国家级重要信息系统和重点网站安全

合集下载

填报重要信息系统和网站安全专项检查自查表(填完)

4、单位信息系统定级备案工作情况（重点包括：单位信息系统是否全部定级备案单位系统调整是否及时进行备案变更单位新建信息系统是否落实定级备案等工作。）
5、单位信息系统安全测评和安全建设整改工作情况（重点包括：单位信息系统安全检测和整改经费落实情况；单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况；信息系统安全建设整改方案制定和实施情况；单位网络安全保护状况的了解掌握等情况。）
重视情况
开展网站安全工作的经费是否纳入年度预算
□是 □否
是否明确了网站建设单位、运维单位和内容更新单位
□是 □否
3 单位网站网络安等部门的责任
全责任制落实情是否对发生的网站安全事件（事故）按照安全责任制 □是 □否
况
进行追责
关键岗位人员配是否有明确的安全管理员，并签订保密协议
4
备情况
是否有内容管理员，并签订保密协议
11、单位信息技术产品、服务国产化情况（重点包括：单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况；单位网络安全设备的国产化比率情况；单位信息技术产品国产化替换工作计划情况；单位新建信息系统是否采用国产化设备；单位信息安全服务情况等。）
12、单位网络安全宣传培训情况（重点包括：单位组织开展网络安全宣传教育情况；单位组织开展网络安全岗位培训和网络安全员培训等情况。）
2、行业网络安全等级保护工作保障情况
依据信息安全等级保护有关政策和标准，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展。
3、行业网络安全责任追究制度执行情况

国家发展和改革委员会、公安部、国家保密局关于加强国家电子政务

国家发展和改革委员会、公安部、国家保密局关于加强国家电子政务工程建设项目信息安全风险评估工作的通知【法规类别】科学研究与科技项目【发文字号】发改高技[2008]2071号【发布部门】国家发展和改革委员会(含原国家发展计划委员会、原国家计划委员会)公安部国家保密局【发布日期】2008.08.06【实施日期】2008.08.06【时效性】现行有效【效力级别】部门规范性文件国家发展和改革委员会、公安部、国家保密局关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008]2071号）中央和国家机关各部委，国务院各直属机构、办事机构、事业单位，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅、保密局：为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），加强基础信息网络和重要信息系统安全保障，按照《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令[2007]第55号）的有关规定，加强和规范国家电子政务工程建设项目信息安全风险评估工作，现就有关事项通知如下：一、国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目（以下简称电子政务项目），应开展信息安全风险评估工作。

二、电子政务项目信息安全风险评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。

三、电子政务项目信息安全风险评估工作按照涉及国家秘密的信息系统（以下简称涉密信息系统）和非涉密信息系统两部分组织开展。

四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准，进行系统测评并履行审批手续。

五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。

(重要)国家安全生产信息系统综合运维平台需求

第五部分附件一：第一包技术需求第一章技术要求1.1 “金安”工程一期项目介绍1.1.1 “金安”工程一期项目概况国家安全生产监督管理总局是国务院主管安全生产综合监督管理的直属机构，也是国务院安全生产委员会的办事机构；管理国家煤矿安全监察局并综合监督管理煤矿安全监察工作。

国家煤矿安全监察局是国家安全生产监督管理总局管理的行使国家煤矿安全监察职能的行政机构。

设在地方的煤矿安全监察局由总局领导，煤矿安监局负责业务管理。

国家安全生产监督管理总局（包括国家煤矿安全监察局，以下简称安全监管总局）通过分期建设国家安全生产信息系统，实现各级安全监管、煤矿安全监察机构之间的互联互通，支撑数据、语音和视频功能；建设安全生产监管监察基础业务系统和数据库以及安全支撑和运行保障系统。

目的是提高我国安全监管和监察信息采集、处理、加工的能力，创新安全监管监察的方式方法，提高执法能力和安全生产信息化水平。

2006年经过国家发改委批准启动建设的国家安全生产信息系统（“金安”工程）一期项目（以下简称“金安”工程）软硬件总投资额约1.9亿元。

主要建设内容：（1）依托国家政务外网及其他公共资源，构建国家安全生产信息系统的网络平台，实现覆盖国家安全监管总局（包括国家煤矿安全监察局）到省级机构（共50个）、部分地（市）机构（共116个）和区（县）机构（共900个）、以及现有的煤矿监察分局（共73个）四级安全生产监管和煤矿安全监察部门的网络系统，实现数据、语音和视频传输功能。

