【正文】 責(zé)人應(yīng)該向單位總經(jīng)理報(bào)告本單位信息安全管理工作的相關(guān)情況。 信息安全的教育與培訓(xùn)教育是完善的信息安全管理的重要組件之一。員工意識(shí)教育應(yīng)在內(nèi)部培訓(xùn)和人力資源部門的幫助和協(xié)助下建立和開展。l 安全事故報(bào)告培訓(xùn)應(yīng)該建立一套正式的報(bào)告安全事故的步驟以及一套安全事故的響應(yīng)步驟，后者應(yīng)規(guī)定在收到安全事故報(bào)告后，應(yīng)該采取的行動(dòng)。l 安全漏洞報(bào)告培訓(xùn)應(yīng)該要求信息服務(wù)用戶在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時(shí)，立即進(jìn)行記錄并匯報(bào)。l 軟件故障報(bào)告培訓(xùn)應(yīng)建立報(bào)告軟件故障的程序步驟。立刻向合適的聯(lián)系人報(bào)警。除非得到授權(quán)，用戶不要試圖刪除可疑的軟件。這需要使用功能更強(qiáng)的或其它的控制措施，以降低事故發(fā)生的頻率、損失，或在修訂安全策略的過程中，將這一因素考慮在內(nèi)。3. 持續(xù)教育教育也是一個(gè)持續(xù)過程。組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。網(wǎng)絡(luò)吞吐量4Gbps；不限用戶數(shù)；市國土資源局跟互聯(lián)網(wǎng)連接處；公安部82令合規(guī)性，上網(wǎng)行為審計(jì)與流量管理.3WEB網(wǎng)站防火墻WAF7000S53101標(biāo)準(zhǔn)1U機(jī)架式設(shè)備，交流單電源；設(shè)備標(biāo)配2個(gè)USB口，6個(gè)千兆電口，默認(rèn)支持2路Bypass，支持一個(gè)擴(kuò)展槽位；默認(rèn)配置1TB存儲(chǔ)介質(zhì)； 系統(tǒng)軟件具備Web應(yīng)用防護(hù)功能、專業(yè)級(jí)網(wǎng)頁防篡改及DDoS防護(hù)功能，默認(rèn)包含三年系統(tǒng)軟件和特征庫升級(jí)服務(wù)。最大并發(fā)連接數(shù)為50萬；424部署在各分局網(wǎng)絡(luò)旁路，在交換上做鏡像端口，監(jiān)聽所有通過防火墻的流量信息，與防火墻實(shí)現(xiàn)聯(lián)動(dòng)功能，通知防火墻處理有危險(xiǎn)的數(shù)據(jù)和非法的訪問。提供300 個(gè)主機(jī)/設(shè)備操作監(jiān)控許可證；運(yùn)維審計(jì)13數(shù)據(jù)庫審計(jì)系統(tǒng)NDBA7000S51101標(biāo)準(zhǔn)上架式機(jī)箱；數(shù)據(jù)庫SQL語句審計(jì)能力≥20000條/秒；旁路部署，具備Oracle、SQL、 DBMySQL等數(shù)據(jù)庫的審計(jì)功能。支持raid 1。510終端管理與防病毒軟件管理服務(wù)器共計(jì)　合格分差距非常大11 等級(jí)保護(hù)三級(jí)建設(shè)成效預(yù)計(jì)等級(jí)保護(hù)建設(shè)后，三級(jí)等保測評(píng)結(jié)果為：合格。 2 承擔(dān)國家攻關(guān)項(xiàng)目，樹立了良好行業(yè)標(biāo)桿。 3 符合國家政策要求，形成了等保最佳實(shí)踐。XX集成公司總結(jié)等級(jí)保護(hù)項(xiàng)目實(shí)施經(jīng)驗(yàn)和安全體系建設(shè)經(jīng)驗(yàn)，積累形成了安全定級(jí)知識(shí)庫、等級(jí)測評(píng)知識(shí)庫、安全體系知識(shí)庫和等級(jí)化支撐平臺(tái)，XX集成公司等級(jí)保護(hù)基于豐富的安全定級(jí)知識(shí)庫、等級(jí)測評(píng)知識(shí)庫和安全體系知識(shí)庫為理論基礎(chǔ)，以等級(jí)化支撐平臺(tái)為支撐，以安全需求為導(dǎo)向，通過專業(yè)安全服務(wù)和高性能安全產(chǎn)品，保證安全定級(jí)合理準(zhǔn)確、體系建設(shè)科學(xué)規(guī)范、安全運(yùn)維持續(xù)穩(wěn)定。 6 完整服務(wù)體系資質(zhì)，保障了服務(wù)可信可靠。 。建立起中國信息安全界覆蓋面最廣、服務(wù)內(nèi)容最全、響應(yīng)時(shí)間最短、技術(shù)水平最高的信息安全服務(wù)體系。