信息安全情况报告范文

时间:2024-01-09 17:31:41

导语:如何才能写好一篇信息安全情况报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全情况报告

篇1

一、加强组织领导,确保责任落实到位

为做好信息公开保密审查工作,领导高度重视。健全组织机构,确保领导到位。调整充实了保密工作领导小组,由局长王成双同志任组长,分管保密、信息工作的副局长杨慎敏同志任副组长,各股室处负责人为成员。领导小组下设办公室,由王强同志兼任办公室主任,并落实了办公室工作人员,负责信息公开保密审查工作具体事务。形成了主要领导亲自抓,分管领导直接抓,专职人员具体抓的良好格局,为开展信息公开保密审查工作奠定了坚实的组织基础。

二、完善机制,确保制度到位

建立健全了信息公开保密审查机制,明确了审查职责。今来,结合司法行政工作实际,建立了《县司法局保密工作管理制度》、《县司法局要害部位保密安全管理制度》、《县司法局档案保密管理制度》、《县司法局送阅、传阅文件保密管理制度》、《县司法局会议保密管理制度》、《县司法局领导干部保密工作责任制》、《县司法局保密岗位工作职责》、《和非互联网保密管理制度》、《和非移动存储介质保密管理制度》、《网络保密制度》、《公共信息网络上信息保密管理制度》、《互联网维修、更换、报废保密管理制度》等。

三、开展保密宣传教育情况

为认真做好保密机要工作,结合工作实际,切实把保密教育工作贯穿于日常工作中。在平时的学习例会上,多次强调做好保密工作的极端重要性。组织全体干部职工认真学习了《中华人民共和国保密法》、《国家工作人员保密守则》等保密工作规章制度以及省、州、县保密工作有关文件会议精神等。对办公室档案管理员、文书收发等对保密要害部门、部位保密工作人员加强保密教育。做好保密工作的检查督促,促进全体工作人员提高思想认识,增强做好保密工作的业务能力。

四、互联网信息公开保密审查工作开展情况

(一)严格实施有关互联网信息保密管理制度,加大保密审查力度。

对主动公开的政务信息,由局办公室确定并制作、更新。在起草公文和制作信息时,对文件内容是否公开提出拟定意见,对属于免于公开的政府信息说明具体理由,由股室负责人审核并报单位分管领导审批后报局信息公开保密审查领导小组审批。各处室及个人未经许可,不得私自连接集线器(HUB)、不得将私人互联网接入局域网。

(二)抓好互联网信息系统的保密管理。

篇2

一、总则

(一)编制目的

为提处置网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地预防和减少网络与信息安全突发事件及其造成的损害,保障信息资产安全,特制定本预案。

(二)编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机病毒防治管理办法》,制定本预案。

(三)分类分级

本预案所称网络与信息安全突发事件,是指本系统信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。

1、事件分类

根据网络与信息安全突发事件的性质、机理和发生过程,网络与信息安全突发事件主要分为以下三类:

(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。

(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。

(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。

2、事件分级

根据网络与信息安全突发事件的可控性、严重程度和影响范围,县上分类情况。

(1)i级、ⅱ级。重要网络与信息系统发生全局大规模瘫痪,事态发展超出控制能力,需要县级各部门协调解决,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息安全突发事件。

(2)ⅲ级。某一部分的重要网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,属县内控制之内的信息安全突发事件。

(3)ⅳ级。重要网络与信息系统使用效率上受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的信息安全突发事件。

(四)适用范围

适用于本系统发生或可能导致发生网络与信息安全突发事件的应急处置工作。

(五)工作原则

1、居安思危,预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。

2、提高素质,快速反应。加强网络与信息安全科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。

3、以人为本,减少损害。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公共财产、信息资产遭受损失。

4、加强管理,分级负责。按照“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间协调与配合,形成合力,共同履行应急处置工作的管理职责。

5、定期演练,常备不懈。积极参与县上组织的演练,规范应急处置措施与操作流程,确保应急预案切实有效,实现网络与信息安全突发事件应急处置的科学化、程序化与规范化。

二、组织指挥机构与职责

(一)组织体系

成立网络安全工作领导小组,组长局党委书记、局长担任,副组长由局分管领导,成员包括:信息全体人员、各通信公司相关负责人。

(二)工作职责

1、研究制订我中心网络与信息安全应急处置工作的规划、计划和政策,协调推进我中心网络与信息安全应急机制和工作体系建设。

2、发生i级、ⅱ级、ⅲ级网络与信息安全突发事件后,决定启动本预案,组织应急处置工作。如网络与信息安全突发事件属于i级、ⅱ级的,向县有关部门通报并协调县有关部门配合处理。

3、研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。

4、指导应对网络与信息安全突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。

5、及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。对可能演变为i级、ⅱ级、ⅲ级的网络与信息安全突发事件,应及时向相关领导提出启动本预案的建议。

6、负责提供技术咨询、技术支持,参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。

三、监测、预警和先期处置

(一)信息监测与报告

1、要进一步完善各重要信息系统网络与信息安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发网络与信息安全突发事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向领导汇报。初次报告最迟不得超过4小时,较大、重大和特别重大的网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

2、重要信息系统管理人员应确立2个以上的即时联系方式,避免因信息网络突发事件发生后,必要的信息通报与指挥协调通信渠道中断。

3、及时上报相关网络不安全行为:

(1)恶意人士利用本系统网络从事违法犯罪活动的情况。

(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。

(3)网络恐怖活动的嫌疑情况和预警信息。

(4)网络安全状况、安全形势分析预测等信息。

(5)其他影响网络与信息安全的信息。

(二)预警处理与预警

1、对于可能发生或已经发生的网络与信息安全突发事件,系统管理员应立即采取措施控制事态,请求相关职能部门,协作开展风险评估工作,并在2小时内进行风险评估,判定事件等级并预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。

2、领导小组接到汇报后应立即组织现场救援,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。

(三)先期处置

1、当发生网络与信息安全突发事件时,及时请技术人员做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向上级信息安全领导小组通报。

2、信息安全领导小组在接到网络与信息安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对有可能演变为ⅲ级网络与信息安全突发事件,技术人员处置工作提出建议方案,并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定现场指导、组织设备厂商或者系统开发商应急支援力量,做好应急处置工作。对有可能演变为ⅱ级或i级的网络与信息安全突发事件,要根据县有关部门的要求,上报县政府有关部门,赶赴现场指挥、组织应急支援力量,积极做好应急处置工作。

四、应急处置

(一)应急指挥

1、本预案启动后,领导小组要迅速建立与现场通讯联系。抓紧收集相关信息,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥网络与信息安全应急处置工作。

2、需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。

(二)应急支援

本预案启动后,领导小组可根据事态的发展和处置工作需要,及时申请增派专家小组和应急支援单位,调动必需的物资、设备,支援应急工作。参加现场处置工作的有关人员要在现场指挥部统一指挥下,协助开展处置行动。

(三)信息处理

现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组,不得隐瞒、缓报、谎报。符合紧急信息报送规定的,属于i级、ⅱ级信息安全事件的,同时报县委、县政府相关网络与信息安全部门。

(四)扩大应急

经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。要迅速召开信息安全工作领导小组会议,根据事态情况,研究采取有利于控制事态的非常措施,并向县政府有关部门请求支援。

(五)应急结束

网络与信息安全突发事件经应急处置后,得到有效控制,将各监测统计数据报信息安全工作领导小组,提出应急结束的建议,经领导批准后实施。

五、相关网络安全处置流程

(一)攻击、篡改类故障

指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。现网站出现非法信息或页面被篡改,要第一时间请求相关职能部门取证并对其进行删除,恢复相关信息及页面,同时报告领导,必要时可请求对网站服务器进行关闭,待检测无故障后再开启服务。

