等级保护三级信息系统规章制度应用清单

合集下载

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求

1 三级基本要求 (6)

1.1 技术要求 (6)

1.1.1 物理安全 (6)

1.1.1.1 物理位置的选择（G3） (6)

1.1.1.2 物理访问控制（G3） (6)

1.1.1.3 防盗窃和防破坏（G3） (7)

1.1.1.4 防雷击（G3） (7)

1.1.1.5 防火（G3） (8)

1.1.1.6 防水和防潮（G3） (8)

1.1.1.7 防静电（G3） (8)

1.1.1.8 温湿度控制（G3） (9)

1.1.1.9 电力供应（A3） (9)

1.1.1.10 电磁防护（S3） (9)

1.1.2 网络安全 (10)

1.1.2.1 结构安全（G3） (10)

1.1.2.2 访问控制（G3） (10)

1.1.2.3 安全审计（G3） (11)

1.1.2.4 边界完整性检查（S3） (12)

1.1.2.5 入侵防范（G3） (12)

1.1.2.6 恶意代码防范（G3） (13)

1.1.2.7 网络设备防护（G3） (13)

1.1.3 主机安全 (14)

1.1.3.1 身份鉴别（S3） (14)

1.1.3.2 访问控制（S3） (14)

1.1.3.3 安全审计（G3） (15)

1.1.3.4 剩余信息保护（S3） (16)

1.1.3.5 入侵防范（G3） (16)

1.1.3.6 恶意代码防范（G3） (17)

1.1.3.7 资源控制（A3） (17)

1.1.4 应用安全 (18)

1.1.4.1 身份鉴别（S3） (18)

1.1.4.2 访问控制（S3） (18)

三级等保评审需要的网络安全管理制度大全汇编V1

某某单位

信息安全管理制度汇编

2019年1月

信息化管理处

关于本文件

分发控制[受控文件填写]

第一章安全策略总纲 (1)

1.1、信息安全策略总纲 (2)

1.1.1、总则 (2)

1.1.2、信息安全工作总体方针 (2)

1.1.3、信息安全总体策略 (3)

1.1.4、安全管理 (6)

1.1.5、制度的制定与发布 (14)

1.1.6、制度的评审和修订 (15)

附件1-1-1 网络安全管理制度论证审定记录（模板） (16)

附件1-1-2 网络安全管理制度收发文记录（模板） (17)

第二章安全管理机构 (18)

2.1、信息安全组织及岗位职责管理规定 (19)

2.1.1、总则 (19)

2.1.2、信息安全组织机构 (20)

2.1.3、信息安全组织职责 (21)

2.1.4、信息安全岗位职责 (23)

2.1.5、信息安全岗位要求 (27)

2.1.6、附则 (28)

附件2-1-1 网络安全工作授权审批单（模板） (29)

附件2-1-2 网络安全工作会议记录表（模板） (30)

附件2-1-3 外联单位工作联系表（模板） (31)

2.2、信息安全检查与审计管理制度 (32)

2.2.1、总则 (32)

2.2.2、安全检查 (32)

2.2.3、安全审计 (33)

2.2.4、附则 (35)

附件2-2-1 年度网络安全检查记录（模板） (36)

第三章人员安全管理 (41)

3.1、内部人员信息安全管理规定 (42)

3.1.1、总则 (42)

3.1.2、人员录用 (42)

3.1.3、岗位人选 (43)

3.1.4、人员转岗和离岗 (43)

等级三级系统安全防护应用

概述

信息安全等级保护制度作为国家信息安全保护的基本国策，目前已在全国各行业得到广泛推广和落实。根据国家的相关要求，已经定级备案的信息系统应在三年之内完成整改建设工作，并通过等级保护相关测评。随着等保建设逐步提上日程，各单位在如何利用现有安全保密产品的条件下，结合本单位实际满足等保要求方面面临诸多困惑。笔者结合本单位在等保建设中的实践，抛砖引玉，就三级系统下如何满足等保要求进行有效的探索。第三级系统安全保护环境的设计目标是：按照GB17859-1999对第三级系统的安全保护要求，在第二级系统安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。

本系统根据“一个中心”管理下的“三重保护”体系框架进行设计，构建安全机制和策略，形成定级系统的安全保护环境。该环境共包括四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。