XX集成公司安全服務(wù)部作為全國最大的專業(yè)安全咨詢服務(wù)團(tuán)隊(duì)之一，擁有大量技術(shù)精湛，經(jīng)驗(yàn)豐富的CISSP、CISP、CISA、CCIE、BSI、CIW、PMP等專業(yè)認(rèn)證的信息安全專家、網(wǎng)絡(luò)專家及項(xiàng)目管理專家，來自電信、政府、金融等領(lǐng)域的行業(yè)資深專家以及知名的網(wǎng)絡(luò)安全滲透測試專家等全方位的安全服務(wù)專家組。按需防御的等級(jí)保護(hù)在滿足國家等級(jí)保護(hù)政策前提下，結(jié)合業(yè)務(wù)需求保障信息系統(tǒng)安全可靠。從實(shí)施信息系統(tǒng)等級(jí)保護(hù)試點(diǎn)數(shù)量、規(guī)模和質(zhì)量方面均名列前茅。三級(jí)信息安全改造項(xiàng)目華能大廈網(wǎng)絡(luò)安全系統(tǒng)集成工程華能山東發(fā)電有限公司雙網(wǎng)安全改造項(xiàng)目華能山東石島灣核電廠雙網(wǎng)系統(tǒng)改造設(shè)備采購項(xiàng)目上海中醫(yī)藥大學(xué)附屬曙光醫(yī)院信息安全等級(jí)保護(hù)項(xiàng)目重慶開縣人民醫(yī)院信息安全等級(jí)保護(hù)項(xiàng)目復(fù)旦大學(xué)附屬上海市第五人民醫(yī)院重要信息系統(tǒng)三級(jí)等保安全加固項(xiàng)目13 XX集成公司等級(jí)保護(hù)服務(wù)優(yōu)勢(shì)和特色1 參與相關(guān)標(biāo)準(zhǔn)編寫，與主管部門關(guān)系融洽。集成2個(gè)PCIE千兆網(wǎng)絡(luò)控制器。9終端安全防護(hù)17物理隔離網(wǎng)閘中網(wǎng) XGAP 7000GF12U標(biāo)準(zhǔn)機(jī)箱、標(biāo)配雙電源，不少于8個(gè)10/100/1000M自適應(yīng)獨(dú)立網(wǎng)口，8個(gè)SFP插槽；內(nèi)外網(wǎng)主機(jī)系統(tǒng)分別具有獨(dú)立的網(wǎng)絡(luò)口、管理口、HA口（熱備口）；吞吐量≥10Gbps；并發(fā)連接數(shù)≥800000；1818部署在國土資源局敏感服務(wù)器群與通用服務(wù)器群之間18核心業(yè)務(wù)系統(tǒng)交換機(jī)、運(yùn)維管理區(qū)交換機(jī)華為S570048TPSIAC3以太網(wǎng)交換機(jī)主機(jī),支持 48 10/100/1000BASET端口，2個(gè)10G/1G BASEX SFP+端口,支持4個(gè)100/1000 BASEX SFP端口,支持2個(gè)Slots核心業(yè)務(wù)系統(tǒng)交換機(jī)、運(yùn)維管理區(qū)交換機(jī)19安全服務(wù)XX集成公司Neteye安全服務(wù)1面向核心業(yè)務(wù)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估安全加固滲透測試等保三級(jí)輔助測評(píng)等保三級(jí)信息安全管理制度梳理對(duì)定為三級(jí)的業(yè)務(wù)系統(tǒng)進(jìn)行信息安全等級(jí)保護(hù)三級(jí)評(píng)測(由具備等保測評(píng)資質(zhì)單位出具等保三級(jí)測評(píng)報(bào)告）4646資產(chǎn)風(fēng)險(xiǎn)評(píng)估、安全加固、等保測評(píng)等服務(wù)；20管理服務(wù)器浪潮英信服務(wù)器NF5270M322U標(biāo)準(zhǔn)機(jī)架式雙路服務(wù)器。數(shù)據(jù)中心匯聚交換機(jī)監(jiān)聽，網(wǎng)絡(luò)審計(jì)11安全監(jiān)控與管理平臺(tái)NetEye SOC 60001軟硬一體設(shè)備；功能模塊包括：數(shù)據(jù)采集、事件管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、統(tǒng)計(jì)報(bào)表、運(yùn)維工單、知識(shí)庫、安全態(tài)勢(shì)、健康度監(jiān)控、拓?fù)浔O(jiān)控、操作系統(tǒng)監(jiān)控、數(shù)據(jù)庫監(jiān)控、中間件監(jiān)控、安全事件分析統(tǒng)計(jì)、工單統(tǒng)計(jì)、策略管理、基礎(chǔ)管理、系統(tǒng)配置、系統(tǒng)管理；支持管理監(jiān)控對(duì)象資產(chǎn)數(shù)量200。最大并發(fā)連接數(shù)為100萬；1122部署在網(wǎng)絡(luò)旁路，在核心交換上做鏡像端口，監(jiān)聽所有通過防火墻的流量信息，與防火墻實(shí)現(xiàn)聯(lián)動(dòng)功能，通知防火墻處理有危險(xiǎn)的數(shù)據(jù)和非法的訪問。