(二)病毒木马类故障

指网站服务器感染病毒木马,存在安全隐患。

1)对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。

2)发现服务器感染病毒木马,要立即对其进行查杀,报告领导,根据具体情况,酌情上报。

3)由于病毒木马入侵服务器造成系统崩溃的,要第一时间报告领导,并联系相关单位进行数据恢复。

(三)突发性断网

指突然性的内部网络中某个网络段、节点或是整个网络业务中断。

1)查看网络中断现象,判定中断原因。若不能及时恢复,应当开通备用设备和线路。

2)若是设备物理故障,联系相关厂商进行处理。

(四)数据安全与恢复

1.发生业务数据损坏时,运维人员应及时报告领导,检查、备份系统当前数据。

2.强化数据备份,若备份数据损坏,则调用异地光盘备份数据。

3.数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。

4.中心应待数据系统恢复后,检查基础数据的完整性;重新备份数据,并写出故障分析报告。

(五)有害信息大范围传播

系统内发生对互联网电子公告服务、电子邮件、短信息等网上服务中大量出现危害国家安全、影响社会稳定的有害、敏感信息等情况进行分析研判,报经县委、县政府分管领导批准后启动预案;或根据上进部门要求对网上特定有害、敏感信息及时上报,由上级职能部门采取封堵控制措施,按照市上职能部门要求统一部署启动预案。

(六)恶意炒作社会热点、敏感问题

本系统互联网网站、电子公告服务中出现利用社会热点、敏感问题集中、连续、反复消息,制造舆论焦点,夸大、捏造、歪曲事实,煽动网民与政府对立、对党对社会主义制度不满情绪,形成网上热点问题恶意炒作事件时,启动预案。

(七)敏感时期和重要活动、会议期间本地互联网遭到网络攻击

敏感时期和重要活动、会议期间,本系统互联网遭受网络攻击时,启动预案。要加强值班备勤,提高警惕,密切注意本系统网上动态。收到信息后,及时报警,要迅速赶赴案(事)发网站,指导案(事)件单位采取应急处置措施,同时收集、固定网络攻击线索,请求县上技术力量,分析研判,提出技术解决方案,做好现场调查和处置工作记录,协助网站恢复正常运行并做好防范工作。

六、后期处置

(一)善后处置

在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施。

(二)调查和评估

在应急处置工作结束后,信息安全工作领导小组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,写出调查评估报告。

七、应急保障

(一)通信与信息保障

领导小组各成员应保证电话24小时开机,以确保发生信息安全事故时能及时联系到位。

(二)应急装备保障

各重要信息系统在建设系统时应事先预留出一定的应急设备,做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时,由领导小组负责统一调用。

(三)应急队伍保障

按照一专多能的要求建立网络与信息安全应急保障队伍。选择若干经国家有关部门资质认可的,具有管理规范、服务能力较强的企业作为我县网络与信息安全的社会应急支援单位,提供技术支持与服务;必要时能够有效调动机关团体、企事业单位等的保障力量,进行技术支援。

(四)交通运输保障

应确定网络与信息安全突发事件应急交通工具,确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由领导小组统一调配。

(五)经费保障

网络与信息系统突发公共事件应急处置资金,应列入年度工作经费预算,切实予以保障。

八、工作要求

(一)高度重视。互联网信息安全突发事件应急处置工作事关国家安全、社会政治稳定和经济发展,要切实增强政治责任感和敏感性,建立应急处置的快速反应机制。

篇3

通过开展信息安全检查工作,进一步落实信息安全责任,增强全员信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。

二、检查范围

信息安全检查的范围包括县市区卫生局和市直医疗卫生单位。涉及国家秘密的信息系统安全检查,按照国家保密管理规定和标准执行。

三、检查内容

(一)信息安全管理情况

按照国家信息安全政策和标准规范要求,信息安全管理规章制度的建立健全及落实情况。重点检查信息安全主管领导、信息管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。

(二)技术防护情况

网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定,对部门或行业正常生产生活具有较大影响的重要网络与信息系统的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。

(三)应急工作情况

按照国家网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制。重点检查信息安全事件应急预案制订、修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置及查处情况等。

(四)安全教育培训情况

重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。

(五)安全问题整改情况

重点检查以往信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。

四、检查方式

按照“谁主管谁负责、谁运行谁负责”的原则,信息安全检查工作以各县市区卫生局和市直医疗卫生单位组织自查为主。同时,市卫生局将会组织专业技术队伍对部分重点单位和重要系统进行安全抽查。

(一)安全自查

各县市区卫生局和市直医疗卫生单位统筹组织安排本地和本单位的信息安全自查工作,制定信息安全检查实施方案,印发检查部署文件,明确自查范围、责任单位、工作安排及工作要求等相关内容,并认真组织实施。自查工作完成后,各县、市(区)卫生局和市直医疗卫生单位要对本地卫生系统和本单位检查情况进行全面汇总、总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,撰写检查总结报告。

(二)安全抽查

1.抽查任务

市卫生局将组织专业技术队伍对部分县市区卫生局和市直医疗卫生单位进行抽查,抽查单位和时间另行通知。

2.抽点内容

(1)现场抽查内容。重点检查被抽查单位自查工作组织开展情况,2012年安全检查发现问题的整改情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据传输、存储等安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测,深入挖掘安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,帮助排查安全隐患,分析评估安全风险。

(2)外部检测内容。通过互联网对被抽查的网站系统、业务系统等安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。

五、时间安排

(一)自查时间安排

自查工作自本工作方案印发之日起启动,2013年9月23日结束。

(二)抽查时间安排

市卫生局牵头组织的抽查工作自9月23日起启动,9月30日前完成。

六、信息报送

(一)请各县市区卫生局和市直医疗卫生单位于2013年9月23日前向市卫生局上报检查总结报告,以及《地方/行业信息安全检查结果统计汇总表》(卫生局填报本地区卫生系统汇总后数据,医疗卫生单位填写本单位数据)、《信息安全检查结果统计表》和《政府部门信息安全管理工作自评估表(试行)》等相关材料。

(二)报送方式。报送材料纸质版至市卫生局办公室,电子版请通过省卫生厅集群办公OA系统发送至市卫生局。如填报内容,请按照保密要求通过机要方式传送。

(三)在自查中发现重大安全隐患或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时,应及时向市卫生局和本地信息化管理部门报告。

七、有关工作要求

(一)加强领导,落实责任

各县市区卫生局和市直医疗卫生单位要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。

(二)注重源头,深入检查

各县市区卫生局和市直医疗卫生单位要全面细致开展检查工作,注重采用技术检测等手段,深入查找安全问题和隐患。认真统计与填报数据,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。

(三)即查即改,确保成效

各县市区卫生局和市直医疗卫生单位对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采取临时防范措施,保证系统安全正常运行。各县市区卫生局应及时把检查中发现的问题通报给相关单位,督促相关单位组织风险研判、并落实整改措施,对于逾期未进行整改的单位将予以通报。

(四)密切配合,加强指导

各县市区卫生局应加强与同级信息化主管部门的沟通合作,组织专业技术队伍对检查工作进行技术咨询和指导,不断提高检查

工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查

单位应加强沟通,做好配合工作,保障信息安全抽查工作的顺利

开展。

篇4

通过开展信息系统安全检查,掌握全局信息安全总体态势,发现存在的主要问题和薄弱环节,推动局及下属事业单位进一步健全信息安全管理制度、完善信息安全保障技术措施、提高信息安全防护能力。

二、检查范围和内容

对局机关及下属事业单位信息安全工作进行全面检查。

检查内容包括:局机关和下属事业单位自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统以及部分终端设备等,检点为公共服务业务系统和门户网站。详细内容参见《2012年度市地震局机关信息系统安全自查情况报告表》。

涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。

三、检查原则

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。

局机关各处(室)信息系统安全检查,由办公室牵头组织实施。

下属事业单位信息安全检查工作由台、中心自行组织开展。

四、检查形式及时间安排

信息系统安全检查以自查为主。局机关及下属事业单位应于7月2日至7月6日完成本年度信息安全自查,应按照《2012年度市地震局机关信息系统安全自查情况报告表》逐项检查,并核对准确度。局办公室应于7月10日前完成《2012年度市地震局信息系统安全检查工作报告》的撰写和报送市信安办工作。自查结束后,要尽快消除自查中发现的安全隐患,时刻绷紧信息安全这根弦,全面迎接7月中旬市政府信息系统安全检查小组的抽查。

