原则上是由用户单位自己填写定级备案表交给网监部门去进行备案工作，但考虑到实际情况，绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。系统安全建设和等级测评的工作不一定要严格按照这个顺序开展，可以先测评再整改，也可以先建设再测评。具体还是根据自身实际情况来办。注：选择的测评机构很重要，测评机构的权威性，测评质量直接关系到单位信息系统后期整改内容，提前发现问题提前整改，可以有效降低被攻击的风险，提高信息安全防护能力。

等级保护测评有哪些技术类型?具体指标如何?

等级保护主要从技术要求和管理要求两方面进行综合测评，而根据等级保护测评的三种不同技术类型，其测评的指标要求也有所不同。

11.电力信息系统安全的等级保护实施 篇十一

伴随着我国经济社会的快速发展以及越来越多的信息、通信技术被使用, 智能化电网也随之快速发展壮大, 然后伴随的问题是其信息网络安全问题日益突出, 黑客入侵以及网络攻击现象日益增多, 要就要求电力企业相关部门加强信息技术的安全防护对策。目前, 电力从生产到分配会大量采用各种信息系统和形形色色的各类自动化设备, 比方说发电厂计算机监控系统和配网自动化系统等等很多, 这里不一一列举。电力系统安全防护是一个重大的任务, 它涉及到国家的安全, 如果一旦发生大面积停电事故, 就可能导致很大的经济损失, 甚至会影响国家安全或者社会稳定, 所以说加强电力信息系统的安全等级保护势在必行。

1 信息安全等级保护

1.1 信息安全保护等级的划分

对信息系统安全保护等级的主要影响因子有2个:一是其在国家发展进程中的重要性;二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面5个等级:

第一级:用户自主保护级信息系统遭受破坏, 它可能会影响到当事人以及其所在组织一定程度地利益损失, 然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。

第二级:系统审计保护级信息系统遭受破坏, 这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害, 也会影响到社会的稳定和集体的利益, 然而对国家安全无影响。

第三级:安全标记保护级信息系统遭受破坏, 这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤, 也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能, 在这个基础上它也会强制对系统进行监查并记录全部内容, 主要监控的是访问者以及所访问的对象。

第四级:结构化保护级遭到破坏, 这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤, 同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。

第五级:访问验证保护级信息系统遭受破坏, 这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能, 同时对系统设置访问验证保护, 这样做不仅可以记录访问者以及该访问者对系统的访问历史, 另外对访问者的访问权限进行设定, 最大限度保证信息安全不泄露。

1.2 信息安全等级的划分

1.2.1 按相关政策规定划分安全保护等级

在进行信息安全保护时, 有一些需要特殊保护和隔离的信息系统, 比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统, 要特别严格, 根据有关的信息安全等级保护的相关政策等法律法规的要求, 对其系统进行防护。

1.2.2 按照保护数据的价值划分保护等级

针对被保护的信息的类别及价值的不同, 设置不同的安全保护等级。这样做是为了在保护信息安全的同时最大限度减小其运作的投入。

2 电力信息系统安全等级保护防护要求

电力信息系统安全等级保护要求重点对象是等级保护三级以上的系统, 换句话说就是监督检查级与强制监督检查级。安全等级防主要发挥以下作用:一是能够使企业可以抵制外来的或者说是敌对组织的不怀好意的对系统的破坏;二是防止企业内部人员与外部势力勾结而进行的对系统的破坏;三是对安全事件记性审核登记;四是能够追查审核违规违法行为等等。电力信息系统安全等级防护要求的系统设计到电力生产控制系统、生产管理系统、管理信息系统、网站系统以及信息网络系统, 具体有下面这些系统:220 KV以上的变电站自动化系统、单机容量300兆瓦及以上的火电机组控制系统DCS含辅机控制系统等许多形形色色各类信息系统。

3 信息安全等级保护的方式

信息安全等级保护有两类, 具体如下两种:

3.1 物理安全保护方面

此类保护又可以从两个安全角度进行划分:一是必要考虑:针对主机房等场所设施, 要采取安全防范工作。需要使用比较先进的技术设备以便达到可以进行室内监控、使用用户信息登记以及自动报警等措施, 可以监控记录用户及其访问情况, 以便日后追查。而使需要考虑:针对主机房以及重要信息存储设备, 则应该采取多路电源同时接入的措施以保护电源的可持续供给性, 防止一旦发生断电会给入侵者制造入侵的机会。