1、等级保护三级系统的防护要求与设计要求分析

按照等级保护三级的要求，笔者主要针对以下四个方面进行设计：

2.1安全计算环境设计

(1)用户身份鉴别

应支持用户标识和用户鉴别。

(2)自主访问控制

在安全策略控制范围内，使用户对其创建的对象具有访问操作权限，这个权限可以根据用户进行授权。可以具体到针对被访问对象的具体操作。

(3)标记和强制访问控制

可以对访问者和被访问者在身份鉴别的基础上进行安全标记，实现对主体访问客体的操作进行控制。

(4)系统安全审计

对访问行为进行完整的审计，审计的内容包括访问对象、被访问对象，访问的行为、时间等内容。

【项目管理】项目应用系统开发安全管理规范(等保三级)

本文由shenmeran贡献文档编号：项目应用开发等级保护规范密级：项目内部项目应用系统开发安全管理规范（信息系统等级保护三级）二〇一二年八月项目应用开发等级保护规范编号应用开发等级保护规范密级阶段页数项目内部项目设计阶段代号名称建设单位承建单位会签编写校对审核标审批准关于本文档说明：类型－创建（C）、修改（U）、删除（D）、增加（A）；项目应用开发等级保护规范I项目应用开发等级保护规范目录第 1 章概述 ......................................................................................................................... 11.1 1.2 1.3 1.4 1.5 目标 ............................................................................................................................................ 1 适用范围 .................................................................................................................................... 1 规范引用的文件或标准 ............................................................................................................ 1 术语和定义 ................................................................................................................................ 2 应用系统开发总体原则 ............................................................................................................ 3第 2 章系统需求收集和分析阶段 ........................................................................................ 52.1 可行性研究分析 ........................................................................................................................ 52.1.1 技术可行性分析 .................................................................................................................. 5 2.1.2 需求可行性分析 .................................................................................................................. 5 2.1.3 投资可行性分析 .................................................................................................................. 5 2.1.4 影响可行性分析 .................................................................................................................. 5 2.2 开发人员安全管理 .................................................................................................................... 62.2.1 系统开发人员职责分配 ...................................................................................................... 6 2.2.2 开发人员授权 ...................................................................................................................... 6 2.2.3 开发人员必须训练开发安全代码的能力 ........................................................................... 6 2.2.4 分离系统开发和运作

三级等保评审需要的网络安全管理制度大全汇编V1

某某单位

信息安全管理制度汇编

2019年1月信息化管理处

关于本文件

分发控制[受控文件填写]

第一章安全策略总纲............................. 错误!未定义书签。

、信息安全策略总纲......................... 错误!未定义书签。

、总则......................................错误!未定义书签。

、信息安全工作总体方针......................错误!未定义书签。

、信息安全总体策略..........................错误!未定义书签。

、安全管理..................................错误!未定义书签。

、制度的制定与发布..........................错误!未定义书签。

、制度的评审和修订..........................错误!未定义书签。

附件1-1-1 网络安全管理制度论证审定记录（模板）.......错误!未定义书签。

附件1-1-2 网络安全管理制度收发文记录（模板）.........错误!未定义书签。第二章安全管理机构............................. 错误!未定义书签。

