安全等級保護管理辦法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的安全等級保護管理辦法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：安全等級保護管理辦法范文

根據《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發［200］27號）、《北京市政務與公共服務信息化工程建設管理辦法》（市政府第67號令）、《北京市信息化工作領導小組關于加強信息安全保障工作的實施意見》（京辦發［200］3號）以及其他有關法律、法規的規定，結合本市實際情況，現就本市黨政機關開展網絡與信息系統安全等級保護工作的有關要求通知如下：

一、充分認識開展安全等級保護工作的重要意義

為進一步提高信息安全保障能力和防護水平，維護國家安全、社會穩定，保障和促進信息化建設的健康發展，國務院在全面分析全國信息安全保障工作形勢的基礎上，針對存在問題，明確指示要抓緊建立信息安全等級保護制度，制定信息安全等級保護管理辦法和技術指南，突出重點，切實保護好基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統。國務院的指示對于加強信息安全保障工作十分重要，我市要認真貫徹執行。

開展安全等級保護工作就是依據網絡與信息系統的重要程度和面臨的安全風險等因素，綜合平衡安全成本和風險，劃分系統的安全等級，優化資源配置，進行建設和管理。

開展安全等級保護工作是關系到信息化建設全局的重要舉措，是做好信息安全保障工作基本思路，是網絡與信息系統基礎設施建設的重要內容，是一個非靜止、非僵化的系統工程。切實做好安全等級保護工作，建立安全等級保護制度，能夠使我市的網絡與信息系統防護水平從“獨立運行、自主保護”的狀況盡快過渡到“統一管理平臺、統一安全標準”的階段；能夠有效地提高網絡與信息系統安全建設的整體水平，增強使用效益；能夠使信息安全與信息化建設協調發展，減少建設成本；重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全；能夠明確國家、法人和其他組織、公民的信息安全責任；能夠有力推動信息安全產業發展，探索一套適應社會主義市場經濟發展的信息安全發展模式。同時，開展安全等級保護工作也是加速首都現代化建設和成功舉辦2008年奧運會的迫切需要。

二、加強對安全等級保護工作的指導和管理

在北京市網絡與信息安全協調小組的統一領導下，市信息辦會同有關部門負責本市黨政機關網絡與信息系統安全等級保護的統籌規劃、綜合協調和監督檢查，并對重要網絡與信息系統的安全等級保護定期進行檢查指導，并定期通報。

各區縣信息化主管部門會同有關部門負責本區縣黨政機關網絡與信息系統安全等級保護的統籌規劃、綜合協調和監督檢查。

本市各級黨政機關負責本單位網絡與信息系統安全等級保護的組織實施。

涉及到國家秘密的網絡與信息系統按照國家和本市有關保密規定執行。

北京市信息安全測評中心負責本市各級黨政機關重要網絡與信息系統實行安全等級保護過程中的檢查評估和驗收的安全測評。

各單位在自定級過程中，可以委托專業信息安全服務機構協助完成，市信息辦將定期公布通過信息安全服務能力評估的機構目錄。

三、開展安全等級保護工作的實施計劃

本市各級黨政機關網絡與信息系統均要開展安全等級保護工作。新建和已建成但未正式運行的網絡與信息系統要按照安全等級保護制度的有關要求進行建設；已經正式運行的網絡與信息系統要按計劃逐步納入安全等級保護制度；網絡與信息系統結構和功能等要素發生變化，要及時重新進行風險評估、安全定級和檢測評估。各單位均應根據所核定的安全等級進行使用和管理。主要職責是：落實相應的管理制度和技術保護要求，組織管理人員和技術人員進行安全教育培訓；適時進行安全應急預案的演練；定期組織自評估，保持系統良好的安全狀態；認真履行信息安全等級管理職責，協助主管部門做好網絡與信息系統的安全等級保護檢查工作。

安全等級保護是一項基礎性、長期性的工作，各單位均要將其作為一項重要內容納入整個信息化建設過程的始終，切實抓好落實工作。在全市黨政機關建立網絡與信息系統的安全等級保護制度，計劃用三年時間，分為四個步驟。

準備階段：200年6月底完成。主要做好以下工作：明確主管部門、專業技術支撐單位和使用單位的職責、權利和義務，理順關系，建立協調配合和管理的運行機制；依照國家有關法規，制定、完善安全等級保護工作的相關的配套文件；廣泛開展宣傳教育工作，組織培訓，特別是對監管隊伍和專業技術支撐單位人員的培訓，在思想認識、政策理論、管理和技術等方面作好充足準備。

試行階段：200年底前完成。在前期準備的基礎上，全面展開建立安全等級保護制度的工作。工作內容包括：自定級、備案、建設整改、檢查評估。其中，200年9月底前，各單位要完成自身網絡與信息系統的自定級工作；200年10月底前，各單位要完成3級以上的網絡與信息系統向市信息辦備案工作；200年6月底前，各單位要完成對正在運行的3級以上的網絡與信息系統的整改工作；200年12月底前，完成對本市部分重要網絡與信息系統的檢查評估工作。

完善階段：200年12月底前完成。其中，200年6月底前完成本市黨政機關開展安全等級保護的總結工作、相關配套文件的修訂工作和信息安全測評基礎設施能力建設工作；200年12月底前，完成本市重要網絡與信息系統的檢查評估工作。

正常階段：200年開始，全市各級黨政機關全面推行網絡與信息系統安全等級保護制度，轉入經常性工作。各單位每年應對其自身的網絡與信息系統進行一次自評估；市信息辦每兩年對本市各級黨政機關重要網絡與信息系統進行一次檢查評估。

各單位要認真執行安全等級保護的有關規定，認真落實安全等級保護制度，自覺接受主管部門的檢查指導，切實做好信息安全保障工作。

四、堅決落實安全等級保護工作的各項措施

各單位要認真貫徹執行國家和本市關于信息化建設和信息安全保障工作的一系列指示、要求和規定，切實保證信息安全等級保護工作的順利開展。

(一)各單位在立項前對其網絡與信息系統進行風險評估，依據《北京市黨政機關網絡與信息系統安全定級指南》（見附件）自行確定安全等級。3級以上網絡與信息系統應填寫《北京市黨政機關網絡與信息信息安全定級備案（審查）表》，報市信息化主管部門審查。未經審查的，依據北京市人民政府第67號令《北京市政務與公共服務信息化工程建設管理辦法》第八條規定，主管部門不予批準立項，財政部門不予撥款。

(二)在信息化項目預算時，各單位要按照等級保護的要求將安全等級保護的各項費用（風險評估、方案設計、工程實施、測評驗收、工程監理等）列入項目預算；在網絡與信息系統運行后，也要按照安全等級保護的要求將相關費用列入系統運行維護費。

(三)各單位的重要網絡與信息系統在正式投入運行前應依據北京市人民政府第67號令《北京市政務與公共服務信息化工程建設管理辦法》第十三條規定，經過安全測評認證，未經測評認證的，不得投入運行。

(四)北京信息安全測評中心在測評過程中必須堅持客觀公正、實事求是的原則，出具真實的測評報告，市信息辦對安全等級保護測評活動進行監督管理，對違反上述原則，出具虛假報告等行為的將追究有關領導和責任人的責任；情節嚴重構成犯罪的，由有關部門追究其法律責任。

(五)專業信息安全服務機構為本市各級黨政機關提供信息安全服務應符合國家和本市的有關規定，北京信息安全測評中心應定期了解為本市各級黨政機關提供信息安全服務機構的有關情況、征求用戶意見，對有問題的單位提出建議和警告，問題嚴重的應取消其信息安全服務能力等級證書并予以公布。

(六)市信息辦加強對安全等級保護工作的指導和監督檢查。對違反有關規定的，要及時進行糾正；情節嚴重并造成重大損失的，由其上級主管部門依照有關規定追究單位負責人和有關人員的行政責任。構成犯罪的，由有關部門追究其法律責任。