3.2 网络系统安全保护方面

针对于不同安全保护对象的不同, 存在不同的保护方法。详细方法有以下几个:

3.2.1 已确定安全等级系统的安全保护

如果整个系统中有安全等级相同的信息系统, 这种情况下, 对于它的每一个地方、每一处信息应该根据国家标准使用统一安全保护方法给其设计完整的安全机制。如果有安全等级不同的系统, 则要对它的不同的地方以及信息根据不一样的安全要求进行安全防护。

3.2.2 网络病毒的安全保护

网络安全中一个很大的毒瘤是计算机病毒, 因此说防止病毒的入侵对系统进行破坏在信息系统安全保护过程中是至关重要的一个步骤。防止病毒入侵方式多种, 目前常常使用防火墙等阻挡病毒入侵, 有的也会采取给程序加密、监控系统运行情况等来观察病毒入侵与否, 能够尽量最快发现入侵的病毒并予以杀灭, 从而保护计算机信息系统。

3.2.3 漏洞扫描与修复方法

系统存在漏洞会对系统有一定的潜在危害, 许多入侵者往往会利用系统中已有漏洞对系统展开攻击, 所以说要频繁对计算机进行全面的漏洞扫描, 采用一定方式找出系统里的漏洞同时给予修复等措施, 从根源上防止非法入侵者通过这个手段对系统进行破坏。漏洞的修复方式有2种:系统自动修复和人工手动修复, 现实条件中, 不可能存在绝对完美不含漏洞的系统, 所以说要隔段时间就要对系统进行漏洞扫描修复, 从而保证系统的安全性。

4 电力信息系统等级保护实施

信息系统是在社会经济、生活以及实际工作的进步和需求的基础上设置的, 它在一定程度上是社会组织机构以及行政组织机构的反映, 它的安全保护等级也应该符合客观实际的条件以及社会发展的规律要求。如何进行电力信息系统等级保护?主要从下面几个方面进行把关:

4.1 电力信息系统定级与备案

信息系统的运营以及使用单位需要根据它处理信息的实际情况 (包括其敏感程度等) , 结合等级保护的管理规范和技术标准, 还要根据国家对信息系统保护的相关原则, 明确其信息系统的安全保护等级, 并报其主管部门审批同意。如果有很多子系统的信息系统, 它不仅应该保障信息系统安全互联以及有效信息共享, 还应当结合等级保护的具体情况 (各子系统的重要程度等各类) , 对各个保护等级进行各自划分。如果是安全保护等级在三级以上的信息系统, 就需要由运营、使用单位报送本地区地市级公安机关进行备案。如果是跨地域的信息系统, 同上面类似, 备案部门为所在地的同级公安机关。如果是第五级的信息和信息系统的监督检查, 要求更为严格, 需要由国家指定的特殊部门、特殊机构根据相关规定严格执行。

4.2 电力信息系统等级保护安全建设与整改

如果信息系统已经存在, 这种情况下, 运营和使用单位需要做的就是明确其安全保护等级。根据明确的等级的保护桂发来购买合适的信息安全产品, 这样可以建立起来一个合理的安全防护措施促使系统很好的整改。对于那些新建以及改扩建的系统则也应该根据相关等级保护管理规范从设计到施工上进行严格要求。

4.3 电力行业定期自查与监督检查

对于已经完成安全等级保护措施的额信息系统, 其运营和使用单位等主管部门需要根据等级保护的管理规范进行检查评估, 一旦发现问题就立马进行整改, 从本质上加强和完善自身信息安全等级保护制度的建设从而增强自我防护能力。对防护要求很高的重要信息系统则要每年进行1~2次的自身检查, 如果自查不合格就需要整改。

4.4 信息安全保障体系的建立与落实

通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预示能力、防护能力等各类对待系统安全的能力, 可以对信息系统的安全属性及功能以及效率上开展动态保护, 所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。采取这种方式能够使得应用服务的效率和效益提升, 可以促使电力信息化的学术研究长远发展。

