1、信息系統(tǒng)安全等級保護(hù)方案 介、介紹案解決 神州數(shù)碼安全解決方案神州數(shù)碼安全解決方案業(yè)務(wù)部業(yè)務(wù)部信息安全信息安全及應(yīng)用交付及應(yīng)用交付等級保護(hù)等級保護(hù)安全運(yùn)維安全運(yùn)維1.1.信息安全方案與集成信息安全方案與集成2.2.安全整體咨詢、服務(wù)安全整體咨詢、服務(wù)3.3.安全產(chǎn)品全線分銷安全產(chǎn)品全線分銷4.4.安全平臺(tái)應(yīng)用交付安全平臺(tái)應(yīng)用交付1. 等級保護(hù)定級備案等級保護(hù)定級備案2. 等級保護(hù)差距分析等級保護(hù)差距分析3. 等級保護(hù)整改設(shè)計(jì)等級保護(hù)整改設(shè)計(jì)4. 等級保護(hù)整改實(shí)施等級保護(hù)整改實(shí)施5. 等級保護(hù)測評咨詢等級保護(hù)測評咨詢1.1.安全運(yùn)維平臺(tái)安全運(yùn)維平臺(tái)2.2.安全運(yùn)維隊(duì)伍安全運(yùn)維隊(duì)伍3.3.安全運(yùn)維

2、流程安全運(yùn)維流程4.4.安全運(yùn)維制度安全運(yùn)維制度5.5.安全運(yùn)維報(bào)告安全運(yùn)維報(bào)告6.6.安全運(yùn)維交付安全運(yùn)維交付神州數(shù)碼神州數(shù)碼-系統(tǒng)科技系統(tǒng)科技-安全管理本部安全管理本部云計(jì)算安全云計(jì)算安全1.1.云云ITIT服務(wù)平臺(tái)服務(wù)平臺(tái)3.3.云計(jì)算安全管理云計(jì)算安全管理4.4.云計(jì)算環(huán)境管理云計(jì)算環(huán)境管理5.5.云計(jì)算虛擬交付云計(jì)算虛擬交付 1、業(yè)務(wù)概況：、業(yè)務(wù)概況：安全及系統(tǒng)管理本部作為神州數(shù)碼系統(tǒng)科技戰(zhàn)略本部的核心業(yè)務(wù)單位，承載著神州數(shù)碼在信息安全和應(yīng)用交付領(lǐng)域業(yè)務(wù)發(fā)展的重要戰(zhàn)略職責(zé)。專注于IT應(yīng)用時(shí)代的安全管理和系統(tǒng)管理。公司概況2、專業(yè)的服務(wù)能力： 60名高級工程師，包括CISP安全工程師、

3、CCIE網(wǎng)絡(luò)專家、F5認(rèn)證安全工程師、BlueCoat認(rèn)證安全工程師、RSA認(rèn)證工程師、CheckPoint認(rèn)證安全工程師以及來自廠商的安全資訊專家，提供從產(chǎn)品交付到解決方案定制，從應(yīng)用集成到整體咨詢的全方位服務(wù)。3、豐富的客戶實(shí)踐：擁有在金融（銀行、基金、證券、保險(xiǎn)、期貨）、運(yùn)營商（電信、移動(dòng)、聯(lián)通、廣電、設(shè)備商）、政府（黨政機(jī)關(guān)、公檢法司、工商財(cái)稅、國防軍工、海關(guān)、社保、國土資源）、公共事業(yè)（電力、石油石化、醫(yī)療、教育、交通、郵政）、高端制造業(yè)（汽車、鋼鐵、冶煉、機(jī)械電子、食品、煙草等）、傳媒及互聯(lián)網(wǎng)（廣播、電視、紙媒、電子商務(wù)）等豐富的成功客戶經(jīng)驗(yàn)。我們在對每一個(gè)用戶系統(tǒng)深入分析和理解的

4、基礎(chǔ)上，憑借出色的行業(yè)經(jīng)驗(yàn)和解決方案能力，成為眾多大中型客戶的首選安全解決方案提供商。4、遍布全國的服務(wù)網(wǎng)絡(luò)：直接覆蓋全國15個(gè)重點(diǎn)一、二級城市，同時(shí)通過戰(zhàn)略合作伙伴全面覆蓋全國20多個(gè)三、四級城市。本地化銷售和技術(shù)團(tuán)隊(duì)在深入了解客戶需求的基礎(chǔ)上，更快更好的為客戶提供專業(yè)化服務(wù)。公司概況等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型等級保護(hù)安全建設(shè)模型3等級保護(hù)背景與必要性等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)4SSPSSP等保安全服務(wù)平臺(tái)等保安全服務(wù)平臺(tái)5目目 錄錄等級保護(hù)安全檢查與整改等級保護(hù)安全檢查與整改6等級保護(hù)背景與必要性等級保護(hù)背景與必要性1

5、等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)4SSPSSP等保安全服務(wù)平臺(tái)等保安全服務(wù)平臺(tái)5等級保護(hù)安全檢查與整改等級保護(hù)安全檢查與整改6等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型等級保護(hù)安全建設(shè)模型3目目 錄錄 u 全球網(wǎng)絡(luò)安全形勢嚴(yán)峻，信息安全問題不僅僅是組織自身的事情，也涉及到國家和社會(huì)安全。計(jì)算機(jī)病毒、黑客攻擊、信息泄露、軟硬件故障等信息安全問題給組織單位造成了極大的風(fēng)險(xiǎn)。u互聯(lián)網(wǎng)空間正日益成為國際競爭的新焦點(diǎn),在制定本國信息系統(tǒng)安全等級管理標(biāo)準(zhǔn)之外，美國、英國、德國等歐美發(fā)達(dá)國家紛紛制定網(wǎng)絡(luò)安全國家戰(zhàn)略，參與爭奪全球網(wǎng)絡(luò)空間主導(dǎo)權(quán)。u美國2009年6月，美軍成立網(wǎng)絡(luò)司

6、令部；日本防衛(wèi)省在2011年度建立一支專門的“網(wǎng)絡(luò)空間防衛(wèi)隊(duì)”；韓國在2009年宣布組建“網(wǎng)絡(luò)司令部”，2011年韓國國防部提升為獨(dú)立部隊(duì)。全球背景等級保護(hù)背景與必要性等級保護(hù)背景與必要性 u國際信息安全環(huán)境日趨復(fù)雜，西方加緊對我國的網(wǎng)絡(luò)遏制，并加快利用網(wǎng)絡(luò)進(jìn)行意識(shí)形態(tài)滲透;另一方面，重要信息系統(tǒng)、工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)日益突出，信息安全網(wǎng)絡(luò)監(jiān)管的難度和復(fù)雜性持續(xù)加大。u網(wǎng)絡(luò)安全成為關(guān)系經(jīng)濟(jì)平穩(wěn)運(yùn)行和安全的重要因素，國民經(jīng)濟(jì)對信息網(wǎng)絡(luò)和系統(tǒng)的依賴性增強(qiáng)，我國重要信息系統(tǒng)和工業(yè)控制系統(tǒng)多使用國外的技術(shù)和產(chǎn)品，這些技術(shù)和產(chǎn)品的漏洞不可控，使網(wǎng)絡(luò)和系統(tǒng)更易受到攻擊，致使敏感信息泄露、系統(tǒng)停運(yùn)等重大安