五、工作要求

(一)局及下属事业单位应将信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,确保检查工作顺利开展。

(二)请局办公室于7月10日前,将自查工作总结(纸质文档和电子光盘)报送市信安办(纸质材料需盖章)。

篇5

1总则

1.1编制目的

为保障XX市医疗保障局网络和信息安全,提高应对网络安全事件的能力,预防和减少网络安全事件造成的损失和危害,进一步完善网络安全事件应急处置机制,制定本预案。

1.2编制依据

《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《应急预案编制导则》(GBA29639-2013)、《信息技术服务运行维护第3部分:应急响应规范》(GBA28827.3-2012)等相关规定。

1.3工作原则

强化监测,主动防御。强化网络和信息安全防护意识,加强日常安全检测,积极主动防御,做到安全风险早发现。

明确分工,落实责任。加强网络和信息安全组织体系建设,明确网络安全应急工作权责,健全安全信息通报机制,做到安全风险早通报。

快速响应,有效处置。加强日常监管和运维,强化人力、物资、技术等基础资源储备,增强应急响应能力,做到安全问题早处置。

1.4适用范围

本预案适用于市医疗保障局网络和信息安全事件应急工作。

2事件分级与监测预警

2.1事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。

(1)有害程序事件。包括:计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

(2)网络攻击事件。包括:拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

(3)信息破坏事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

(4)信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

(5)设备设施故障。包括:软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

(6)灾害性事件。指由自然灾害等其他突发事件导致的网络安全事件。

(7)其他事件。指除以上所列事件之外的网络安全事件。

2.2事件分级

按照事件性质、严重程度、可控性和影响范围等因素,将市医疗保障局网络和信息安全事件划分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应特别重大、重大、较大和一般安全应急事件。

(1)Ⅰ级(特别重大)。局网络和信息系统发生全局性瘫痪,事态发展超出控制能力,产生特别严重的社会影响或损害的安全事件。

(2)Ⅱ级(重大)。局网络与信息系统发生大规模瘫痪,对社会造成严重损害,需要局各科室(单位)协同处置应对的安全事件。

(3)Ⅲ级(较大)。局部分网络和信息系统瘫痪,对社会造成一定损害,事态发展在掌控之中的安全事件。

(4)Ⅳ级(一般)。局网络与信息系统受到一定程度的损坏,对社会不构成影响的安全事件。

2.3预警监测

有关科室(单位)应加强日常预警和监测,必要时应启动应急预案,同时向局网络安全和信息化领导小组(以下简称“领导小组”)通报情况。收到或发现预警信息,须及时进行技术分析、研判,根据问题的性质、危害程度,提出安全预警级别。

(1)对发生或可能发生的Ⅳ级安全事件,及时消除隐患避免产生更为严重的后果。

(2)对发生或可能发生的Ⅲ级安全事件,迅速组织技术力量,研判风险,消除影响,并将处置情况和结果报领导小组,由领导小组预警信息。

(3)对发生和可能发生的Ⅱ级安全事件,应迅速启动应急预案,召开应急工作会议,研究确定事件等级,研判事件产生的影响和发展趋势,组织技术力量进行应急处置,并将处置情况报领导小组,由领导小组预警信息。

(4)对于发生和可能发生的Ⅰ级安全事件,迅速启动应急预案,由领导小组向省医疗保障局、市委网络安全和信息化委员会办公室、市公安局通报,并在省级有关部门的指挥下开展应急处置工作,预警信息由省级有关部门。

3应急处置

3.1网页被篡改时处置流程

(1)网页由主办网站的科室(单位)负责随时密切监视显示内容。

(2)发现非法篡改时,通知技术单位派专人处理,并作好必要记录,确认清除非法信息后,重新恢复网站访问。

(3)保存有关记录及日志,排查非法信息来源。

(4)向领导小组汇报处理情况。

(5)情节严重时向公安部门报警。

3.2遭受攻击时处置流程

(1)发现网络被攻击时,立即将被攻击的服务器等设备断网隔离,并及时向领导小组通报情况。

(2)进行系统恢复或重建。

(3)保持日志记录,排查攻击来源和攻击路径。

(4)如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。

3.3病毒感染处置流程

(1)发现计算机被感染上病毒后,将该机从网络上隔离。

(2)对该设备的硬盘进行数据备份。

(3)启用杀病毒软件对该机器进行杀毒处理工作。

(4)必要时重新安装操作系统。

3.4软件系统遭受攻击时处置流程

(1)重要的软件系统应做异地存储备份。

(2)遭受攻击时,应及时采取相应措施减少或降低损害,必要时关停服务,断网隔离,并立即向领导小组报告。

(3)网络安全人员排查问题,确保安全后重新部署系统。

(4)检查日志等资料,确定攻击来源。

(5)情况严重时,应保留记录资料并立即向公安部门报警。

3.5数据库安全紧急处置流程

(1)主要数据库系统应做双机热备,并存于异地。

(2)发生数据库崩溃时,立即启动备用系统。

(3)在备用系统运行的同时,尽快对故障系统进行修复。

(4)若两主备系统同时崩溃,应立即向领导小组报告,并向软硬件厂商请求支援。

(5)系统恢复后,排查原因,出具调查报告。

3.6网络中断处置流程

(1)网络中断后,立即安排人员排查原因,寻找故障点。

(2)如属线路故障,重新修复线路。

(3)如是路由器、交换机配置问题,应迅速重新导入备份配置。

(4)如是路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。

(5)如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。

3.7发生火灾处置流程

(1)首先确保人员安全,其次确保核心信息资产的安全,条件允许的情况下再确保一般信息资产的安全。

(2)及时疏散无关人员,拨打119报警电话。

(3)现场紧急切断电源,启动灭火装置。

(4)向领导小组报告火灾情况。

4调查与评估

(1)网络和信息安全事件应急处置结束后,由相关科室(单位)自行组织调查的,科室(单位)对事件产生的原因、影响以及责任认定进行调查,调查报告报领导小组。

(2)网络和信息安全事件应急处置结束后,对按照规定需要成立调查组的事件,由领导小组组织成立调查组,对事件产生的原因、影响及责任认定进行调查。

(3)网络和信息安全事件应急处置结束后,对产生社会影响且由省级有关部门进行调查的,按照省级有关部门的要求配合进行事件调查。

5附则

篇6

[关键词]信息安全管理 评估模型 管理体系

中图分类号:P9.T3308 文献标识码:A 文章编号:1009-914X(2016)21-0400-01

1、 引言

随着信息化建设的发展,信息安全越来越多的受到人们的重视,企业信息安全重点面临的问题主要表现在[1]:1)网络受到外部的恶意攻击,部分单位无终端接入控制措施,使企业的正常业务无法开展或相关重要数据被盗取;2)网站受到黑客攻击,由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞,加以利用并篡改网站信息及获取网站管理权限,使得网站陷入瘫痪;3)信息的监管不利产生不良的影响,通常情况下信息没有主管部门负责审核导致监管不到位,那么不良信息就可能由于工作人员的疏忽而上传到网站上,造成不良影响;4)计算机病毒的危害,相关系统不及时更新补丁和升级,受到病毒入侵并加以利用,篡改应用系统信息或获取管理权限,使得应用系统丢失重要信息。

当前,有关信息系统的安全评价虽然存在着多种多样的具体实践方式,但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP[2](Analytic Hierarchy Process)或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。

大型企业信息安全管理体系的研究,就是为了寻找一个科学、合理的管理体系,并根据该体系和方法对大型企业的信息安全状况和水平进行评价,对信息安全管理绩效进行考核。

2、 大型企业信息安全管理体系的内涵

通过管理体系的应用,将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应,认识企业信息安全存在的不足之处,发挥考评体系的指导作用,引导企业“信息安全”工作健康科学发展;二是可以为企业信息安全的建设指明方向,为信息安全的发展提供有力支撑;三是可以帮助企业管理者建立起一套科学的信息安全管理系统,有效控制信息化活动的进程,提高信息安全级别,减少因信息安全事件引起的损失,有利于正确引导和规范企业的信息化建设,指导企业科学发展具有重要的意义。

3、 大型企业信息安全管理体系的主要做法

为了大型企业信息安全管理体系的建立,提出了管理体系的目标:对于信息安全方面出现的问题,达到防范目的;对于信息安全工作进行查漏补缺,加强管理;通过评估体系的考核,落实相关信息安全文件、推进信息安全工作,为企业信息安全的建设指明方向,同时注重管理体系整体的时效性,根据信息安全发展的不同阶段进行及时更新。