（2）建立安全生产监管与煤矿安全监察应用系统的主体框架并使主要业务应用系统投入应用并发挥作用。

主要应用系统包括：安全生产监督管理及行政执法方面的煤矿安全监察、伤亡事故管理、危险化学品安全监管、烟花爆竹安全监管、非煤矿山安全监管、重大危险源监管等监管和监察系统；●安全生产调度与统计方面的事故调度快报、事故统计、行政执法统计、职业病危害统计、煤矿经济运行统计和安全生产辅助决策支持等六个系统；●供国家矿山应急救援中心使用的矿山应急救援信息管理系统。

信息安全标准的分级与分类

信息安全标准的分级与分类信息安全标准的分级与分类是指根据不同安全需求和安全等级的不同，对信息安全的标准进行层级划分和分类管理。

这种分类和分级可以帮助企业和组织在信息安全管理过程中更加系统化、规范化地进行。

下面将详细介绍信息安全标准的分级与分类内容。

1. 根据安全等级分类：（1）国家级安全标准：国家级安全标准是由国家安全管理机构制定和发布的，适用于国家级重要信息系统或者关键信息基础设施。

这些标准通常涉及国家安全、国家秘密和军事等方面的信息安全需求。

（2）行业级安全标准：行业级安全标准是由特定行业的管理机构或组织制定和发布的，适用于该行业特定的信息系统。

这些标准通常包括行业内共享的最佳实践和技术要求，旨在提高整个行业的信息安全水平。

（3）企业级安全标准：企业级安全标准是由企业自身制定和发布的，适用于企业内部的信息系统。

这些标准通常基于国家级和行业级标准，并结合企业自身的风险评估和安全需求，制定具体的信息安全政策、控制措施和操作规范。

2. 根据安全需求分类：（1）机密性标准：机密性标准主要关注信息的保密性，旨在防止未经授权的访问、使用和泄露敏感信息。

这些标准通常包括身份认证、访问控制、数据加密、安全审计等措施。

（2）完整性标准：完整性标准主要关注信息的完整性，旨在防止信息被未经授权的篡改或破坏。

这些标准通常包括数据备份与恢复、访问权限管理、防病毒和入侵检测等措施。

（3）可用性标准：可用性标准主要关注信息系统的可用性，旨在保证用户能够及时和正常地访问和使用信息系统。

这些标准通常包括容灾备份、故障恢复、性能优化等措施。

（4）法律合规性标准：法律合规性标准主要关注信息系统的合法性和合规性，旨在遵守相关的法律法规和行业要求。

这些标准通常包括隐私保护、数据保护、知识产权保护、网络安全法律法规合规等措施。

3. 分级管理的策略：（1）风险评估：对信息系统进行风险评估，确定系统的安全需求和对应的安全等级。

（2）安全分类：根据安全等级和安全需求，将信息系统进行分类，并确定相应的安全控制措施。

信息安全等级保护

信息安全等级保护1.定义（百度百科）信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

（百度文库）信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。

4.分级第一级为自主保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级专控保护级，信息系统受到破坏后，会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

5. 体系结构（1）技术部分包括物理安全，网络安全，主机安全，应用安全，数据安全。

信息安全相关政策解读

13
政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序（暂行）
工业和信息化部公告（2011年第21号）
• 鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务
机构申请信息安全管理体系认证时，应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。
• 鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构
基本工作要求
应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估
相关保障
参照标准:《信息安全风险评估规范》（GB/T 20984-2007）、《信息安全风险管理指南》（GB/Z 24364-2009）
服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）
14
关于加强工业控制系统信息安全管理的通知（工信部协[2011]451号）
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：
• 充分认识加强工业控制系统信息安全管理的重要性和紧迫性 • 明确重点领域工业控制系统信息安全管理要求 • 建立工业控制系统安全测评检查和漏洞发布制度 • 进一步加强工业控制系统信息安全工作的组织领导
十一五：试点十二五：普及推广
5
我国信息安全政策的初步成效、后续展望
初步成效
依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容
围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）

