广东省信息安全等级保护工作联系表
第三届广东省信息安全等级保护
工程师
林炜
男
人民银行广州分行科技处安全科科长
高级
工程师
钱宇
男
广东银监局主任科员
工程师
程媛媛
女
广东证监局主任科员
高级
程序员
高晶
男
省交通运输档案信息管理中心科长
高级
工程师
戴连贵
男
省交通集团有限公司新粤有限公司总工程师
高级
工程师
何海涛
男
中山大学网络与信息技术中心副主任
高级
工程师
郭文明
男
南方医科大学网络中心主任
胡菁
男
省教育厅教育技术中心网络部副主任
中级
工程师
邱可程
男
省广播电影电视局科技委副主任兼秘书长
高级
工程师
杨云飞
男
南方新闻网党委副书记,总经理
南方新闻网技术委员会、经营委员会主任
高级
工程师
吴灿明
男
民航中南地区管理局人事科教处副处长
经济师
陈一良
男
南方电网有限责任公司主管
高级
工程师
王甜
女
广东电网公司信息中心主管
高级
工程师
许向华
男
省国家安全厅技术安全保卫处科长
工程师
梁斌
男
省通信管理局网络信息中心管理中心副主任
高级
工程师
李斐
男
省发改委信息中心副部长
中级
工程师
张怀有
男
省国资委办公室主任科员
工程师
侯董宁
男
省国税局信息中心主任科员
工程师
刘清南
男
省地税局信息中心科长
广东省教育考试院等级保护建设汇报323
三、信息安全建设工作简介
(二)加强制度体系和安全架构建设
※建立了比较完整的安全制度体系。围绕数据管理、 访问控制、信息保护、资产管理、安全保密等方面,制定 了23项管理制度并编印成册。 ※强化制度落实。主管领导承担领导责任,业务干部 承担直接管理责任,技术公司承担技术保障责任。不同责 任人签订不同类型的责任书,确保制度落实到位、措施落 实到岗、责任落实到人。 ※采用安全成熟的平台架构。保障系统安全访问、高 负载并发访问和高可靠性,关键业务系统采用https协议, 并使用数字证书实现双向安全认证。评卷、考务应急指挥 采用独立专网,限定访问IP地址。严格执行来访人员上网 申请审批制度,明确访问边界,未经许可不得接入网络。
广东省教育考试院
等级保护建设工作情况汇报
2017年3月
报告提纲
一、概 况
二、等级保护建设工作情况 三、信息安全建设工作简介
一、概况
※广东省教育考试院是广东省教育厅管理的副厅级事业 单位。广东省教育考试院严格按国家有关条例开展计算机 信息系统的建设和网站运行。以信息安全等级保护工作为 抓手提升信息安全工作水平,为招生考试信息化建设保驾 护航。 ※考生规模总量大,信息系统涉及对象广,社会关注 度高,信息化建设与信息安全保障任务较重。广东是全国 考生大省,高考、成高、自考考生总规模居全国首位,每 年组织近60场次的考试。每年各类考生总量超过600万人, 年录取各类新生超过180万,业务高峰时网络流量达500M/s ,每天产生的数据量达400G,产生小文件数600万个,每年 新产生的数据容量超过20T,考生基本信息,以及海量的试 卷图片文件、考试音视频文件、考生指纹生物特征信息等 非结构化数据,数据管理要求高。
三、信息安全建设工作简介
(三)狠抓安全工作(续)
广州市教育局关于印发市教育局系统信息系统安全等级保护工作实施
广州市教育局关于印发市教育局系统信息系统安全等级保护
工作实施方案的通知
【法规类别】信访
【发文字号】穗教科[2009]31号
【发布部门】广州市教育局
【发布日期】2009.11.03
【实施日期】2009.11.03
【时效性】现行有效
【效力级别】XP10
广州市教育局关于印发市教育局系统信息系统安全等级保护工作实施方案的通知
(穗教科〔2009〕31号)
局属各单位:
为保障信息系统安全、有效运行,我市决定开展信息系统安全等级保护工作。
该项工作由市公安局牵头、市保密局、市密码管理局、市信息办共同组织实施,技术含量高,时间紧、任务重,直接影响各单位信息系统安全运行。
根据市信息安全等级保护工作协调小组要求,我局制定了《广州市教育局系统信息系统安全等级保护工作实施方案》,现印发给你们,请各单位高度重视,共同配合做好信息系统定级与等级保护工作。
附件:广州市教育局系统信息系统安全等级保护工作实施方案
二〇〇九年十一月三日
附件:
广州市教育局系统信息系统安全等级保护工作实施方案
为规范市教育局系统各信息系统的安全等级保护管理,保障和促进市教育信息化建设,根据《信息安全等级保护管理办法》(公通字[2007]43号)及《广州市重要信息系统安全等级保护定级工作实施方案》(穗公[2007]339号)相关要求,制定本方案。
一、工作目标
在确定市教育局机关及直属单位各信息系统安全等级的基础上,实施等级安全保护,保障市教育信息系统安全、有效运行。
信息系统等级保护备案表(样表)
信息系统等级保护备案表(样表)·(备注:具体编号由网监部门编写)信息系统安全等级保护备案表备 案 单 位:广东X 网公司佛山XX 局(盖章) 备 案 日 期: 2011-7-25备案表编号:受理备案单位:佛山市公安局网监支队(盖章)受理日期:2011-7-28中华人民共和国公安部监制填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线中注明详细内容;五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;九、表一05单位负责人:是指主管本单位信息安全工作的领导;十、表一06责任部门:是指单位内负责信息系统安全工作的部门;十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