7、全事件多發(fā)，安全狀況堪憂。u信息安全領(lǐng)域存在多頭管理現(xiàn)象，相關(guān)職能部門涉及多個(gè)部委和管理機(jī)構(gòu)，部門之間職責(zé)界定不清晰，管理權(quán)限存在交叉，決策權(quán)分散，各個(gè)相關(guān)管理機(jī)構(gòu)之間缺乏充分的溝通和協(xié)調(diào)，部門間作用發(fā)揮不均。國內(nèi)背景等級保護(hù)背景與必要性等級保護(hù)背景與必要性 u2007年，四部委聯(lián)合發(fā)布的關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安2007861號）u2008年，國家發(fā)展和改革委員會(huì)、中華人民共和國公安部、國家保密局關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知（發(fā)改高技20082071號）u2009年，四部委聯(lián)合發(fā)布關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評

8、工作的通知，要求2010年底前完成測評體系建設(shè)，完成30%第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設(shè)整改工作。等級保護(hù)背景與必要性等級保護(hù)背景與必要性等保發(fā)展?fàn)顩r等級保護(hù)背景與必要性等級保護(hù)背景與必要性2003年9月中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安全保障工作的意見中辦發(fā)200327號2005年9月國信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級保護(hù)實(shí)施指南的通知 國信辦200425號2007年，公安部、保密局、密碼管理局、國信辦聯(lián)合制定了信息安全等級保護(hù)管理辦法，標(biāo)志著我國等級保護(hù)我國等級保護(hù)制度的初步形成制度的初步形成2005年 公安部標(biāo)準(zhǔn)基本要求定級指南實(shí)

9、施指南測評準(zhǔn)則2004年11月四部委會(huì)簽關(guān)于信息安全等級保護(hù)工作的實(shí)施意見公通字200466號云南云南省人民政府第130號令 浙江浙江省人民政府令 北京北京政府第9號令 國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件地方政策文件 國家政策、標(biāo)準(zhǔn)應(yīng)用類應(yīng)用類 產(chǎn)品類產(chǎn)品類 其他類其他類等保安全建設(shè)整改基礎(chǔ)類基礎(chǔ)類計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)定級：信息系統(tǒng)定級：定級指南GB/T22240-2008等級保護(hù)實(shí)施：等級保護(hù)實(shí)施：實(shí)施指南信安字200710號信息系統(tǒng)安全建設(shè)：信息系統(tǒng)安全建設(shè)：基本要求GB/T22239-2008 通用安全技術(shù)要求GB/T20

10、271-2006 安全技術(shù)設(shè)計(jì)要求GB/T24856-2009 等10個(gè)要求和規(guī)范等級測評：等級測評：測評要求報(bào)批稿/測評過程要求報(bào)批稿 / GA/T713-2007風(fēng)險(xiǎn)評估：風(fēng)險(xiǎn)評估：信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T20984-2007事件管理：事件管理：信息安全事件管理指南GB/Z20985-2007信息安全事件分類分級指南 GB/Z20986-2007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T20988-2007操作系統(tǒng)數(shù)據(jù)庫網(wǎng)絡(luò)PKI網(wǎng)關(guān)服務(wù)器入侵檢測防火墻路由器交換機(jī)其他產(chǎn)品技術(shù)要求技術(shù)要求評估準(zhǔn)則評估準(zhǔn)則測試方法測試方法配置指南配置指南等級保護(hù)背景與必要性等級保護(hù)背景與必要性國家政策、標(biāo)準(zhǔn)國家電網(wǎng)

11、公司2011年完成10多個(gè)網(wǎng)省的等級保護(hù)整改任務(wù)省市/行業(yè)進(jìn)展教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知（教辦廳函【2009】80號）2007年，發(fā)布稅務(wù)信息系統(tǒng)安全等級保護(hù)定級工作指南2010年8月25日，國家稅總在上海組織召開了稅務(wù)系統(tǒng)信息安全等級保護(hù)上海試點(diǎn)測評階段總結(jié)會(huì)。2010年6月，民政部啟動(dòng)民政部信息系統(tǒng)等級保護(hù)整體規(guī)劃建設(shè)方案2011年6月，國家廣電總局科技司印發(fā)了關(guān)于開展廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級工作的通知出臺(tái)廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南和廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求行業(yè)標(biāo)準(zhǔn)證監(jiān)會(huì)證監(jiān)會(huì)教育部教育部民政部民政部稅總廣電總局廣電總局等級

12、保護(hù)衛(wèi)生部衛(wèi)生部甘肅甘肅廣西廣西安徽安徽國家電網(wǎng)國家電網(wǎng)等級保護(hù)背景與必要性等級保護(hù)背景與必要性 2011年8月，教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知教辦廳函201183號要求各地教育行政部門和學(xué)校要將本單位的信息系統(tǒng)定級結(jié)果報(bào)主管部門審批。在2011年12月底前，完成所有信息系統(tǒng)的定級備案。各地教育行政部門和學(xué)校的第二級及以上信息系統(tǒng)，要參照國家和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范，在定級備案后2年內(nèi)完成首次安全建設(shè)整改和等級測評工作。已定級的第三級及以上信息系統(tǒng)要安全整改方案由教育部組織專家審定，在2012年底前完成首次安全建設(shè)整改和等級測評工作。 2010年4月教育部教育管理信息中

13、心成立“信息安全測評部”，負(fù)責(zé)信息安全等級保護(hù)測評工作。 2009年11月，教育部辦公廳印發(fā)關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知（教辦廳函200980號），決定在教育系統(tǒng)全面開展信息安全等級保護(hù)工作，并由教育部教育管理信息中心具體組織實(shí)施。 教育部等級保護(hù)背景與必要性等級保護(hù)背景與必要性 2011年11月，衛(wèi)生部印發(fā)了衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見通知，通知明確提出衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意明確提出衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見見，包括工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求等，有力促進(jìn)衛(wèi)生行業(yè)信息安全等級保護(hù)工作的開展。 行業(yè)指導(dǎo)，屬地管理：地方各級衛(wèi)生行

14、政部門承擔(dān)本地衛(wèi)生信息安全責(zé)任，信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護(hù)工作。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對全國衛(wèi)生行業(yè)信息安全等級保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開展部機(jī)關(guān)信息安全等級保護(hù)工作定級，備案，建設(shè)，整改，定級評測，宣傳，培訓(xùn)，監(jiān)督檢查。 衛(wèi)生部等級保護(hù)背景與必要性等級保護(hù)背景與必要性 甘肅省四部門印發(fā)信息安全等級保護(hù)安全建設(shè)整改工作的實(shí)施意見 （2010-09-03） 廣西舉辦信息安全等級保護(hù)技術(shù)高級研修班 （2010-09-03） 安徽省四部門下發(fā)重要信息系統(tǒng)等級保護(hù)安全建設(shè)工作方案 （2010-09-03） 甘肅、廣西、安徽等級保護(hù)背景與必要性等級保護(hù)背景與必要

15、性一級損害一級損害二級損害二級損害三級損害三級損害四級損害四級損害 信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。，但不損害國家安全、社會(huì)秩序和公共利益。信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利