重要信息系统及网站安全检查实施方案

重要信息系统及网站安全检查实施方案一、检查目的依据国家信息安全有关政策规定，对校属各单位的网络信息系统进行检查，发现存在的主要问题和薄弱环节，即查即改，进一步健全网络信息安全管理制度，完善网络信息安全技术措施，提高网络信息安全防护能力，保障我校网络信息化的健康发展。

二、检查原则坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。

检查工作以各部门自查为主，南阳师范学院校园计算机网络信息系统安全工作领导小组（以下简称领导小组）会同有关部门统一组织检查。

三、检查范围网络信息系统安全检查的范围是为各部门履行职能提供支撑的网络信息系统，包括自行运行维护管理以及委托其他部门运行维护管理的办公系统、各业务系统、网站系统等。

四、检查内容（一）网络信息安全组织管理1.网络信息安全管理机构及其工作开展情况。

（1）组织制定并落实网络信息安全管理规章制度情况；（2）组织制定网络信息安全工作计划或工作方案情况，需要查阅该单位网络安全工作议事或例会制度等文档材料。

（3）组织开展网络信息安全教育培训和督促检查工作情况。

2.网络信息安全人员及其工作开展情况。

（1）各单位网络信息安全员（专干）指定情况；（2）网络信息安全员开展督促、检查和指导等日常工作情况。

需要查阅该单位网络安全工作责任分工和岗位职责等文档材料。

以上要求有文字材料或原始记录。

（二）日常网络信息安全管理1.人员管理。

查验相关文档、文件、记录等，重点检查：（1）岗位网络信息安全和保密责任制落实，特别是重要岗位网络信息安全和保密协议签订情况；（2）人员离岗离职网络信息系统交接的安全管理情况；（3）外部人员访问网络信息系统管理模块的管理情况；（4）违反制度规定造成网络信息安全事件的责任查处情况等；（5）岗位责任制落实情况，需要查阅该单位网络安全规划和策略等文档材料。

2.网络信息技术外包服务安全管理。

针对当前校内有部分网络信息系统开发或管理外包服务安全风险突出的现状，重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理：（1）服务机构性质与背景情况；（2）服务合同及安全保密协议签订情况，安全责任是否清晰；（3）人员现场服务记录情况，是否有现场服务监管措施；（4）系统维护方式情况，重点排查远程在线服务带来的安全风险。

重要信息系统和政府网站安全专项检查自查表

等级保护定级备案二级 □三级 □四级 □未定级
等级测评
已开展
□未开展
网站服务栏目
新闻发布政策宣传 □事项办理 □论坛 □即时通信 □电子邮件 □留言版政务公开 □其他
1. 政府网站安全责任制落实情况
（包括网站安全责任分工，岗位职责及安全责任追究等工作情况）
-7-
2.岗位人员配备和培训情况
9.网络安全监测预警及安全事件应急处置情况
（包括网络安全日常监测预警机制的建立和落实，应急预案制定、应急保障技术支撑队伍的组织、定期应急演练等情况）（1）、制定了初步应急预案，并随着信息化程度的深入，结合我校实际，处于不断完善阶段。（2）、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜，并商定其给予镇应急技术以最大程度的支持。（3）、严格文件的收发，完善了清点、修理、编号、签收制度，并要求信息管理员每天下班前进行系统备份。
重要信息系统和政府网站安全专项检查自查表
单位名称（加盖单位公章）自查时间
单位名称
单位地址
邮政编码网络安全工作分管领导
网络安全责任部门
一、单位基本情况
省（区、市）
地（区、市、州、盟）
县（区、市、旗）
单位所在地
行政区划编码
姓名
职务/职称
责任部门负责人
姓名办公电话
职务/职称移动电话
责任部门联系人
12、信息系统使用国外信息技术产品和服务情况
5
（包括本单位在系统和应用软件（操作系统、数据库，办公软件）、硬件（服务器、防火墙，核心路由器）和服务中使用国外信息技术的具体情况及比率）操作系统为 Windows2003，数据库为 Mysql，办公软件为 Microsoft Office。本单位计算机、信息系统安全产品是美国的 Mecfree。单位使用的数据传输平台系统、数据库等应用软件均为市委、市政府相关部门统一指定的产品系统。信息系统使用的服务器、防火墙等均为国外产品，路由器是国产产品。

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1?范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

国家信息安全等级保护制度建设政策要求(公安部)

