信息安全等级保护测评体系建设与测评工作规范性文件.

陕西省交通运输厅关于进一步开展全省交通运输行业信息安全等级保护工作的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------陕西省交通运输厅关于进一步开展全省交通运输行业信息安全等级保护工作的通知（陕交函[2012]517号）厅直各单位：为贯彻落实交通运输部《关于进一步开展交通运输行业信息安全等级保护工作的通知》（厅科技字〔2012〕120号）的文件精神，认真做好2012年我省交通运输行业信息系统安全等级保护定级、备案、测评及建设整改工作，按照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）和《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）等文件要求，结合我省交通运输行业实际，现就开展信息安全等级保护有关事宜通知如下：一、信息系统摸底调查请各单位认真填写本单位所有信息系统信息安全等级保护情况统计表（见附件1），并于2012年7月20日前报送厅信息中心。

二、信息系统定级备案请各单位对照“厅机关及厅直单位已定级信息系统统计表”（附件3）的内容，填报你单位已运行但尚未定级的重要信息系统，以及新建、扩建和升级改造信息系统的定级报告及备案登记表（见附件2），并于2012年7月20日前报送至厅信息中心。

厅信息中心审核汇总后将统一到公安部门进行登记备案。

三、等级保护安全建设整改各单位应对照《信息安全技术信息系统安全等级保护基本要求》等标准规范，开展往年已定级信息系统和本年度新定级信息系统安全保护现状评估，分析查找存在的安全隐患和差距，制定信息系统安全等级保护建设整改方案并组织实施。

2012年9月底前，完成第三级以上（含第三级）已定级信息系统的安全建设和整改工作，并向厅信息中心送交建设整改情况报告。

关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安303)1关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安[2010]303号各省、自治区、直辖市公安厅、局网络安全保卫（公共信息网络安全监察、网络警察）总队（处）、新疆生产建设兵团公安局公共信息网络安全监察处：为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）精神，加快信息安全等级保护测评体系建设，提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行，满足信息安全等级保护工作的迫切需要，决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。

现将有关事项通知如下：一、工作目标（一）通过广泛宣传和正确引导，鼓励更多的有关企事业单位从事信息安全等级保护测评工作，满足信息安全等级保护测评工作的迫切需要。

（二）通过对测评机构进行统一的能力评估和严格审核，保证测评机构的水平和能力达到有关标准规范要求。

（三）加强对测评机构的安全监督，规范其测评活动，保证为备案单位提供客观、公正和安全的测评服务。

（四）督促备案单位开展等级测评工作，为开展等级保护安全建设整改工作奠定基础，使信息系统安全保护状况逐步达到等级保护要求。

二、工作内容各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求，结合本地实际组织开展以下工作：（一）统筹规划，正确引导，积极稳妥地推动等级测评机构建设。

结合本地已定级备案信息系统数量和分布情况，从满足等级测评工作的实际需要出发，统筹规划、合理布局测评机构的规模和数量，积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作，按照成熟一个发展一个的原则，有计划、积极稳妥地推动测评机构建设。

（二）规范流程，严格把关，确保测评机构的水平和能力符合测评工作要求。

依据《信息安全等级保护测评工作管理规范（试行）》（见附件一），对申请成为测评机构的单位严格把关，按照申请受理、测评能力评估、审核、推荐的流程，认真开展测评机构评审和推荐工作。

