信息系统安全等级自查

信息系统安全等级自查（共8篇）

篇1：信息系统安全等级自查

某单位信息安全等级保护工作自查报告

为进一步做好某单位信息安全等级保护工作工作，提高全辖人民银行系统信息安全保障能力和水平，根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神，结合我行实际，组织开展了信息安全等级保护自查工作。通过自查，进一步明确了我行信息安全等级保护工作职责，规范了信息安全等级保护工作标准，完善了信息安全等级保护工作制度，提升了信息安全等级保护工作水平。现将自查情况报告如下：

一、等级保护工作部署和组织实施情况

某单位在上级行的统一领导和部署下，按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引（试行）》的要求，组织开展辖内人民银行系统信息安全等级保护工作。一是成立了某单位信息安全等级保护工作领导小组，由主管科技的副行长任组长，各科室主要负责人为成员，全面负责全辖人民银行系统信息安全等级保护工作，领导小组下设办公室，安排专人负责计算机信息系统安全管理，明确了各自的职责。二是建立健全了各项信息安全管理制度，做到了有章可循。三是加强相关工作人员的培训学习，增强信息系统安全工作的自觉性，提高信息系统安全工作管理水平。

二、信息系统安全保护等级备案情况

我行根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神，将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级，其他系统定为第一级，并将定为第二级的系统向市公安局网监支队报备。

三、下一步工作计划

目前，某单位信息安全等级保护工作正在不断完善中，今后还需要在以下几个方面不断加强：一是进一步加强信息安全管理力度，督促各支行、各科室加强信息安全等级保护工作；二是加强网络信息安全队伍建设，提高网络管理人员和维护人员的技术水平和安全管理意识；三是进一步完善信息安全管理制度，开展信息系统安全评估和自测评；四是规范和完善安全事件处理流程。

人民银行郴州市中心支行 科技科

2012年8月2日

篇2：信息系统安全等级自查

一、备案单位基本情况 单位全称 责任部门负责人 责任部门联系人 已定级备案的信 息系统数量 姓 姓 名 名 职务或职称 职务或职称 三级系统 等级保护工作责任部门 办公电话 办公电话 二级系统 移动电话 移动电话 合 计

四级系统

二、备案单位等级保护工作开展情况

（一）等级保护工作的组织部署和实施情况 序号 1-1 1-2 1-3 检 查 内 容 具 体 情 况

等级保护协调领导机构设置、落实信息安全责任情况。等级保护责任部门和岗位人员确定情况。等级保护工作的文件，有关工作意见或方案的制定情况。

1-4 1-5 1-6

依据国家等级保护政策、标准规范和行业主管部门等要求，组织开展各项工作情况。等级保护工作会议、业务培训情况。单位主要领导对等级保护工作批示、指示情况。

（二）信息安全管理制度的建立和落实情况 2-1 2-2 2-3 2-4 2-5 2-6 人员安全管理制度建设情况。包括人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度。是否建立安全责任制，系统管理员、网络管理员、安全管理 员、安全审计员是否与本单位签订信息安全责任书。是否有完善的机房安全管理制度，是否建立了机房进出人员 管理和日常监控制度。信息安全产品采购、使用管理、工程实施、验收交付、服务 外包等系统建设相关管理制度建设情况。信息安全事件报告和处置管理制度建设情况，是否建立了日 常信息安全监测和预警机制。制定信息系统安全应急处置预案情况，是否定期组织开展应 急处置演练，并根据演练情况进行完善。

（三）信息系统安全等级保护定级备案情况

3-1 3-2 3-3 3-4

本单位是否有未定级、备案信息系统，已定级信息系统是否 定级准确。新建信息系统是否在规划、设计阶段确定安全保护等级并备 案。信息系统所承载的业务、服务范围、安全需求等是否发生变 化，信息系统安全保护等级是否及时进行变更。是否对本单位重要信息系统的重要性有清楚的认识，是否开 展重要信息系统相关的威胁分析和相互依赖分析。

(四）重要信息系统开展等级测评和安全建设整改情况。4-1 4-2 是否对本单位信息系统等级测评和安全建设整改工作进行总 体部署，具体工作计划是什么？ 重要信息系统等级测评和安全建设整改工作是否纳入经 费预算，如何予以保障？ 是否每年对第三级（含）以上信息系统进行等级测评，开展 等级测评时，《全国信息安全等级保护测评机构推荐目录》 从 中选择测评机构。是否要求测评机构和测评人员提供相关证明和资质材料；是 否与测评机构签订保密协议