、信息安全组织及岗位职责管理规定........... 错误!未定义书签。

、总则......................................错误!未定义书签。

、信息安全组织机构..........................错误!未定义书签。

信息系统等级保护第三级基本要求

e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；
对全部高中资料试卷电气设备，在安装过程中以及安装结束后进行高中资料试卷调整试验；通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术关，系电，力根保通据护过生高管产中线工资敷艺料设高试技中卷术资配0料不置试仅技卷可术要以是求解指，决机对吊组电顶在气层进设配行备置继进不电行规保空范护载高高与中中带资资负料料荷试试下卷卷高问总中题体资，配料而置试且时卷可，调保需控障要试各在验类最；管大对路限设习度备题内进到来行位确调。保整在机使管组其路高在敷中正设资常过料工程试况中卷下，安与要全过加，度强并工看且作护尽下关可都于能可管地以路缩正高小常中故工资障作料高；试中对卷资于连料继接试电管卷保口破护处坏进理范行高围整中，核资或对料者定试对值卷某，弯些审扁异核度常与固高校定中对盒资图位料纸置试，.卷保编工护写况层复进防杂行腐设自跨备动接与处地装理线置，弯高尤曲中其半资要径料避标试免高卷错等调误，试高要方中求案资技，料术编试交写5、卷底重电保。要气护管设设装线备备置敷4高、调动设中电试作技资气高，术料课中并中3试、件资且包卷管中料拒含试路调试绝线验敷试卷动槽方设技作、案技术，管以术来架及避等系免多统不项启必方动要式方高，案中为；资解对料决整试高套卷中启突语动然文过停电程机气中。课高因件中此中资，管料电壁试力薄卷高、电中接气资口设料不备试严进卷等行保问调护题试装，工置合作调理并试利且技用进术管行，线过要敷关求设运电技行力术高保。中护线资装缆料置敷试做设卷到原技准则术确：指灵在导活分。。线对对盒于于处调差，试动当过保不程护同中装电高置压中高回资中路料资交试料叉卷试时技卷，术调应问试采题技用，术金作是属为指隔调发板试电进人机行员一隔，变开需压处要器理在组；事在同前发一掌生线握内槽图部内纸故，资障强料时电、，回设需路备要须制进同造行时厂外切家部断出电习具源题高高电中中源资资，料料线试试缆卷卷敷试切设验除完报从毕告而，与采要相用进关高行技中检术资查资料和料试检，卷测并主处且要理了保。解护现装场置设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况，然后根据规范与规程规定，制定设备调试高中资料试卷方案。

等保管理制度表单

一、引言

为了加强信息安全管理，保护公司的信息资产，防止信息泄露和损害，特制定本等保管理制度。本制度适用于公司所有信息系统的运维管理，包括硬件设备、软件系统和网络设备等。

二、等保管理的目的

1. 保障公司的信息资产安全，防止信息泄露和损害；

2. 提高公司信息系统的稳定性和可靠性，保障信息系统的正常运行；

3. 遵守相关法律法规和政策要求，维护公司的合法权益；

4. 规范信息系统的运维管理，提升工作效率和管理水平。

三、等保管理制度的适用范围

本制度适用于公司所有信息系统的运维管理，包括但不限于硬件设备、软件系统和网络设备等。

四、等保管理的基本要求

1. 保障信息资产的完整性、可用性和保密性；

2. 遵守法律法规，保护用户的隐私权和知识产权；

3. 制定明确的安全策略和措施，确保信息系统的安全运行；

4. 定期进行安全风险评估和漏洞检测，及时修复安全漏洞；

5. 加强员工的信息安全意识培训，规范员工的信息使用行为；

6. 做好信息安全事件的应急处理和事后分析, 并及时报告给上级主管部门和相关部门。

五、等保管理的责任分工

1. 公司领导班子负责制定公司的信息安全策略和目标，并监督实施情况；

2. 信息安全管理员负责制定公司的信息安全管理制度，监督信息系统的运维管理；

3. 系统管理员负责对信息系统的运维管理和安全维护工作，包括硬件设备、软件系统和网络设备等；

4. 员工要遵守信息安全管理制度和安全策略，保护公司的信息资产，维护信息系统的正常

运行。

六、等保管理的安全措施

1. 制定信息安全管理制度和安全策略，明确信息系统的使用规则和管理流程；

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求

1 三级基本要求 (6)

1.1 技术要求 (6)

1.1.1 物理安全 (6)

1.1.1.1 物理位置的选择（G3） (6)

1.1.1.2 物理访问控制（G3） (6)

1.1.1.3 防盗窃和防破坏（G3） (7)

1.1.1.4 防雷击（G3） (7)

1.1.1.5 防火（G3） (8)

1.1.1.6 防水和防潮（G3） (8)

1.1.1.7 防静电（G3） (8)

1.1.1.8 温湿度控制（G3） (9)

1.1.1.9 电力供应（A3） (9)

1.1.1.10 电磁防护（S3） (9)

1.1.2 网络安全 (10)

1.1.2.1 结构安全（G3） (10)

1.1.2.2 访问控制（G3） (10)

1.1.2.3 安全审计（G3） (11)