GB/T XXX--200XICS 35.040L80信息安全技术信息系统安全等级保护测评要求Information security technology- Testing and evaluation requirement for classified protection of information system 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T XXXX –XXXX目次前言 ........................................................................................................................................... ........................... III 引言 ........................................................................................................................................... ........................... I V 1范围. (12规范性引用文件 (13术语和定义 (14总则 (14.1测评原则 (14.2测评内容 (14.3测评力度 (24.4结果重用 (24.5使用方法 (25第一级信息系统单元测评 (35.1安全技术测评 (35.1.1物理安全 (35.1.2网络安全 (55.1.3主机安全 (65.1.4应用安全 (75.1.5数据安全及备份恢复 (85.2安全管理测评 (95.2.1安全管理制度 (95.2.2安全管理机构 (95.2.3人员安全管理 (105.2.4系统建设管理 (125.2.5系统运维管理 (146第二级信息系统单元测评 (17 6.1安全技术测评 (176.1.1物理安全 (176.1.2网络安全 (206.1.3主机安全 (226.1.4应用安全 (246.1.5数据安全及备份恢复 (27 6.2安全管理测评 (286.2.1安全管理制度 (286.2.2安全管理机构 (296.2.3人员安全管理 (306.2.4系统建设管理 (326.2.5系统运维管理 (35IGB/T XXXX –XXXX7第三级信息系统单元测评 (39 7.1安全技术测评 (397.1.1物理安全 (397.1.2网络安全 (447.1.3主机安全 (477.1.4应用安全 (497.1.5数据安全及备份恢复 (53 7.2安全管理测评 (557.2.1安全管理制度 (557.2.2安全管理机构 (567.2.3人员安全管理 (597.2.4系统建设管理 (617.2.5系统运维管理 (658第四级信息系统单元测评 (71 8.1安全技术测评 (718.1.1物理安全 (718.1.2网络安全 (768.1.3主机安全 (798.1.4应用安全 (828.1.5数据安全及备份恢复 (878.2安全管理测评 (898.2.1安全管理制度 (898.2.2安全管理机构 (908.2.3人员安全管理 (938.2.4系统建设管理 (958.2.5系统运维管理 (999第五级信息系统单元测评 (106 10信息系统整体测评 (10610.1概述 (10610.2安全控制点间测评 (10610.3层面间测评 (10610.4区域间测评 (10710.5系统结构安全测评 (10711等级测评结论 (10711.1各层面的测评结论 (10711.2整体保护能力的测评结论 (107 附录A(资料性附录测评力度 (109 A.1测评方法的测评力度描述 (109A.2信息系统测评力度 (109IIGB/T XXXX –XXXX前言(略III引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号和《信息安全等级保护管理办法》(公通字[2007]43号等有关文件要求,制定本标准。

关于信息安全等级保护工作的实施意见【颁布单位】公安部国家保密局国家密码管理委员会办公室国务院信息化工作办公室【颁布日期】 20040915【实施日期】 20040917【文号】公通字[2004]66号【名称】关于信息安全等级保护工作的实施意见信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

为了进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展，1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

一、开展信息安全等级保护工作的重要意义近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。

但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。

卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2011.12.07•【文号】卫办综函[2011]1126号•【施行日期】2011.12.07•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函〔2011〕1126号）各省、自治区、直辖市卫生厅局，新疆生产建设兵团及计划单列市卫生局，部直属各单位，部机关各司局：为贯彻落实国家信息安全等级保护制度和卫生部关于《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号，以下简称《指导意见》），全面提高卫生行业信息安全保障能力和水平，保障和促进卫生信息化健康发展，我部决定全面开展信息安全等级保护工作。

现将有关事项通知如下：一、具体内容（一）建立健全工作机制。

各省级卫生行政部门要尽快确定信息安全等级保护工作联络员，建立健全信息安全技术专家委员会，并分别于2011年12月30日前和2012年4月30日前将联络员名单和专家委员会成员名单报送我部。

（二）限时报送备案情况。

各省级卫生行政部门要于2011年12月30日前将本地区已定级备案的卫生信息系统情况报送我部。

（三）完成定级备案工作。

卫生行业各单位要于2012年5月30日前完成本单位信息系统的定级备案工作。

（四）开展安全建设整改工作。

卫生行业各单位要根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患，并结合自身安全需求，制订安全建设整改方案。

要于2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。

二、相关要求（一）卫生行业各单位要按照“遵循标准、重点保护，行业指导、属地管理，同步建设、动态完善”的原则，建立信息安全等级保护工作长效机制。

（二）各省级卫生行政部门要督促本地区卫生行业各单位按照《指导意见》要求，开展信息安全等级保护工作。

信息安全等级保护体系建设方案目录第1章.项目概述 (3)1.1.项目背景 (3)1.2.项目依据 (4)1.3.项目建设内容 (4)第2章.安全管理体系建设 (5)2.1.总体安全体系建设 (5)2.2.安全管理层面 (6)2.2.1.安全管理制度 (6)2.2.2.安全管理机构 (7)2.2.3.人员安全管理 (8)2.2.4.系统建设管理 (8)2.2.5.系统运维管理 (8)第3章.项目规划建设 (9)3.1.总体工作计划 (9)3.2.系统差距评估 (10)第4章.安全建设清单及预算 (16)第1章.项目概述1.1. 项目背景省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