1) 建立大型企业信息安全体系

信息安全体系总体设计。信息安全体系设计共分为三级,包含9个一级指标,14个二级指标,27个三级指标。一级指标和二级指标为共性指标,三级指标为数据采集项。一级指标包括:网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下:

2)信息安全考评指标的权重设计

指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法,结合政策导向确定。

管理体系的指标权重确定方法设计过程中,选取两组技术、管理等方面的专家,其中一组专家根据各指标在企业信息化中的重要程度,确定各指标的相对重要性,采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度,对各指标按百分制进行赋值,确定各指标的权重。综合两组专家的意见,初步确定各指标的权重,再组织专家研讨会,最终确定各指标的权重。

企业信息安全考评指标总分计算方法:

I=Σ(Pi*Wi) (1)

I表示指标体系的总得分;Pi表示第i个指标的得分,各指标得满分都是100分;Wi表示第i个指标的权重,所有指标权重的和为100%。

3)建设大型企业信息化评价管理系统

为了实施信息安全措施体系,以信息安全体系、信息安全文件和考评制度为基础,研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统,将减轻信息化管理部门的负担,填报和汇总数据的效率显著提高,最为突出的是以上报数据为基础,可以自动、实时地形成各种统计、分析图表,从而完成以往需要信息化管理人员几天才能完成的大量统计工作,大大减轻了信息化管理部门的工作强度,增加了信息化管理部门对新情况快速反应能力。

系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成,系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层,并在此基础上开发了业务系统。

系统主要实现了如下功能:

编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理(含单位、指标项)、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。

建立统一的数据报送平台,提高企业信息整合水平。

建立在线交流及公告平台。

系统根据建立的数学模型进行综合分析,可自动、实时地形成各种统计分析图表、报告等,例如:信息化评级、信息化水平评测报告。

4、 结束语

通过大型企业信息安全管理体系的实施,使企业信息化水平评估体系更加完善,在考评信息化建设水平的同时,又对信息安全水平等级有所提升。

参考文献

[1] 周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.

[2] 常建娥,蒋太立.层次分析法确定权重的研究[J].武汉理工大学学报,信息与管理工程版,2007,1(29):153-156.

篇7

基础设施安全隐患自查报告范文(一)

根据《关于转发<关于开展2019年六安市网络安全检查工作的通知>的通知》(区宣字〔2019〕23号)的要求,椿树镇党委、政府高度重视并迅速开展检查工作,现将检查情况总结报告如下:

一、成立领导小组

为进一步加强网络信息系统安全管理工作,我镇成立了网络信息工作领导小组,由镇长任组长,分管副书记任副组长,下设办公室,做到分工明确,责任具体到人,确保网络信息安全工作顺利实施。

二、网络安全现状

目前我镇共有电脑32台,均采用防火墙对网络进行保护,并安装了杀毒软件对全镇计算机进行病毒防治。

三、网络安全管理措施

为了做好信息化建设,规范政府信息化管理,我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。

针对计算机保密工作,我镇制定了《椿树镇镇信息审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度,并定期对网站上的所有信息进行整理,未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》,确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理,并及时存档备份;此外,在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。

四、网络安全存在的不足及整改措施

目前,我镇网络安全仍然存在以下几点不足:

一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。

针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:

1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。

2、加强干部职工在计算机技术、网络技术方面的学习,不断提高机关干部的计算机技术水平。

基础设施安全隐患自查报告范文(二)

按照《XX市交通局关于开展全市重大交通基础设施安全隐患排查工作的通知》文件的安排部署,10月25日至11月2日,市公路处副处长刘大伦、刘志斌带队赴各县、区(市),采取检查组重点抽查与各县、区(市)自查结合的方式,检查了全市管养的县公路、乡公路和部分村公路XX县乡公路桥梁情况。现将综合检查情况报告如下:

一、公路检查情况

全面检查了县公路68条,抽查和自查了乡公路692条、村公路310条。查出存在安全隐患的线路有958条,需处治隐患4521处,处治隐患里程1587.464公里,需总投资4307.23万元。没有发现重大安全隐患。检查资料已上报省公路局。

二、桥梁检查情况

抽查农村公路管理养护桥梁211座(不含村道中小桥),自查管理养护农村公路桥梁499座(不含村道中小桥)。大部分桥梁存在不同类型安全隐患的桥梁。已查出存在安全隐患的管理养护桥梁:二郎小桥、二郎大桥、两河口二桥、两蔑路一桥、梁蔑路二桥、官渡大桥、人仁路孔滩桥、官渡鱼湾大桥、河闪渡大桥、戏子滩大桥、龙塘桥、半坎桥、乐庄桥、盐津河大桥、两河口大桥等,存在的隐患类型主要是超荷、地质灾害、水毁等,隐患程度不一,有的仅需少量人财物即可恢复,有的需列入危桥改造工程维修加固。针对隐患的不同类型和程度,分别采取了设置超载限速标志、落实专人监管、向省公路局上报检查资料等措施。

募溪河桥(XX县)、青杠塘桥(XX县)、进化新桥(XX县)等在建桥梁、危桥维修加固桥梁未发现安全隐患。列入抽查的通村公路桥梁,以及各县、区(市)自查通村公路桥梁,检查中没有发现重大安全隐患。

三、安保工程实施情况

根据省公路局“关于XX市农村公路安全保障工程设计方案的批复”(黔路复〔2019〕169号文),我市今年18个项目的安保工程计划,中央车购税投资827万元,项目涉及习水、务川、湄潭、仁怀、绥阳、余庆、桐梓、正安、XX县及习赤公司等十个县、区(市),12月底完成钢筋砼护栏14808米,波型护栏74698米,警示墩3589个,禁令和警告标志898套,地名和指路标志18套,标线4194㎡,处治隐患670处,处治隐患里程309k,完成投资827万元。

四、水毁恢复情况

据统计,进入雨季以来,我市有41条农村公路发生水毁,工程量:损毁路基13906 m3/2365m,冲毁路面砂路87000 m2/4428m,砼或沥青路面14261 m2/4428m;桥梁局部毁20米/1座;涵洞全毁18道,局部毁6道;挡墙15908 m3/193处,坍方259342 m3/620处,需恢复资金810.682万元。今年共安排水毁抢险资金320万元,主要修复路基缺口、山体滑坡造成改移线路段截12月底共完成挡墙修复23500m3, 177处,改线3.2公里,恢复水毁线路37条。

检查表明:我市列入管理养护的农村公路及桥梁,安全形势稳定,无安全事故,

五、下步工作安排

(一)进一步全面了解本辖区内事故事易发路段,建立安保工程数据库。

(二)逐年安排资金消除存在安全隐患的线路。

六、存在问题及建议

(一)我市农村公路点多、线长、面广,公路建设中未考虑安保设施,安全隐患治理资金投入少,急需治理隐患较多,为保障公路安全运行,需各级筹措资金治理现有农村安全隐患。建议今后公路改建安全设施应纳入设计。

(二)汛期水毁灾害有突发性和季节性特征。由于无水毁预备资金,发生灾害后不能及时安排资金处治,计划报送后,往往投资不足,造成水毁工程修复不彻底,部分路段只能设置简易警示标志,建议安排水毁预备金。

基础设施安全隐患自查报告范文(三)

根据南信联发[XX]4号文件《关于开展**市电子政务网信息安全与网络管理专项检查的通知》文件精神,我局积极组织落实,认真对照,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,对我局的网络信息安全建设进行了深刻的剖析,现将自查情况报告如下:

一、加强领导,成立了网络与信息安全工作领导小组

为进一步加强全局网络信息系统安全管理工作,我局成立了网络与信息系统安全保密工作领导小组,由局长任组长,下设办公室,做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。