5 结束语

如何创设一个能够持续发挥作用的电力信息系统安全等级保护制度来为企业的信息进行各个方面的防护?这是一个永不落幕的话题。但是根据当前现状, 许多企业的信息安全等级保护还没有发挥出作用, 正处在一个初级阶段, 任重而道远。这个工作需要各个专家、各个学科的专业人士一起探讨研究, 更好的保护信息安全。当前随着信息技术的不断改革进步, 信息安全等级保护技术和水平也要随着进行加快更新, 这样才能在出现信息安全问题的时候以最快时间解决问题, 也能使得信息安全等级保护政策可以又好又快的落实。

摘要：对信息安全等级的保护措施在电力信息网路中一个十分重要同时又需要持续跟进加强的一个过程, 采取信息安全等级保护可以在很大程度上帮助电力企业建立安全建设的长效机制, 从而促使电网的安全性, 保证期可靠运行。而在现实工作中, 要结合实际条件加以改进防护等, 能够充分组建电力信息系统安全等级防护规范, 这样以来, 在现实工作中, 能又快又好的进行安全防护的作业。

关键词：信息安全,等级保护,安全技术,网络系统

参考文献

[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用, 2012.

[2]朱世顺.电力生产控制系统信息安全等级保护研究[J].电力信息化, 2012.

12.兰州互联网等级保护工作总结 篇十二

根据信息安全等级保护工作要求，结合我单位工作实际需要，我们认真开展了信息安全自查工作，加强了信息系统的管理和维护，完善了系统软硬件设施，实现了网站信息系统的安全运行。现将2011年信息安全自查工作开展情况总结如下：

一、信息安全保护工作现状

1、制定信息安全保护规章制度，加强日常管理。在硬件安全方面，及时检查防雷、防火、防盗和电源连接等情况；在网络安全方面，加强网络结构、安全日志、密码和IP地址的管理；在应用安全方面，提高人员安全意识，增强系统操作的规范性。

2、平台及网络管理方面，购置了新式服务器，提高平台性能，增强稳定性；采用linux操作系统，更换原03操作系统，提升系统的安全性。更新数据库，采用了功能更强大，性能更优异，安全性更强的oracle数据库。对平台关键部位进行了双机热备份，加强了主站的可靠性。安装硬件防火墙，隔离内外网，进一步提高网络安全。

3、系统操作权限方面，严格按系统使用所需，针对不同系统操作用户的需求，划分使用权限。制定了密码定期更新机制，对用户密码按月更新，并采取9位数字加字符的设置方式提高密码的健壮性。

二、自查中存在的问题

1、初步建立了信息安全规章制度，但还不完善，未能覆盖到信息系统安全的所有方面。

2、专业技术人员较少，信息系统安全方面可投入的力量有限。

3、由于我单位处在创业起步阶段，经费相对紧张，信息系统建设和信息安全保护工作可投入的经费不足。

三、整改方向

1、在今后的工作中，我们将进一步完善信息安全相关规章制度，实现信息安全的规范管理。

2、加强对计算机安全知识的培训，定期开展信息安全检查工作，提高人员安全防护意识。

3、积极争取财政支持，购买相关设备，进一步扩大对信息安全工作的投入。

13.等级保护管理办法 篇十三

集中竞价采购须知

为了公开、公平、公正地集中竞价采购，本着合理、竞争、经济的原则，我院拟对本次采购活动参照招标形式进行集中竞价，相关事项如下：

第一部分

项目要求

一、项目背景

为了提高信息系统的安全保护水平，按照国家法律法规和有关部门相关要求，聘请第三方专业机构，在全面了解临沂市中医院现有信息化现况的基础上，开展信息系统安全等级保护测评工作。通过本次工作，发现信息系统中存在的安全风险，分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况，完善工作制度，提出安全建设加固建议。切实加强信息安全防范水平，提高系统抵御风险的能力。

二、项目目标、内容

按照国家等级保护相关标准和要求，对其HIS、电子病历系统（三级）、PACS和网站（二级）安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，完成等级保护测评报告，并提供后续检测服务。

三、项目实施参照法律法规及标准  《网络安全法》

 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；  公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。

 《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008）

 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术

信息系统安全等级保护实施指南》  《信息安全技术

信息系统安全等级保护测评要求》  《信息安全技术

信息系统安全等级保护测评过程指南》  《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006）

 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术 服务器技术要求》（GB/T 21028-2007）

 《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006） 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则