五、切實加強對安全等級保護工作的組織領導

第2篇：安全等級保護管理辦法范文

【 關鍵詞 】 等級保護；等級測評；質量控制

1 引言

近年來，隨著等級保護工作的深入開展，我國相繼出臺了一系列等級保護法律法規體系和標準規范體系，中國石化根據國家等級保護政策和技術標準，結合企業特點，在不低于國家標準的基礎上，編寫了企業行業標準，形成了企業等級保護標準體系。對等級保護五個基本動作（信息系統定級、備案、安全建設整改、等級測評、安全檢查環節）進行了針對性指導。其中《信息系統安全等級保護測評要求》、《 信息系統安全等級保護測評過程指南》、《信息系統安全管理測評》 、《中國石化集團信息系統安全等級保護管理辦法》等技術標準，對等級測評的主要原則和主要內容，測評基本流程、過程分類、記錄文檔、測評報告等進行了具體規范。就目前研究成果來看，我國還沒有形成以等級測評為主體的質量管理體系與技術標準，缺乏針對等級測評活動質量控制的方法研究。本文從研究《信息系統安全等級保護基本要求》、《中國石化集團信息安全等級保護基本要求》、《信息系統安全等級保護測評要求》、《 信息系統安全等級保護測評過程指南》等管理規范和技術標準入手，對等級測評活動的質量控制進行分析，提出了相應的工作方法和控制措施，基本滿足了等級測評活動公正性、客觀性和保密性對質量控制的需求。

2 等級測評活動的質量控制需求

等級測評活動是測評機構依據等級保護相關的政策法規、管理規范和技術標準，檢測評估信息系統安全等級保護狀況是否達到相應等級基本要求的過程，為石化行業等單位進行信息系統等級保護安全建設整改和國家監管部門依法行政管理提供決策依據，是落實信息安全等級保護制度的重要環節。等級測評活動不同于一般的風險評估和安全評價，是政策性、專業性很強的技術活動。對等級測評活動實施質量控制的目的，就是建立和完善等級測評質量管理體系，通過質量方針目標、管理制度、控制程序等系列管理措施，對等級測評活動實施全過程實施質量控制，保證測評活動中引用的政策法規、技術標準正確，測評方法科學，測評過程可控，測評行為規范，測評結論客觀真實。要求等級測評人員在測評活動中，不但要正確理解和把握等級保護相關的政策法規、管理規范和技術標準，保證等級測評過程的合規性，還要通過職業道德規范教育和測評行為約束，保證等級測評結論的公正性、客觀性。

3 等級測評機構的質量管理體系結構

等級保護政策法規、管理規范和技術標準，對等級測評的原則、內容、過程、方法以及測評強度的要求，體現了對等級測評活動實施質量控制的思想?！缎畔踩燃墱y評機構能力要求》要求等級測評機構建立、實施和維護符合等級測評工作需要的文件化的質量管理體系。要求體系文件以制度、手冊、程序等形式執行，并應建立執行記錄，為等級測評活動質量控制提出了基礎框架結構。

等級測評機構的質量管理體系結構和控制措施主要包括四個層次的內容。

第一層指導性文件：依據等級保護政策法規體系、技術標準體系和等級測評機構能力要求，制定等級測評機構質量管理體系，確立質量方針和工作目標，指導測評活動。

第二層控制性文件：根據測評活動要求，建立保密管理制度、項目管理制度、質量管理制度、人員管理制度、教育培訓制度、設備管理制度、申訴、投訴和爭議管理制度等，對等級測評活動管理目標進行控制。

第三層操作性文件：依據等級測評管理目標，建立和完善相應的《合同評審控制程序》、《文件記錄控制程序》 、《管理評審控制程序》、《技術評審控制程序》、《測評設備控制程序》、《測評過程控制程序》、《風險控制程序》、《保密控制程序》、《人力資源管理與教育培訓程序》、《糾正和預防措施控制程序》、《申訴、投訴及爭議處理控制程序》、《客戶滿意度管理程序》等操作性文件，對等級測評活動過程和環節進行控制。

第四層保證性文件：建立健全各項質量記錄表單，制定測評機構禁止行為和測評人員職業道德規范，對等級測評結論的公正性、客觀性、保密性進行控制。

4 等保測評過程中的質量控制

《 信息系統安全等級保護測評過程指南》將等級測評過程劃分為測評準備、方案編制、現場測評、分析與報告編制四個活動階段。測評過程質量控制強度與質量管理體系各要素之間的關系如表1所示。

4.1 測評準備活動的質量控制

4.1.1 項目啟動活動的質量控制

依據《合同評審控制程序》組織有關管理、技術人員和法律顧問召開合同評審會議，對測評雙方需要簽訂的委托協議或合同書進行評審。根據雙方簽訂的委托協議或合同書，組建等級測評項目組，按照測評活動實際要求進行人員、設備、資金等資源配置。項目組設置質量管理和技術管理部門，明確責任權限，以滿足測評活動的技術和質量管理要求。

依據《 信息系統安全等級保護測評過程指南》和《測評過程控制程序》編制《項目計劃書》。

4.1.2 信息收集和分析活動的質量控制

依據《測評過程控制程序》編制《基本情況調查表》，收集和分析被測信息系統等級測評需要的各種資料，包括各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。通過現場調查和工作交流等方式詳細了解被測系統狀況，明確等級測評的工作流程及可能帶來的風險和規避方法，為編制等級測評實施方案做好準備。

4.1.3 工具和表單準備活動的質量控制

測評人員依據《測評過程控制程序》要求，搭建模擬系統測試環境，按照測評機構《測評設備控制程序》調試各種必備的測試工具，并按照《文件記錄控制程序》準備現場測評授權書、文檔交接單、會議記錄表單、會議簽到表等表單。

4.2 方案編制活動的質量控制

4.2.1 測評對象、測評指標、測試工具接入點、測評內容的質量控制

測評人員根據已經了解到的被測系統信息，按照《測評過程控制程序》規定的方法和步驟，分析整個被測系統及其涉及的業務應用系統，確定出本次測評活動的測評對象、測評指標、測試工具接入點、測評內容等，并以表單的形式進行具體描述。

4.2.2 測評指導書開發、測評方案編制的質量控制

測評人員按照《測評過程控制程序》要求和測評活動內容開發測評指導書、編制等級測評實施方案。

測評指導書由測評機構按照《技術評審程序》進行技術評審，評審合格后項目技術主管簽字，并按照控制范圍分發、管理。

等級測評實施方案由項目經理按照《技術評審程序》組織雙方測評人員和專家小組成員進行技術評審，評審合格的等級測評實施方案，提交石化單位代表簽字確認，按照《文件記錄控制程序》、《保密控制程序》進行和管理。

4.3 現場測評活動的質量控制

4.3.1 進場前的準備活動的質量控制

按照《測評過程控制程序》要求組織召開首次測評會議，測評雙方人員溝通等級測評實施方案，簽署現場測評授權書，做好現場測評準備。

4.3.2 現場測評和結果記錄、結果確認活動的質量控制

測評人員進入測評現場測評時，按照《測評過程控制程序》填寫《現場測評登記表》，詳細填寫出入現場時間、測評工作內容、測評前后的信息系統安全狀況，并由石化單位配合人員現場簽字確認。

嚴格按照測評指導書和等級測評實施方案確定的過程和方法進行現場測評，通過人員訪談、文檔審查、配置檢查、工具測試和實地察看等方法，測評被測系統的保護措施情況，獲取現場測評證據，并按照《文件記錄控制程序》要求填寫《現場測評記錄表》。