二、我局网络安全现状

我局的统计信息自动化建设从一九九七年开始,经过不断发展,逐渐由原来的小型局域网发展成为目前与国家局、自治区局以及县区局实现四级互联互通网络。网络核心采用思科7600和3600交换机,数据中心采用3com4226交换机,汇集层采用3com4226交换机、思科2924交换机和联想天工ispirit 1208e交换机,总共可提供150多个有线接入点,目前为止已使用80个左右。数据中心骨干为千兆交换式,百兆交换到桌面。因特网出口统一由市信息办提供,为双百兆光纤;与自治区统计局采用2兆光纤直联,各县区统计局及三个开发区统计局采用天融信vpn虚拟专用网络软件从互联网上连接进入到自治区统计局的网络,vpn入口总带宽为4兆,然后再连接到我局。横向方面,积极推进市统计局与政府网互联,目前已经实现与100多家市级党政部门和12个县区政府的光纤连接。我局采用天融信硬件防火墙对网络进行保护,采用伟思网络隔离卡和文件防弹衣软件对重点计算机进行单机保护,安装正版金山毒霸网络版杀毒软件,对全局计算机进行病毒防治。

三、我局网络信息化安全管理

为了做好信息化建设,规范统计信息化管理,我局专门制订了《**市统计局信息化规章制度》,对信息化工作管理、内部电脑安全管理、机房管理、机房环境安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。

针对计算机保密工作,我局制定了《涉密计算机管理制度》,并由计算机使用人员签订了《**市统计局计算机保密工作岗位责任书》,对计算机使用做到“谁使用谁负责”;对我局内网产生的数据信息进行严格、规范管理。

此外,我局在全局范围内每年都组织相关计算机安全技术培训,计算站的同志还积极参加市信息办及其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我局统计信息网络正常运行。

四、网络安全存在的不足及整改措施

目前,我局网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。

针对目前我局网络安全方面存在的不足,提出以下几点整改办法:

篇8

【关键词】金融信息;安全体系;措施

随着社会的不断进步和发展,“数字化”社会正慢慢向人们生产生活靠近,信息化的时代促使了整个社会发展对信息资源产生巨大依赖,同时也形成了信息资源成为重要资产的局面,信息资源相对于传统的资源实体更容易遭受损害,这就给计算机技术的迅猛发展带来了潜在的信息安全问题,在信息化愈加普及的今天,加强对信息资源的保护,建立完善的金融信息安全体系,才能确保信息体系的安全运行和实施,保障了监视、评审信息安全,并能在此基础上做到有效的保持和改进。

1信息安全体系概况

信息安全体系的构建在于其通过计算机技术在内部形成有效的防火墙和巩固的内部系统来预防和阻止因非法入侵、攻击、盗用而造成的信息遗失安全问题,信息安全管理主要包括系统安全管理、安全服务管理和安全机制管理。要确保信息安全体系的有效运行,就要确保安全有效的信息安全保护机制。

1.1信息安全保护机制

信息安全保护机制的形成是由内而外的逐级形成,其形成的基础在于现阶段全民对于信息资源安全问题的高度重视,从而形成了全体信息资源安全意识,建立起了巩固的心理屏障;其次,国家通过相关法律法规对信息安全管理进行了规范和约束,严厉打击非法入侵和盗用信息资源,为信息安全体系的构建提供了法律保障。

1.2安全服务

安全服务通过对服务过程中的数据和服务对象的鉴定来规范访问权限,以确保未授权情况下的信息资源的完整性和保密性,在服务过程中对相关信息数据的接收和发生备档,防止事后对方抵赖事件的发生。

1.3信息安全体系的框架

完整的信息安全体系的构建是由技术体系、组织机构体系、管理体系三者共同组建的。在技术体系层面通过技术机制来实现运行环境及系统安全技术、OSI安全技术,以确保系统的安全和实现OSI安全管理;技术管理在于制定安全策略和服务,通过加密对信息进行保密设定,此外以先进的技术对运行的体系进行审核,以保证现有状态监测的安全和对入侵的有效监控。

2信息安全体系构建

2.1信息安全体系构建步骤

信息安全体系隶属于风险管理范畴,其构建需要基于系统、全面、科学的安全风险评估基础之上,是一个系统化、程序化、文件化的安全管理体系,并在具体构建过程中选择科学合理的监控方式来保障信息的完整性、保密性和可用性,并严格按照国家相关法律法规进行系统构建和维护,切实保障信息安全。信息安全体系的构建需要全员的参与,要明确分工、正确部署,通过有效的部署来实现低成本控制下的高效信息保障体系构建,其具体构建步骤主要有以下几点。

(1)通过前期培训让员工们了解信息安全系统的相关知识和其构建的必要性,强化员工们的信息安全意识,并通过动态的、系统化的、制度化的预控信息安全管理模式来严格规范内部组织信息安全行为,要求员工们以高素质和高服务的心态及理念切实维护客户的私人信息安全,要与客户达成保密协议。

(2)组织内部事先做到信息安全的强化,通过对关键重要的信息进行全面系统的保护,要求切实做到信息备案、信息保护、安全系统更新和维护、安全访问、风险评估和防控,并在信息资源受到侵害的时候及时进行补救,确保将损失降到最低程度,保障业务的持续展开。

(3)要与客户建立起信息保密协议,获得客户的信任,并通过不断完善自身信息安全体系以获得相关标准认证,以此证明自身有较强的信息安全保障能力,以提高自身的知名度来不断获得客户的满意与信任,以及社会的认可。

3信息安全体系构建的基本操作

信息安全体系的构建需要掌握信息安全风险的状态及其分布变化的规律,并在现场调查和风险评估之后结合企业自身的特点,以构建起具有自适应能力的信息安全模型,保证信息安全风险能够被控制在可接受的最小范围内,并接近于零。其构建的具体操作如下:

3.1前期策划与准备

前期的策划与准备是对信息安全体系的构建打好基础,主要包括对员工的教育培训、初步制定体系构建的目标和整体计划,并以建立相关内部安全管理机制和系统构建组织来切实推动项目的开展运行,在人力资源的管理和配置上要做到统筹规划,确保构建的每个环节都有人员参与。

3.2确认适用范围

根据自身实际情况来确定信息安全管理系统的适用范围,注重关键安全领域的构建和管理保护,在管理上可以通过划分管理区域来进行管理,并通过责任制将责任落实在每个管理者的身上,依据信息安全等级的不同来规范管理者的管理权限,以实现适当的不同级别的信息安全管理。

3.3风险评估

对构建的信息安全体系进行风险评估可以从内部和外部两个方面来进行,以内部自身设定的安全管理制度和对信息资产等级重要程度的分化来逐级评估风险,在检查审核系统能否有效保障信息安全的同时,要对可能出现的安全隐患进行评估和预测,并提出相关方案来对此进行预控和将损失降到最小。

3.4建立体系框架

科学合理的安全体系框架的构建要从全局的角度去考虑,通过对内部整体资源进行整合和划分,对不同等级信息采取不同层次的框架建立,如根据业务性质、信息状况、技术条件、组织特征等来进行信息框架构建,并依次对其进行风险评估,制定预控方案和尽可能地更新完善。

3.5文件编写

文件编写的主要内容为:前期策划制定的总方针、风险评估报告、现场调查报告、适用范围文档、适用性申明等文件来作为信息安全管理体系构建的基础工作,要求其符合相关标准的总体要求,储存以便后期的改进和完善。

3.6 运行及更新维护

前期工作的完尽之后系统便可进入运行阶段,运行阶段是对前期工作的验证和检查,通过发行系统的漏洞来对系统进行改进,并在运行过程中不断完善信息资源数据库,使得安全系统的安全程度更高。后期的更新维护还需要技术人员自身素质和技能的不断提高,这也需要从组织内部去加强培训。

参考文献:

篇9

信息系统是智能建筑与社区(以下简称智能社区)的重要基础系统,确保信息系统自身及其所传输、处理、存储信息的安全,是保证智能社区各个子系统正常运转、确保人身和公共安全的重要方面。

标准中对信息安全的规定是针对智能社区中各种信息系统安全的特点,结合国家相关信息安全政策、标准而制定的。智能社区的建设和运营机构应对信息安全问题予以足够的重视,要意识到这是一个需要严格遵守国家法律、法规的领域。