信息系统等级保护相关表格
附件1:国家信息安全等级保护工作协调小组组长:张新枫(公安部副部长)成员:李昭(公安部十一局局长)闻荣友(国家保密局副局长)任守信(国家密码管理局副局长)附件2:《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
广东省信息安全等级测评
广东省信息安全等级测评机构备案申请书申请单位:填表日期:广东省公安厅目录填表须知申请声明企业基本情况表(表1)企业组织结构表(表2)企业近三年资产运营情况表(表3)企业负责人情况表(表4)企业技术负责人情况表(表5)企业营销负责人情况表(表6)企业技术能力基本情况表(表7)企业近三年测评服务项目汇总表(表8)企业获奖、标准和其他资质认证情况表(表9)企业发展规划(表10)企业其他情况说明(表11)审查意见(12)填表须知1.仔细阅读《信息安全等级保护管理办法》、《广东省公安厅关于计算机信息系统安全保护的实施办法》、《广东省信息安全等级测评机构管理办法(试行)》,并按照其要求如实、详细地填写本申请书所有项目。
表13由公安机关填写,其余表由申请单位填写。
2.应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
3.须提交本申请书(含相关证明材料及其他附件)纸板一式三份,同时提交一份对应的电子文档。
要求盖章的地方,必须加盖公章。
4.除填写本申请书外,还应提交以下6个方面材料作为附件集中附后:附件1:表1要求的营业执照副本复印件;附件2:表2要求的保密管理、项目管理、质量管理、人员管理和教育培训等管理制度。
附件3:表3要求的近三年审计报告与信用等级证明材料(若无审计报告请提供加盖公章的资产负债表和损益表);附件4:表4、表5、表6要求的企业负责人、技术负责人、营销负责人的任职、学历、职称、安全培训、业绩证明材料复印件;附件5:表8要求的近3年项目承接合同的复印件;附件6:表9要求的企业获奖、标准和其他资质认证相关证书。
申请声明广东省公安厅网络警察总队:我单位保证符合《信息安全等级保护管理办法》第二十二条和《广东省公安厅关于计算机信息系统安全保护的实施办法》的要求,在此正式提出信息安全等级测评机构备案申请,并承诺按照要求提供所有信息真实,并配合备案审查活动。
申请单位(盖章):申请日期:年月日表1企业基本情况表备注:1、备案工作联系人应当相对固定,如有变更,请及时告知。
最新《信息系统安全等级保护备案表》填表说明(备案时需提供两份原件)
信息系统安全等级保护备案表(红色字体请在打印前删除、表格固定格式请勿随意改动、此表一式两份、 必选无选项,在其他填写)(骑缝章)备 案 单 位: 备案单位全称(盖单位章)备 案 日 期: 到网安部门提交材料日期受理备案单位: 受 理 日 期:中华人民共和国公安部监制备案表编号:填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线中注明详细内容;五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;九、表一05单位负责人:是指主管本单位信息安全工作的领导;十、表一06责任部门:是指单位内负责信息系统安全工作的部门;十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
《信息系统安全等级保护备案表格模板》模板
信息系统安全等级保护 备案表备 案 单 位: (盖章)一、 二、 三、 四、 五、 六、 七、 八、 九、 表一05单位负责人:是指主管本单位信息安全工作的领导; 十、 表一06责任部门:是指单位内负责信息系统安全工作的部门;十一、 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;十二、 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、 表二05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级备案表编号:指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。
部级单位此项可不填;十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一单位基本情况表二( / )信息系统情况表三( / )信息系统定级情况表四( / )第三级以上信息系统提交材料情况。
信息安全等级保护定级和备案
对拟确定为第四级以上信息系统的,运营、使用 单位或者主管部门应当邀请国家信息安全保护等级 专家评审委员会评审,出具评审意见。