按照《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《信息安全等级保护管理办法》（公通字[2007]43号）等文件要求，某市某单位积极响应等级保护要求，将开展等保定级、等保评估、等级保护整改、差距测评等评估工作，切实将信息发布系统建成“信息公开、在线办事、公众参与”三位一体的业务体系，为企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。

目前，需要对现有的6个系统展开等级保护工作，7个系统分别是：某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。

虽然系统各异，但是都在同一个物理地址，故此统一对6个系统进行等级保护安全建设，使之更加安全、稳定。

包头市人民政府办公厅关于进一步加强政府网站信息安全等级保护工作的通知文章属性•【制定机关】包头市人民政府•【公布日期】2014.06.10•【字号】府办发[2014]149号•【施行日期】2014.06.10•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文包头市人民政府办公厅关于进一步加强政府网站信息安全等级保护工作的通知（2014年06月10日包府办发〔2014〕149号）各旗、县、区人民政府，稀土高新区管委会，市直各部门、单位：为贯彻落实《内蒙古自治区计算机信息系统安全保护办法》（自治区人民政府令第183号，以下简称《办法》）和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合制定的《信息安全等级保护管理办法》精神，推进我市信息安全等级保护制度建设，提高重要信息系统和基础信息网络的安全保护水平，近期，市政府将在全市范围内加强政府网站信息系统安全等级保护定级备案和测评整改工作。

现就有关事宜通知如下：一、充分认识开展信息安全等级保护工作的重要性和紧迫性近年来，黑客针对我市政府网站的网络攻击、入侵破坏、发布有害信息等事件逐年增多，信息网络安全（案）事件呈高发态势，导致政府网站信息被篡改，企业和个人信息被盗取等现象的发生，严重危害国家安全、社会稳定和公众利益。

针对这些问题，市信息网络安全工作领导小组组织市公安局、市信息系统安全等级评测中心联合对全市政府类网站进行了远程监测扫描，共监测和扫描政府类网站67个，结果发现所监测扫描的网站均存在漏洞，其中存在高危漏洞的网站48个，占到全部所监测扫描网站的71.6%；存在中危漏洞的网站7个，占到全部所监测扫描网站的10.4%；高、中、低危漏洞都存在的网站37个，占到全部所监测扫描网站的55.2%。

市公安局网安支队于2013年依据检测报告对部分政府类网站下发了责令限期整改通知，但至今仍有部分网站没有完成整改工作，有的网站安全漏洞数量甚至不降反增。

公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信息安全等级保护工作的通知文章属性•【制定机关】公安部,国务院国有资产监督管理委员会•【公布日期】2010.12.26•【文号】公通字[2010]70号•【施行日期】2010.12.26•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信息安全等级保护工作的通知（公通字[2010]70号）各省、自治区、直辖市公安厅（局），新疆生产建设兵团公安局，中央企业：保护中央企业信息系统的安全稳定运行对于促进企业健康发展，维护国家经济安全和社会稳定具有重要意义。

为全面落实国家信息安全等级保护制度，加强中央企业的信息安全工作，保障和促进中央企业的信息化发展，现就进一步推进中央企业信息安全等级保护工作的有关要求通知如下：一、高度重视，切实将信息安全等级保护工作纳入企业信息化工作同步推进近年来，中央企业全面推进信息化建设，企业信息系统数量大幅增加，系统复杂程度大幅提高，业务依赖程度大幅增强，特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展，提高企业核心竞争力的重要载体和主要手段，已成为国家关键基础设施。

各级公安机关、国资监管及有关行业主管（监管）部门要高度重视中央企业的信息安全等级保护工作，特别是各企业要将这项工作摆在重要位置，认真贯彻落实国家信息安全等级保护制度，将信息安全等级保护工作纳入企业信息化工作的整体布局中，将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。

二、明确职责，建立分工负责、协作配合的工作机制国资委负责部署中央企业信息安全等级保护工作，其中电力、军工、民航企业和电信运营商的信息安全等级保护工作由相关主管（监管）部门组织部署和落实。