1.1.2.4 边界完整性检查（S3） (12)

1.1.2.5 入侵防范（G3） (12)

1.1.2.6 恶意代码防范（G3） (13)

1.1.2.7 网络设备防护（G3） (13)

1.1.3 主机安全 (14)

1.1.3.1 身份鉴别（S3） (14)

1.1.3.2 访问控制（S3） (14)

1.1.3.3 安全审计（G3） (15)

1.1.3.4 剩余信息保护（S3） (16)

1.1.3.5 入侵防范（G3） (16)

1.1.3.6 恶意代码防范（G3） (17)

1.1.3.7 资源控制（A3） (17)

1.1.4 应用安全 (18)

1.1.4.1 身份鉴别（S3） (18)

1.1.4.2 访问控制（S3） (18)

三级等保清单

摘要：

一、三级等保制度的背景和意义

二、三级等保清单的具体内容

1.一级等保清单

2.二级等保清单

3.三级等保清单

三、三级等保清单在实际应用中的作用

四、企业如何应对三级等保制度的实施

五、结论

正文：

一、三级等保制度的背景和意义

随着互联网的迅速发展，信息安全问题日益突出。为了加强我国信息系统安全保护，我国制定了一系列信息安全等级保护制度。其中，三级等保制度是针对我国信息系统安全等级保护的一个重要措施。该制度通过对信息系统进行等级划分，明确不同等级信息系统的安全保护要求，从而提高我国信息系统的安全防护能力。

二、三级等保清单的具体内容

1.一级等保清单

一级等保清单主要涉及国家关键信息基础设施、重要信息系统以及涉及国家利益的信息系统。这类信息系统一旦受到破坏，可能对国家安全、公共安

全、经济安全和社会稳定产生严重的影响。

2.二级等保清单

二级等保清单包括涉及国家机关、金融机构、能源、交通、水利等重要行业和领域的重要信息系统。这类信息系统在遭到破坏时，可能对公共安全、经济安全和社会稳定产生较大的影响。

3.三级等保清单

三级等保清单包括一般企业和组织的信息系统。这类信息系统在遭到破坏时，可能对企事业单位的正常运行和合法权益产生一定的影响。

三、三级等保清单在实际应用中的作用

三级等保清单的制定和实施，有助于明确各类信息系统的安全保护要求，提高我国信息系统的安全防护能力。此外，三级等保清单还有助于规范企事业单位的信息安全保护工作，降低信息安全风险，保障企事业单位的正常运行和合法权益。

四、企业如何应对三级等保制度的实施

三级等保安全管理制度-信息安全管理策略

XXXXX

信息安全管理策略V0.1

XXX-XXX-XX-01001

第一章总则 (1)

第二章信息安全方针 (1)

第三章信息安全策略 (2)

第四章附则 (7)

第一章总则

第一条为规范XXXXX信息安全系统，确保业务系统安全、稳定和可靠的运行，提升服务质量，不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》

（GB/T22239-2008）、《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071—2012）、《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072—2012），并结合XXXXX实际情况，特制定本策略。

第二条本策略为XXXXX信息安全管理的纲领性文件，明确提出XXXXX在信息安全管理方面的工作要求，指导信息安全管理工作。为信息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违背本策略中的规定。

第三条网络与信息安全工作领导小组负责制定信息安全

管理策略。

第二章信息安全方针

第四条 XXXXX的信息安全方针为：安全第一、综合防范、预防为主、持续改进。

（一）安全第一：信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务；

（二）综合防范：管理措施和技术措施并重，建立有效的识别和预防信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率降低到可接受水平；

（三）预防为主：依据国家、行业监管机构相关规定和信息安全管理最佳实践，根据信息资产的重要性等级，对重要信息资产采取有效措施消除可能的隐患，降低信息安全事件的发生概率；