三、信息系统安全保护等级的确定
定级工作步骤
第四步:信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意 见,最终确定信息系统等级,形成《定级报 告》。 如果专家评审意见与运营使用单位意见不一 致时,由运营使用单位自主决定系统等级。 信息系统运营使用单位有上级主管部门的, 应当经上级主管部门对安全保护等级进行审 核批准。
公民、法人和其他组织 的合法权益
社会秩序、公共利益
对相应客体的侵害程度 一般损害 严重损害
第一级
第二级
第二级
第三级
特别严重 损害
第二级
第四级
国家安全
第三级
第四级 第五级
三、信息系统安全保护等级的确定
对相应客体的侵害程度
系统服务安全被破坏时
所侵害的客体
一般损害
严重损害 特别严重 损害
公民、法人和其他组织 第一级 的合法权益
不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所 降低但不影响主要功能的执行,出现较轻的法律问题, 较低的资产损失,有限的社会不良影响,对其他组织 和个人造成较低损害。
三、信息系统安全保护等级的确定
严重损害:工作职能受到严重影响,业务能力显著下 降且严重影响主要功能执行,出现较严重的法律问题, 较高的资产损失,较大范围的社会不良影响,对其他 组织和个人造成较严重损害。
定级实例2
对相应客体的侵害程度
业务信息安全被破坏时所
侵害的客体
信息安全等级保护评估服务规划方案
某单位信息安全等级保护评估服务规划方案(目录第1章.项目概述 (5)1.1. 项目背景 (5)1.2. 项目依据 (6)1.3. 项目建设内容 (7)第2章.系统安全需求分析 (8)2.1. 目前状况 (8)2.2. 状况分析 (10)第3章.等保评估 (11)3.1. 测评基本内容 (11)3.2. 评估对象现状 (12)3.2.1. ........................................... 系统定级123.2.2. ........................................... 系统列表3.3. 等级保护评估实施规划 (13)3.3.1. ........................................... 评估方法133.3.2. ........................................... 评估工具133.3.3. ........................................... 评估流程153.4. 等级保护评估内容规划 (16)3.4.1. ....................................... 安全控制评估163.4.2. ....................................... 安全管理评估613.4.3. ....................................... 系统整体评估1113.4.4. ........................................ 综合评估分析1113.5. 等级保护评估安排 (111)3.5.1. ........................................现场评估准备1113.5.2. ....................................... 现场检查测试1153.5.3. ....................................... 需要配合事项116第4章.安全管理体系建设 (117)4.1. 总体安全体系建设 (117)4.2. 安全管理层面 (118)4.2.1. ....................................... 安全管理制度1194.2.2. ....................................... 安全管理机构1194.2.3. ....................................... 人员安全管理1204.2.4. ....................................... 系统建设管理1204.2.5. ....................................... 系统运维管理121第5章.项目规划建设 (122)5.1. 总体工作计划 (122)5.2. 系统差距评估 (123)第6章.安全建设清单及预算 (131)第1章.项目概述1.1. 项目背景2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。
信息系统等级保护备案表(样表)