現場測評活動中，及時匯總現場測評記錄和發現的問題，對遺漏和需要進一步驗證的內容實施補充測評，測評記錄由測評雙方測評人員現場簽字確認。

現場測評完成后，測評雙方人員召開現場測評結束會，對現場測評工作進行小結，將現場測評中發現的問題形成書面報告，并由雙方代表簽字確認。

現場測評活動中產生的所有現場測評結果記錄以及石化單位提供的信息資料，均按照《文件記錄控制程序》、《保密控制程序》進行管理，嚴格限制他們的知曉和使用范圍。

4.4 分析與報告編制活動的質量控制

4.4.1 測評結果判定、整體測評、風險分析、等級測評結論形成的的質量控制

測評人員依據《信息系統安全等級保護基本要求》、《中國石化集團信息系統安全等級保護基本要求》、《信息系統安全管理要求》、《信息系統通用安全技術要求》等相關技術標準，按照《測評過程控制程序》規定的方法、步驟，對測評指標中的每個測評項測評記錄，進行客觀、準確地分析，形成初步單項測評結果，并以表單形式給出。按照《測評過程控制程序》要求匯總單項測評結果，分別統計不同測評對象的單項測評結果，從而判定單元測評結果，并以表格的形式逐一列出。測評人員針對單項測評結果的不符合項，采取逐條判定和優勢證據的方法，從安全控制間、層面間和區域間出發，對系統結構進行整體安全測評，給出整體測評的具體結果。采用風險分析的方法分析等級測評結果中存在的安全問題及可能對被測系統安全造成的影響。在此基礎上，找出系統保護現狀與等級保護基本要求之間的差距，形成等級測評結論。

結論形成后，測評雙方有關人員和技術專家按照《技術評審控制程序》對形成等級測評結論進行評審，評審通過的結果判定由測評雙方授權代表簽字確認。

本過程產生的文檔資料，按照《文件記錄控制程序》、《保密控制程序》進行分類授權使用和管理。

4.4.2 測評報告的編制和分發的質量控制

測評機構按照《信息安全等級測評報告模板（試行）》格式編寫報告文檔。

測評雙方有關人員和專家召開等級測評末次會議，按照《管理評審控制程序》、《技術評審控制程序》對等級報告格式、內容和結論進行評審，評審通過的測評報告文檔，按照《文件記錄控制程序》蓋章、編號，并由測評機構項目經理、質量主管、技術主管聯合簽發。

測評人員按照《文件記錄控制程序》和《保密控制程序》和合同約定的控制范圍分發等級測評報告，交接有關資料文檔，刪除測評設備產生的電子數據。

5 結束語

本文依據等級保護相關的政策法規、管理規范和技術標準，結合等級測評活動的公正性、客觀性、保密性的要求，對等級測評活動的質量控制進行了分析，為等級測評機構建立質量管理體系和等級測評質量控制提供了借鑒和參考。隨著等級保護政策法規和標準規范的不斷更新和完善，等級測評活動的質量控制還有待更深入全面的探討和研究。

參考文獻

[1] GB/T 28448-2012 信息安全技術 信息系統安全等級保護測評要求.

[2] GB/T 28449-2012 信息安全技術 信息系統安全等級保護測評過程指南.

[3] 中華人民共和國公共安全行業標準（GA/T713-2007）.信息系統安全管理測評.

[4] 中國石化集團信息系統安全等級保護管理辦法.

[5] GB/T 22239-2008 信息系統安全等級保護基本要求[S].

[6] 中國石化集團信息系統安全等級保護基本要求.

[7] 信息安全等級測評機構能力要求（試行）.

[8] GB/T20271-2006 信息安全技術 信息系統通用安全技術要求[S].

[9] 公信安[2009]1487號.關于印發《信息系統安全等級測評報告模板（試行）》的通知.

[10] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[11] 韓水玲，馬敏，王濤等.數字證書應用系統的設計與實現[J].信息網絡安全，2012，（09）：43-45.

[12] 常艷，王冠.網絡安全滲透測試研究[J].信息網絡安全，2012，（11）：3-4.

第3篇：安全等級保護管理辦法范文

信息安全等級保護備案實施細則最新全文第一條 為加強和指導信息安全等級保護備案工作，規范備 案受理、審核和管理等工作，根據《信息安全等級保護管理辦法》 制定本實施細則。

第二條 本細則適用于非涉及國家秘密的第二級以上信息系 統的備案。

第三條 地市級以上公安機關公共信息網絡安全監察部門受 理本轄區內備案單位的備案。 隸屬于省級的備案單位， 其跨地 (市) 聯網運行的信息系統，由省級公安機關公共信息網絡安全監察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統一聯網 運行并由主管部門統一定級的信息系統，由公安部公共信息網絡 安全監察局受理備案，其他信息系統由北京市公安局公共信息網 絡安全監察部門受理備案。 隸屬于中央的非在京單位的信息系統，由當地省級公安機關 公共信息網絡安全監察部門(或其指定的地市級公安機關公共信 息網絡安全監察部門)受理備案。 跨省或者全國統一聯網運行并由主管部門統一定級的信息系 統在各地運行、應用的分支系統(包括由上級主管部門定級，在 當地有應用的信息系統) 由所在地地市級以上公安機關公共信息網絡安全監察部門受理備案。

第五條 受理備案的公安機關公共信息網絡安全監察部門應 該設立專門的備案窗口，配備必要的設備和警力，專門負責受理 備案工作，受理備案地點、時間、聯系人和聯系方式等應向社會 公布。

第六條 信息系統運營、使用單位或者其主管部門(以下簡 稱備案單位 ) 應當在信息系統安全保護等級確定后30日內，到公 安機關公共信息網絡安全監察部門辦理備案手續。辦理備案手續 時，應當首先到公安機關指定的網址下載并填寫備案表，準備好 備案文件，然后到指定的地點備案。

第七條 備案時應當提交《信息系統安全等級保護備案表》 (以下簡稱《備案表》 (一式兩份)及其電子文檔。第二級以上 信息系統備案時需提交《備案表》中的表一、二、三;第三級以 上信息系統還應當在系統整改、 測評完成后30日內提交 《備案表》 表四及其有關材料。

第八條 公安機關公共信息網絡安全監察部門收到備案單位 提交的備案材料后，對屬于本級公安機關受理范圍且備案材料齊 全的，應當向備案單位出具《信息系統安全等級保護備案材料接 收回執》 備案材料不齊全的， 應當當場或者在五日內一次性告知 其補正內容;對不屬于本級公安機關受理范圍的，應當書面告知 備案單位到有管轄權的公安機關辦理。

第九條 接收備案材料后，公安機關公共信息網絡安全監察部門應當對下列內容進行審核： (一)備案材料填寫是否完整，是否符合要求，其紙質材料 和電子文檔是否一致; (二)信息系統所定安全保護等級是否準確。

第十條 經審核，對符合等級保護要求的，公安機關公共信 息網絡安全監察部門應當自收到備案材料之日起的十個工作日 內，將加蓋本級公安機關印章(或等級保護專用章)的《備案表》 一份反饋備案單位，一份存檔;對不符合等級保護要求的，公安 機關公共信息網絡安全監察部門應當在十個工作日內通知備案單 位進行整改， 并出具 《信息系統安全等級保護備案審核結果通知》

第十一條 《備案表》中表一、表二、表三內容經審核合格 的，公安機關公共信息網絡安全監察部門應當出具《信息系統安 全等級保護備案證明》 (以下簡稱《備案證明》 《備案證明》由 公安部統一監制。

第十二條 公安機關公共信息網絡安全監察部門對定級不 準的備案單位，在通知整改的同時，應當建議備案單位組織專家 進行重新定級評審，并報上級主管部門審批。 備案單位仍然堅持原定等級的，公安機關公共信息網絡安全 監察部門可以受理其備案，但應當書面告知其承擔由此引發的責 任和后果，經上級公安機關公共信息網絡安全監察部門同意后， 同時通報備案單位上級主管部門。

第十三條 4 對拒不備案的，公安機關應當依據《中華人民共和國計算機信息系統安全保護條例》 等其他有關法律、 法規規定， 責令限期整改。逾期仍不備案的，予以警告，并向其上級主管部 門通報。 依照前款規定向中央和國家機關通報的，應當報經公安部公 共信息網絡安全監察局同意。