三级等保规章制度

第一章总则

第一条根据国家有关法律法规和标准要求，为了保护单位信息安全，维护国家信息基础设施安全，维护社会秩序，保障单位正常生产经营活动的进行，特制定本规章。

第二条本规章适用于单位信息系统安全等级保护（以下简称等保）工作，明确了组织机构、职责分工、管理制度、风险管理、运行监督、技术措施等内容。

第三条等保工作要贯彻“高度重视、全员参与、科学管理、持续改进”的原则，坚持“保护、通报、协作、教育”的工作思路，确保信息系统的安全性、完整性和可用性。

第四条单位信息系统等保工作应当以保护单位的核心技术、关键数据、重要设施为重点，制定相应的技术措施和管理制度，有效防范和应对信息安全威胁。

第五条等保工作必须将技术手段、管理手段和人员教育有机结合起来，形成系统的信息安全保障体系，切实提高信息系统安全等级保护水平。

第六条单位领导要高度重视信息系统等保工作，明确各级责任人员的职责、权限和工作要求，加强对等保工作的领导和指导。

第七条单位各部门要切实加强协作，形成工作合力，健全信息系统等保工作的机制，共同维护单位信息系统的安全。

第二章组织机构和职责分工

第八条单位设立信息安全管理委员会，负责统一领导和协调单位的信息系统等保工作。

第九条信息安全管理委员会由单位领导任组长，成员包括信息技术部门主管、安全保密部门主管、法律法规部门主管等相关部门负责人。

第十条信息安全管理委员会应当根据需要设立技术委员会和管理委员会，分别负责技术和管理领域的等保工作。

第十一条信息技术部门应当设立信息安全保密管理岗位，负责信息系统的保护、安全审查和技术支持等工作。

信息安全等级保护制度的相关标准及其应用

本标准是信息安全等级保护相关系列标准之一。
第二十四页，编辑于星期五：二点十七分。
系统定级-<定级指南>-定级原理
第二十五页，编辑于星期五：二点十七分。
系统定级-<定级指南>-定级流程
第二十六页，编辑于星期五：二点十七分。
系统定级-<定级指南>-定级方法
确定定级对象；
确定业务信息安全受到破坏时所侵害的客体；
信息安全等级保护制度的相关标准及其应用
第一页，编辑于星期五：二点十七分。
目录 • 等级保护的国家标准 • 等级保护的定级过程
• 等级保护的建设整改 • 交流与沟通
第二页，编辑于星期五：二点十七分。
目录 • 等级保护的国家标准 • 等级保护的定级过程
• 等级保护的建设整改 • 交流与沟通
第三页，编辑于星期五：二点十七分。
保
《信息安全技术操作系统安全技术要求》（GB/T20272-2006）
《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）
护
《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）
标 2007年5月底的更新
准
《信息系统安全等级保护实施指南》
制
《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》
第十六页，编辑于星期五：二点十七分。

等级保护三级基本要求内容

等保三级是指信息系统安全等级保护第三级的要求。等保三级是在国家信息安全保护等级保护体系中的中等保护级别，通常适用于对关系国家利益、社会公共利益以及重点信息系统的安全要求较高的部门或单位。下面是等保三级的基本要求内容。

一、管理要求：

1.制定并执行信息安全管理制度，确立信息安全责任制。

2.进行信息安全风险评估和等级划分。

3.制定信息安全政策和安全法规。

4.建立信息安全组织和管理机构，明确职责权限。

5.开展安全教育培训和安全意识提高认知。

6.建立信息安全事件应急管理组织机构和处置流程。

7.开展信息资产管理和信息安全审计。

二、技术要求：

1.对关键信息系统进行整体安全架构设计和安全配置。

2.建立身份认证、访问控制和权限管理机制。

3.采用安全加固措施，防范常见的攻击方式。

4.对网络进行安全保护和监测。

5.建立数据安全保护机制，加密存储和传输。

6.确保系统和应用程序的安全开发和安全运行。

7.建立安全审计机制，监测和分析系统行为。

三、物理环境要求：

1.建立安全保护区域，限制进入和使用权限。

2.确保信息设备和存储介质的安全管理和安全处理。

3.建立防止破坏和灾害发生的安全设施和应急措施。

4.建立监控和报警系统，及时发现和处理安全事件。

四、人员要求：

1.确保人员信誉度，进行人员背景审查。

2.分工明确，权限适当，权限分级管理。

3.对关键岗位的人员进行信息安全技能培训和考核。

4.建立离职和异动人员的信息安全处理机制。

五、运维要求：

1.建立系统运行维护管理机制，确保系统正常运行。

2.建立灾难恢复和应急处理机制。