16、益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。重?fù)p害，或者對國家安全造成損害。 信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。害。五級損害五級損害 信息系統(tǒng)受到破壞后，會(huì)對國家安全信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。造成特別嚴(yán)重?fù)p害。等級保護(hù)背景與必要性等級保護(hù)背景與必要性損害等級 威脅標(biāo)號威脅描述備注T2-1. 雷擊、地震和臺(tái)風(fēng)等自然災(zāi)難T2-2. 水患和火災(zāi)等災(zāi)害T2-3. 高溫、低溫、多雨等原因?qū)е聹囟?、濕度異常T2-4. 電壓波動(dòng)T2-5. 供電系統(tǒng)故障

17、T2-6. 靜電和外界電磁干擾T2-7. 通信線路因線纜老化等原因?qū)е聯(lián)p壞或傳輸質(zhì)量下降T2-8. 重要業(yè)務(wù)信息的介質(zhì)老化或質(zhì)量問題等導(dǎo)致不可用T2-9. 網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過長或質(zhì)量問題等導(dǎo)致硬件故障T2-10. 系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障T2-11. 系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源等級保護(hù)背景與必要性等級保護(hù)背景與必要性信息安全面臨的威脅因素信息安全面臨的威脅因素 信息安全面臨的威脅信息安全面臨的威脅T2-11. 系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源T2-12. 應(yīng)用軟件、系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)運(yùn)行中斷T2-13. 設(shè)施、通信線路、設(shè)

18、備或存儲(chǔ)介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收蟃2-14. 授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用T2-15. 授權(quán)用戶對系統(tǒng)錯(cuò)誤配置或更改T2-16. 攻擊者利用非法手段進(jìn)入機(jī)房內(nèi)部盜竊、破壞等T2-17. 攻擊者非法物理訪問系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備或存儲(chǔ)介質(zhì)等T2-18. 攻擊者采用在通信線纜上搭接或切斷等導(dǎo)致線路不可用T2-19. 攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)T2-20. 攻擊者利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞，越權(quán)訪問文件、數(shù)據(jù)或其他資源T2-21. 攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡(luò)、操作系

19、統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊T2-22. 攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)缺陷旁路安全策略，未授權(quán)訪問網(wǎng)絡(luò)威脅等級保護(hù)背景與必要性等級保護(hù)背景與必要性 威脅T2-23.攻擊者利用非法手段獲得授權(quán)用戶的鑒別信息或密碼介質(zhì)，訪問網(wǎng)絡(luò)、系統(tǒng)T2-24.攻擊者利用偽造客戶端進(jìn)入業(yè)務(wù)系統(tǒng)，進(jìn)行非法訪問T2-25.攻擊者截獲、讀取、破解介質(zhì)的信息或剩余信息，進(jìn)行敏感信息的竊取T2-26.攻擊者截獲、讀取、破解通信線路中的信息T2-27.由于網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用軟件的故障或雙機(jī)熱備失效，造成業(yè)務(wù)應(yīng)用的中斷T2-28.數(shù)據(jù)在傳輸和存儲(chǔ)過程中被錯(cuò)誤修改或丟失T2-29.攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密

20、密鑰或破壞通信完整性T2-30.攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布2-31.攻擊者和內(nèi)部人員否認(rèn)自己的操作行為T2-32.攻擊者和內(nèi)部人員利用網(wǎng)絡(luò)擴(kuò)散病毒T2-33.內(nèi)部人員下載、拷貝軟件或文件，打開可疑郵件時(shí)引入病毒T2-34.內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò)（如Internet）T2-35.內(nèi)部人員利用技術(shù)或管理漏洞，未授權(quán)修改系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序T2-36.內(nèi)部人員未授權(quán)訪問敏感信息，將信息帶出或通過網(wǎng)絡(luò)傳出，導(dǎo)致信息泄露等級保護(hù)背景與必要性等級保護(hù)背景與必要性信息安全面臨的威脅信息安全面臨的威脅目目 錄錄等級保護(hù)等級保護(hù)安全等級劃分安全等級劃分2等級保護(hù)等級保護(hù)安全建

21、設(shè)模型安全建設(shè)模型3等級保護(hù)背景與必要性等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)4SSPSSP等保安全服務(wù)平臺(tái)等保安全服務(wù)平臺(tái)5等級保護(hù)安全檢查與整改等級保護(hù)安全檢查與整改6 等保實(shí)施過程系統(tǒng)定級安全規(guī)劃設(shè)計(jì)安全實(shí)施安全運(yùn)行定期檢查局部調(diào)整重大變更等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分一級：自主保護(hù)一級：自主保護(hù)二級：指導(dǎo)保護(hù)二級：指導(dǎo)保護(hù)三級：監(jiān)督保護(hù)三級：監(jiān)督保護(hù)四級：強(qiáng)制保護(hù)四級：強(qiáng)制保護(hù)第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計(jì)保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級五級：?？乇Ｗo(hù)五級：?？乇Ｗo(hù)第五級：訪問驗(yàn)證保護(hù)級信息安全等級保護(hù)劃分準(zhǔn)則GB17859-1

22、999-規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)級別信息安全等級保護(hù)管理辦法規(guī)定的五級要求等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分一級一級二級二級三級三級四級四級 信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。，但不損害國家安全、社會(huì)秩序和公共利益。信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家

23、安全。信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。重?fù)p害，或者對國家安全造成損害。 信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。害。五級五級 信息系統(tǒng)受到破壞后，會(huì)對國家安全信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。造成特別嚴(yán)重?fù)p害。等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分信息安全等級保護(hù)管理辦法規(guī)定的五級要求 定級流程等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分 等級保護(hù)安全等級

24、劃分等級保護(hù)安全等級劃分定級方法 等級保護(hù)對象：等級保護(hù)對象：信息安全等級保護(hù)工作直接作用的具體的信息和信息系統(tǒng)。作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征： 1、具有唯一確定的安全責(zé)任單位 2、具有信息系統(tǒng)的基本要素 3、承載相對獨(dú)立的業(yè)務(wù)應(yīng)用客體：客體：受法律保護(hù)的、等級保護(hù)對象受到破壞時(shí)所侵害的社會(huì)關(guān)系，如國家安全、社會(huì)秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。系統(tǒng)服務(wù)系統(tǒng)服務(wù) ：信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。侵害程度綜合判定：侵害程度綜合判定： 1、系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定。 2、業(yè)務(wù)

25、信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。定級關(guān)鍵詞等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分 定級建議參考一級信息系統(tǒng)：一級信息系統(tǒng)：公民個(gè)人的單機(jī)系統(tǒng)，小型集體、民營企業(yè) 所屬的信息系統(tǒng)，中、小學(xué)校的信息系統(tǒng)，鄉(xiāng)鎮(zhèn)級黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng)，其他小型組織的信息系統(tǒng)。 二級信息系統(tǒng)：二級信息系統(tǒng)：縣級、地市級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險(xiǎn)、公安、財(cái)務(wù)、財(cái)政、金融、社保、工商、審計(jì)、能源、化工、社會(huì)服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、 應(yīng)急搶險(xiǎn)、農(nóng)業(yè)等行業(yè)所屬獨(dú)立的信息系統(tǒng)，中型集體、民營企業(yè)、小型國有企業(yè)所屬的

