【文章內(nèi)容簡介】 應對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））應具有介質(zhì)使用管理記錄，應記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制1應對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）1對送出維修或銷毀的介質(zhì)如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導批準）（送修記錄、帶出記錄、銷毀記錄）1應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）1介質(zhì)上應具有分類的標識或標簽1應對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護。1應具有設(shè)備操作手冊1應對帶離機房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）1應監(jiān)控主機、網(wǎng)絡設(shè)備和應用系統(tǒng)的運行狀況等1應有相關(guān)網(wǎng)絡監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設(shè)備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄2應定期對監(jiān)控記錄進行分析、評審2應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告2應建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理2應指定專人負責維護網(wǎng)絡安全管理工作2應對網(wǎng)絡設(shè)備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設(shè)備運維維護工作記錄）2應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。2對設(shè)備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設(shè)備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權(quán)與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。2對便攜式和移動式設(shè)備的網(wǎng)絡接入應進行限制管理應具有內(nèi)部網(wǎng)絡外聯(lián)的授權(quán)批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。3在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。3應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄3應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）3審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）3應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓文檔）3應指定專人對惡意代碼進行檢測，并保存記錄。3應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄3應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 應具有變更方案評審記錄和變更過程記錄文檔。4重要系統(tǒng)的變更申請書，應具有主管領(lǐng)導的批準4系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）4應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性4應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關(guān)文檔4應對安全事件記錄分析文檔4應具有不同事件的應急預案4應具有應急響應小組，應具備應急設(shè)備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。4應對系統(tǒng)相關(guān)人員進行應急預案培訓（應急預案培訓記錄）4應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新5應具有更新的應急預案記錄、應急預案審查記錄。第三篇：信息安全等級保護測評TopSec可信等級體系 天融信等級保護方案 更新時間:080327 09:37 來源:硅谷動力 作者:中安網(wǎng)？信息系統(tǒng)與社會組織體系是具有對應關(guān)系的，而這些組織體系是分層次和級別的，因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經(jīng)濟價值的。對信息系統(tǒng)的基礎(chǔ)資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統(tǒng)進行分級、分區(qū)域、分階段進行保護，這是做好國家信息安全的必要條件。信息安全等級保護工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國辦頒發(fā)《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），這是我國第一個信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標為經(jīng)過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。2004年11月，四部委會簽《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內(nèi)容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規(guī)劃與設(shè)計、實施與運營、大型復雜電子政務系統(tǒng)等級保護過程。2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。2006年1月，四部委會簽《關(guān)于印發(fā)《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。 等級保護的管理結(jié)構(gòu)－北京為例等級保護的實施和落實離不開各級管理機構(gòu)的指導和監(jiān)督，這在等級保護的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來說明管理機構(gòu)的組成和職責，具體如下圖所示：在等級保護理論被提出以后，經(jīng)過相關(guān)部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實施等級保護工作的基礎(chǔ)條件了，其具體演進過程如下圖所示：一個機構(gòu)要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規(guī)范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：（1）政策要求－符合等級保護的要求。系統(tǒng)符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。（2）實際需求－適應客戶實際情況。適應業(yè)務特性與安全要求的差異性，可工程化實施。對系統(tǒng)進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機構(gòu)、安全管理制度等5項，具體如下圖所示：由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對上述問題，在下面幾小節(jié)分別給出了堅決辦法。需求分析－1問題1：標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)方法：引入體系設(shè)計方法需求分析－2“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難需求：準確地進行大系統(tǒng)的分解和描述，反映實際特性和差異性安全要求方法：引入保護對象框架設(shè)計方法保護對象框架－政府行業(yè)保護對象框架－電信行業(yè)保護對象框架－銀行業(yè)需求分析－3“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復和低水平需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復和分散，降低成本，提高建設(shè)水平方法：引入安全平臺的設(shè)計與建設(shè)方法平臺定義：為系統(tǒng)提供互操作性及其服務的環(huán)境需求分析－4“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善需求：建立長效機制，建立可持續(xù)運行、發(fā)展和完善的體系方法：建立安全運行體系需求分析－5“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高需求：需要高水平、自動化的安全管理工具方法：TSM安全管理平臺 TNA可信網(wǎng)絡架構(gòu)模型需求分析－6“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高《基本要求》規(guī)定需求：在《基本要求》基礎(chǔ)上提出更強的措施，滿足客戶最關(guān)注的指標方法：引入可信計算的理念，提供可信網(wǎng)絡架構(gòu)－TopSec可信等級體系按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標特質(zhì)：等級化：突出重點，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運行針對性：針對實際情況，符合業(yè)務特性和發(fā)展戰(zhàn)略安全組織體系安全策略體系安全技術(shù)體系安全運行體系某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系，取得了良好的效果。第四篇：信息安全等級保護工作計劃篇一：信息安全等級保護工作實施方案 白魯?shù)A九年制學校信息安全等級保護工作實施方案為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號文件精神，結(jié)合我校實際，制訂本實施方案。一、指導思想以科學發(fā)展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我校基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。二、定級范圍學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。三、組織領(lǐng)導（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛(wèi)處等共同組織實施。學校辦公室負責定級工作的部門間協(xié)調(diào)。安全保衛(wèi)處負責定級工作的監(jiān)督。電教組負責定級工作的檢查、指導、評審。各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。（二）協(xié)調(diào)領(lǐng)導機制。成立領(lǐng)導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領(lǐng)導、協(xié)調(diào)工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導安全保密方案制定。成立由電教組牽頭的工作機構(gòu)，主要職責：在領(lǐng)導小組的領(lǐng)導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關(guān)會議；組織開展政策和技術(shù)培訓，掌握定級工作規(guī)范和技術(shù)要求，為定級工作打好基礎(chǔ)；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調(diào)解決，形成定級工作總結(jié)并按時上報領(lǐng)導小組。成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網(wǎng)絡安全提供技術(shù)支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領(lǐng)導決策提供依據(jù)。四、主要內(nèi)容、工作步驟（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，