第十四條 受理備案的公安機關公共信息網絡安全監察部 門應當及時將備案文件錄入到數據庫管理系統，并定期逐級上傳 《備案表》中表一、表二、表三內容的電子數據。上傳時間為每 季度的第一天。 受理備案的公安機關公共信息網絡安全監察部門應當建立管 理制度， 對備案材料按照等級進行嚴格管理， 嚴格遵守保密制度， 未經批準不得對外提供查詢。 第十五條 公安機關公共信息網絡安全監察部門受理備案 時不得收取任何費用。

第十六條 本細則所稱以上包含本數(級)

第十七條 各省(區、市)公安機關公共信息網絡安全監察 部門可以依據本細則制定具體的備案工作規范，并報公安部公共 信息網絡安全監察局備案。

第4篇：安全等級保護管理辦法范文

關鍵詞：信息安全；等級保護；技術方案

中圖分類號：TP393.092

隨著采供血業務對信息系統的依賴程度越來越高，信息安全問題日益突現，各采供血機構對信息安全保障工作給予了高度重視，各方面的信息安全保障工作都在逐步推進。《衛生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號）指出[1]，依據國家信息安全等級保護制度，遵循相關標準規范，全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急能力，做好信息安全等級保護工作，對于促進采供血機構信息化發展，維護公共利益、社會秩序和國家安全具有重要意義。

1 信息安全等級保護概述

1994年國務院147號令《中華人民共和國計算機信息系統保護條例》，規定我國實行“計算機信息安全等級保護制度”[2]。根據147號令的要求，公安部制定了《計算機信息等級劃分標準》（GB17859-1999以下簡稱GB17859），該標準是我國最早的信息安全等級標準。

當前實施的信息安全等級保護制度是由公安部等四部委聯合發文《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）及《信息安全等級保護管理辦法》（公通字[2007]43號），文件明確了信息安全等級保護制度的原則、內容、工作要求、部門分工和實施計劃，為信息安全工作提供了規范保障。這些信息安全的有關政策法規主要是從管理角度劃分安全等級的要求。

2006年，國家信息安全技術標準化技術委員會以GB17859為基本依據，提出并制定了一系列信息安全國家標準（GB/T20269-2006《信息安全技術 信息系統安全管理要求》等）。這一系列規范性文件體現了從技術角度劃分信息安全等級的要求，主要以信息安全的基本要素為單位，對實現不同安全要求的安全技術和機制提出不同的要求。本文主要討論以GB17859為依據從技術角度探討信息安全等級保護技術在采供血機構中的實踐。

2 等級保護技術方案

信息安全等級保護制度明確了信息安全防護方案，要求確保信息系統安全穩定運行，確保信息內容安全。保證業務數據在生成、存儲、傳輸和使用過程中的安全，重要業務操作行為可審計，保證應用系統可抵御黑客、惡意代碼、病毒等造成的攻擊與破壞，防范惡意人員對信息系統資源的非法、非授權訪問。

2.1 實現要求。三級安全應用平臺安全計算環境的安全目標是保護計算環境的終端、重要服務器、乃至上層的應用安全和數據安全，并對入侵事件進行檢測/發現、防范/阻止和審計/追查。依據GB17859-1999等系列標準把相關技術要求落實到安全計算環境、安全區域邊界和安全通信網絡、安全管理中心及四個部分，形成“一個中心”三重保障體系[3]。

圖1 三級安全應用平臺TCB模型

2.2 安全計算機環境。安全計算機環境是由安全局域通信網絡連接的各個安全的計算資源所組成的計算環境，其工作方式包括客戶/服務器模式；主機/終端模式；服務器/工作站模式。

2.3 安全區域邊界。是安全計算環境通過安全通信網絡與外部連接的所有接口的總和，包括防火墻、防病毒網關及入侵檢測等共同實現。

2.4 安全通信網絡。實現信息系統中各個安全計算機環境之間互相連接的重要設施。包括安全性檢測、安全審計病毒防殺、備份與故障恢復以及應急計劃與應急反應。

2.5 安全管理中心。針對安全計算機環境、安全區域邊界和安全通信網絡三個部分的安全機制的集中管理設施。針對安全審計網絡管理、防病毒等技術的安全集中管理。

3 采供血機構信息系統等級保護建設

3.1 定級。采供血機構為地市級公益衛生事業單位，信息管理系統受到破壞會嚴重損害社會秩序，采供血業務停滯會嚴重損害公共利益，信息泄露則會嚴重影響公眾利益，按信息系統安全等級保護定級指南，確定采供血信息系統安全保護等級為第三級。

3.2 系統分析。采供血信息系統覆蓋采供血業務和相關服務過程，包括獻血者檔案、血液采集、制備、檢驗和發放等信息記錄必須妥善保存并保持可溯性。艾滋病疫情信息根據國家相關法律法規的要求，必須防止泄露，以免產生對國家安全及社會穩定的負面影響。

信息系統核心由兩臺雙機熱備服務器、磁盤陣列柜組成，采用硬件VPN、硬件防火墻作為網絡安全設備。應用VPN技術將遠離采供血機構本部的獻血屋、移動采血車及醫院輸血科使用的業務計算機與站內的服務器聯網。

3.3 等級保護建設。依據GB17859-1999等系列標準把相關技術要求落實到安全計算環境、安全區域邊界和安全通信網絡和安全管理中心四部分。構建“一個中心”管理下的“三重保障體系”，實現拓樸圖如下：

圖2 采供血機構拓撲圖

3.3.1 安全計算環境。系統層主要進行身份認證及用戶管理、訪問控制、安全審計、審惡意代碼防范，補丁升級及系統安全性檢測分析。安全計算環境主要依靠在用戶終端或是服務器中充分挖掘完善現有windows/Linux操作系統本身固有的安全特性來保證其安全性。在應用系統實現身份鑒別、訪問控制、安全審計等安全機制。

3.3.2 安全區域邊界。在網絡邊界處以網關模式部署深信服下一代防火墻AF-1320，電信及聯通兩條線路都接入其中，達到以下防護目的：（1）區域邊界訪問控制：邏輯隔離數據、透明并嚴格進行服務控制，隔離本單位網絡和互聯網，成為網絡之間的邊界屏障，單位內部電腦上網，實施相應訪問控制策略，設置自主和強制訪問控制機制；（2）區域邊界包過濾：通過檢查數據包源地址、過濾與狀態檢測提供靜態的包過濾和動態包過濾功能；（3）區域邊界安全審計：由內置數據中心和獨立數據中心記錄各類詳細事件，并產生統計報表。還可根據管理者定義的風險行為特征自動挖掘并輸出風險行為智能報表；（4）完整性保護：保護計算機網絡免受非授權人員的騷擾與黑客的入侵，過濾所有內部網和外部網之間的信息交換。該防火墻具有IPS入侵防護，防護類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區溢出攻擊/協議異常/ IPS逃逸攻擊等；具有網絡應用層防護，識別及清殺惡意代碼功能。

3.3.3 安全通信網絡。當用戶跨區域訪問時，根據三級標準要求，需要進行數據傳輸保護。通過部署VPN安全設備構建安全隧道，實施機密性和完整性保護，實現對應用數據的網絡傳輸保護。（1）本單位用采兩臺深信服VPN網關為跨區域邊界的通信雙方建立安全的通道。一臺為IPsec VPN用于連接采供血機構的分支機構如大型獻血屋，另一臺為SSL VPN用于小型捐血屋、流動采血車、各醫院與采供血機構的數據通信。VPN設備可為采供血機構內部網絡與外部網絡間信息的安全傳輸提供加密、身份鑒別、完整性保護及控制等安全機制。另外，VPN安全網關中設計了審計功能來記錄、存儲和分析安全事件，可為安全管理員提供有關追蹤安全事件和入侵行為的有效證據；（2）在防火墻下端部署華為S5700系列三層核心交換機，并在網絡中劃分VLAN，設置部門應用終端的訪問權限，規定哪些部門可以訪問哪些服務器等以減少網絡中的廣播風暴，提高網絡效率；（3）在行政辦公區域利用深信服上網行為管理（Sinfor-M5000-AC）有效管理與利用互聯網資源，合理封堵非業務網絡應用。

3.3.4 安全管理中心。信息安全等級保護三級的信息系統，應建立安全管理中心，主要用于監視和記錄信息系統中比較重要的服務器、網絡設備等環節，以及所有應用系統和主要用戶的安全狀況。本單位目前安全管理中心由兩部分組成，配置賽門鐵克賽門鐵克SEP12.1，采用分布式的體系結構部署了防病毒系統中心、防病毒服務器端、防病毒客戶端、防病毒管理員控制臺。防病毒軟件與防火墻、VPN及上網行為管理協同完成通信線路、主機、網絡設備、應用軟件的運行等監測和報警，并形成相關報表。對設備狀態、惡意代碼、補丁升級及安全審計等相關事項進行集中管理。

4 結束語

按照等級保護的相關規范和技術要求，結合采供血機構具體網絡和系統應用，設計三級信息安全等級保護方案并建設，保證采供血機構網絡的安全、穩定、通暢，保障了整個采供血業務的正常運轉，更好地服務于廣大患者。

參考文獻：

[1]網神信息技術（北京）股份有限公司[J].信息網絡安全，2012（10）：28.