·备案表编号:44060126106(备注:具体编号由网监部门编写)信息系统安全等级保护备案表备案单位:广东X 网公司佛山XX局(盖章)备案日期:2011-7-25受理备案单位:佛山市公安局网监支队(盖章)受理日期:2011-7-28中华人民共和国公安部监制填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字 [2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他” ,请在其后的横线中注明详细内容;五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11 位,第一部分 6 位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分 5 位,为受理备案的公安机关给出的备案单位的顺序编号;六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;八、表一 04行政区划代码:是指备案单位所在的地( 区、市、州、盟 ) 行政区划代码;九、表一 05单位负责人:是指主管本单位信息安全工作的领导;十、表一 06责任部门:是指单位内负责信息系统安全工作的部门;十一、表一 08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码( GB/T12404―1997)填写;十二、表二 02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;十三、表二 05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、表二 07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、表二 08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、表三 01、02、03 项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
信息安全等级保护工作简报第期
信息安全等级保护工作简报(第39期)来自:公安部时间:2008-03-29广东、宁夏公安网监部门采取措施进一步推动信息安全等级保护工作为进一步推动信息安全等级保护工作,切实提高基础信息网络和重要信息系统的安全保护能力和水平,确保北京奥运会的顺利举办,广东省公安厅网络警察总队、宁夏回族自治区公安厅网监总队认真总结前期工作经验,创新思路,改进工作方法,深入贯彻落实国家信息安全等级保护制度。
广东省公安厅网络警察总队近日下发了《关于进一步推进信息安全等级保护工作的通知》,部署广东各地级市以上公安局网警支队深入开展等级保护工作,明确了各项工作任务和具体要求。
一是深化定级备案工作,严格把关,确保全部定级且准确合理。
通知要求各市公安网监部门要督促辖区内未开展定级工作的单位以及未定级备案的信息系统尽快开展工作,同时对备案材料严格审核,对不符合要求的,协调调整定级,重新报送材料,并确保定级备案的系统数量达到2006年基础调查的系统数量。
二是加强培训,突出重点,确保各单位准确掌握工作内容和要求。
通知要求广东各市公安网监部门要组织召开专门会议,研究部署本地深入开展等级保护工作的有效举措,同时以《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》等标准规范为重点内容,加强对当地信息安全服务机构、信息系统运营使用单位及其主管部门的培训,确保相关单位全面掌握实施等级保护各个环节的具体要求和操作规程。
三是积极稳妥地组织开展安全建设整改和等级测评工作。
通知明确各市公安网监部门要热情服务、有力指导信息系统运营使用单位依照标准规范,根据系统安全保护等级进行安全建设,对不符合等级标准要求的,要督促其进行安全整改工作,指导制定整改方案,明确整改进度。
同时要求各地确定等级保护测评机构试点,并向总队报备,积极开展测评机构试点,确保符合规定要求的机构为系统提供优质测评服务。
四是加强信息安全等级保护监督检查工作。
通知要求各市公安网监部门通过安全检查工作推动信息系统安全建设整改工作的落实,结合奥运安保工作,6月前完成对第三、四级信息系统的第一次自查和检查工作,重点检查等级保护工作的组织开展情况。
信息安全等级保护备案表格模板
信息系备案表编号:统安全等级保护备案表备案单位:(盖章)备案日期:受理备案单位:(盖章)受理日期:中华人民共和国公安部监制填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在其后的横线中注明详细内容;五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;九、表一05单位负责人:是指主管本单位信息安全工作的领导;十、表一06责任部门:是指单位内负责信息系统安全工作的部门;十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
广东省教育厅关于开展信息系统安全等级保护工作的通知