国资委和有关行业主管（监管）部门按照国家信息安全等级保护制度的总体要求和相关管理文件，组织中央企业开展信息安全等级保护各项工作，制定具体实施方案或细则，开展宣传、培训和先进经验推广工作，加强对中央企业信息安全等级保护工作的检查监督、指导和考核。

信息安全等级保护等级测评实施细则doc信息安全等级测评第一章总则第一条【目的】为加强信息安全等级测评机构建设与管理，规范等级测评活动，保障信息安全等级保护制度的贯彻落实，根据《信息安全等级保护管理办法》等有关规范制订本实施细则。

第二条【适用范围】本细则适用于等级测评机构、测评人员与测评活动的规范管理。

第三条【等级测评定义】等级测评是测评机构根据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范与技术标准，对信息系统安全等级保护状况进行检测评估的活动。

第四条【测评机构定义】测评机构是经有关部门能力认可，经有关部门推荐，在一定范围内从事信息系统安全等级测评等工作的专业技术机构。

第五条【基本原则】测评机构应当按照有关规定与统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模版出具测评报告。

第六条【保密要求】测评机构与测评人员应当遵守《国家保密法》的规定，保守在测评活动中知悉的国家秘密、商业秘密、敏感信息与个人隐私等。

第七条【管理体制】测评机构应当同意各级信息安全等级保护协调（领导）小组与公安网安部门的监督管理，并同意有关部门的业务管理与技术指导。

第二章测评机构第八条【总体要求】测评机构分为地区性、行业性测评机构，按照属地管理与行业管理相结合的原则进行建设与管理。

第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设与管理工作，指导行业等级测评机构的建设与管理工作，并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。

各省（区、市）等级保护协调（领导）小组办公室负责本地等级测评机构的建设管理工作。

第十条【基本条件】申请成为等级测评机构的单位（下列简称申请单位）应当具备下列基本条件：（一）在中华人民共与国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者者国家投资的企事业单位（港澳台地区除外）；（三）产权关系明晰，注册资金100万元以上；（四）从事信息系统检测评估有关工作两年以上；（五）单位法人及要紧工作人员仅限于中华人民共与国境内的中国公民，且无犯罪记录；（六）具有胜任等级测评工作的专业技术人员与管理人员，大学本科（含）以上学历所占比例不低于80%。

信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。

与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例（征求意见稿）》（以下简称“《保护条例》”）。

作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。

为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。

欢迎国内具有独立承担民事责任的企业, 具备相关资格（具备信息安全等级保护测评资质）条件的供应商参加。

二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。

定级系统: （二级）①公司OA办公系统；②物流系统；③采购系统；④质量中心系统；⑤炼铁部-工业网络系统；⑥铸管部-工业网络系统；工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。

项目实施内容:1.安全检查（1）信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析；（2）信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险；（3）信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。

2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括：对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。

公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知文章属性•【制定机关】公安部,国家保密局,国家密码管理局,国务院信息化工作办公室(已撤销)•【公布日期】2007.06.22•【文号】公通字[2007]43号•【施行日期】2007.06.22•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】国家安全,机关工作正文公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。

现印发给你们，请认真贯彻执行。

公安部国家保密局国家密码管理局国务院信息工作办公室二〇〇七年六月二十二日信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

中国保险监督管理委员会关于开展保险业信息系统安全等级保护定级工作的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2007.09.06•【文号】保监厅发[2007]45号•【施行日期】2007.09.06•【效力等级】部门规范性文件•【时效性】失效•【主题分类】保险正文中国保险监督管理委员会关于开展保险业信息系统安全等级保护定级工作的通知(保监厅发〔2007〕45号)各保监局，各保险公司、保险资产管理公司，中国保险行业协会：为贯彻落实国家信息安全等级保护制度，按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）要求，中国保监会将在保险行业内开展信息系统安全等级保护定级工作。

现将有关事项通知如下：一、等级保护定级工作的要求及组织方式各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则，成立相应的领导及实施机构，结合本单位的实际情况，准确开展信息系统等级保护定级工作。

保监会成立等级保护定级工作领导小组，统一领导、解决保险行业信息安全等级保护定级工作中的重大问题；保监会等级保护定级工作领导小组下设办公室，具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。