四、项目内容

1.等级测评

通过详细的系统调研，开展对其HIS、LIS系统（三级）、PACS和网站（二级）的等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作。最终完成等级保护测评报告。

测评的内容包括但不限于以下内容：

 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

（1）、物理安全

根据临沂市中医院信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。（2）、网络安全

根据临沂市中医院信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

（3）、主机安全

主机安全现场测评包括对临沂市中医院信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。（4）、应用安全

应用安全现场测评包括对临沂市中医院信息系统的测评，测评内容包括“身份鉴

别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。（5）、数据安全及备份恢复

临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。（6）、安全管理制度

根据现场安全测评记录，针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。（7）、安全管理机构

根据现场安全测评记录，针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。（8）、人员安全管理

根据现场安全测评记录，针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。（9）、系统建设管理

根据现场安全测评记录，针对临沂市中医院信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。（10）、系统运维管理

根据现场安全测评记录，针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。

通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项待整改完毕后，进行结果确认，完成信息安全等级保护测评，出具测评报告，2.安全管理体系咨询

协助建立符合等级保护要求的信息安全管理体系，包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系ISO 27001和ISO 分析、整体分析，给出差距分析报告，并给出整改建议方案。并将测评报告报当地公安机关备案。

20000制定相应流程，促进临沂市中医院信息安全管理工作。

3.安全监测

提供门户网站7*24小时网站安全监测，对网站页面挂马、篡改等事件实时监测，发现问题及时通报相关人员，并安排人员及时处理。

4.应急支援

服务期内提供不限次数的应急支援服务，针对发生的事件协助分析事件原因，查找问题，并提供安全加固建议。

5.安全培训

组织技术培训，对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发，涵盖网络安全的如下方面： 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库安全管理培训、27001安全管理体系培训等。

6.信息安全风险评估

按照GB-T20984-2007信息安全风险评估规范标准和要求，对信息系统进行风险评估，明确信息系统安全风险，提出合理的、满足等级保护要求的总体建设和管理规划，并制定安全实施计划，以指导后续的信息系统安全建设工程实施。

五、成果交付

该项目提交的文档至少包括如下文件：

1、《临沂市中医院XX信息系统安全等级保护测评方案》

2、《临沂市中医院XX系统信息安全等级保护测评报告》

3、《临沂市中医院XX信息安全管理制度汇编》

4、《信息安全风险评估报告》

5、《信息安全整改方案》

第二部分

投标方资质要求

1、《企业法人营业执照》副本复印件（盖章）。

2、法定代表人身份证明书或法人授权委托书、身份证复印件。

3、投标公司具有信息系统安全等级保护测评的国家相关资质，有专业技术检测项目组，其中有高级测评师及中级测评师，参与技术检测的人员均为中国公民，无违法犯罪记录并签订安全保密协议。

4、同类项目近几年的业绩情况及客户名单。

第三部分标书、报价方式

1、标书分正本1份，副本2份，并在标书标书袋上标明“正本”、“副本”字样。均固定装订成一册，不能活页装订或散装，盖单位公章和法定代表人印签后递交医院招标办。

第四部分报送时间、地点

标书报送时间截止2018年1月30日16时。（每日8：00～17：00，周六、周日除外）

14.等级保护管理办法 篇十四

经过几年来的发展,我国信息安全等级保护工作已取得了明显的效果,初步解决了信息安全管理靠经验开展和盲目投资等问题。但是,当前一些中小型企业的信息安全等级保护工作仍然存在一些不完善之处,制约其进一步发展。如何正确认识信息安全等级保护工作,更好的发挥信息安全等级保护的作用,笔者就如何进一步做好信息安全等级保护工作做了具体的分析。

1 国家建立信息安全等级保护的背景及原因

目前,国外普遍采用风险管理方法来控制信息系统的安全。它主要体现在信息系统运行的每个阶段,采用风险分析的方法,分析和评估信息系统的风险,并根据风险情况对信息系统的安全措施进行相应调整。

早在2003年我国就明确提出了加强信息保障工作的意见,其中信息安全等级保护是国家信息安全保障的有效方法。它主要体现在信息系统生存的不同阶段,通过确定信息系统的安全保护等级,并按照确定的安全保护等级的要求进行信息系统安全的设计、实现、运行控制和维护,使其安全性达到确定安全保护等级的目的[1]。