智能社区的建设与运行应符合国家有关安全法律、法规、标准的规定和要求。建筑及住宅社区的设备研发机构、运营服务商应采取一定的信息安全措施,保障信息系统(包括智能建筑的控制系统)的安全,确保运营服务系统不会对用户造成信息安全损害。可逐步建立起建筑及居住区设备及应用系统的认证体制,以提高建筑及居住区设备的安全、有效管理。

建筑及住宅社区运营服务商应明确系统本身可能受到的安全威胁以及可能对用户造成的安全威胁,采取措施应对和消除安全威胁。

智能社区建设和运行机构应该清楚信息安全领域是一个处于不断发展和变化阶段的专业领域,各种信息安全漏洞、缺陷、威胁和攻击会不断出现和发展,因此,不存在一种静态的、一劳永逸的信息安全体系。包括本标准、本指南在内的相关内容都处于不断发展只种,智能社区建设和运行机构应密切关注相关领域的进展情况,及时采用最新的、有效的技术和管理研究成果,以确保智能社区安全运行。

等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及对存储、传输和处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理。对信息系统中发生的信息安全事件分等级进行响应、处置。

根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的精神,实施信息安全等级保护,有效地提高我国信息和信息系统安全建设的整体水平,确保信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,同时有效控制信息安全建设成本,优化信息安全资源的配置,重点保障基础和重要信息系统的安全。

智能社区建设和运营单位应按照等级保护的要求开展信息安全体系的建设和运行,根据智能社区及其信息系统的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,以及信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,按照国家有关标准和规范的程序和方法确定智能社区信息系统的安全等级。国家标准将信息和信息系统的安全保护等级分为五级:

1. 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。

2. 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

3. 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

4. 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

5. 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

国家对不同安全保护级别的信息和信息系统实行不同的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。智能社区建设与运营机构应按照上述国家的规定接受国家相关职能部门的监管。

智能社区的信息

安全要求

标准对智能社区运营机构信息安全相关工作从以下几个方面提出了要求,即:

信息系统基本安全活动;

风险分析与评估;

安全策略

安全体系

标准中对这些方面提出了基本的要求,运营商应根据最新的信息安全相关标准、信息安全技术和管理体系的研究成果,结合自身的实际情况,形成自身完整的智能社区信息安全运行保障体系。

1. 信息系统基本安全活动

信息系统基本安全活动是指智能社区运营机构在负责运营智能社区信息系统过程中应该开展的相关活动。信息系统基本安全活动是由运营机构负责组织、实施的活动,并确保这些活动的质量和所涉及范围的完备性。

运营服务信息系统基本安全活动包括:

(1)根据运营服务的特点和服务对象的需求,基于风险分析的结果,确定运营服务信息系统的安全等级。

(2)安全策略的制定、、教育、评价、修正等活动。运营机构必须保证行政管理范围的所有实体对安全策略正确理解、实施与保障,并有相应的考核等管理措施予以监督和检查;

(3)建立信息安全相关的机构,设置相应的岗位,确定相关的责任,并建立相配套的管理、考核和奖惩体系;

(4)保障信息安全相关工作的人力资源投入,建立相关的人员选拔、考核、培训体系,并规划和实施针对一般运营服务人员和普通用户的安全教育、宣传活动;

(5)确定运营服务系统中的关键信息资产,并进行资产分类管理;

(6)应根据运营服务信息系统的安全等级,建立相应的物理和环境安全保护体系;

(7)应根据运营服务信息系统的安全等级,建立相应的信息安全技术保障体系。

(8)建立和维护系统的运行安全体系,主要包括针对运营信息系统以及普通用户的应急响应体系、安全基础设施服务体系、定期的安全风险评估体系等;

(9)应根据运营服务信息系统的安全等级,对相应的信息系统承包商、信息软硬件产品进行安全资质审查、实施过程的质量监督和控制;

(10)应根据运营服务信息系统的安全等级,对系统运行过程中可能发生的升级、完善等活动做好安全规划,对系统的拆除应提前做好规划和处理。

2. 风险分析与评估

按照即将颁布的国家标准《信息安全风险评估标准》组织和开展信息安全评估工作。

标准在以下几方面对风险评估提出了要求:

(1)运营商应对运营服务信息系统进行风险分析,并将风险分析的结果作为确定相应系统安全等级的主要依据。

(2)运营商应建立定期和不定期风险评估的机制。

(3)运营服务信息系统的安全风险分析与评估,宜由有相应资质的机构完成。

(4)风险分析与评估宜采用适用的方法,对每一个识别出的信息资产,按照资产的“保密性”、“完整性”和“可用性”三个最基本的安全要求,分析可能受到的威胁和后果,提出相应的安全需求建议。

开展风险评估工作的时候,要注意相关国家政策(如等级保护等)对风险评估的要求,组织好智能社区相关信息系统整个生命周期的风险评估工作。全生命周期的风险分析工作主要包括:

规划阶段的风险评估。规划阶段的风险评估应针对智能社区信息系统对社区运行的作用(包括技术、管理等方面),确定系统建设应达到的安全目标。分析的重点在安全威胁,应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。规划阶段的评估结果应体现在信息系统整体规划或项目建议书中。

设计阶段的风险评估。设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。本阶段评估中,应详细评估设计方案中对系统面临威胁的描述,将使用的具体设备、软件等资产列表,以及这些资产的安全功能需求。

实施阶段的风险评估。实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段所分析的威胁和制定的安全措施,在实施及验收时进行质量控制。实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估。

运行维护阶段的风险评估。运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。

废弃阶段的风险评估。当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废弃的程度,又分为部分废弃和全部废弃两种。

3. 应制定明确的安全策略

智能社区建设和运营机构应针对相关信息系统,制定相应的信息安全策略。信息安全策略规定的是智能社区中各种人员对社区信息系统资产(包括:软件、硬件、数据)的访问权限以及所应承担的责任。典型策略规定的内容包括:访问范围、访问时间、访问方式、访问地点、访问手段等。

标准中规定的安全策略包括:

(1)物理安全策略:确定在物理访问、保护方面的安全规定;

典型的物理安全策略包括:机房、机柜、电缆等的访问、使用、检查规定;

(2)访问控制策略:规定内部网与外部网之间,以及内部网段之间的访问规定和策略要求;

典型的访问控制策略包括:网络访问策略、应用访问策略等;

(3)安全检测策略:规定对系统安全实施定期检查的周期、方法等;

(4)审计与监控策略;

(5)网络防病毒策略;

(6)备份与灾难恢复策略。

4. 安全体系方面

(1)信息安全措施

信息系统应从以下几个方面采取安全措施:

建立明确的信息安全体系,包括明确的安全策略、安全的网络系统配置等安全服务和安全机制运行说明,指明在哪些部位必须配置哪些安全服务和安全机制,以及规定如何进行安全管理;

采取措施保护局域网;

采取措施保护基础通信设施;

采取措施保护边界;

配置或依托公共信息安全基础设施;

具体安全措施的采取应根据系统的实际情况确定。

(2)保护局域网计算环境

局域网可采取的安全措施有:

建立用户终端、数据库、服务器和应用系统保护机制,以防止拒绝服务攻击、未授权数据泄漏和数据修改;

保护操作系统,确保操作系统的自身安全;

保护数据库:对数据库应该实施细粒度访问控制、关键数据加密、重要服务器用单独网段、强身份鉴别、备份恢复应急措施、安全审计等安全保护措施;

身份鉴别和数字签名:对于系统中重要的服务器、应用系统的访问,应采用统一的身份鉴别,并对用户访问行为采用抗抵赖措施;

建立入侵检测体系,防止内部局域网受到非法入侵;

建立病毒防范体系,防止局域网计算环境受到病毒破坏;

具有足够的防止内外人员进行违规操作和攻击的能力。

(3)保护网络和通信基础设施

可采取的保护网络和基础设施的措施有:

保证基础设施所支持的关键应用任务和数据资源任务,防止受到拒绝服务的攻击;

防止受到保护的信息在发送过程中的延迟、误传或未发送;

防止非法数据流分析;

保护各种应用系统中的用户数据流;

保护网络基础设施控制信息。

(4)保护边界

可采取的边界保护措施有:

建立网络级物理隔离体系,实现物理隔离(这是一些高敏感度网络必须达到的);