公
的主要目的 ♦ 明确重点、突出重点、保护重点。
安 ♦有利于同步建设、协调发展。
♦ 优化信息安全资源的配置。
部 ♦明确信息安全责任。
♦ 推动信息安全产业发展。
一、信息安全等级保护工作的主要任务和内容
（三）等级保护工作的主要内容
公
♦ 信息系统定级 ♦ 信息系统备案
安
♦ 安全建设整改 ♦ 等级测评
部
行政级别的降低而降低，例如地市级的重要系统不能定为一、二级。
一、信息安全等级保护工作的主要任务和内容
（六）相关部门责任和义务 ♦ 监管部门：制定管理规范和技术标准，
公组织实施，监督、检查、指导。 ♦ 行业主管部门：督促、检查、指导本行
安业、本部门开展等级保护工作。 ♦ 运营使用单位：开展信息系统定级、备案、建设整改、等级测评、自查等工
有机结合，确保安全管理制度得到
部有效落实。
（3）建立并落实监督检查机制。
三、信息安全等级保护安全建设整改工作的主要内容和要求
2、等级保护安全技术措施建设
公
♦结合行业特点和安全需求，制定符合相应等级要求的信息系统安
安
全技术建设整改方案，开展安全技术措施建设。
部 ♦可以采取“一个中心三维防护”
任务和内容
♦ 第四级信息系统：一般适用于国家重要领域、重要部门中涉及国计民生、
公
国家利益、国家安全，影响社会稳定的核心系统。例如全国铁路客票系统、
列车指挥调度系统、民航离港系统、
安
空管系统、电力二次系统、银行核心业务系统、电信基础平台等。
需特别注意的是：同类信息系统
部的安全保护等级不能随着部、省、市
三、信息安全等级保护安全建设整改工作的主要内容和要求

中华人民共和国计算机信息系统安全保护条例-国务院令147号

中华人民共和国计算机信息系统安全保护条例正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 中华人民共和国国务院令（１４７号）现发布《中华人民共和国计算机信息系统安全保护条例》，自发布之日起施行。

总理李鹏１９９４年２月１８日中华人民共和国计算机信息系统安全保护条例第一章总则第一条为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行，制定本条例。

第二条本条例所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第三条计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。

第四条计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

第五条中华人民共和国境内的计算机信息系统的安全保护，适用本条例。

未联网的微型计算机的安全保护办法，另行制定。

第六条公安部主管全国计算机信息系统安全保护工作。

国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。

第七条任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

第二章安全保护制度第八条计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。

第九条计算机信息系统实行安全等级保护。

工作方案：信息化推进工作实施方案

信息化推进工作实施方案为全面贯彻省委经济工作会议和省委XX次全会精神,认真落实《中国制造X》和“互联网+”行动计划,加快推进信息化建设,拓展网络经济空间,进一步提升我X信息化发展整体水平,特制定本方案。

一、工作思路以创新、协调、绿色、开放、共享的发展理念为指导,以建设网络经济大省为总目标,坚持供给侧结构性改革,推动新一代信息技术与制造技术融合发展,加快重点行业智能化改造,培育发展新技术、新业态和新型生产方式,促进产业转型升级,提升公共服务水平,推进信息化、工业化、城镇化、农业现代化同步科学发展。

二、重点任务(一)加强基础研究,推进统筹协调。

一是编制发布《X省国民经济和社会信息化发展“十三五”计划》及相关子计划。

全面评估我X “十二五”信息化计划的实施情况,深入分析“十三五”时期信息化发展环境和形势,按照“四个全面”战略布局,把握建设网络经济大省和先进制造业大省的重大战略契机,编制、发布我X“十三五”信息化发展计划及相关子计划,科学指导今后一个时期我X信息化发展工作。

二是开展信息化发展水平研究与评估。

完善省信息化发展水平评估指标体系,科学衡量和评估各省辖市、省直管县(市)信息化发展水平,找出信息化发展的优势和不足,指导各地有效开展工作。

继续开展对各省辖市和省直管县(市)“两化”(工业化和信息化)融合发展水平评估。

适时发布年度省信息化发展水平评估报告和“两化”融合水平评估报告。

三是推动一系列政策制定与实施。

制定X省促进云计算创新发展的实施意见、加快推进物联网发展的实施意见,推动新技术、新产业、新业态、新模式发展。

制定出台中央网信办《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔X〕14号)的贯彻落实意见,加强网络安全管理。