26、信息系統(tǒng)，縣級黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng)，普通高等院校和科研機(jī)構(gòu)的信息系統(tǒng)，其他中型組織的信息系統(tǒng)。三級信息系統(tǒng)：三級信息系統(tǒng)：省級和副省級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險(xiǎn)、公安、財(cái)政、金融、社保、工商、審計(jì)、能源、化工、社會(huì)服 金融、社保、工商、審計(jì)、能源、化工、社會(huì)服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險(xiǎn)、農(nóng)業(yè)等行業(yè)所屬獨(dú)立的重要信息系統(tǒng)，大型集體、民營企業(yè)、大中型國有企業(yè)所屬的重要信息系統(tǒng)，地市級黨政機(jī)關(guān)、事業(yè)單位的重要信息系統(tǒng)，重點(diǎn)高等院校和科研機(jī)構(gòu)的重要信息系統(tǒng)，其他大中型組織的信息系統(tǒng)。等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分 定級建議參考四級

27、信息系統(tǒng)：四級信息系統(tǒng)：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險(xiǎn)、公安、財(cái)政、金融、社保、工商、審計(jì)、能源、化工、社會(huì)服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險(xiǎn)等行業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng)，特大型國有企業(yè) 所屬全程全網(wǎng)的特大型信息系統(tǒng)，省級黨政機(jī)關(guān)、事業(yè)單位所屬的重要信息系統(tǒng)，重點(diǎn)科研機(jī)構(gòu)的重要信息系統(tǒng)。五級信息系統(tǒng)：五級信息系統(tǒng)：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險(xiǎn)等重要信息系統(tǒng)中的核心子系統(tǒng)，涉及國防、重大外交、航天航空、核能源、 尖端科學(xué)技術(shù)等重要信息系統(tǒng)中的核心子系統(tǒng)，國家級黨政機(jī)關(guān)重要信息系統(tǒng)中的核心子系統(tǒng)。 定級原則

28、：定級原則：從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級。度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級。等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分 定級建議參考稅務(wù)系統(tǒng)等級定義參考等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分稅務(wù)系統(tǒng)各單位定級工作參照以下定級原則：（1）稅務(wù)總局負(fù)責(zé)設(shè)計(jì)、開發(fā)、推廣、運(yùn)行維護(hù)，全國范圍使用，為納稅人提供網(wǎng)上辦稅業(yè)務(wù)的信息系統(tǒng)確定安全保護(hù)等級為三級，核心

29、數(shù)據(jù)庫系統(tǒng)可定為四級(全國使用的，稅務(wù)總局集中的) ，其他信息系統(tǒng)可定為二級；（2）省國稅局和省地稅局負(fù)責(zé)設(shè)計(jì)、開發(fā)、推廣、運(yùn)行維護(hù)，全省范圍使用，為納稅人提供網(wǎng)上辦稅業(yè)務(wù)的信息系統(tǒng)安全保護(hù)等級最高定為三級，其他信息系統(tǒng)可定為二級；（3）市國稅局和市地稅局的信息系統(tǒng)安全保護(hù)等級定為二級；（4）稅務(wù)總局機(jī)關(guān)內(nèi)部使用的信息系統(tǒng)安全保護(hù)等級原則定為二級；（5）省國稅局和省地稅局機(jī)關(guān)內(nèi)部使用的信息系統(tǒng)安全保護(hù)等級最高定為二級。 定級建議參考衛(wèi)生系統(tǒng)等級定義參考等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見規(guī)定以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級原則上不低于第三級： （1）衛(wèi)

30、生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)； （2）國家、省、地市三級衛(wèi)生信息平臺(tái)，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心； （3）三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)； （4）衛(wèi)生部網(wǎng)站系統(tǒng)； （5）其他經(jīng)過信息安全技術(shù)專家委員會(huì)評定為第三級以上（含第三級）的信息系統(tǒng)。 定級建議參考系統(tǒng)類別系統(tǒng)類別系統(tǒng)名稱系統(tǒng)名稱范圍范圍建議等級建議等級備注備注公共衛(wèi)生信息系統(tǒng)血液信息管理系統(tǒng)衛(wèi)生監(jiān)督管理系統(tǒng)精神衛(wèi)生管理信息系統(tǒng)國家，省，市三級S3醫(yī)療機(jī)構(gòu)信息系統(tǒng)HIS系統(tǒng)本單位三級S3LIS系統(tǒng)本單位三級S3PACS系統(tǒng)本單位三

31、級S3醫(yī)院網(wǎng)站本單位二級S2OA系統(tǒng)本單位二級S2A2G2衛(wèi)生系統(tǒng)等級定義參考等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分等級保護(hù)等級保護(hù)安全等級劃分安全等級劃分2等級保護(hù)等級保護(hù)安全建設(shè)模型安全建設(shè)模型3等級保護(hù)背景與必要性等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)4等級保護(hù)安全檢查與整改等級保護(hù)安全檢查與整改5目目 錄錄 信息安全等級保護(hù)是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進(jìn)行管理和保護(hù)； 對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實(shí)行分級保護(hù)。對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實(shí)行分級保護(hù)。 對系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按分級許可管理。對系統(tǒng)中使用的信

32、息安全產(chǎn)品實(shí)行按分級許可管理。 對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。 對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。等級保護(hù)等級保護(hù)的建設(shè)模型的建設(shè)模型等保制度內(nèi)容 第三級基本第三級基本要求要求物物理理安安全全網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全主主機(jī)機(jī)安安全全應(yīng)應(yīng)用用安安全全第一級基本第一級基本要求要求第二級基本第二級基本要求要求第四級基本第四級基本要求要求第五級基本第五級基本要求要求數(shù)據(jù)數(shù)據(jù)安全安全及備及備份恢份恢復(fù)復(fù)技術(shù)要求技術(shù)要求管理要求管理要求安安全全管管理理制制度度安安全全管管理理機(jī)機(jī)構(gòu)構(gòu)人人員員安安全全管管理理系

33、系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理等級保護(hù)框架內(nèi)容等級保護(hù)等級保護(hù)的建設(shè)模型的建設(shè)模型 等級保護(hù)要求模型基本要求基本要求的描述模型的描述模型等級保護(hù)等級保護(hù)的建設(shè)模型的建設(shè)模型 -PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法能使任何一項(xiàng)活動(dòng)按照工作程序有效進(jìn)行策劃實(shí)施檢查處置周而復(fù)始，不斷循環(huán)PDCA模型PDCA整改策劃實(shí)施檢查等級保護(hù)等級保護(hù)的建設(shè)模型的建設(shè)模型 PDCA模型p信息安全等級保護(hù)工作最明顯的就是采用了過程方法和PDCA模型思想-系統(tǒng)規(guī)劃設(shè)計(jì)（P）-建設(shè)實(shí)施（D）-測評檢查（C）-問題整改（A）p基于過程的概念，不同過程之間相互關(guān)聯(lián)，過程包含子過程等級保護(hù)等級保護(hù)的建設(shè)模型的建設(shè)