當(dāng)然在此之前，必須授予其訪問信息或服務(wù)的權(quán)限?？赏ㄟ^海報(bào)、通訊文章、郵件提醒和小冊(cè)子等形式向員工持續(xù)提供安全信息。對(duì)那些無視安全工作步驟的員工來說，這種方法就是一種威懾。l 從事故中吸取教訓(xùn)應(yīng)該采用一種機(jī)制，將事故和故障的類型、規(guī)模和損失進(jìn)行量化和監(jiān)控。不要將磁盤拿到其它計(jì)算機(jī)上使用。n 將問題的征兆和屏幕上顯示的消息記錄下來。應(yīng)該告訴用戶，在任何情況下，也不要試圖證明一個(gè)可疑安全漏洞。應(yīng)該建立適當(dāng)?shù)姆答伹?，以保證安全事故處理完畢后，報(bào)告人能知道該事件的處理結(jié)果。2. 技術(shù)教育員工意識(shí)教育被設(shè)計(jì)用于向員工傳遞信息，而技術(shù)教育以負(fù)責(zé)安全或特定系統(tǒng)管理職責(zé)的員工為對(duì)象。在討論意識(shí)教育時(shí)，實(shí)際是在討論教育的3個(gè)部分：l 員工意識(shí)；l 技術(shù)教育；l 持續(xù)信息；1. 員工意識(shí)員工意識(shí)教育以全體員工為對(duì)象。4. 部門信息專員及下屬單位信息主管職責(zé)各部門和下屬單位應(yīng)指定專人負(fù)責(zé)本單位息安全管理，該人員可由相關(guān)人員兼任，在各自主管負(fù)責(zé)人的領(lǐng)導(dǎo)下，在各自的工作范圍內(nèi)，管理本單位的信息安全工作，并向本單位主管負(fù)責(zé)人報(bào)告當(dāng)前單位信息安全工作的實(shí)際執(zhí)行情況以及各種問題工作匯報(bào)。信息安全管理體系相關(guān)職責(zé)主要包括：1. 信息安全管理委員會(huì)職責(zé)如下：l 決策單位信息安全整體發(fā)展規(guī)劃；l 審批和下發(fā)單位信息安全制度；l 對(duì)各單位信息安全進(jìn)行監(jiān)督、質(zhì)詢、評(píng)價(jià)；l 對(duì)各單位以及員工在信息安全管理工作中的表現(xiàn)做出獎(jiǎng)勵(lì)或處罰決定；l 審查并監(jiān)督信息安全事件的評(píng)定和處置；l 對(duì)外部侵權(quán)行為采取維權(quán)措施；l 其它與信息安全管理工作相關(guān)的決策權(quán)力。如適當(dāng)，這些責(zé)任應(yīng)在任職期滿后連續(xù)性一段時(shí)間，還應(yīng)包括員工如果不領(lǐng)會(huì)安全要求所要采取的行動(dòng)。員工應(yīng)簽署這樣的協(xié)議，作為進(jìn)入機(jī)構(gòu)的雇傭協(xié)議的條款。合約及臨時(shí)人員也要經(jīng)過同樣的過濾過程。應(yīng)嚴(yán)格限制對(duì)安全信息的交換，以確保組織的保密信息沒有傳播給未經(jīng)授權(quán)的人。2. 應(yīng)該確定負(fù)責(zé)各個(gè)信息系統(tǒng)資源和安全進(jìn)程的管理人員，并記錄責(zé)任的具體落實(shí)情況。涉密信息的所有者將其所承擔(dān)的安全責(zé)任委托給各個(gè)管理人員或服務(wù)提供商。應(yīng)明確說明對(duì)各個(gè)實(shí)際信息資產(chǎn)以及業(yè)務(wù)連續(xù)性的保護(hù)責(zé)任。在某市國土資源局內(nèi)部，需要建立一個(gè)與組織規(guī)模相宜的跨部門交流機(jī)制，由組織有關(guān)部門的管理代表參與，通過交流機(jī)制協(xié)調(diào)信息安全控制措施的實(shí)施情況。應(yīng)該建立一個(gè)安全的團(tuán)隊(duì)交流機(jī)制，確保團(tuán)隊(duì)成員可以及時(shí)溝通并對(duì)安全措施有一個(gè)明確的方向并得到管理層的實(shí)際支持。根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個(gè)某市國土資源局使用。審查過程應(yīng)該確保在發(fā)生影響最初風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)的變化（如發(fā)生重大安全事故、出現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時(shí)，對(duì)策略進(jìn)行相應(yīng)的審查。策略文檔應(yīng)該由管理層批準(zhǔn)，根據(jù)情況向所有員工公布傳達(dá)。9 信息