建立系统的防火墙体系,实现进出网络边界的细粒度访问控制;

建立系统远程访问安全系统,以保护系统边界远程访问的安全;

建立基于网络的入侵检测系统以防止入侵者的攻击;

建立基于网络的防病毒系统,以防止病毒入侵;

建立漏洞扫描系统以改进系统的配置和功能设置。

(5)支撑性安全基础设施

可采用的支撑性安全基础设施有:

公共密钥基础设施(PKI);

密钥管理系统;

安全管理系统;

应急响应体系。

关于嵌入式与控制信息系统的安全

智能建筑中存在大量的智能设备,并通过现代网络技术,构成为一个完整的智能社区(建筑)控制系统。该系统的安全运行是确保智能社区正常运转的基石,保障智能建筑控制系统安全是智能社区信息安全的关键内容。标准中在控制协议中从协议层次对有关技术问题进行了规定和描述,涉及控制系统设计、建设、运行的信息安全问题则应按照标准“运营”和“评测”部分的规定执行。

鉴于智能控制系统对于智能社区的特别重要性,本节对其信息安全体系的实施提出具体指南。

1. 嵌入式与控制系统面临的安全威胁

智能社区嵌入式与控制系统面临的典型安全威胁有:

控制网络中的信息流被阻塞或延迟,包括干扰通过网络实现的各种控制操作。这些阻塞、延迟、干扰有可能是由于产品和系统设计、实现、部署存在缺陷和故障引起了,也有可能是恶意行为造成的。

向系统操作员发送不准确的信息,以实现非法的修改或者引发操作员不正确的操作。智能社区中会存在有很多分布式的、人机结合的控制系统,有大量的状态和控置信息通过网络系统传输和处理,引发或指令各种设备(或操作员)的各种管理和控制行为,因此通过恶意发送不正确信息,有可能对智能社区运转造成严重后果,甚至引发严重的犯罪行为。

直接干扰可能造成人身伤害的安全保护系统。网络在实现远程状态监控和监控的同时,也为通过网络远程干扰系统提供了可能,尤其是对安全保护系统的干扰将引发严重的后果。

非法修改各种可能损坏、关闭设备的指令或报警参数设置。破坏设备是干扰智能社区运行的一种手段,网络为这种行为提供了一种新手段,通过可能造成设备损害的指令、关闭设备指令都可能造成设备失效。采取修改设备报警参数等方法,造成设备大量告警,造成设备(或系统)无法应对突然出现的大量告警而崩溃或失效,也可以达到破坏的目的。

修改智能社区控制系统软件、配置信息,或者传播恶意软件,以及其它可能造成负面效果的问题 。智能控制系统中存在大量的远程设置、软件升级、补丁分发等操作,通过干扰这些操作行为,除了可以对设备直接造成破坏外,还可以散发各种恶意软件和木马等程序和软件,为智能社区运转埋下严重的隐患。

2. 嵌入式与控制系统安全目标

针对前面提到的威胁,智能社区嵌入式与控制系统信息安全的目标如下:

限制对智能社区控制系统网络的逻辑访问行为。这包括:通过设置DMZ区,防止社区其他网络对智能社区控制系统网络的直接访问;智能社区控制系统和社区运营机构内部管理系统使用不同的鉴别和加密机制。智能社区控制系统应该使用多层(级)的网络拓扑结构,以确保关键通信是通过最安全和可靠的层。

限制对智能社区控制系统网络和设备的物理接近。对智能社区控制系统部件的非授权物理接近,有可能会对智能社区控制系统功能造成严重的破坏。应使用多种物理访问控制措施,如:锁、读卡器和保安。

要防止智能社区控制系统部件被非法利用。这包括:对安全补丁,应该尽可能快地完成现场测试,并部署;关闭所有的不使用服务和端口;限制 智能社区控制系统用户的权限,确保只拥有完成工作的最小权限;跟踪并监视系统设计数据;使用防病毒软件、文件完整性检查软件等安全工具,来监测、确定、防止、消除恶意代码。

确保极端情况下的系统功能。要确保每一个关键部件都有冗余和备份部件。除此之外,还要确保一个部件失效时,应该是以一种安全的方式失效,即不会在智能社区控制系统系统中产生不必要的通信流量,也不会带来其它问题,比方说连串的事件。

3. 嵌入式与控制系统安全防护体系

智能社区嵌入式与控制系统安全防护体系要根据本标准的规定建立相应的防护体系,在体系的建设与运行过程中,要特别注意以下几个方面:

高度重视智能社区专用的安全策略、流程和培训宣贯材料的制定。

按照“等级保护”的 思想,制定嵌入式与控制系统安全策略和流程,并根据威胁级别的增加部署相应的安全措施。

关注智能社区相关信息系统整个生命周期的安全,包括:架构设计、采购、安全、运行维护和拆除。

将嵌入式与控制系统网络部署成多层(级)的网络拓扑结构,以确保关键通信是通过最安全和可靠的网络。

在控制网络与其他网络,尤其是与其他用途完全不同的网络系统(如:内部管理信息系统、互联网等),之间部署逻辑隔离设备(比如:基于状态监测的防火墙)。

采用隔离区架构,防止其他网络和控制系统网络之间的直接通信。

确保关键部件有足够的冗余并联接在有冗余的网络之上

将关键系统设计成“容错”系统,以防止“级联”事故的发生。更进一步,系统应设计成“安全地“失效。

在控制系统测试完成后,应关闭不用的端口和服务,确保不影响系统的正常运行

限制对控制系统网络和设备的物理访问。

限制控制系统用户的权限,确保只授予他们完成工作所需的最少权限(例如:部署基于角色的访问控制系统,并赋予每一个角色完成其工作所需的最少权限)。

智能社区运营机构在控制系统和其他系统应分别使用完全隔离的鉴别机制(例如: 控制系统不要和机构内部管理信息系统使用一套用户管理系统)。

使用强度更高的身份鉴别技术(如:智能卡)。

部署安全措施(典型的措施包括防病毒软件、文件完整性检测软件等),以检测、防止恶意代码的传播。

在存储和通信过程中使用加密技术。

各种补丁、修订在正式安装之前,应尽可能在现场环境下完成所有测试。

对智能社区内所有关键区域内控制系统的运行进行跟踪、监控和审计。

信息安全检测与验收

1. 检测

(1)信息安全活动检查

检查内容包括:活动的计划、活动过程的记录和成果。具体的检查项按照GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.1中规定的内容进行。

(2)风险分析与评估核查

核查内容主要包括系统安全风险分析与评估记录和报告,系统例行风险分析计划、记录和报告;还应对风险分析具体完成人员(或机构)的资格(或资质)、能力等按照有关规定进行核查。具体的核查项按照GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.2中规定的内容进行。

(3)安全策略检查

系统安全策略主要包括物理安全策略、访问控制策略、安全检测策略、审计与监控策略、防病毒策略、备份与灾难恢复策略。安全策略应在系统的建设、运行、检测和验收等相关文档中有明确的规定。实施检测时,应对策略的合理性、完备性、法规符合性进行检查。具体检查项根据GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.3的规定。

(4)安全技术保障体系的检查和测试

a. 信息安全技术保障体系完整性检查

应根据系统的安全策略和实际情况,对系统局域网、基础通信设施、系统边界、安全基础设施等几方面采取的措施进行检查。

b. 安全技术保障措施检查

检查的重点有:

安全措施本身是否符合国家和地方的有关规定;

采取的安全措施是否符合安全策略要求;

安全措施的选择和部署是否合理;

安全措施是否发挥应有的作用;

系统的安全措施是否完备、合理等。

c. 系统安全测试

应根据GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.4规定的内容,按照系统所确定的等级或系统本身的安全要求,制定相应的测试方案,准备相应的测试表格和测试工具,并根据相应的测试流程,对系统相关的安全技术文档进行核查,对系统的运行进行现场测试。系统安全测试工作宜委托国家认可的安全检测机构进行。

2. 测评机构

测评须由获得国家认可的相关测评机构承担,测评完成后由测评机构按规定格式出具测评报告。

3. 验收

(1)验收条件

系统试运行阶段结束,并提出试运行报告;

本章“检测”部分中规定的检测工作已经完成,并形成相应的检测结论;