制定出台《关于加强智慧城市网络安全管理工作的实施意见》,推进全省智慧城市建设健康、有序、协调发展。

(二)深化“两化”融合,推进转型创新。

一是全面开展“两化”融合管理体系贯标。

填报重要信息系统和网站安全专项检查自查表填完

管理人员定期对机房的平安工作进展检查，建立了严密的监控系统。实时的对网络情况进展监测，发现问题及时自行解决或联系相关设备维护方进展处理。安装防火墙，配置专业的杀毒软件，防止病毒入侵，防止信息泄露。及时修补各种软件补丁，创立数据备份及系统恢复文件。
5、行业重要网络平安政策和技术标准的制定情况
1．行业信息系统底数梳理情况：出台了行业信息系统定级指导意见，了解本单位信息系统定级底数，了解本单位信息系统备案底数，及时根据信息系统变化情况更新备案信息。 2．举行行业网络平安培训，行业网络平安、等级保护标准规的制定并发布。 3.积极对行业网络平安工作进展监视检查和指导
-优选
.
.
单位名称单位地址网络平安分管领导
职务/职称
网络平安责任部门
责任部门负责人
办公
职务/职称移动
责任部门联系人
办公
职务/职称移动
单位信息系统总数
第四级系统数第二级系统数
第三级系统数未定级系统数
单位信息系统等级测评总数
第四级系统数第二级系统数
第三级系统数未测评系统数
单位信息系统平安建立整改总数
是否根据演练结果对应急预案进展完善？
□是□否 □是□否 □是□否 □是□否
本单位机房进出人员管理是否按照制度执行，并有详
机房平安管理制
□是□否
11
细记录？
度执行情况
本单位机房日常监控是否制度执行并有监控记录？ □是□否
网络平安检查情
12
是否有平安自查工作总结报告？
况
□是□否
交互式栏目信息单位是否有交互式栏目？
6、单位网络平安管理制度的制定和实施情况〔重点包括：单位信息系统建立和网络平安"同步规划、同步建立、同步运行〞措施的落实情

重要信息系统定级工作有关具体问题说明

1关于信息安全等级保护工作的实施意见公通字200466号2信息安全等级保护管理办法公通字200743号3关于开展全国重要信息系统安全等级保护定级工作的通知公通字2007861号4信息安全等级保护备案实施细则公信安20071360号5关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091429号6关于加强国家电子政务工程建设项目信息安全风险评估工作的通知发改高技20082071号7关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安2010303号
二、等级保护定级备案工作的具体内容和要求 1. 确定定级对象 • 起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。 • 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 • 各单位网站。
二、等级保护定级备案工作的具体内容和要求
2.确定信息系统安全保护等级
《管理办法》规定的五个等级： • 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 • 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
二、等级保护定级备案工作的具体内容和要求
• 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。 • 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 • 各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。
（一）信息安全等级保护政策体系基础标准：《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。安全要求：《信息系统安全等级保护基本要求》信息系统安全等级保护的行业规范

关于重要信息系统安全等级保护定级的几点意见

关于重要信息系统安全等级保护定级的几点意见来源：admin 发布日期：2012-02-05国家信息安全保护等级专家评审委员会主任沈昌祥院士自7月20日全国重要信息系统安全等级保护定级工作电视电话会议以来，重要信息系统安全等级保护定级工作（以下简称“定级工作”）在各部门、各单位积极部署开展起来。

近两个月来，我受国家信息安全等级保护协调小组办公室的邀请，参加了对教育部、卫生部等部委的调研、指导定级工作。

同时，应有关部委的邀请参加了奥组委、铁道部、发改委等部门信息系统定级评审工作，与有关专家对相关部门的信息系统进行分析、研究，并评审所确定的信息系统安全保护等级。

在上述工作过程中，我感到许多单位对定级工作高度重视，有些部委成立了由主要领导挂帅的等级保护领导（协调）机构，确定专门的责任部门牵头负责此项工作，认真研究部署，积极采取有力措施，结合行业实际，制定出台了定级工作的指导意见或实施方案，克服时间紧、任务重、工作新的不利因素，稳步、扎实推进定级工作。