并对测评过程进行监督。

4-3

4-4

4-5

是否按照国家标准或行业标准建设安全设施，落实安全措施； 是否根据等级测评结果，对不符合安全标准要求的，进一步 进行安全整改。

（五）信息安全产品使用、等级保护自查整改等情况。是否按照《管理办法》要求的条件选择使用信息安全产品； 采用国外信息安全产品的，是否经主管部门批准，并请有关 单位对产品进行专门技术检测。本单位如采用国外信息安全产品，主要是哪几类产品，所占 比例如何？ 本单位是否采用国外信息安全服务，如采用，主要是哪几个 方面，主要原因是什么？ 本单位等级保护自查工作组织部署情况；如接收过公安机关 反馈意见或整改通知书，具体落实情况。重要信息系统 2011 年以来发生的重大信息安全事件（事故）等情况。

5-1

5-2 5-3 5-4 5-5

篇3：信息系统安全等级自查

信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度,更是一项事关国家安全及社会稳定的政治任务。2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号),要求卫生行业“全面开展信息安全等级保护工作”,同时发布《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),结合卫生行业实际,为规范和指导全国卫生行业信息安全等级保护工作,提供了指导意见。卫生行业实施信息安全等级保护制度工作全面开启。

医院信息系统(HIS)是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失[1]。医院信息系统必须按照要求,全面实施信息安全等级保护制度,以确保医院信息系统的安全、稳定运行,维护医院和广大患者的切身利益。

1 信息安全等级保护概述

1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”。2004年9月,公安部等四部委联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。2007年6月,《信息安全等级保护管理办法》(公通字[2007]43号)正式出台,为开展信息安全等级保护工作提供了规范保障。

随后,国家相继出台了《计算机信息系统安全保护等级划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基本要求》、《信息系统安全等级保护测评要求》等多个国家标准,初步形成了信息安全等级保护标准体系,进一步推进了等级保护工作的开展。

2 医院信息系统概述

按照当前大部分医院的信息系统使用情况,当前的医院信息系统大致可分为以下三类:

(1) 临床服务系统

临床服务系统主要包括门急诊挂号系统、门诊医生工作站、住院病人入出转系统、住院医生工作站、 住院护士工作站、 电子化病历系统、临床检验系统、医学影像系统、手术麻醉管理系统、临床路径管理系统、重症监护系统、体检管理系统等。

(2) 医疗管理系统

医疗管理系统主要包括门急诊收费系统、住院收费系统、护理管理系统、医务管理系统、院感/传染病管理系统、科研教学管理系统、病案管理系统、医疗保险/新农合接口、职业病管理系统接口、食源性疾病上报系统接口等。

(3) 运营管理系统

运营管理系统主要包括人力资源管理系统、财务管理系统、药品管理系统、设备材料管理系统、物资供应管理系统、预算管理系统等。

3 医院信息系统安全等级保护的实施

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。以国家相关标准为依据,医院信息系统安全等级保护实施过程中要重点遵循以下4个基本原则:

(1) 重点保护原则。根据信息系统的重要程度、业务特点,通过划分不同安全保护等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。

(2) 全面防护原则。技术措施与安全产品必要且重要,但管理更重要,信息安全三分在于技术,七分在于管理。在系统安全防护措施设计中,应从技术措施与管理措施两方面全面设计,双管齐下。

(3) 分域防护原则。在对单一系统进行安全防护设计时,应充分考虑其在整个信息系统中的位置,为系统划分单独的安全域或者和其他系统共同划分到一个安全域中[2]。

(4) 动态调整原则。要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应根据信息系统安全保护等级的调整情况,重新实施安全保护[3]。

3.1 定级与备案

信息系统的准确定级十分关键,如果信息系统的定级不科学,那么依据定级结果建设的信息安全体系将事与愿违,甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。确定信息系统安全保护等级的一般流程如图1所示。

对于医院信息系统的定级,卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)中指出“三级甲等医院的核心业务信息系统”的“安全保护等级原则上不低于第三级”。