34、模型等級保護(hù)背景與必要性等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)4SSPSSP等保安全服務(wù)平臺(tái)等保安全服務(wù)平臺(tái)5等級保護(hù)安全檢查與整改等級保護(hù)安全檢查與整改6等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型等級保護(hù)安全建設(shè)模型3目目 錄錄信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析開展建設(shè)整改技術(shù)方案詳細(xì)設(shè)計(jì)開展建設(shè)整改技術(shù)方案詳細(xì)設(shè)計(jì)工程實(shí)施及驗(yàn)收工程實(shí)施及驗(yàn)收等級測評等級測評不符合標(biāo)準(zhǔn)要求不符合標(biāo)準(zhǔn)要求開展建設(shè)整改技術(shù)方案論證和評審開展建設(shè)整改技術(shù)方案論證和評審確定安全策略，開展確定安全策略，開展建設(shè)整改技術(shù)方案總體設(shè)計(jì)建設(shè)整改技術(shù)方案總體設(shè)

35、計(jì)通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全物理安全物理安全。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全區(qū)域邊界安全區(qū)域邊界安全主機(jī)系統(tǒng)安全主機(jī)系統(tǒng)安全備份和恢復(fù)備份和恢復(fù)建設(shè)并落實(shí)安全技術(shù)措施建設(shè)并落實(shí)安全技術(shù)措施信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之概要之概要信息系統(tǒng)安全建設(shè)整改主要內(nèi)容信息系統(tǒng)安全建設(shè)整改主要內(nèi)容等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)-信息安全等級保護(hù)安全建設(shè)整改工作指南信息安全等級保護(hù)安全建設(shè)整改工作指南之概要之概要等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)整改依據(jù)標(biāo)準(zhǔn)間的關(guān)系（一）-信息安全等級保護(hù)安全建設(shè)整改工作指南信息安全等級保護(hù)安

36、全建設(shè)整改工作指南之依據(jù)標(biāo)準(zhǔn)之依據(jù)標(biāo)準(zhǔn)等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)整改依據(jù)標(biāo)準(zhǔn)間的關(guān)系（二）-信息安全等級保護(hù)安全建設(shè)整改工作指南信息安全等級保護(hù)安全建設(shè)整改工作指南之依據(jù)標(biāo)準(zhǔn)之依據(jù)標(biāo)準(zhǔn) 信息系統(tǒng)主要是由實(shí)現(xiàn)計(jì)算任務(wù)的局域計(jì)算環(huán)境，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)，以及用戶/用戶群組成。 安全的信息系統(tǒng)由以下部分組成： 安全的局域計(jì)算環(huán)境； 局域計(jì)算環(huán)境的邊界防護(hù)； 安全用戶環(huán)境（獨(dú)立用戶/用戶群及）其邊界防護(hù)； 安全的網(wǎng)絡(luò)系統(tǒng)； 信息系統(tǒng)安全管理中心。分析等級分析等級保護(hù)保護(hù)信息系統(tǒng)組成信息系統(tǒng)組成等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之總體設(shè)計(jì)之總體設(shè)計(jì)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)

37、基本模型信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本模型 GA/T 7092007三級安全信息系統(tǒng)的組成與相互關(guān)系如果信息系統(tǒng)僅由一個(gè)局域計(jì)算環(huán)境組成，則不涉及網(wǎng)絡(luò)系統(tǒng)的安全問題。0 到到n 個(gè)具有一級安全的局域計(jì)算環(huán)境及個(gè)具有一級安全的局域計(jì)算環(huán)境及其邊界防護(hù)設(shè)施；其邊界防護(hù)設(shè)施；0 到到n 個(gè)具有二級安全的局域計(jì)算環(huán)境及個(gè)具有二級安全的局域計(jì)算環(huán)境及其邊界防護(hù)設(shè)施；其邊界防護(hù)設(shè)施；1 到到n 個(gè)具有三級安全的局域計(jì)算環(huán)境及個(gè)具有三級安全的局域計(jì)算環(huán)境及其邊界防護(hù)設(shè)施；其邊界防護(hù)設(shè)施；0 到到n 個(gè)具有一級安全的獨(dú)立用戶或用戶個(gè)具有一級安全的獨(dú)立用戶或用戶群及其邊界防護(hù)設(shè)施；群及其邊界防護(hù)設(shè)施；0

38、到到n 個(gè)具有二級安全的獨(dú)立用戶或用戶個(gè)具有二級安全的獨(dú)立用戶或用戶群及其邊界防護(hù)設(shè)施；群及其邊界防護(hù)設(shè)施；1 到到n 個(gè)具有三級安全的獨(dú)立用戶或用戶個(gè)具有三級安全的獨(dú)立用戶或用戶群及其邊界防護(hù)設(shè)施；群及其邊界防護(hù)設(shè)施；具有一級安全的網(wǎng)絡(luò)系統(tǒng)；具有一級安全的網(wǎng)絡(luò)系統(tǒng)；具有二級安全的網(wǎng)絡(luò)系統(tǒng)；具有二級安全的網(wǎng)絡(luò)系統(tǒng)；具有三級安全的網(wǎng)絡(luò)系統(tǒng)；具有三級安全的網(wǎng)絡(luò)系統(tǒng)；具有三級安全的信息系統(tǒng)安全管理中心。具有三級安全的信息系統(tǒng)安全管理中心。信息系統(tǒng)安全等級保護(hù)基本模型信息系統(tǒng)安全等級保護(hù)基本模型 等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之總體設(shè)計(jì)之總體設(shè)計(jì)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本模型 GA

39、/T 7092007等級保護(hù)體系安全體系等級保護(hù)體系安全體系框架設(shè)計(jì)框架設(shè)計(jì) 等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之總體設(shè)計(jì)之總體設(shè)計(jì)等級保護(hù)等級保護(hù)n身份認(rèn)證身份認(rèn)證n訪問控制訪問控制n安全域劃分安全域劃分n防病毒、惡意代碼防病毒、惡意代碼n入侵檢測與保護(hù)入侵檢測與保護(hù)n網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)n終端安全管理終端安全管理n數(shù)據(jù)備份與容災(zāi)數(shù)據(jù)備份與容災(zāi)安全技術(shù)體系安全技術(shù)體系安全管理安全管理安全技術(shù)安全技術(shù)n安全機(jī)構(gòu)組織安全機(jī)構(gòu)組織n安全人員職責(zé)安全人員職責(zé)n人員教育培訓(xùn)人員教育培訓(xùn)n人員安全人員安全n安全服務(wù)組織安全服務(wù)組織n應(yīng)急響應(yīng)隊(duì)伍應(yīng)急響應(yīng)隊(duì)伍安全組織體系安全組織體系n安全策略規(guī)劃

40、與制訂安全策略規(guī)劃與制訂n安全管理制度安全管理制度n技術(shù)規(guī)范、標(biāo)準(zhǔn)技術(shù)規(guī)范、標(biāo)準(zhǔn)n安全系統(tǒng)工程建設(shè)安全系統(tǒng)工程建設(shè)n安全系統(tǒng)建設(shè)管理安全系統(tǒng)建設(shè)管理n組織職責(zé)組織職責(zé)安全策略體系安全策略體系n網(wǎng)絡(luò)運(yùn)維監(jiān)控網(wǎng)絡(luò)運(yùn)維監(jiān)控n網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理n系統(tǒng)及網(wǎng)絡(luò)加固系統(tǒng)及網(wǎng)絡(luò)加固n資產(chǎn)、介質(zhì)管理資產(chǎn)、介質(zhì)管理n惡意代碼防范管惡意代碼防范管n漏洞掃描、補(bǔ)丁升級漏洞掃描、補(bǔ)丁升級n數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)備份與恢復(fù)n安全事件響應(yīng)、處置安全事件響應(yīng)、處置n應(yīng)急預(yù)案發(fā)布與管理應(yīng)急預(yù)案發(fā)布與管理安全運(yùn)維體系安全運(yùn)維體系PDCA等級保護(hù)體系安全體系等級保護(hù)體系安全體系框架審設(shè)計(jì)框架審設(shè)計(jì) 等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整

