【正文】 （ 2）強化組織保障 應明確專門信息安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查。加強全員信息安全教育培訓工作，把相關(guān)培訓納入員工培訓計劃。 三專： 在服務外包項目招標時要明確要求 服務商做到：專業(yè) 團隊專注做專項服務。 探討 習近平總書記在中央網(wǎng)信領(lǐng)導小組第一次會議上強調(diào)，網(wǎng)絡安全與信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大 人民群眾工作生活的重大戰(zhàn)略問題，沒有網(wǎng)絡安全就沒有國家安全，網(wǎng)絡安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。 探討 （二）建立信息化不信息安全銜接機制 2023年，公安廳、保密局、經(jīng)信委、財廳、國資委聯(lián)合發(fā)出 《 關(guān)于繼續(xù)深化我省信息安全等級保護工作的通知 》（粵公通字 [2023]124號），明確了信息安全要與信息化同步立項、設計、建設。 ?定級測評，排查隱患，落實整改。 ?加強通報預警。 五、單位的問題和建議 問題與建議 單位有多少信息系統(tǒng)？ 問題與建議 完 。 ?健全應急支撐。 探討 （四）加強網(wǎng)絡安全監(jiān)測預警和應急處理 ?制訂應急預案。 —— 徹底解決信息化與信息安全“兩張皮”問題。 建立信息安全責任追究制度，明確責任部門、工作崗位、具體負責人、將安全責任逐級落實到人。 考核： 制定和實行嚴格的目標考核與獎懲制度。 探討 安全保障體系架構(gòu) 探討 想做做不到： 外包服務單位的人員素質(zhì)、業(yè)務結(jié)構(gòu)、管理水平等客觀因素都會對信息系統(tǒng)的安全和發(fā)展帶來風險，而外包單位也會顯得無能為力。 應加強信息安全人才培養(yǎng)，打造適應信息化要求的專業(yè)人才隊伍。 探討 （ 1）加強頂層設計 應加強統(tǒng)籌規(guī)劃、頂層設計，在戰(zhàn)略發(fā)展規(guī)劃、信息化專項規(guī)劃的基礎上，做好信息安全體系的設計，制定信息安全專項規(guī)劃或工作計劃。通過循環(huán)把 單位 上下或工程項目的各項工作有機地聯(lián)系起來，彼此協(xié)同，互相促進。 探討 PDCA（戴明環(huán)） ? 大環(huán)套小環(huán)，小環(huán)保大環(huán)，推勱大循環(huán) ? PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個工程項目，也適應于整個單位和單位 內(nèi)的 處 室、 隊伍 以至個人。 四、推進等保工作的一些探討 探討 安全管理制度體系典型結(jié)構(gòu) 安全方針 管理規(guī)定、規(guī)范 作業(yè)指導書、操作規(guī)程 記錄、日志 第一級 方針 ，是信息安全 管理工作的綱領(lǐng)性文件 。 應從人力、設備、技術(shù)和財務等方面確保應急預案的執(zhí)行 有足夠 的資源保障； 在運維費用中，應 充分保證應急處置時有足夠的資源 。 應建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導申請 ，變更 和變更方案經(jīng)過評審、審批后方可實施變更，并在實施 后將 變更情況向相關(guān)人員通告； 應制定系統(tǒng)變更的管理制度和流程，明確 軟件開發(fā) 商、集成商、管理、運維等各方的職責和 工作內(nèi)容 ，并根據(jù)系統(tǒng)的影響范圍通告相關(guān)人員和 領(lǐng)導 。 應定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn) 異常行為 。 應對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、 網(wǎng)絡 流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存； 應定期分析政務外網(wǎng)廣域網(wǎng)、城域網(wǎng)的運行 狀況（ 如可用率），及網(wǎng)絡利用率（如流量），應 定期 對監(jiān)測和報警記錄進行分析形成分析報告， 發(fā)現(xiàn) 可疑行為時，應采取必要的應對措施，其 設備記錄 的保存時間應與設備使用生命周期相同 。 應對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能 考核 ； 考察內(nèi)容主要應包括 技能、工作責任心、保密 意識 和工作態(tài)度、再學習能力 等各方面。 應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件 冗余 ，保證系統(tǒng)的高可用性。 評定內(nèi)容 等級測評內(nèi)容： 數(shù)據(jù)完整性 數(shù)據(jù)安全 (三級 ) 數(shù)據(jù)保密性 安全備份 評定內(nèi)容 ?數(shù)據(jù)安全解讀 基本要求指標項 實施建議 應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息 和重要 業(yè)務數(shù)據(jù)存儲保密性。 評定內(nèi)容 等級測評內(nèi)容： 身份鑒別 應用安全 (三級 ) 訪問控制 通信完整性 通信保密性 安全審計 剩余信息保護 抗抵賴 軟件容錯 資源控制 評定內(nèi)容 ?應用安全解讀 基本要求指標項 實施建議 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別 可采用 堡壘機 等方式，對登錄用戶的身份進行標識 和鑒別。 應定期（ 每半年 ）清理服務器中多余、過期的賬戶 。 應具有登錄失敗處理功能，可采取 結(jié)束會話 、限制非法 登錄次數(shù) 和當網(wǎng)絡登錄連接超時自動退出等措施； 當一次登錄密碼錯誤次數(shù)超過 6次 ，應能自動關(guān)閉并告警。 評定內(nèi)容 ?網(wǎng)絡安全解讀 2 基本要求指標項 實施建議 應對審計記錄進行保護，避免受到未預期的刪除、修改或 覆蓋 等。應具有 聯(lián)網(wǎng)監(jiān)控和自動報警 、并及時通知相關(guān)運維人員等功能。 政務外網(wǎng)的重要設備如廣域網(wǎng)核心路由器、城域網(wǎng)核心交換機等，應與其他網(wǎng)絡和應用設備隔離放置 ，并按消防要求采取相應的防火措施。 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中； 在線纜的兩端做好 標記 。 等保概念 信息安全等級保護工作