通过定级工作的开展，许多信息系统运营使用单位和主管部门对信息安全等级保护工作的重要性、紧迫性有了充分认识。

同时，公安机关作为牵头部门，积极发挥职能作用，不断增强服务保障意识，与相关单位加强协调配合，不断加强对定级工作的监督、检查和指导，为全面贯彻落实国家信息安全等级保护制度提供了有力保障。

在调研、定级评审过程中，也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。

结合工作中掌握的一些具体情况，我认为主要有以下几方面原因：一是有些部门未能站在国家安全、社会稳定的高度统筹考虑信息系统等级，而仅从行业和信息系统自身安全角度考虑。

二是有些部门认为信息系统级别定高，要花费更多的资金，单位负担加重。

三是有些部门对本行业下级单位定级指导不力，同类信息系统下级部门定级偏低，特别是一些重要行业地市级单位的系统级别偏低。

四是少数部门领导对定级工作重视不够，还有些部门以信息系统运维单位为主进行定级，业务单位参与定级不够。

信息系统安全等级保护

内容
测评依据
《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《信息安全等级保护管理办法》（公通字[2007]43号） GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》 GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》 GB/T 28449-2012《信息安全技术信息系统安全等级保护测评过程指南》《信息安全等级保护测评报告模版（2015年版）》（公信安[2014]2866号）《信息系统安全等级测评合同》
测评过评人员对设备相关安全配置的检查和采集程
物理安 • 需要到物理机房实地检查，请提前申请进入机房的相关手续，并协调查看机房管理相关管理记录全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址，提供配置文件全
主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描，请分配可接入的网络端口及地址全
- 建立全面的安全管理制度，并安排专人负责并监控执行情况； - 建立全面的人员管理体系，制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范，按照制度要求进行活动的开展 - 实现严格的保密性管理 - 成立安全运维小组，对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
等级保护简介等级保护定级与备案等级保护解决方案等级保护测评
护国家利益、公共利益和社会稳定。 • 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作
运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

填报重要信息系统和网站安全专项检查自查表填完

初步建立了网络安全事件报告和处置管理制度，定期对工作人员进行网络安全教育，培养应急素质，提高紧急事故处理能力，定期进行应急演练。建立了安全责任制，分工到个人，明确了安全信息主管领导和具体网络管理人员的责任，主管领导负总责，具体管理员负主责，所有工作人员都与本单位签订了网络安全责任书。
4、行业网络安全与信息通报工作情况
2、单位对网络安全等级保护工作的保障情况（重点包括：单位网络安全等级保护工作年度考核情况；单位组织开展网络安全自查情况；单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。）
3、单位网络安全责任追究制度执行情况（重点包括：是否建立了单位网络安全责任追究制度？是否依据责任追究制度对单位发生的网络安全事件（事故）进行追责等情况。）
第三级系统数未测评系统数
单位信息系统安全建设整改总数
第四级系统数第二级系统数
第三级系统数未整改系统数
单位信息系统安全自查总数
第四级系统数第二级系统数
第三级系统数未自查系统数
二、信息系统运营使用单位网络安全工作情况 1/1
填报重要信息系统和网站安全专项检查自查表填完
1、单位网络安全等级保护工作的组织领导情况（重点包括：单位网络安全领导机构或网络安全等级保护工作领导机构成立情况；单位网络安全或网络安全等级保护工作的职责部门和具体职能情况；单位网络安全等级保护工作部署情况等。）
1/1
填报重要信息系统和网站安全专项检查自查表填完
4、单位信息系统定级备案工作情况（重点包括：单位信息系统是否全部定级备案？单位系统调整是否及时进行备案变更？单位新建信息系统是否落实定级备案等工作。）
5、单位信息系统安全测评和安全建设整改工作情况（重点包括：单位信息系统安全检测和整改经费落实情况；单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况；信息系统安全建设整改方案制定和实施情况；单位网络安全保护状况的了解掌握等情况。）

重要信息系统重要信息系统和重点网站检查内容

附件2重要信息系统和重点网站安全检查内容重点检查各单位、各部门网络安全工作的基本情况以及重要信息系统和重点网站的安全保护情况，查找问题、隐患并督促整改。

主要包括：（一）重要信息系统行业主管部门。

重要信息系统行业主管部门对全行业网络安全工作的组织领导和责任制落实情况；制定全行业网络安全政策和技术标准规范情况；全行业网络安全顶层设计、统筹规划情况；全行业信息系统的底数掌握情况和网络安全保护状况；全行业信息安全等级保护、安全监测、网络安全信息通报、重要数据保护、灾难备份、应急演练等重点工作的部署和开展情况；全行业网络安全机构、队伍建设、网络安全宣传培训等情况。