41、改方案設(shè)計(jì)之總體設(shè)計(jì)之總體設(shè)計(jì)信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計(jì)框架信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計(jì)框架 信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T24856-2009）等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò) 安全計(jì)算環(huán)境安全計(jì)算環(huán)境安全管理中心安全管理中心安全區(qū)域邊界安全區(qū)域邊界等級保護(hù)1）用戶身份鑒別）用戶身份鑒別 2）自主訪問控制）自主訪問控制3）標(biāo)記和強(qiáng)制訪問控制）標(biāo)記和強(qiáng)制訪問控制4）系統(tǒng)安全審計(jì)）系統(tǒng)安全審計(jì) 5）用戶數(shù)據(jù)完整性保護(hù)）用戶數(shù)據(jù)完整性保護(hù) 6）用戶數(shù)據(jù)保密性保護(hù)）用戶數(shù)據(jù)保密性

42、保護(hù) 7）客體安全重用）客體安全重用 8）程序可信執(zhí)行保護(hù)）程序可信執(zhí)行保護(hù)1）區(qū)區(qū)域邊邊界訪問訪問控制2）區(qū)區(qū)域邊邊界包過濾過濾3）區(qū)區(qū)域邊邊界安全審計(jì)審計(jì)4）區(qū)區(qū)域邊邊界完整性保護(hù)護(hù) 1）系）系統(tǒng)統(tǒng)管理管理 2）安全管理）安全管理 3）審計(jì)審計(jì)管理管理 1) 通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全審計(jì)審計(jì) 2) 通信網(wǎng)絡(luò)數(shù)網(wǎng)絡(luò)數(shù)據(jù)傳輸傳輸完整性保護(hù)護(hù) 3) 通信網(wǎng)絡(luò)數(shù)網(wǎng)絡(luò)數(shù)據(jù)傳輸傳輸保密性保護(hù)護(hù) 4) 通信網(wǎng)絡(luò)網(wǎng)絡(luò)可信接入保護(hù)護(hù)信息系統(tǒng)等級保護(hù)三級安全技術(shù)設(shè)計(jì)信息系統(tǒng)等級保護(hù)三級安全技術(shù)設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì) 信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求信息安全技術(shù)信息

43、系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T24856-2009） 從從安全技術(shù)設(shè)術(shù)設(shè)施和安全技術(shù)術(shù)措施兩兩方面對對信息系統(tǒng)統(tǒng)所涉及到的主機(jī)房、輔輔助機(jī)房和辦辦公環(huán)環(huán)境等進(jìn)進(jìn)行物理安全設(shè)計(jì)設(shè)計(jì)。對對信息系統(tǒng)統(tǒng)所涉及的區(qū)區(qū)域網(wǎng)絡(luò)邊網(wǎng)絡(luò)邊界進(jìn)進(jìn)行安全設(shè)計(jì)設(shè)計(jì)涉及所需采用的安全技術(shù)術(shù)機(jī)制或安全技術(shù)術(shù)措施。對對信息系統(tǒng)統(tǒng)涉及到的服務(wù)務(wù)器和工作站進(jìn)進(jìn)行系統(tǒng)統(tǒng)安全設(shè)計(jì)設(shè)計(jì)。對對信息系統(tǒng)統(tǒng)所涉及的通信網(wǎng)絡(luò)網(wǎng)絡(luò)，包括骨干網(wǎng)絡(luò)網(wǎng)絡(luò)、城域網(wǎng)絡(luò)網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)網(wǎng)絡(luò)（租用線線路）等進(jìn)進(jìn)行安全設(shè)計(jì)設(shè)計(jì)。對對信息系統(tǒng)統(tǒng)涉及到的應(yīng)應(yīng)用系統(tǒng)軟統(tǒng)軟件（含應(yīng)應(yīng)用/中間間件平臺(tái)）進(jìn)進(jìn)行安全設(shè)計(jì)設(shè)計(jì)。針對針對信息系統(tǒng)統(tǒng)的業(yè)務(wù)數(shù)業(yè)務(wù)數(shù)據(jù)安

44、全和系統(tǒng)統(tǒng)服務(wù)連續(xù)務(wù)連續(xù)性進(jìn)進(jìn)行安全設(shè)設(shè)計(jì)計(jì)。安全技術(shù)方案詳細(xì)設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)-信息安全等級保護(hù)安全建設(shè)整改工作指南信息安全等級保護(hù)安全建設(shè)整改工作指南之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)注意：整改指南設(shè)計(jì)同GB/T24856-2009的不同之處，前者是在參考后者基礎(chǔ)上做出的詳細(xì)設(shè)計(jì)。等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)安全域安全域劃分：針對系統(tǒng)內(nèi)部的不劃分：針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)安全域劃分是進(jìn)行信息安全等級保護(hù)的首要步驟安全域劃分是進(jìn)行信息安全等級保護(hù)的首要步驟類別類別要求要求二級解決方案二級解決方案三級解

45、決方案三級解決方案差異分析差異分析 物理安全l物理位置的選擇機(jī)房和辦公場地應(yīng)選擇具有防震、防風(fēng)和防雨等能力應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁三級要求進(jìn)行樓層的選擇l物理訪問控制按照基本要求進(jìn)行人員配備，制定管理制度同時(shí)對機(jī)房進(jìn)行區(qū)域管理，設(shè)置過渡區(qū)域、安裝門禁三級要求加強(qiáng)對區(qū)域的管理和重要區(qū)域控制力度。l防盜竊和防破壞按照基本要求進(jìn)行建設(shè)。制定防盜竊防破壞相關(guān)管理制度按照基本要求進(jìn)行建設(shè)配置光、電等防盜報(bào)警系統(tǒng)三級根據(jù)要求進(jìn)行光、電技術(shù)防盜報(bào)警系統(tǒng)的配備。l防雷擊按照基本要求進(jìn)行建設(shè)設(shè)置防雷保安器三級根據(jù)要求設(shè)置防雷保安器，防止感應(yīng)雷l防火設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)消

46、防、耐火、隔離等措施三級根據(jù)要求進(jìn)行消防、耐火、隔離等措施等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方案二級解決方案三級解決方三級解決方案案差異分析差異分析物理安全l防水和防潮采取措施防止雨水滲透、機(jī)房內(nèi)水蒸氣安裝防水測試儀器三級根據(jù)要求進(jìn)行防水檢測儀表的安裝使用l防靜電采用必要的接地防靜電安裝防靜電地板三級根據(jù)要求安裝防靜電地板l溫濕度控制配備空調(diào)系統(tǒng)配備空調(diào)系統(tǒng)無l電力供應(yīng)配備穩(wěn)壓器和過電壓保護(hù)設(shè)備；配備UPS系統(tǒng)配備穩(wěn)壓器、UPS、冗余供電系統(tǒng)三級根據(jù)要求設(shè)置冗余或并行的電力電纜線路，建立備用供電系統(tǒng)l電磁保護(hù)電源線和通信線纜隔離鋪設(shè)接地、關(guān)鍵設(shè)