所有信息安全相关文档。

(2)验收文档

a. 系统试运行记录和报告

b. 检测报告

由国家授权测评机构进行测评的测试报告;

第三方测试小组提供的测试报告;

承建单位进行测试的测试报告。

c. 系统信息安全风险分析报告

d. 系统设计文档

系统的应用需求及总体设计方案;

网络规模和拓朴结构;

信息流描述;

安全威胁描述及其风险分析;

系统主要安全功能及其实现方法;

系统主要环境安全功能的实现方法;

网络管理方式及实现方法;

安全设备管理方式及实现方法;

主要软硬件设备及性能清单;

主要安全产品安全选型依据。

e. 管理文档

(a)管理机制

工程适用的法律法规;

安全策略文档资料;

安全策略审查和评估的相关规定;

信息资产管理规定;

安全事件处理规程;

物理安全规定;

资产移交的管理规定;

安全事故管理规程;

用户口令管理规定;

备份策略规程;

计算机介质操作规程;

系统工具使用规程;

系统审计规程。

(b)人员、机构与职责文档

安全决策机构组成图及职责分工表;

安全管理人员的职责分工表;

安全顾问的资质评审记录和聘任书;

安全管理人员履历及专业资格证书;

人员保密协议范本;

人员岗位职责规定。

(c)安全运行资料

安全策略有效性审查和评估的记录;

安全管理会议的会议纪要;

安全专家的建议记录;

系统和设备维护记录;

访问控制策略文档;

定期的审计分析报告;

异常情况审计日志和安全事件记录。

(d)工程实施文档

施工管理文件;

变更文件;

系统调试分析报告;

系统培训文件;

系统移交清单及文件;

工程监理报告。

(e)其它文档

项目相关的合约;

产品的法定安全测评机构的评估证书;

外包服务的合同;

外包软件开发方的资料;

外包工作人员合约;

质量手册;

以上未涉及的且与系统安全相关的文档资料。

以上要求提交的文档,可根据系统的具体情况进行选择。

(f)验收结论

由验收组依据上述检测、检查报告和各项记录文档,通过专家评审,做出验收结论。

安全保密

如果智能社区为涉及国家秘密的党政机关、企事业单位建筑数字化工程,则应严格按照保密机关的安全保密要求,开展相关建筑数字化工程。

1. 通用要求

GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求中强调,凡涉及国家秘密的党政机关、企事业单位的建筑中计算机信息系统的建设、网和非网建设、专用电话(红机)、通信线、电源线、地线的布线以及信息系统安全保密测评均须按国家相关法律、法规及有关规定执行,一些具体要求如下:

涉及国家秘密的党政机关、企事业单位的建筑中计算机信息系统的建设应满足国家相关管理部门的规定;

涉及国家秘密的党政机关、企事业单位建筑数字化系统工程应与保密设施同步建设;

涉及国家秘密的计算机信息系统中使用的安全保密设备,应通过国家保密局信息系统安全保密测评中心的检测;

从事系统集成业务的单位,应经过保密工作部门认定,取得《涉及国家秘密的计算机信息系统集成资质证书》(简称《资质证书》);需要建设系统的单位,应选择具有《资质证书》的集成单位来承建。获得《资质证书》的集成单位,可以从保密部门取得相关保密标准和指南遵照执行;

涉及国家秘密的党政机关、企事业单位的建筑及居住区数字化系统工程应经过国家保密部门的审批才能投入运行;

涉及国家秘密的党政机关、企事业单位的建筑应与外国人经常居住使用的建筑物(如外国机构、涉外饭店、外国人居住公寓)保有一定的距离,具体规定请参照国家相关管理部门的有关规定;

2. 安全保密检测

篇10

为了规范本市公共信息系统安全测评活动,保障公共信息系统正常运行,制定本办法。

第二条(定义)

本办法所称的公共信息系统安全测评,是指依据有关信息安全标准、规范,对本市承担公共管理职能的机构(以下简称公共管理机构)以及提供社会公共服务的单位(以下简称公共服务单位)的计算机信息系统,进行安全保障性能测试、评估的活动。

第三条(适用范围)

本市行政区域内的公共信息系统安全测评及其管理活动,适用本办法。法律、法规另有规定的,从其规定。

第四条(管理部门)

*市信息化委员会(以下简称市信息委)负责本市公共信息系统安全测评的组织协调和监督管理工作。

第五条(责任制度)

公共管理机构、公共服务单位的负责人应当承担开展公共信息系统安全测评的管理责任。各有关主管部门应当督促所属的公共管理机构、公共服务单位开展公共信息系统安全测评。

第六条(测评年度计划)

市信息委应当会同各有关主管部门,制定公共信息系统安全测评年度计划,组织公共管理机构、公共服务单位实施,并进行指导、监督。

第七条(新建系统的测评)

新建公共信息系统的,公共管理机构、公共服务单位应当在系统建设前将安全设计方案报送市信息委审查;市信息委应当在15日内提出审查意见。新建的公共信息系统试运行结束后30日内,应当进行安全测评。

第八条(测评机构)

公共信息系统安全测评,应当由国家有关部门认可的信息安全测评机构(以下简称测评机构)实施。公共管理机构的公共信息系统,由市信息委指定的测评机构统一实施安全测评;公共服务单位的公共信息系统,由该单位委托的测评机构实施安全测评。

第九条(测评协议)

公共管理机构、公共服务单位应当与测评机构签订公共信息系统安全测评协议,明确测评的范围、内容、方案、期限、费用和违约责任等事项。公共信息系统安全测评协议的示范文本,由市信息委制定。

第十条(测评要求)

测评机构应当依据国家和本市信息技术、信息系统安全的标准、规范,实施公共信息系统安全测评,保证测评活动的客观、公正。

第十一条(安全事项告知与协助义务)

安全测评的实施过程可能影响公共信息系统正常运行的,测评机构应当事先告知公共管理机构、公共服务单位,并协助其采取相应的预防措施。

第十二条(测评报告)

测评机构实施公共信息系统安全测评后,应当出具包括以下内容的测评报告:

(一)测评范围、内容;

(二)测评所依据的相关标准、规范;

(三)系统安全的评估结论、整改建议。测评报告应当由测评机构负责人签署。

第十三条(安全整改)

公共管理机构、公共服务单位应当根据测评报告的整改建议,对公共信息系统采取安全整改措施;测评机构应当给予协助和指导。公共管理机构完成安全整改后15日内,应当将整改情况报送市信息委备案;公共服务单位完成安全整改后15日内,应当将整改情况报送其主管部门备案。

第十四条(测评实施情况的报告)

测评机构应当每季度将实施公共信息系统安全测评的汇总情况向市信息委报告;发现公共信息系统存在重大安全问题时,应当立即向市信息委报告。

第十五条(动态复测)

公共信息系统安全测评后,应当每两年进行一次复测;系统的网络结构、信息处理流程等发生重大变更的,应当及时进行复测。公共信息系统的复测应当包括以下内容:

(一)系统前次测评时发现的主要问题;

(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部分发生变更,可能出现的安全隐患;

(三)新的信息技术可能对系统安全造成的影响。

第十六条(测评机构的保密义务)

测评机构对公共信息系统安全测评过程中取得的技术数据、业务资料等信息负有保密义务,不得以任何方式将相关信息提供给第三方。

第十七条(测评机构的行为禁止)

禁止测评机构从事下列活动:

(一)信息安全产品开发、营销和信息系统集成活动;

(二)限定公共管理机构、公共服务单位购买、使用其指定的信息安全产品;

(三)其他可能影响测评客观、公正的活动。第十八条(未进行测评或者整改的处理)公共管理机构、公共服务单位未按照本办法的规定开展公共信息系统安全测评或者采取安全整改措施的,由市信息委或者相关主管部门责令其改正;因未开展公共信息系统安全测评或者采取安全整改措施,导致系统发生安全故障的,依法追究有关负责人的行政责任。

第十九条(对测评机构违法行为的处理)

对测评机构违反本办法的行为,由市信息委按照下列规定进行处理:

(一)违反本办法第十四条规定,未报告公共信息系统安全测评情况或者重大安全问题的,责令改正,并处1万元以下罚款;