各保监局负责本局内独立运行的信息系统等级保护定级工作，并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。

各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。

各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。

二、定级工作安排及定级范围（一）定级工作安排为稳妥做好等级保护定级工作，拟在保险行业内分步分批实施。

保险行业第一批定级单位包括：保监会及各保监局，中国保险行业协会，中国人民保险集团公司、中国人寿保险（集团）公司、中国再保险（集团）公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险（集团）股份有限公司、中国太平洋（集团）股份有限公司及其下属各子公司和分公司。

卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2011.11.29•【文号】卫办发[2011]85号•【施行日期】2011.11.29•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔2011〕85号）各省、自治区、直辖市卫生厅局，新疆生产建设兵团及计划单列市卫生局，部直属各单位，部机关各司局：为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）要求，我部结合卫生行业实际，研究制定了《卫生行业信息安全等级保护工作的指导意见》。

现印发给你们，请遵照执行。

二〇一一年十一月二十九日卫生行业信息安全等级保护工作的指导意见卫生信息安全工作是我国卫生事业发展的重要组成部分。

做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。

为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，制定本指导意见。

一、工作目标依据国家信息安全等级保护制度，遵循相关标准规范，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

二、工作原则（一）遵循标准，重点保护。

遵循国家信息安全等级保护相关标准规范，结合卫生行业信息系统特点，优先保护重要卫生信息系统，优先满足重点信息安全需求。

（二）行业指导，属地管理。

卫生行业信息安全等级保护工作实行行业指导、属地管理。

教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知文章属性•【制定机关】教育部•【公布日期】2010.11.03•【文号】教办厅函[2010]80号•【施行日期】2010.11.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】教育综合规定正文教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知（教办厅函[2010]80号）各省、自治区、直辖市教育厅（教委），各计划单列市教育局，新疆生产建设兵团教育局，部属各高等学校，部内各司局，各直属单位：公安部于近日下发了《关于开展信息安全等级保护专项监督检查工作的通知》（公信安〔2010〕1175号），将在全国范围内开展为期三个月的信息安全等级保护专项监督检查工作，重点检查各行业、各单位信息安全等级保护定级备案、等级测评和安全建设整改情况。

为了解、掌握教育系统信息安全等级保护工作开展情况并配合公安部做好监督检查工作，现就教育系统开展信息安全等级保护检查工作的有关事项通知如下：一、检查方式采取自查、抽查相结合的形式。

各省（区、市）市教育厅（教委）负责本单位、辖区内各地市（区县）教育局、所属各高等学校信息系统安全等级保护检查；部机关各司局、各直属单位和直属高等学校负责本单位的信息系统安全等级保护自查。

我部和公安部将联合组成检查组对部分重点单位进行抽查。

二、检查内容主要检查各单位信息系统安全等级保护工作部署和组织实施情况、定级备案、等级测评和安全建设整改情况。

三、工作安排1．教育部机关和直属单位检查安排。

部内各司局、直属事业单位和直属高等学校在11月15日前完成自查，将自查表报送到教育部教育管理信息中心。

根据各单位上报的自查情况，教育部检查组适时召开有关会议通报情况，部署抽查工作。

在11月19日-12月31日期间完成部分单位现场检查。

2．各省（区、市）教育厅（教委）检查安排。

各省（区、市）教育厅（教委）在12月20日前完成本单位、本辖区信息系统安全等级保护检查工作，并将检查总结材料报送本省（区、市）有关部门的同时，于12月30日前报送教育部教育管理信息中心。

信息安全等级保护测评流程介绍!!信息安全等级保护测评流程介绍⼀、等级保护测评的依据：依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第⼗四条：信息系统建设完成后，运营、使⽤单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第⼀级：⽤户⾃主保护级，⽬前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的；第⼆级：系统审计保护级，⼆级信息系统为⾃主检查或上级主管部门进⾏检查，建议时间为每两年检查⼀次；第三级：安全标记保护级，三级信息系统应当每年⾄少进⾏⼀次等级测评；第四级：结构化保护级，四级信息系统应当每半年⾄少进⾏⼀次等级测评；第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进⾏等级测评。

⼆、等级保护⼯作的步骤运营单位确定要开展信息系统等级保护⼯作后，应按照以下步骤逐步推进⼯作：1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、⽹络设备、安全设备等）、机房的模式（⾃建、云平台、托管等）等。

