【正文】 三十五條信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應當嚴格執(zhí)行國家密碼管理的有關規(guī)定。四、信息安全等級保護等級劃分和監(jiān)管方式（一）信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。五、信息安全等級保護制度的原則信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監(jiān)督。（八）健全長效工作機制。 溫濕度控制(G3)機房應設置溫、濕度自動調(diào)節(jié)設施,使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。c)應啟用登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。d)應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。c)應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制。 人員配備(G3)本項要求包括: a)應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等。c)應對定期安全教育和培訓進行書面規(guī)定,針對不同崗位制定不同的培訓計劃,對信息安全基礎知識、崗位操作規(guī)程等進行培訓。c)應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。b)應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報告,并采取必要的應對措施。d)應建立控制數(shù)據(jù)備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存。（安全管理制度體系的評審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。其他信息系統(tǒng)于以上系統(tǒng)在物理安全、網(wǎng)絡安全、制度安全同樣適用，因此采用自主保護原則實行保護。按照測評報告評測初稿結(jié)果，對照《信息系統(tǒng)安全等級保護基本要求》等有關標準，組織開展等級保護安全建設整改工作。同步建設原則：信息系統(tǒng)在新建、改建、擴建時應當同步規(guī)劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。三、工作內(nèi)容信息系統(tǒng)運營使用單位在開展信息安全等級保護安全建設整改工作中，應按照國家有關規(guī)定和標準規(guī)范要求，堅持管理和技術并重 的原則，將技術措施和管理措施有機結(jié)合，建立信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)整體安全保護能力。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。e)應規(guī)定應急預案需要定期審查和根據(jù)實際情況更新的內(nèi)容,并按照執(zhí)行。d)應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。 資產(chǎn)管理(G3)本項要求包括: a)應編制并保存與信息系統(tǒng)相關的資產(chǎn)清單,包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容。c)應要求開發(fā)單位提供軟件設計的相關文檔和使用指南。b)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核。 安全管理機構(gòu) 崗位設置(G3)本項要求包括: a)應設立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責。 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺 軟件容錯(A3)本項要求包括: a)應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求。b)審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件。d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。c)應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。國家密碼管理部門加強對信息安全等級保護密碼管理。第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7 7號）同時廢止。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。第十七條信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以 糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。有主管部門的，應當經(jīng)主管部門審核批準。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第一篇：國家信息安全等級保護制度《信息安全等級保護管理辦法》 四部委下發(fā)公通字[2007]43號文 《信息安全等級保護管理辦法》是為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)而制定的辦法。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造 1成損害?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB172006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》確 定系統(tǒng)等級。第五章信息安全等級保護的密碼管理 第三十四條國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。第二篇：國家信息安全等級保護制度介紹 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺 的信息安全等級保護工作。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。（七）建設技術支撐體系。d)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 邊界完整性檢查(S3)本項要求包括: a)應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺a)應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄。b)應提供自動保護功能,當故障發(fā)生時自動保護當前所有狀態(tài),保證系統(tǒng)能夠進行恢復。b)應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位,并定義各個工作崗位的職責。c)應對考核結(jié)果進行記錄并保存。d)應要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺d)應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)主要設備(包括備份和冗余設備)的啟動/停止、加電/斷電等操作。 備份與恢復管理(G3)本項要求包括: a)應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等。第四篇：信息安全等級保護信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。對保密性較高的介質(zhì)銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）1應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）1介質(zhì)上應具有分類的標識或標簽1應對各類設施、設備指定專人或?qū)ｉT部門進行定期維護。我院依據(jù)《國家信息安全等級保護度（二級）》，落實信息安全責任制，建立并落實各類安全管理制度，開展人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等工作，落實物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等安全保護技術施。動態(tài)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。整改結(jié)束后，及時將整改結(jié)果反饋到評測機構(gòu)，由評測機構(gòu)出據(jù)評測報告，及時將測評機構(gòu)出具的《信息系統(tǒng)等級測評報告》向***公安局報備。七、信息安全等級保護計劃依據(jù)我院信息等級保護現(xiàn)狀制定以下原則、計劃原則：遵循重點保護原則，準備對我院重點信息系統(tǒng)進行保護，系統(tǒng)有：HIS系統(tǒng)、電子病歷系統(tǒng)、PACS系統(tǒng)、LIS系統(tǒng)。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。2對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權(quán)與批準，由何人/何部門批準。信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。c)應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響,制定數(shù)據(jù)的備份策略和恢復策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?監(jiān)控管理和安全管理中心(G3)本項要求包括: a)應對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警,形成記錄并妥善保存。b)應制定詳細的工程實施方案控制實施過程,并要求工程實施單位能正式地執(zhí)行安全工程過程。b)應對安全責任和懲戒措施進行書面規(guī)定并告知相關人員,對違反違背安全策略和規(guī)定的人員進行懲戒。d)應制定文件明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。b)應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制。c)應對重要服務器進行監(jiān)視,包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況。b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求并定期更換。b)機房應采用防靜電地板。組織開展繼續(xù)教育工作，加強對安全專業(yè)技術人員的培訓，提高信息系統(tǒng)運營使用單位和主管部門以及安全專用產(chǎn)品研發(fā)機構(gòu)、安全服務機構(gòu)安全專業(yè)技術人員的技術和法律知識水平。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組，負責組織本單位的信息系統(tǒng)安全等級保護工作。信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規(guī)定和相關標準。保密工作部門和機構(gòu)應當監(jiān)督指導涉密信息系統(tǒng)建設使用單位準確、合理地進行系統(tǒng)定級。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。第十一條信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品，開展信息系統(tǒng)安全建設或者改建工作。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。2 制定目的 規(guī)范信息安全等級保護管理。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第三章等級保護的實施與管理 第九條信息系統(tǒng)運營、用單位應當按照《信息系統(tǒng)安全等級保護實施指南》 具體實施等級保護工作?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。第四章 涉密信息系統(tǒng)的分級保護管理第二十四條涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準，結(jié)合系統(tǒng)實際情況進行保護。第三十二條涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準BMB202007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。第七章 附則第四十二條已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全