那么该如何来定义三级甲等医院的“核心业务信息系统”呢?笔者认为,应结合医院业务及信息系统实际情况,从以下指标综合考虑,确定医院核心业务系统:医院平均日门诊量;医院住院床位数;业务系统承载病患个人隐私信息,一旦泄露对社会秩序构成重大影响的;业务中断使医院正常运营蒙受重大经济损失的;其他会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成重大影响的系统。

例如三级甲等医院的门急诊系统,一旦系统中断将会造成医院业务的中断,使医院蒙受重大经济损失,更重要的是,将会造成大量患者滞留,甚至延误最佳治疗时机,给患者带来重大安全隐患。因此,此系统的安全保护等级原则上应不低于三级。

又如三级甲等医院的电子病历系统,系统承载着大量病人的个人隐私信息,一旦泄露将会对患者本人及社会秩序带来重大影响,因此,其安全保护等级原则上也应不低于三级。

根据规定,医院在确定信息系统安全保护等级后,对定级为二级以上(含二级)的信息系统,应当报管辖范围内公安机关备案。

3.2 安全建设整改

3.2.1 风险评估与差距分析

风险评估是实施等级保护的首要工作,信息系统风险评估的结果将直接决定信息系统安全保护措施的选择。

在实施等级保护时,可综合考虑信息系统的复杂性及成本要求等因素,采取较为灵活的风险评估方式。信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式,全面分析信息系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险,形成《风险评估报告》。

按照等级保护相应级别的技术和管理安全要求,对信息系统进行安全体系等方面的差距分析,完成《等级保护差距分析报告》。

3.2.2 建设整改方案设计

根据风险评估及差距分析情况,结合医院信息系统安全实际需求和建设目标,通过分级、分域保护的方法,制定完整的安全整改建设方案,在保障核心信息系统业务连续性、医疗病患信息的保密等方面进行重点防护。三级以上(含三级)信息系统的安全整改建设方案,应经过信息安全技术专家委员会论证、评审。

(1) 安全域划分

对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。

安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统[2]。划分安全域可通过将复杂安全防护问题进行分解的方法来实现不同安全需求系统的差异防护,并能有效防止安全问题扩散。

需要注意的是,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,而又能保障其安全性。

(2) 边界安全防护

网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。实施边界安全防护措施,既可以使边界内部免遭外部攻击,也可以遏制内部不法人员跨越边界而向外部实施攻击。一方面,在安全事件发生前,通过收集并分析安全日志以及各种入侵检测事件,能够及早发现攻击企图;另一方面,在安全事件发生后,又可以通过所记录的入侵事件来进行审计追踪。

(3) 备份与恢复

备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足系统不间断运行的需要[3]。

(4) 身份鉴别

对于三级信息系统应当按照国家法律法规、信息安全等级保护制度等要求,采用电子认证服务,并应当遵循《卫生系统数字证书应用集成规范》进行建设,根据实际需求实现基于数字证书的身份认证、数字签名和验证、数据加密和解密、时间戳应用等各项安全功能。医院应当加强证书管理,应指定专人负责数字证书的管理工作,证书持有人应妥善保管数字证书介质,并对数字证书的行为负责。

在安全方案实施过程中,需根据实际情况适当调整安全措施。

3.3 安全等级测评

等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,根据《信息安全等级保护测评要求》等标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保护状况进行全面测试与综合评估的活动。等级测评的实施过程如图2所示。

对于三级信息系统,每年要至少进行一次信息安全等级测评。为提升通过率,可首先选择专业安全公司(如具有国家级、部委级、省市级、区县级多层次的等级保护工作案例的专业安全公司)进行辅助测评,但正式测评必须选择具有等级保护测评资质的合法测评机构进行测评,并出具《测评报告》。

4 安全运维阶段

我们必须认识到的是,实施信息安全等级保护不是一个项目,而应该是一个不断循环的过程。医院应该按照PDCA持续改进的工作机制,在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保障,更好地确保系统稳定、安全的运行。力求通过整个安全工作的实施,来保证医院信息系统等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。

5 结 语

医院信息系统承担着医院内各项业务,其安全状况对于人民的身体健康及生命安全、社会秩序及稳定均具有重要意义。本文通过对信息安全等级保护制度的阐述及分析,初步探讨了医院信息系统中信息安全等级保护的实施策略。通过对医院信息系统进行安全等级划分,并按照安全等级保护的要求进行规划、建设、运维、管理和监督,可以有效增强医院信息系统的整体安全性。因此开展安全等级保护建设对医院信息系统具有重要意义。

参考文献

[1]康巨瀛,张文丽.医院信息系统安全的重要性[J].中华现代医院管理杂志,2010,8(1).