2、对每个⽬标系统，按照《信息系统定级指南》的要求和标准，分别进⾏等级保护的定级⼯作，填写《系统定级报告》、《系统基础信息调研表》（每个系统⼀套）。

运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进⾏专家评审（⼆级系统也需要专家评审）。

4、向属地公安机关⽹监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它新系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统⼀份），完成系统定级备案阶段⼯作。

5、依据确定的等级标准，选取等保测评机构，对⽬标系统开展等级保护测评⼯作（具体测评流程见第三条）。

6、完成等级测评⼯作，获得《信息系统等级保护测评报告》（每个系统⼀份）后，将《测评报告》提交⽹监部门进⾏备案。

辽宁省教育厅办公室关于印发《辽宁省教育信息系统安全等级保护工作实施方案》的通知文章属性•【制定机关】辽宁省教育厅•【公布日期】2012.05.08•【字号】辽教办发[2012]96号•【施行日期】2012.05.08•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】教育综合规定正文辽宁省教育厅办公室关于印发《辽宁省教育信息系统安全等级保护工作实施方案》的通知（辽教办发[2012]96号）各市教育局，绥中县、昌图县教育局，各高等学校，各厅直属单位：根据《中华人民共和国计算机信息系统安全保护条例》、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安［2007］861号）、《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函［2009］80号）和《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函［2011］83号）等文件精神，为进一步做好我省教育信息系统安全等级保护工作，提高教育信息系统安全保护能力和水平，现将《辽宁省教育信息系统安全等级保护工作实施方案》印发给你们，请各单位高度重视，认真贯彻落实。

请各单位详细填写教育信息安全等级保护工作机构人员情况表（详见附件1），并报送至辽宁省教育系统信息安全等级保护工作领导小组办公室，同时报送电子文档。

联系人：赵宇青、肖勇联系电话：************电子邮箱：**************通信地址：沈阳市皇姑区黄河北大街249号邮政编码：110034二0一二年五月八日辽宁省教育信息系统安全等级保护工作实施方案为进一步推进我省教育系统信息安全等级保护建设工作，提高教育系统信息安全保护能力和水平，全面开展教育信息系统的定级、备案和测评工作，及时整改发现的问题，增强安全防范能力，确保教育信息化的健康持续发展，实现我省教育信息安全等级保护工作常态化、制度化，特制定本方案。

一、工作组织和职责辽宁省教育厅履行教育信息系统等级保护工作行业主管部门职责，督促、检查、指导本行业信息系统安全等级保护工作。

公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函文章属性•【制定机关】公安部•【公布日期】2009.10.27•【文号】公信安[2009]1429号•【施行日期】2009.10.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】治安管理正文公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函（公信安[2009]1429号）中央和国家机关各部委，国务院各直属机构、办事机构、事业单位：为进一步贯彻落实国家信息安全等级保护制度，指导各地区、各部门在信息安全等级保护定级工作基础上，深入开展信息安全等级保护安全建设整改工作，我部制定了《关于开展信息安全等级保护安全建设整改工作的指导意见》。

现印送给你们，请在实际工作中参照。

二〇〇九年十月二十七日关于开展信息安全等级保护安全建设整改工作的指导意见为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》（以下简称《管理办法》）精神，指导各部门在信息安全等级保护定级工作基础上，开展已定级信息系统（不包括涉及国家秘密信息系统）安全建设整改工作，特提出如下意见：一、明确工作目标依据信息安全等级保护有关政策和标准，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益，力争在2012年底前完成已定级信息系统安全建设整改工作。

二、细化工作内容（一）开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度：一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。

竭诚为您提供优质文档/双击可除信息安全等级保护测评工作管理规范篇一：信息安全等级保护测评工作管理规范(试行)附件一：信息安全等级保护测评工作管理规范（试行）第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。

第二条本规范适用于等级测评机构和人员及其测评活动的管理。

第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

第四条省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件：（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）产权关系明晰，注册资金100万元以上；（四）从事信息系统检测评估相关工作两年以上，无违法记录；（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（九）对国家安全、社会秩序、公共利益不构成威胁;（十）应当具备的其他条件。

第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。