广东省教育厅关于开展信息系统安全等级保护工作的通知文章属性•【制定机关】广东省教育厅•【公布日期】2010.01.27•【字号】粤教信息函[2010]1号•【施行日期】2010.01.27•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】教育综合规定正文广东省教育厅关于开展信息系统安全等级保护工作的通知(粤教信息函〔2010〕1号)各地级以上市教育局、各高等学校:根据《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80 号)精神,以及广东省信息安全等级保护协调小组办公室《关于开展信息系统安全等级保护工作的通知》要求,为进一步做好我省教育系统信息安全工作,提高教育信息系统安全保障能力和水平,结合我省实际,决定在教育系统全面开展信息系统安全等级保护工作。
现将有关工作通知如下:一、教育信息系统安全等级保护工作的目标落实国家有关信息系统安全等级保护制度建设的文件要求,增强各地、各校主管部门领导的信息安全保护意识;开展技术培训,建立信息安全技术队伍,建立健全教育系统信息安全等级保护技术保障体系;全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改,按照《教育部办公厅关于开展信息系统安全等级保护工作的通知》的部署要求,用3 年左右时间,基本建立教育系统信息系统安全等级保护体系,切实提高教育信息系统安全水平,保证教育信息化的健康持续发展。
二、教育信息系统安全等级保护工作的内容(一)按照国家信息安全等级保护有关要求,对我省各级教育行政部门、各级各类学校信息安全工作部门主管领导及技术骨干人员进行培训。
(二)进行信息系统安全定级和备案。
各单位对本单位信息系统进行定级,对二级以上的信息系统要办理备案手续。
(三)对三级以上信息系统开展信息安全等级测评工作。
根据测评结果,不符合要求的,要制订整改方案进行整改。
(四)根据公安部门要求,在教育系统联合开展信息系统安全等级保护监督检查工作。
关于进一步推动信息安全等级保护工作的通知
关于进一步推动信息安全等级保护工作的通知粤等保办[2010]5号各地级以上市信息安全等级保护协调小组:根据公安部2010年度业务考核标准,网安部门在年内督促重点行业、部门开展安全建设整改和测评,完成整改和测评的系统数量不得低于系统总数的40%。
《广东省深化信息安全等级保护工作方案》也提出今年上半年要完成系统的整改和验收测评工作。
各市按照国家和省有关工作要求,大力推动信息安全等级保护工作,取得了较好成效。
目前,全省已备案系统7517个,其中,三级1595个,四级38个。
已开展差距评估的系统近2000个,已完成整改的系统1700多个。
深圳、佛山、广州分别备案系统1795、1392、1362个。
佛山、深圳、广州三级系统分别有650、448、86个,佛山、湛江、广州、深圳、惠州分别有四级系统数量6、5、2、2、1个。
在备案证明发放方面,清远、阳江、中山、珠海向备案系统全部发放了备案证明,佛山、揭阳、肇庆等市备案证明发放数占定级备案系统总数90%以上。
潮州、河源、惠州、茂名、韶关、云浮、湛江等市发放备案证明的数量低于40%。
广州、深圳、中山、佛山、韶关、茂名、河源、汕头、清远分别测评系统102、96、57、18、13、13、12、4、3、2个。
深圳、广州、汕头、湛江、佛山、中山、河源、韶关、珠海、清远组织部署开展整改工作,分别整改系统96、56、30、14、13、6、4、4、2、22个。
但是,工作中也存在不少问题。
一是重视不够。
一些同志认为网络安全出不了什么事,而提高安全防范能力是运营、使用单位的事,对业务工作帮助不大,因此对信息安全等级保护工作重视不够,投入不足,过问不多。
二是方法不多。
相当一部分同志对信息安全等级保护政策文件和技术标准学习不够、理解不深、应用不了,缺乏有效的工作思路和方法。
三是推动不够快。
各市仍然不同程度存在备案工作未完成的情况,尤其是备案证的发放率偏低。
还有一半以上的市未组织开展测评和整改工作。
信息安全等级保护备案表(范本)
信息安全等级保护备案表(范本)-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII信息系统安全等级保护备案表备 案 单 位: 如实填写 备 案 日 期:受理备案单位: 受理单位印章 受 理 日 期:中华人民共和国公安部监制备案表编号:填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在其后的横线中注明详细内容;五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;九、表一05单位负责人:是指主管本单位信息安全工作的领导;十、表一06责任部门:是指单位内负责信息系统安全工作的部门;十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
2022年信息系统安全等级保护备案表(数据项说明)
《信息系统平安等级爱护备案表》数据项说明〔供参考〕1.填表范围:本表由第二级以上信息系统运营使用单位或主管部门〔以下简称“备案单位〞〕填写;本表由四张表单构成,表一为单位信息,每个备案单位填写一张;表二为信息系统根本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表二、表三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统,则填写过程中要遵循表二〔1/6〕、表二〔2/6〕……表二〔6/6〕的编号和命名规则。