（二）重要信息系统运营使用单位。

重要信息系统运营使用单位网络安全责任部门和责任人落实情况，以及网络安全责任追究制度的建立情况；单位开展信息安全等级保护工作情况，以及网络安全监测、通报预警、技术检测、风险评估、数据保护、容灾备份、应急演练等重点工作开展情况；单位网络安全经费保障和人员安全管理、岗位培训等情况；新系统规划、建设情况，新系统安全保护等级定级备案情况，新系统“同步规划、同步建设、同步运行”安全保护措施落实情况，安全建设方案制定与实施情况。

（三）重要信息系统。

重要信息系统设备和资产情况；信息系统建设投入和安全经费投入情况；安全保护计划和落实情况；信息系统开展等级测评和建设整改工作完成情况；信息系统网络安全管理制度和技术防范措施的建设和落实情况；信息系统重要数据的存储、应用、流转和安全保护情况；网络安全事件（事故）的发生、报告和应急处置情况；信息系统使用国外信息技术产品、服务情况和安全可控措施的落实情况；信息系统核心网络设备、操作系统、数据库、服务器等软硬件产品国产化替代工程计划和进展情况；信息系统和重要数据的运行维护单位、服务外包情况等。

（四）政府部门、企事业单位、非政府组织网站和大型互联网网站。

政府部门、企事业单位、非政府组织网站以及大型互联网网站落实国家信息安全等级保护制度，开展信息系统定级备案、等级测评和安全建设整改、安全自查等重要工作的落实情况；网站开办单位、运行维护单位的安全保护责任单位、责任人等安全责任的落实情况；网站安全管理制度以及防入侵、防攻击、防篡改等技术防护措施的落实情况；网站安全监测预警、备份恢复、应急处置等措施落实情况；网站安全事件（事故）处置情况。

有关网络信息安全的承诺书

有关网络信息安全的承诺书网络信息安全承诺书范本(一)为确保本单位信息网络、重要信息系统和网站安全、可靠、稳定地运行，作为本单位网络与信息安全工作的主要负责人，对本单位的网络与信息安全工作负总责，并做如下承诺：一、加强本单位网络与信息安全工作的组织领导，建立健全网络与信息安全工作机构和工作机制，保证网络与信息安全工作渠道的畅通。

二、明确本单位信息安全工作责任，按照“谁主管，谁负责;谁运营，谁负责”的原则，将安全职责层层落实到具体部门、具体岗位和具体人员。

三、加强本单位信息系统安全等级保护管理工作，在公安机关的监督、检查、指导下，自觉、主动按照等级保护管理规范的要求完成信息系统定级、备案，对存在的安全隐患或未达到相关技术标准的方面进行建设整改，随信息系统的实际建设、应用情况对安全保护等级进行动态调整。

四、加强本单位各节点信息安全应急工作。

制定信息安全保障方案，加强应急队伍建设和人员培训，组织开展安全检查、安全测试和应急演练。

重大节日及敏感节点期间，加强对重要信息系统的安全监控，加强值班，严防死守，随时应对各类突发事件。

五、按照《信息安全等级保护管理办法》、《互联网信息管理服务办法》等规定，进一步加强网络与信息安全的监督管理，严格落实信息安全突发事件“每日零报告制度”，对本单位出现信息安全事件隐瞒不报、谎报或拖延不报的，要按照有关规定，给予责任人行政处理;出现重大信息安全事件，造成重大损失和影响的，要依法追究有关单位和人员的责任。

六、作为本单位网络与信息安全工作的责任人，如出现重大信息安全事件，对国家安全、社会秩序、公共利益、公民法人及其他组织造成影响的，本人承担主要领导责任。

违反上述承诺，自愿承担相应主体责任和法律后果。

网络信息安全承诺书范本(二)本单位郑重承诺遵守本承诺书的有关条款，如有违反本承诺书有关条款的行为，由本单位承担由此带来的一切民事、行政和刑事责任。

一、本单位承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》及其他国家有关法律、法规和行政规章制度。