国家建立信息安全等级保护政策,使得信息系统运营使用单位就能按照政策标准进行安全建设、整改,信息系统安全与否也有了一个衡量的尺度。然而,目前大多数中小企业的信息安全等级保护工作仍处于一个初级阶段。大部分都建立自己的信息网络系统,如电子商务、电子政务和科研生产等。这些网络系统有的面向大众,有的则是内部系统,有的是涉密的网络系统。信息安全等级保护制度有效的体现了“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到企业的信息安全保护工作中[2]。

2 现阶段信息安全等级保护存在的问题

1)对信息安全等级保护的认识不足,重视不够。目前,我国大多数企业的信息安全等级保护工作是处于一个起步阶段,对国家实施信息安全等级保护工作的认识不足,在建立本单位的网络信息系统时,不能将信息安全等级保护工作应用到实际的建设中。有些单位领导和具体负责信息安全工作人员未能及时掌握信息安全等级保护的方法、流程和规范。甚至有些单位受人力、物力、财力等因素的限制和约束,难以像重视科研生产工作那样重视信息系统的安全工作,尤其是信息系统安全的前提工作是信息安全等级保护工作。

2)没有完善有效的制度可依。有些单位在开展信息安全等级保护工作时,往往只是根据上级部门下发的等级划分模板对应开展,却忽略了上下级之间的信息系统建设的不同之处,很多的指标难以对应。上级部门制定的规章制度也未必适合本单位工作的要求,因此建立健全规章制度是开展等级保护工作的重要前提。

3)具体工作与实践脱节。目前各单位为加快信息化建设的进程,充分利用信息技术,积极开展电子商务、电子政务等信息化工程,利用信息资源拓宽业务应用系统,大大提高工作效率和服务水平。但也忽略了不同等级的信息系统所采用信息安全产品也不同。不仅造成了财力的浪费,而且对日后信息系统的安全运行及管理埋下了重大的隐患。

3 信息安全等级保护工作的若干建议

1)高度重视等级保护工作,明确责任部门。建立统一领导的信息安全组织保障体系,成立等级保护工作领导小组,实行“谁主管,谁负责”的管理方式。这样不仅明确责任,还为信息安全等级保护各项工作的开展提供了组织保障。

2)进一步提高对信息安全等级划分的认识,加强制度建设。随着电子商务、电子政务和社会信息化的发展,信息安全的风险也随之提高,若仍采用传统的安全管理方式进行安全管理,势必造成很大的浪费。因此,我们必须加大对信息安全等级保护工作宣传力度,建立健全信息安全等级保护制度,要充分认识到做好信息安全等级保护工作是防范电子商务、电子政务和社会信息化风险的最基本工作。

3)加强人员培训,提高专业人员的技能。一是整合内部人力资源,加大培训力度,通过学习业务知识,提高技术水平。二是合理利用社会资源,通过聘请有经验的专家或公安管理人员来单位指导,通过学习交流,不断积累经验,提高实际的技术能力,使之能够准确的定级。三是对相关技术人员进行系统有效的认证培训、考核,实行职业资格准入制度。

4)结合实际情况开展信息安全等级保护工作。对新建、改建的信息系统应当同步建设信息安全设施,确保信息系统安全和信息化建设相适应。同时,结合信息化和信息安全的实际需要,将落实等级保护制度纳入单位信息化综合体系,促进单位信息化发展,创新信息系统安全管理模式,建立单位网络安全保障信息系统。

5)定期检查、形成长效机制。单位每年应开展一次全面的网络与信息安全大检查。同时,加强等级保护相关政策和标准的宣传和培训,定期开展行业自查,形成等级保护工作的长效机制。

4 结束语

信息化是当今社会发展的必然趋势,信息安全工作任重而道远。信息系统安全等级保护制度是信息安全工作中的一项基本制度,是“明确重点、突出重点、保护重点”,将有限的人力、物力、财力投入到重要信息系统安全保护中,因此落实信息安全等级保护工作是切实增强信息系统安全防范能力的一项措施。

摘要：对建立信息安全等级保护的背景及原因进行分析,针对信息安全等级保护工作中存在的问题,提出了加强信息安全等级保护工作的若干建议。

关键词：信息安全,等级保护,保障措施

参考文献

[1]陆宝华.信息安全等级保护基本要求培训教程[M].北京:电子工业出版社,2010.