如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。
如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。
假设A系统表二的编号为表二〔2/6〕,则相对应的表四的编号也应当是表四〔2/6〕。
2.保存方法:本表一式二份,由备案单位和受理备案的公安机关分别盖章后,一份由备案单位保存,一份交受理备案公安机关存档。
3.《备案表》中有选择的地方请在选项左侧划“√〞,如选择“其他〞,请在其后的横线中注明详细内容,需要填写数字代码的地方,请在“ 〞中直接填写。
4.备案表编号:封面中的“备案表编号〞由两组共11位数字组成,第—组6位,代表受理备案的公安机关代码前六位〔可参照行标GA380-2022〕;第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。
此项内容统一由受理备案的公安机关填写。
5.备案单位:本表封面中的“备案单位〞填写运营使用信息系统的法人单位全称。
6.受理备案单位:本表封面中的“受理备案单位〞填写受理备案的公安机关网监部门名称。
此项由受理备案的公安机关负责填写。
7.单位组织机构代码:依据《全国组织机构代码编制规则》〔GB1714-1997〕,由组织机构代码主管部门给每个企业、事业单位、机关和社会团体颁发的在全国范围内唯—的法定代码,该代码共9位;〔该项内容需要由备案单位在等级爱护专用备案端软件里填写〕。
《等级保护保护整改与安全建设工作重要性》
《等级保护保护整改与安全建设工作重要性》依据公通字[xx]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
启明星辰等级保护整改与安全建设过程启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一)等级保护差距分析1.等级保护风险评估1)评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。
风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。
可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。
广东省信息安全等级测评机构管理办法[指南]
![广东省信息安全等级测评机构管理办法[指南]](https://img.taocdn.com/s3/m/b59a9a5d83d049649a665866.png)
广东省信息安全等级测评机构管理办法[指南] 广东省信息安全等级测评机构管理办法(试行)第一条为规范信息安全等级测评机构管理,提高信息安全保障能力和水平,保障和促进信息化建设,根据《广东省计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定,制定本办法。
第二条本办法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。
第三条信息安全等级测评应当坚持实事求是、客观公正的原则,保证测评活动的独立性和测评结论的准确性。
第四条第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构(简称测评机构)承担:(一)在中华人民共和国境内注册成立(港澳台地区除外),具有相应经营范围的营业执照,注册资本100万元以上;(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)近3年完成的测评项目总值150万元以上;(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;(五)管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事安全测评工作不少于3年,无犯罪记录;(六)工作人员仅限于中国公民,法人及主要业务、技术人员无犯罪记录;(七)具有与所承担项目适应的技术装备;(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(九)对国家安全、社会秩序、公共利益不构成威胁。
第五条我省对测评机构实施备案制度。
符合第四条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。
第六条信息安全等级测评机构申请备案,应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料:(一)备案申请书;(二)营业执照复印件;(三)管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明;(四)技术装备情况及组织管理制度报告。