[2]郎漫芝，王暉，鄧小虹.醫院信息系統信息安全等級保護的實施探討[J].計算機應用與軟件，2013（01）：206.

[3]胡志昂，范紅.信息系統等級保護安全建設技術方案設計實現與應用[M].北京：電子工業出版社，2011：98-104.

第5篇：安全等級保護管理辦法范文

該文對供水企業信息集成系統安全進行分析，并探討了可以針對性改進的安全防護措施。首先對當前供水信息系統安全現狀做具體分析，然后研究了在“自主定級，自主保護”的原則下改進和提高供水企業集成信息系統安全具體的執行方案，最終實現供水企業信息集成系統的信息安全防護。

關鍵詞：

供水企業信息集成系統；等級保護；信息安全

供水行業對國計民生很重要的一個行業，供水企業的業務性質要求以信息的整體化為基本立足點，集中管理所有涉及運營的相關數據，針對供水企業運行的特殊要求，進行集中的規劃和架構，將不同專業的應用系統進行整合，最終形成完整的供水企業綜合信息平臺。[1]而集成系統中最重要的一個要求就是信息安全。

隨著大數據時代的到來，網格、分布式計算、云計算、物聯網等新技術相繼推出，對供水企業信息集成與應用也提出了更高的要求。而隨著應用的擴展，應用中存在著大量的安全隱患，網絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統。根據美國Radicati公司于2015年3月的調查報告，截至2014年12月，網絡攻擊已經為全球計算機網絡安全造成高達上萬億美元的損失。而且隨著網絡應用的規模進一步上升，計算機網絡信息安全威脅造成的損失正在呈幾何級數增長。根據2015年的中國網絡安全分析報告，2014年報告的網絡安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網絡黑客攻擊導致搜索服務在全國各地都出現了長達25分鐘無法使用。2014年7月，某域名服務商的域名解析服務器發生了網絡黑客的集中式攻擊，造成在其公司注冊的13%的網站無法訪問，時間長達17個小時，經濟損失不可估量。因此，從信息安全的角度，要對供水企業信息集成系統進行防護，降低信息安全事故的發生的概率，降低其危害，是本文需要研究的內容。

1當前供水企業信息集成系統安全防護的現狀和存在的問題

伴隨著科技的不斷發展，供水企業的信息化建設也得到了很大的發展，主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業信息集成系統涵蓋了生產調度系統、銷售系統、管網信息系統、財務管理系統、人事管理系統、辦公自動化系統等子系統。其中多個系統數據需要接受外部訪問，存在大量的安全隱患。目前，威脅到供水企業信息安全的風險因素主要分為三個大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內部人員造成的信息外泄、操作中出現低級錯誤等。2）數據存儲位置位置的風險?？赡苡勺匀粸暮σl的問題，缺乏數據備份和恢復能力。3）不斷增長的數據交互放大了數據丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。

2有關分級防護的要求

尤其是供水企業信息集成系統中，存在大量涉及公民個人隱私的信息，也存在像生產調度這樣涉及國計民生的信息。因此，需要按照國家有關信息安全的法律法規，明確企業的信息安全責任。提升供水企業信息管理區內的業務系統信息安全防護。依據《信息安全等級保護管理辦法》（公通字[2007]43號）第十四條，信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。定級標準按照國家標準《信息系統安全等級保護定級指南》（GB/T22240—2008）實施，根據等級保護相關管理文件，信息系統的安全保護等級分為以下五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：1）造成一般損害；2）造成嚴重損害；3）造成特別嚴重損害。

3分別防護實施步驟

根據有關法律法規，建設完成并投入使用的信息系統，其有關使用此系統的單位需要對其系統的等級狀況做定期的測評。供水企業要遵照要求選擇具有資質的測評機構來對管理信息區的業務系統做等級保護的測評工作。其所得到的結果如下表1所示：通常情況下，供水企業信息系統中不會出現第四級和第五級的系統。根據測評結果，有必要對供水企業內部的局域網進行系統化整改。具體的整改內容包括兩項主要內容：細化各業務系統服務器的物理位置；按照需求設置信息安全區域。根據供水企業信息集成系統的具體實際，主要有等級包括三個業務區域，以及一個公共業務區和測評業務區。按照上述原則對供水企業信息集成系統服務器做物理劃分如圖1所示。不同等級的系統服務器針對不同級別的信息安全區進行設置。等級為一、二、三的業務區分別安裝著對應的服務器，而公共業務區域的服務器主要是DNS服務器或者是域服務器。公共業務區服務器主要為基礎服務提供非業務系統服務，不需要進行保護分級。測評業務區提供是投入正式使用前的測試服務器。

依據表1的測評結果，將安全區域進行細化表2所示的就是企業管理信息區，其主要業務系統對安全區域存放問題的展示。根據表2得到的結果，可以將信息安全設備存放在不同信息區域邊界內，以此達到服務器分級防護目的。信息安全設備設置在信息安全區域邊界，也就是局域網與信息安全區域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權等。對于不同區域邊界的信息安全的部署建議，供水企業要遵照各自的實際情況做周密的設置。供水企業管理信息安全區域邊界防護表見表3。將信息安全防護設備部署在所在的區域邊界內，如此可以初步實現對供水企業管理信息區的信息安全防護。

4結束語

隨著大數據的發展，對供水企業信息集成系統在數據的交互和應用方面會提出更高的要求，也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下，還需要加強信息審計，及時發現和補救系統缺陷，加強數據庫安全防護，維護管理系統的隱患。

參考文獻：

[1]孫鋒.基于多agent技術的供水企業信息集成系統研究[J].供水技術,2015(10).

第6篇：安全等級保護管理辦法范文

【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理，2014年，我國成立了以主席為最高領導的信息安全管理機構-中央網信辦；2016年11月，在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為，為求現有的網絡系統能夠提高安全能力，為廣大社會群眾提供服務的同時，能夠保證人民的利益。

信息系統是由硬件、軟件、信息、規章制度等組成，主要以處理信息流為主，信息系統的網絡安全備受關注。企業在應對外部攻擊，安全風險的同時，當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下，分布實施，開展各項安全工作。

目前，大多數企業的信息安全工作比較單一，主要是部署安全防護設備，進行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴格

考慮到方便記憶和頻繁的登錄操作，企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象，并且基本不設定管理員的權限，默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數據泄露，系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號，設定較為復雜的口令，并定期進行口令更換。但是也僅僅使用一種身份鑒別技術，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計算機技術的發展，信息系統的外部攻簦層出不窮。攻擊者利用網絡系統的漏洞和缺陷，攻擊系統軟件、硬件和數據，進行非法操作，造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件

攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊，如果不采取相應的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯網企業的員工缺乏信息安全意識，存在離開辦公電腦時不鎖屏現象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料；優盤未經殺毒直接連接公司電腦；隨意點擊不明郵件的鏈接；更有員工將系統賬號、密碼粘貼在辦公桌上；在系統建設階段，大到管理者，小到開發人員、測試人員，均注重技術實現和業務要求，而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進而導致公司的損失。