47、備和磁介質(zhì)實(shí)施電磁屏蔽三級根據(jù)要求進(jìn)行接地，關(guān)鍵設(shè)備和介質(zhì)的電磁屏蔽等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方案二級解決方案三級解決方案三級解決方案差異分析差異分析網(wǎng)絡(luò)安全l結(jié)構(gòu)安全關(guān)鍵設(shè)備選擇高端設(shè)備，處理能力具備冗余空間，合理組網(wǎng)，繪制詳細(xì)網(wǎng)絡(luò)拓?fù)鋱D在二級基礎(chǔ)上，合理規(guī)劃路由，避免將重要網(wǎng)段直接連接外部系統(tǒng)，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、帶寬優(yōu)先級管理三級根據(jù)要求在以下方面進(jìn)行加強(qiáng)設(shè)計(jì)；主要網(wǎng)絡(luò)設(shè)備的處理能力滿足高峰需求，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、重要網(wǎng)段配置ACL策略帶寬優(yōu)先級l訪問控制防火墻，制定相應(yīng)的ACL策略防火墻配

48、置包括：端口級的控制力度；常見應(yīng)用層協(xié)議命令過濾；會(huì)話控制；流量控制；連接數(shù)控制；防地址欺騙等策略三級在配置防火墻設(shè)備的策略時(shí)提出了更高的要求l安全審計(jì)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，部署日志服務(wù)器進(jìn)行審計(jì)記錄的保存三級對審計(jì)日志保存提出更高要求，需要采用日志服務(wù)器進(jìn)行審計(jì)記錄的保存等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類類別別要求要求二級解決方案二級解決方案三級解決方案三級解決方案差異分析差異分析網(wǎng)絡(luò)安全l邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能部署終端安全管理系統(tǒng)，在進(jìn)行非法外聯(lián)和安全準(zhǔn)入檢測的同時(shí)要進(jìn)行有效阻斷三級相對二級要求在

49、檢測的同時(shí)要進(jìn)行有效阻斷l(xiāng)入侵防范部署入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)，配置入侵檢測系統(tǒng)的日志模塊三級相隊(duì)二級要求配置入侵檢測系統(tǒng)的日志模塊，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過一定的方式進(jìn)行告警l惡意代碼防范無要求部署UTM或AV、IPS三級系統(tǒng)要求具備網(wǎng)關(guān)處惡意代碼的檢測與清除并定期升級惡意代碼庫等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方案二級解決方案三級解決方案三級解決方案差異分析差異分析網(wǎng)絡(luò)安全l網(wǎng)絡(luò)設(shè)備保護(hù)配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制對主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)行身份鑒別三級對登陸網(wǎng)絡(luò)設(shè)備的身份認(rèn)證提出了

50、更高要求，需要實(shí)施雙因素認(rèn)證，設(shè)備的管理員等特權(quán)用戶進(jìn)行不同權(quán)限等級的配置主機(jī)安全l身份鑒別對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)配置高強(qiáng)度用戶名/口令啟用登陸失敗處理、傳輸加密等措施對主機(jī)管理員登陸時(shí)進(jìn)行雙因素身份鑒別（USBkey+密碼）三級要求采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別l訪問控制根據(jù)基本要求進(jìn)行主機(jī)訪問控制的配置管理員進(jìn)行分級權(quán)限控制，重要設(shè)定訪問控制策略進(jìn)行訪問控制三級根據(jù)要求對管理員進(jìn)行分級權(quán)限控制，對重要信息（文件、數(shù)據(jù)庫等）進(jìn)行標(biāo)記等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方案二級解決方案三級解決方案三級解決方案差異分析差異分

51、析主機(jī)安全l安全審計(jì)部署主機(jī)審計(jì)系統(tǒng)部署主機(jī)審計(jì)系統(tǒng)審計(jì)范圍擴(kuò)大到重要客戶端；同時(shí)能夠生成審計(jì)報(bào)表三級要求能將審計(jì)范圍擴(kuò)大到重要客戶端；同時(shí)能夠生成審計(jì)報(bào)表l剩余信息保護(hù)無要求通過對操作系統(tǒng)及數(shù)據(jù)庫進(jìn)行安全加固配置，及時(shí)清除剩余信息的存儲(chǔ)空間三級要求對剩余信息進(jìn)行保護(hù)，通過安全服務(wù)方式進(jìn)行l(wèi)入侵防范部署網(wǎng)絡(luò)入侵檢測系統(tǒng)部署終端安全管理系統(tǒng)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)部署主機(jī)入侵檢測系統(tǒng)部署終端安全管理系統(tǒng)進(jìn)行補(bǔ)丁及時(shí)分發(fā)三級要求對重要服務(wù)器進(jìn)行入侵的行為，對重要程序進(jìn)行代碼審查，去除漏洞，配置主機(jī)入侵檢測以及終端管理軟件進(jìn)行完整性檢測l惡意代碼防范部署終端防惡意代碼軟件部署終端防惡意代碼軟件三級要求終

52、端防惡意代碼軟件與邊界處的網(wǎng)關(guān)設(shè)備進(jìn)行異構(gòu)部署 等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方二級解決方案案三級解決方案三級解決方案差異分析差異分析主機(jī)安全l資源控制部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控、檢測報(bào)警三級要求通過安全加固對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，對系統(tǒng)服務(wù)相關(guān)閥值進(jìn)行檢測告警應(yīng)用安全l身份鑒別根據(jù)基本要求配置高強(qiáng)度用戶名/口令進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別三級根據(jù)要求進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別l訪問控制根據(jù)基本要求提供訪問控制功能通過安全

53、加固措施制定嚴(yán)格用戶權(quán)限策略，保證帳號、口令等符合安全策略三級根據(jù)要求根據(jù)系統(tǒng)重要資源的標(biāo)記以及定義的安全策略進(jìn)行嚴(yán)格的訪問控制等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方案二級解決方案三級解決方案三級解決方案差異分析差異分析應(yīng)用安全l安全審計(jì)應(yīng)用系統(tǒng)開發(fā)應(yīng)用審計(jì)功能部署數(shù)據(jù)庫審計(jì)系統(tǒng)應(yīng)用系統(tǒng)開發(fā)應(yīng)用審計(jì)功能部署數(shù)據(jù)庫審計(jì)系統(tǒng)三級要求不僅生成審計(jì)記錄，還要對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表l剩余信息保護(hù)無要求通過對操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進(jìn)行安全加固配置，及時(shí)清除剩余信息的存儲(chǔ)空間二級無要求l通信完整性采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性

54、采用PKI體系中的完整性校驗(yàn)功能進(jìn)行完整性檢查，保障通信完整性三級要求密碼技術(shù)l通信保密性應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù)加密功能采用VPN或PKI體系的加密功能應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù)加密功能；采用VPN或PKI體系的加密功能保障通信保密性三級要求對整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決二級解決方案方案三級解決三級解決方案方案差異分析差異分析應(yīng)用安全l抗抵賴無要求PKI系統(tǒng)二級無要求l軟件容錯(cuò)代碼審核代碼審核三級根據(jù)要求系統(tǒng)具備自動(dòng)保護(hù)功能設(shè)計(jì)，故障后可以恢復(fù)l資源控制部署應(yīng)用安全管理系統(tǒng)部署應(yīng)用安全管理系統(tǒng)三級要求細(xì)化加固措施，對并發(fā)

