【文章內(nèi)容簡(jiǎn)介】 檢查和測(cè)試備份介質(zhì)的有效性4應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔4應(yīng)對(duì)安全事件記錄分析文檔4應(yīng)具有不同事件的應(yīng)急預(yù)案4應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。4應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）4應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新5應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。第三篇：信息安全等級(jí)保護(hù)測(cè)評(píng)TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案 更新時(shí)間:080327 09:37 來(lái)源:硅谷動(dòng)力 作者:中安網(wǎng)？信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國(guó)家信息安全的必要條件。信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開(kāi)始國(guó)家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)），這是我國(guó)第一個(gè)信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過(guò)五年努力，基本形成國(guó)家信息安全保障體系，實(shí)行等級(jí)保護(hù)制度。2004年11月，四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）：等級(jí)保護(hù)是今后國(guó)家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月，國(guó)信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國(guó)信辦[2004]25號(hào)）：基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營(yíng)、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過(guò)程。2005年，公安部標(biāo)準(zhǔn)：《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》。2006年1月，四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2006]7號(hào)）。 等級(jí)保護(hù)的管理結(jié)構(gòu)－北京為例等級(jí)保護(hù)的實(shí)施和落實(shí)離不開(kāi)各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督，這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來(lái)說(shuō)明管理機(jī)構(gòu)的組成和職責(zé)，具體如下圖所示：在等級(jí)保護(hù)理論被提出以后，經(jīng)過(guò)相關(guān)部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了，其具體演進(jìn)過(guò)程如下圖所示：一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù)，需要基本需求。由于等級(jí)保護(hù)是國(guó)家推動(dòng)的旨在規(guī)范安全工作的基本工作制度，因此各級(jí)組織在這方面就存在如下需求：（1）政策要求－符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo)，符合《測(cè)評(píng)準(zhǔn)則》中的要求。（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過(guò)努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：由于等級(jí)保護(hù)制度還處于探討階段，目前來(lái)看，尚存在如下困難：“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對(duì)上述問(wèn)題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。需求分析－1問(wèn)題1：標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)方法：引入體系設(shè)計(jì)方法需求分析－2“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法保護(hù)對(duì)象框架－政府行業(yè)保護(hù)對(duì)象框架－電信行業(yè)保護(hù)對(duì)象框架－銀行業(yè)需求分析－3“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境需求分析－4“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善需求：建立長(zhǎng)效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系方法：建立安全運(yùn)行體系需求分析－5“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善，管理成本高需求：需要高水平、自動(dòng)化的安全管理工具方法：TSM安全管理平臺(tái) TNA可信網(wǎng)絡(luò)架構(gòu)模型需求分析－6“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善，管理成本高《基本要求》規(guī)定需求：在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施，滿足客戶最關(guān)注的指標(biāo)方法：引入可信計(jì)算的理念，提供可信網(wǎng)絡(luò)架構(gòu)－TopSec可信等級(jí)體系按照上面解決等級(jí)保護(hù)目前困難的方法，總體解決方案就是建立TopSec可信等級(jí)體系：遵照國(guó)家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、體系化和可信保障相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)特質(zhì)：等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略安全組織體系安全策略體系安全技術(shù)體系安全運(yùn)行體系某國(guó)有大型企業(yè)已經(jīng)采用了我們的可信等級(jí)體系，取得了良好的效果。第四篇：信息安全等級(jí)保護(hù)工作計(jì)劃篇一：信息安全等級(jí)保護(hù)工作實(shí)施方案 白魯?shù)A九年制學(xué)校信息安全等級(jí)保護(hù)工作實(shí)施方案為加強(qiáng)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號(hào)文件精神，結(jié)合我校實(shí)際，制訂本實(shí)施方案。一、指導(dǎo)思想以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會(huì)精神為指針，深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。二、定級(jí)范圍學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。三、組織領(lǐng)導(dǎo)（一）工作分工。定級(jí)工作由電教組牽頭，會(huì)同學(xué)校辦公室、安全保衛(wèi)處等共同組織實(shí)施。學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門間協(xié)調(diào)。安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。各部門依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求，開(kāi)展信息系統(tǒng)自評(píng)工作。（二）協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。成立領(lǐng)導(dǎo)小組，校長(zhǎng)任組長(zhǎng)，副校長(zhǎng)任副組長(zhǎng)、各部門負(fù)責(zé)人為成員，負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門按照總體方案落實(shí)工作任務(wù)和責(zé)任，對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督，指導(dǎo)安全保密方案制定。成立由電教組牽頭的工作機(jī)構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營(yíng)使用部門參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議；組織開(kāi)展政策和技術(shù)培訓(xùn)，掌握定級(jí)工作規(guī)范和技術(shù)要求，為定級(jí)工作打好基礎(chǔ)；全面掌握學(xué)校各部門定級(jí)保護(hù)工作的進(jìn)展情況和存在的問(wèn)題，對(duì)存在的問(wèn)題及時(shí)協(xié)調(diào)解決，形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。成立由赴省參加過(guò)計(jì)算機(jī)培訓(xùn)的教師組成的評(píng)審組，主要負(fù)責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢；二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。四、主要內(nèi)容、工作步驟（一）開(kāi)展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開(kāi)展對(duì)所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求，確定定級(jí)對(duì)象。（二）初步確定安全保護(hù)等級(jí)。各使用部門要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。（三）評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。（四）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。五、定級(jí)工作要求（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各部門要落實(shí)責(zé)任，并于12月15日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上報(bào)九年制學(xué)校。