1.4 內部管理制度不完善

俗話說，“不以規矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規程，可能導致信息安全管理制度體系存在疏漏，部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障，進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中，開發人員會因為各種原因而忽略安全開發（存在開發人員沒有意識到代碼安全開發的問題；有些開發人員不愿意使用邊界檢查，怕影響系統的效率和性能；當然也存在許多遺留代碼存在問題的現象，從而導致二次開發同樣產生問題），可能導致系統存在后門，被黑客攻擊。

2 防范措施

企業需依據《信息安全等級保護管理辦法（公通字[2007]43號）》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下，對企業信息系統的安全進行測評，并出具相應測評結果。根據測評結果和整改建議，采用相應的技術手段（安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等）和管理措施（安全團隊、教育與培訓、管理體系等）對信息系統進行整改。如圖1所示。

2.1 技術手段

2.1.1 安全認證

身份鑒別是指在計算機系統中確認執行者身份的過程，以確定該用戶是否具有訪問某種資源的權限，防止非法用戶訪問系統資源，保障合法用戶訪問授權的信息系統。凡登錄系統的用戶，均需進行身份鑒別和標識，且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制，常用的鑒別技術（認證技術）如表1所示。

不同的認證技術，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會遇到各種問題，導致便捷性較差（比如存在軟硬件適配性問題，移動終端無USB口等）。一般認為在相同的便捷性前提下，選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。

2.1.2 入侵檢測

入侵檢測能夠依據安全策略，對網絡和系統進行監視，發現各種攻擊行為，能夠實時保護內部攻擊、外部攻擊和誤操作的情況，保證信息系統網絡資源的安全。入侵檢測系統（IDS）是一個旁路監聽設備，需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網，則需要在整個信息系統中實施分布部署，從而掌控整個信息系統安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對目標系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同，分為基于網絡的和基于主機的系統安全掃描，可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。

漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監控管理

網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲，在網絡關鍵點接入監控工具監測當前網絡數據流量，分析可疑信息流，通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理；可以分析網絡流量；可以對服務器上運行的服務和進程進行自動監控，并在故障發生時及時告警；可對VOIP的相關參數進行監控；可以通過直觀的網絡控制臺管理整個IP架構；可快速檢測、診斷及解決虛擬化環境的網絡性能；強大的應用程序監視、告警、報告功能等。

2.1.5 數據備份與加密

企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲，防止黑客攻擊系統，輕易獲得敏感數據，造成公司的重大經濟損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術不僅可以防止信息泄露，同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。

除了對數據進行加密存儲外，由于存在數據丟失、系統斷電、機房著火等意外，需對系統數據進行備份。按照備份環境，備份分為本地備份和異地備份；按照備份數據量的多少，備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況，選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。

2.2 管理措施

2.2.1 安全團隊

企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作，該團隊包括信息安全委員會，信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力，還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加，話語權在增多，肩上的擔子也越來越大。安全團隊需要定好自己的位，多檢查少運維，多幫企業解決問題。即安全團隊修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓

保護企業信息安全，未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化，樹立員工信息安全責任心，是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭，除了定期進行技能培訓外，還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃，包括但不限于在線、郵件、海報（標語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內部預防企業安全事件的發生，提高企業的安全保障能力。

2.2.3 管理體系

隨著計算機攻擊技術的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此，企業需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達到分工明確，職責清晰，安全開發，可靠運維。安全管理制度作為安全管理體系的綱領性文件，在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時，可根據自身情況，采取不同的方法，一般經過PDCA四個基本階段（Plan：策劃與準備；Do文件的編制；Check運行；Action審核、評審和持續改進）?？梢罁蘒SO27000，信息安全等級保護等，從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成，如圖2所示。

3 結語

國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督，通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式，規范企業的信息安全建設工作。同樣，信息安全工作長期面臨挑戰，不能一蹴而就，需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。

參考文獻

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社，2016（01）.

[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學位?，F為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

第7篇：安全等級保護管理辦法范文

（一）信息科技支撐不足，信息化戰略風險凸顯目前村鎮銀行支撐業務運轉的信息科技建設與傳統銀行相比嚴重落后，難以保證其健康運行和快速發展，形成了村鎮銀行發展的戰略風險。一是系統支撐能力不足。如漳平民泰村鎮銀行未加入當地人民銀行大小額支付系統和財稅庫行橫向聯網系統，大量小微企業因無法進行開戶代扣稅等原因只能對其“望而卻步”，目前該行某些業務須借助當地興業銀行的平臺。二是漳平民泰村鎮銀行無法并入銀聯銀行卡網絡，無法提供網上銀行服務等電子化服務渠道，因此直接“屏蔽”了許多客戶的需求，難以適應農村信息化建設，滿足深入推進和滿足農民日益迫切的新興電子化金融服務和產品的強烈需求。三是信息科技投入不足，一方面部分設備老化、性能較差，未達到重要設備及系統的雙機備份要求；另一面專業科技人才稀缺，且技術水平和實踐經驗相對不足，難以勝任地方特色中間業務的開發運維任務。

（二）信息科技發展意識淡薄，治理架構不到位一是中小金融機構管理層目前關注點仍立足利潤、收息、不良貸款等傳統經濟效益指標，對信息化建設的潛在效益重視不足，未形成有效的信息科技治理架構，科學性、規范性決策欠缺。二是系統運行穩定性、安全性較差，部分核心系統剛開發投入使用不久，需要經常進行補丁更新和升級，核心數據安全無法保障。數據備份周期過長、備份方式落后，備份介質存放環境差且未進行異地存放，有些核心數據完全依托發起行備份管理，如個人和企業征信業務存在數據泄密隱患。三是業務連續性風險隱患大。中小金融機構未建立專業的機房，科技設備及系統運行整體環境較差，管理人員為單人，業務中斷風險嚴重。

（三）信息科技對外依賴性強，外包風險突出中小金融機構由于自身科技力量不足，信息化建設嚴重依賴外部，從系統開發上線到運行管理維護等各個環節都依賴發起行或外包公司的支持。在未與發起行或外包公司簽訂明確的服務水平協議的情況下，普遍缺乏對發起行或外包公司科技管理維護人員的有效制約機制。外包公司倒閉、服務響應時間長等外包風險都對銀行信息化建設發展提出挑戰。

（四）約束機制不到位，存在操作風險及案件隱患中小金融機構整體科技人員不足，各類約束制約機制不到位，在信息安全方面普遍存在操作風險及案件隱患。在銀行只有1名兼職科技人員的情況下，信息科技運行中存在單人操作現象；同時，科技人員權限過大，數據備份、系統管理、安全管理等職責集于一身。如漳平民泰村鎮銀行的保衛監控室與計算機房合為一體，這都為操作風險及案件發生創造了可能性。

（五）信息安全指導和監管明顯滯后與中小金融機構信息化高速發展相比，中小金融機構的信息安全指導和監管工作還需要進一步加強。首先，人民銀行對中小金融機構信息安全工作的指導和協調職責，與銀監部門監督檢查內容重疊且標準不一，極易造成多頭管理且口徑要求不統一的問題，導致監管部門之間分工不明確，在缺乏有效的溝通和協調下，易造成中小金融機構間的誤解。其次，中小金融機構與人民銀行之間在信息安全方面缺乏交流機制，人民銀行對中小金融機構信息安全措施是否符合規范缺乏了解，對中小金融機構信息安全工作缺乏指導，造成人民銀行與中小金融機構在信息安全保障方面安全標準不對稱的局面。

二、政策建議

中小金融機構的設立和發展，是推進金融深化改革，完善金融組織體系的必由之路。在此過程中，能否處理好信息科技與業務發展的關系至關重要，對此我們提出以下建議。

（一）立足長遠，以科技驅動業務發展并提升管理水平中小金融機構應立足長遠，在發展中樹立科技先行的理念，不僅將信息科技作為支撐，而且把它作為引領業務實現跨越式發展并最終走向成熟的引擎，切實以科技驅動業務發展并提升管理水平。一是高管層應提高對信息科技的認識，理順信息科技與業務發展的關系。二是加大人財物投人，長遠、科學合理規劃信息科技發展。三是在信息科技方面建章立制，加強執行力建設，以規矩成方圓。