55、連接、資源配額、系統(tǒng)服務(wù)相關(guān)閥值、系統(tǒng)服務(wù)優(yōu)先級等進(jìn)行限制和管理數(shù)據(jù)安全l數(shù)據(jù)完整性數(shù)據(jù)校驗(yàn)傳輸采用VPN配置存儲(chǔ)系統(tǒng)傳輸采用VPN三級要求在傳輸過程增加對系統(tǒng)管理數(shù)據(jù)的檢測與恢復(fù)，配置存儲(chǔ)系統(tǒng)等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì)類別類別要求要求二級解決方二級解決方案案三級解決方三級解決方案案差異分析差異分析數(shù)據(jù)安全l數(shù)據(jù)保密性應(yīng)用系統(tǒng)針對鑒別信息的存儲(chǔ)開發(fā)加密功能應(yīng)用系統(tǒng)針對存儲(chǔ)開發(fā)加密功能，利用VPN實(shí)現(xiàn)傳輸保密性三級要求實(shí)現(xiàn)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸過程的保密性l備份與恢復(fù)重要信息進(jìn)行定期備份關(guān)鍵設(shè)備線路冗余本地備份與異地備份關(guān)鍵設(shè)備線路冗余設(shè)計(jì)三級要求

56、進(jìn)行每天數(shù)據(jù)備份且要求實(shí)現(xiàn)異地備份；等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之技術(shù)設(shè)計(jì)之技術(shù)設(shè)計(jì) 1、落、落實(shí)實(shí)安全管理機(jī)安全管理機(jī)構(gòu)構(gòu)及及安全管理人安全管理人員員，明確角，明確角色色與職責(zé)與職責(zé)，制定安全，制定安全規(guī)劃規(guī)劃2、開發(fā)開發(fā)安全策略安全策略3、實(shí)實(shí)施施風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理管理4、制定、制定業(yè)務(wù)業(yè)務(wù)持持續(xù)續(xù)性性計(jì)計(jì)劃劃和災(zāi)和災(zāi)難難恢恢復(fù)計(jì)劃復(fù)計(jì)劃5、選擇與實(shí)選擇與實(shí)施安全措施施安全措施8、進(jìn)進(jìn)行安全行安全審計(jì)審計(jì)9、保、保證維護(hù)證維護(hù)支持支持7、保、保證證配置、配置、變變更更的正確的正確與與安全安全10、進(jìn)進(jìn)行行監(jiān)監(jiān)控、控、檢查檢查，處處理安全事件理安全事件11、安全意、安全意識(shí)識(shí)安全安全教

57、教育育信息安全管理信息安全管理等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之管理設(shè)計(jì)之管理設(shè)計(jì)6、人、人員員安全管理安全管理信息系統(tǒng)安全管理是對一個(gè)組織機(jī)構(gòu)中信息系統(tǒng)的生存周期全過程實(shí)施符合安全等級責(zé)任要求的管理。安全管理內(nèi)容等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之管理設(shè)計(jì)之管理設(shè)計(jì)信息安全管理原則信息安全管理原則a） 基于安全需求基于安全需求b） 主要領(lǐng)導(dǎo)負(fù)責(zé)主要領(lǐng)導(dǎo)負(fù)責(zé)c) 全員參與全員參與d） 系統(tǒng)方法系統(tǒng)方法i） 分級保護(hù)分級保護(hù)j） 管理與技術(shù)并重管理與技術(shù)并重k） 自保護(hù)和國家監(jiān)自保護(hù)和國家監(jiān)管結(jié)合管結(jié)合e） 持續(xù)改進(jìn)持續(xù)改進(jìn)f） 依法管理依法管理g）分權(quán)和授權(quán)）分權(quán)和授權(quán)H）選用成

58、熟技術(shù)）選用成熟技術(shù)明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門落實(shí)安全崗位和人員信息系統(tǒng)安全管理現(xiàn)狀分析&項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)確定安全管理策略、制定安全管理制度安全自查和調(diào)整系統(tǒng)建設(shè)管理落實(shí)安全管理措施人員安全管理環(huán)境和資產(chǎn)管理設(shè)備和介質(zhì)管理日常運(yùn)行維護(hù)集中安全管理事件處置和應(yīng)急響應(yīng)災(zāi)難備份安全監(jiān)測系統(tǒng)運(yùn)維管理管理建設(shè)流程等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之管理設(shè)計(jì)之管理設(shè)計(jì) 等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之管理設(shè)計(jì)之管理設(shè)計(jì)管理建設(shè)流程 策略與制度文檔策略與制度文檔管理管理基本 較完整 體系化 強(qiáng)制保護(hù) 專控保護(hù)信息安全管理策略信息安全管理策略安全管理規(guī)章制度安全管理規(guī)章制度策略與制

59、度文檔的評審策略與制度文檔的評審和修訂和修訂 策略與制度文檔的保管策略與制度文檔的保管 安全管理目標(biāo)與范圍安全管理目標(biāo)與范圍總體安全管理策略總體安全管理策略安全管理策略的制定安全管理策略的制定 安全管理策略的發(fā)布安全管理策略的發(fā)布 安全管理規(guī)章制度內(nèi)容安全管理規(guī)章制度內(nèi)容安全管理規(guī)章制度的制安全管理規(guī)章制度的制定定 策略和制度(第一級第一級 第二級第二級 第三極第三極 第四級第四級 第五級第五級)等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之管理設(shè)計(jì)之管理設(shè)計(jì) 安全管理人員配備安全管理人員配備關(guān)鍵崗位人員管理關(guān)鍵崗位人員管理人員錄用管理人員錄用管理人員離崗人員離崗人員考核與審查人員考核與審查第三方

60、人員管理第三方人員管理信息安全教育信息安全教育信息安全專家信息安全專家建立安全管理機(jī)構(gòu)建立安全管理機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組信息安全領(lǐng)導(dǎo)小組信息安全職能部門信息安全職能部門設(shè)置集中管理機(jī)構(gòu)設(shè)置集中管理機(jī)構(gòu)集中管理機(jī)構(gòu)職能集中管理機(jī)構(gòu)職能 機(jī)構(gòu)和人員管理等級保護(hù)整改方案設(shè)計(jì)等級保護(hù)整改方案設(shè)計(jì)之管理設(shè)計(jì)之管理設(shè)計(jì)人員管理人員管理教育和培訓(xùn)教育和培訓(xùn)安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全機(jī)制集中管理機(jī)構(gòu)安全機(jī)制集中管理機(jī)構(gòu)(第一級第一級 第二級第二級 第三極第三極 第四級第四級 第五級第五級)主管領(lǐng)導(dǎo)（主管安全）領(lǐng)導(dǎo)小組組長信息安全領(lǐng)導(dǎo)小組業(yè)務(wù)部門負(fù)責(zé)人成員安全部門負(fù)責(zé)人工作組組長管理部門負(fù)責(zé)人成員部門安全管理員成員部門