【文章內(nèi)容簡介】 件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容3選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)3應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書六、系統(tǒng)運(yùn)維管理應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制1應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）1對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）1應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）1介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽1應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。1應(yīng)具有設(shè)備操作手冊(cè)1應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）1應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等1應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄2應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審2應(yīng)具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報(bào)告2應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理2應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作2應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）2應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。2對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。2對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。3在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測試，并對(duì)重要文件進(jìn)行備份。3應(yīng)有補(bǔ)丁測試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄3應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）3審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）3應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）3應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測，并保存記錄。3應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄3應(yīng)對(duì)惡意代碼庫的升級(jí)情況進(jìn)行記錄（代碼庫的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告 應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。4重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)4系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）4應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性4應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔4應(yīng)對(duì)安全事件記錄分析文檔4應(yīng)具有不同事件的應(yīng)急預(yù)案4應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。4應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）4應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新5應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。第三篇：2011年單位信息安全等級(jí)保護(hù)自查工作報(bào)告2011年單位信息安全等級(jí)保護(hù)自查工作報(bào)告我校信息安全等級(jí)保護(hù)工作自查工作自啟動(dòng)以來，結(jié)合自身具體實(shí)際，認(rèn)真貫徹落實(shí)相關(guān)工作機(jī)制，逐步完善各項(xiàng)制度，積極參加信息公開相關(guān)培訓(xùn)，穩(wěn)步有序地推進(jìn)我校信息安全等級(jí)建設(shè)等各項(xiàng)工作。現(xiàn)將自查報(bào)告總結(jié)如下：一、自查情況（一）安全制度落實(shí)情況我校成立了信息安全機(jī)構(gòu)，主要負(fù)責(zé)人由校長兼任，網(wǎng)站、信息安全員由王**同志兼任。制定了計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理制度。信息管護(hù)人員負(fù)責(zé)保密管理，密碼管理，對(duì)計(jì)算機(jī)享有獨(dú)立使用權(quán)，計(jì)算機(jī)的用戶名和開機(jī)密碼為其專有，且規(guī)定嚴(yán)禁外泄。（二）安全防范措施落實(shí)情況涉密計(jì)算機(jī)經(jīng)過了保密技術(shù)檢查，并安裝了防火墻。同時(shí)配置安裝了專業(yè)殺毒軟件，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄漏等方面有效性。涉密計(jì)算機(jī)都設(shè)有開機(jī)密碼，由專人保管負(fù)責(zé)。網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象。建立了后臺(tái)信息發(fā)布審核制度，由主要領(lǐng)導(dǎo)審核以后專人進(jìn)行后臺(tái)發(fā)送。后臺(tái)用戶名、口令僅限于信息管護(hù)人員使用。（三）應(yīng)急響應(yīng)機(jī)制建設(shè)情況制定了初步應(yīng)急預(yù)案，并隨著信息化程度的深入，結(jié)合我校的實(shí)際，處于不斷完善階段。堅(jiān)持和涉密計(jì)算機(jī)系統(tǒng)定點(diǎn)維修單位聯(lián)系機(jī)關(guān)計(jì)算機(jī)維修事宜。嚴(yán)格文件的收發(fā)，完善了清點(diǎn)、修理、編號(hào)、簽收制度，并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份。二、存在問題及下一步打算要繼續(xù)加強(qiáng)對(duì)師生的安全意識(shí)教育，提高做好安全工作的主動(dòng)性和自覺性。設(shè)備維護(hù)、更新及時(shí)。要加大對(duì)線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng)，同時(shí)，針對(duì)信息技術(shù)飛速發(fā)展的特點(diǎn)，要加大更新力度。進(jìn)一步加大培訓(xùn)力度，提升業(yè)務(wù)水平和計(jì)算機(jī)信息系統(tǒng)安全防范能力。不斷提高政務(wù)信息工作人員的綜合素質(zhì)，增強(qiáng)處理信息的能力，提高信息質(zhì)量，確保我校信息公開工作安全、順利開展。2010年12月12日第四篇：信息安全等級(jí)保護(hù)測評(píng)TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案 更新時(shí)間:080327 09:37 來源:硅谷動(dòng)力 作者:中安網(wǎng)？信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國家信息安全的必要條件。信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見