（二）完善中小金融機構信息安全管理機制中小金融機構應建立和完善信息安全管理的組織架構，明確部門和崗位職責，形成分工合理、職責明確、相互制衡的信息安全組織架構；應制訂符合總體業務發展的信息安全運行規劃，確保配置足夠的人力、物力、財力，維持穩定、安全的信息安全環境；應制訂全面的信息安全管理策略，包括信息分級與保護、運行和維護、訪問控制、物理安全、人員安全以及外包管理機制等；應強化運維體系建設，完善運維管理流程，明確運維管理標準，并且針對目前中小金融機構信息系統的開發、建設和運維依靠外包服務的趨勢，應建立健全科技外包管理制度，積極防范外包服務風險，規范服務商的服務標準和流程；應建立持證上崗制度，加強中小金融機構信息安全工作人員培訓，在信息安全崗位設置上要滿足信息安全工作的需要，信息安全工作人員應考取相關上崗資格證后方能上崗；應建立信息安全考核評價機制和獎懲制度，出臺考核辦法，并對信息安全工作進行評價，有效落實信息安全責任制和問責制。

（三）引導中小金融機構加強等級保護工作金融信息安全體系的構建必須建立在風險評估的基礎上。信息安全等級保護能夠有效提高信息以及金融信息安全體系建設的整體水平，為金融信息安全體系的構建提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本，優化信息安全資源的配置。一是根據《信息安全等級保護管理辦法》和《金融行業信息系統信息安全等級保護實施指引》，加大中小金融機構等級保護工作的開展力度，做好等級保護評估工作。二是當地人民銀行應根據中小金融機構的特點，建立切實可行的中小金融機構信息安全等級保護標準和監管措施，對中小金融機構的系統風險和操作風險進行分類，對其信息系統安全定級過程與結果進行審核監督。三是人民銀行應與公安部門、金融監管部門建立協調檢查機制，適時組織對中小金融機構等級保護工作開展情況進行檢查，加強信息安全等級保護制度在中小金融機構中的有效落實。

第8篇：安全等級保護管理辦法范文

關鍵詞：證券行業信息安全網絡安全體系

近年來，我國資本市場發展迅速，市場規模不斷擴大，社會影響力不斷增強．成為國民經濟巾的重要組成部分，也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展，關系著億萬投資者的切身利益，關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業，高度依賴信息技術，而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。

目前．國內外網絡信息安全問題日益突出。從資本市場看，近年來，隨著市場快速發展，改革創新深入推進，市場交易模式日趨集巾化，業務處理邏輯日益復雜化，網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強，交易時問內一刻也不能中斷。加強信息安全應急丁作，積極采取預防、預警措施，快速、穩妥地處置信息安全事件，盡力減少事故損失，全力維護交易正常，對于資本市場來說至關重要。

1證券行業倍息安全現狀和存在的問題

1．1行業信息安全法規和標準體系方面

健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行，中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成，推動了行業信息化建設和信息安全工作向規范化、標準化邁進。

雖然我國涉及信息安全的規范性文件眾多，但在現行的法律法規中。立法主體較多，法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要，行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后，缺乏總體規劃；二是規范和標準互通性和協調性不強，部分規范和標準的可執行性差；三是部分規范和標準已不適應，無法應對某些新型信息安全的威脅；四是部分信息安全規范和標準在行業內難以得到落實。

1．2組織體系與信息安全保障管理模型方面

任何安全管理措施或技術手段都離不開人員的組織和實施，組織體系是信息安全保障工作的核心。目前，證券行業采用“統一組織、分工有序”的信息安全工作體系，分為決策層、管理層、執行層。

為加強證券期貨業信息安全保障工作的組織協調，建立健全信息安全管理制度和運行機制，切實提高行業信息安全保障工作水平，根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》，參照ISO／IEC27001：2005，提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構．頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性)，正面是行業組織結構．側面是各個機構為實現信息安全保障目標所采取的措施和方式。

1．3IT治理方面

整個證券業處于高度信息化的背景下，IT治理已直接影響到行業各公司實現戰略目標的可能性，良好的IT治理有助于增強公司靈活性和創新能力，規避IT風險。通過建立IT治理機制，可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理IT問題，自我評估IT管理效果．可以加強對信息化項目的有效管理，保證信息化項目建設的質量和應用效果，使有限的投入取得更大的績效。

2003年lT治理理念引入到我國證券行業，當前我國證券業企業的IT治理存在的問題：一是IT資源在公司的戰略資產中的地位受到高層重視，但具體情況不清楚；二是IT治理缺乏明確的概念描述和參數指標；是lT治理的責任與職能不清晰。

1．4網絡安全和數據安全方面

隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性，網上交易正逐漸成為證券投資者交易的主流模式。據統計，2008年我同證券網上交易量比重已超過總交易量的80％。雖然交易系統與互聯網的連接，方便了投資者。但由于互聯網的開放性，來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來，證券行業各機構采取了一系列措施，建立了相對安全的網絡安全防護體系和災舴備份系統，基木保障了信息系統的安全運行。但細追究起來，我國證券行業的網絡安全防護體系及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃；二是網絡訪問控制措施有待完善；三是網上交易防護能力有待加強；四是對數據安全重視不夠，數據備份措施有待改進；五是技術人員的專業能力和信息安全意識有待提高。

1．5IT人才資源建設方面

近20年的發展歷程巾，證券行業對信息系統日益依賴，行業IT隊伍此不斷發展壯大。據統計，2008年初，在整個證券行業中，103家證券公司共有IT人員7325人，占證券行業從業總人數73990人的9．90％，總體上達到了行業協會的IT治理工作指引中“IT工作人員總數原則上應不少于公司員工總人數的6％”的最低要求。目前，證券行業的IT隊伍肩負著信息系統安全、平穩、高效運行的重任，IT隊伍建設是行業信息安全IT作的根本保障。但是，IT人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強。

2采取的對策和措施

2．1進一步完善法規和標準體系

首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃；二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層：第一層是管理辦法等巾同證監會部門規章；第二層是證監會相關部門制定的管理規范等規范性文件；第三層是技術指引等自律規則，一般由交易所、行業協會在證監會總體協調下組織制定。其次，在法規制定上．要兼顧規范和發展，重視法規的可行性。最后，在法規實施上．要堅持規范和指引相結合，重視監督檢查和責任落實。

2．2深入開展證券行業IT治理工作

2．2．1提高IT治理意識

中國證券業協會要進一步加強IT治理理念的教育宣傳工作，特別是對會員單位高層領導的IT治理培訓，將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的IT治理意識，提高他們IT治理的積極性。

2．2．2通過設立IT治理試點形成以點帶面的示范效應

根據IT治理模型的不同特點，建議證券公司在決策層使用CISR模型，通過成立lT治理委員會，建立各部門之間的協調配合、監督制衡的責權體系；在執行層以COBIT模型、ITFL模型等其他模型為補充，規范信息技術部門的各項控制和管理流程。同時，證監會指定一批證券公司和基金公司作為lT試點單位，進行IT治理模型選擇、剪裁以及組合的實踐探索，形成一批成功實施IT治理的優秀范例，以點帶面地提升全行業的治理水平。

2．3通過制定行業標準積極落實信息安全等級保護

行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵．應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制，統一部署、組織行業的等級保護丁作，為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求，對照標準逐條落實。同時，應對各單位實施信息系統安全等級保護情況進行測評，在測評環節一旦發現信息系統的不足，被測評單位應立即制定相應的整改方案并實施．且南相芙的監督機構進行督促。

2．4加強網絡安全體系規劃以提升網絡安全防護水平

2．4．1以等級保護為依據進行統籌規劃

等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規劃有效結合，統籌規劃證券網絡安全體系的建設，建立一套信息安全保障體系，將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。

2．4．2通過加強網絡訪問控制提高網絡防護能力

對向證券行業提供設備、技術和服務的IT公司的資質和誠信加強管理，確保其符合國家、行業技術標準。根據網絡隔離要求，要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離；對主要的網絡邊界和各外部進口進行滲透測試，進行系統和設備的安全加固．降低系統漏洞帶來的安全風險；在網上交易方面，采取電子簽名或數字認證等高強度認證方式，加強訪問控制；針對現存惡意攻擊網站的事件越來越多的情況，要采取措施加強網站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網上交易客戶端軟件使朋的安全性。

2．4．3提高從業人員安全意識和專業水平

目前在證券行業內，從業人員的網絡安全意識比較薄弱．必要時可定期對從業人員進行安全意識考核，從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓，提高行業網絡安全的管理水平和專業技術水平。

2．5扎實推進行業災難備份建設

數據的安全對證券行業是至關重要的，數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上，針對自身需要，對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設，以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案，并加強應急預案的演練，確保災難備份系統應急有效．使應急工作與日常工作有機結合。

2．6抓好人才隊伍建設

證券行業要采取切實可行的措施，建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來，加強lT人員的崗位技能培訓和業務培訓，注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念，行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系，對信息技術人員進行科學有效的考評，提升行業人才資源的優化配置和使用效率，促進技術人才結構的涮整和完善。

第9篇：安全等級保護管理辦法范文

在國際信息安全環境日趨惡劣，國家全面倡導信息安全的大環境下，為了確保信息安全工作的可持續性開展及業務信息系統的穩定運行，依據集團總部《關于建立集團公司網絡與信息安全組織保障體系的通知》、鄂通信局發[2013]127號《關于進一步落實基礎電信企業網絡與信息安全責任考核及有關工作的意見》等相關文件精神，同時參考《GA/T708-2007信息安全技術-信息系統安全等級保護體系框架》、《GB/T22239-2008信息安全技術-信息系統安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統安全管理要求》、《GB/T0984-2007信息安全技術-信息安全風險評估規范》等國家標準，制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規范》規范等，率先在企業內建立并實施該體系，全面倡導企業向信息安全生產經營轉型，同時積極引導合作伙伴樹立信息安全意識，規范自身的生產及合作行為，明確安全風險責任、細化管理要求，立足自身，兼顧第三方，共同打造信息安全的綠色長城，確保企業長足健康發展。通過該安全管理體系的實施，從中全面深入地挖掘現有安全體系的不足之處，并針對現有業務系統中的各類安全隱患制定了有效的整改方案并予以實施、預警，確保了移動互聯網業務的可持續性發展及業務信息系統的穩定運行。首先，組織完成企業的自有業務信息系統和合作業務信息系統的安全等級劃分工作，將平臺安全管理工作落實到具體的責任人，并簽署責任狀，從而樹立全員安全責任意識，實現人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術對業務信息系統進行安全掃描、安全審計，并應用HIVE、Waka、PIG、Mahout等工具對海量日志、數據進行分析和審核，發現相關漏洞與脆弱點，并針對自有及合作業務信息系統編寫了整改建議和系統層面的加固方案。通過持續對自有及合作信息系統的檢查，共發現自有業務信息系統存在各類安全漏洞攻擊39處，合作業務信息系統存在各類安全漏洞14處，目前這些漏洞已經全部整改與加固完畢，消除了安全隱患。其次，以信息安全管理為導向，組建了由電信營運商、合作伙伴、專業公司三方共同構成的一支業務信息系統安全管理團隊，通過從合作業務管理規范的建立到合作伙伴安全技能培訓，從信息安全制度宣貫到系統安全處罰辦法的落實執行，從系統安全的定期評估到系統漏洞的及時加固等一系列舉措，最終創建一套業務信息系統全新的安全管理模型，提高業務信息系統運行質量和服務能力，提升創新業務品牌形象。從安全管理模型啟用至今，未發生一起信息安全事故，這樣強化了合作伙伴的信息安全概念，督促合作伙伴在發展業務的同時也重點關注信息安全問題，極大地降低了由于合作系統的信息安全漏洞導致的中病毒或木馬、假冒網站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發生概率，此類原因造成創新業務投訴比率和往年相比降低了15%，改變了用戶對創新業務的固有印象，建立了良好的創新業務服務品牌形象。此模型具備良好的可復制性，可指導通信領域運營企業開展信息安全工作。在全國率先打造這套移動互聯網業務安全管理體系，包含一系列業務系統信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規范等相關業務系統管理制度及規范，業務系統安全管理體系的先進性和時效性在通信行業內名列前茅，同時通過近兩年的安全理論研究和安全評估加固實踐，針對當前企業業務平臺系統在信息安全監管中面臨的一些問題，對當前主流關聯分析技術進行研究的基礎上，提出了一種新的安全事件關聯分析技術。該技術涉及到多源數據預處理、報警聚合、關聯分析、大數據分析和安全狀況態勢評估等相關技術。此技術運用到電信行業的信息安全監管上，就能夠對監控設備收集的日志及安全設備產生的告警進行關聯分析和挖掘，從包含大量冗余信息的數據中提取出盡可能多的隱藏的安全信息，通過對此類信息的統計、濃縮、總結、關聯和分類，抽象出利于進行判斷和比較的特征庫，并智能地學習和維護其特征庫，從而在提高安全事件報警準確率的情況下保證極高的識別效率。同時該安全管理體系成功應用到與百度公司合作開發的愛奇藝視頻業務系統、與騰訊科技公司聯合開發的微信平臺、與奇虎科技公司共同開發的安全衛士手機應用系統，得到部分在美國納斯達克上市的中國互聯網精英公司的高度認可和贊許，并表示今后與電信運營商共同開發產品都依照此安全管理規范和體系，確保產品的各項安全性能指標。

2創新點

為順應移動互聯網時代，運營商從基礎通信運營向流量運營轉型的新趨勢，湖北移動確定了“業務轉型，安全先行”的發展思路，堅持“以安全保發展、以發展促安全”。在已有的網絡與信息安全管理辦法的基礎上，積極開展適應移動互聯網時代安全管理體系建設，不斷推進科學的安全管理方法，做到六“注重”六“突出”，即：（1）注重整體規劃，突出體系建設，促進職責高效履行。制定下發安全標準化管理與評價體系建設計劃，內容涵蓋安全工作方針目標、安全目標、各方職責、安全管理體系和模式、安全設施和機房環境保護設施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應急準備和響應等方面。嚴格按計劃有序開展體系建設工作；嚴格按體系文件要求開展業務或系統試運行工作；加強保證與監督體系的建設。（2）注重文化建設，突出信息安全特色，促進習慣養成。以人為本，加強企業安全文化建設，促使安全文化落地，提高員工安全與風險防范意識。（3）注重教育培訓，突出行業特色，達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓方式，組織各單位安全管理人員開展安全教育和培訓工作：一是安排專家和行業資深人士進行專題講座；二是在專題培訓的基礎上，做好網絡與信息安全專項工作如何開展的培訓。（4）注重設備管理，突出針對特色，實現安全管理精細化。首先，網絡設備較多，加強網絡安全管理提高設備安全可靠性是首要任務，為此各維護單位對每臺設備均建立了安全技術臺帳，臺帳包括運行記錄、檢查保養記錄和定期檢驗記錄。其次，組織精干力量先后兩次對所有設備、流程、機房進行全面的安全評估工作。第三，使隱患排查整改形成機制。（5）注重安全投入，突出專用特色，合理使用安全生產費用。認真落實安全管理費用投入長效機制，加大安全費用的管理，做到專款專用，確保安全生產費用規范化、合理化和足額投入。并加強安全生產保證金的管理，建立安全生產保證金并實行年底考核的機制，有效促進了安全管理工作。（6）注重應急預案，突出超前特色，安全管理贏在主動。在安全管理中，把預防工作落到實處，建立健全了應急處置機構，將應急處置工作進一步制度化，規范化，形成了完整的安全事故預防體系。同時，開展形式多樣、符合實際的應急演練。

3結語