[2]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009,7(3).

篇4：信息系统安全等级保护研究与实践

安全防护需求

《信息安全技术一信息系统安全等级保护基本要求》(GB／T22239-2008)明确了基本要求，电网作为重点行业信息安全领域，充分结合自身安全的特殊要求，在对国家标准消化基础上进行深化、扩充，将二级系统技术要求项由79个扩充至134个，三级系统技术要求项由136个扩充至184个，形成了企业信息系统安全等级保护要求，见表1。

安全防护架构与策略

按照纵深防御的思想设计安全防护总体架构，核心内容是“分区、分级、分域”，如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统，依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。

生产控制大区和管理信息大区的系统特性不同，安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统，安全防护遵循以下策略：

(1)双网双机。将管理信息大区网络划分为信息内网和信息外网，内外网间采用逻辑强隔离装置进行隔离，内外网分别采用独立的服务器及桌面主机；

(2)分区分域。将管理信息大区的系统，依据定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；

(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设，并参照国家等级保护基本要求进行安全防护措施设计；

(4)多层防御。在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层递进，纵深防御。

安全防护设计

信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。

(一)边界安全防护

边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐通道进入内部网络；在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

边界安全防护关注对进出该边界的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤，有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证／访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。

信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类，安全防护设计见表2

(二)网络安全防护

网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击，同时阻止恶意人员对网络设备发动的攻击，在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图，在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。

网络安全防护面向企业整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。

(三)主机安全防护

主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等；桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。

(四)应用防护

应用安全防护的目标是保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性；在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。

安全防护实施

信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB／T22240-2008)开展定级工作，定级结果报政府主管部门审批确认。现状测评委托专业机构进行，测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节，是方案制定的关键内容之一。

管理信息大区划分为内网和外网，内网部署为公司内部员工服务的系统，外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。按照等级保护的思想，安全域按照“二级系统统一成域，三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护，以实现三级系统的独立安全防护，将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。

限于篇幅，系统建设改造方案细节、等保符合度测评等内容不在此赘述。

篇5：信息系统安全等级自查

为了认真贯彻落实齐信安《＃＃市信息安全等级保护工作领导小组关于“十八大”安保开展信息安全等级保护检查工作的通知》文件精神，为进一步做好我行信息安全工作，保障党的“十八大”胜利召开，提高我行基础信息网络和重要信息系统安全保障能力，按照县网监大队要求，我行于＃＃年6月1日至7月31日，开展自查工作，现将开展情况汇报如下：

（一）积极组织部署信息等级保护工作 1.专门成立等级保护协调领导机构

成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组，确保信息安全责任的落实、理顺信息安全管理、规范信息化安全等级建设。

2.明确等级保护责任部门和工作岗位

我行高度重视等级保护工作，多次开会明确等级保护责任部门，做到分工明确，责任具体到人。

3.贯彻落实等级保护各项工作文件或方案

等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案，根据《信息安全等级保护管理办法》《中国银监会办公厅关于加强信息安全保障工作的通知》

制定出我行《信息化安全运行考核管理办法》。

4.召开工作动员会议，组织人员培训，专门部署等级保护工作

我行积极组人人员参加县网监大队组织的培工作动员会议，定期、不定期对技术人员进行培训，并开展考核。技术人员认真学习贯彻有关文件精神，把信息安全等级保护工作提升到重要位置，常抓不懈。

5.有关主要领导认真听取等级保护工作汇报并做出重要指示

县行行长听取等级保护工作汇报，对等级保护工作给与批示，要求认真做好有关工作。指示责任部门做好自检、自查，精心准备，迎接公安厅专项检查。

（二）认真落实信息安全责任制 1.高规格建设信息安全协调领导机构

在等级保护协调领导小组中，某副行长亲自担任协调领导小组组长，各部门负责人为成员组成信息安全协调领导小组。

2.成立信息安全职能部门

我行在成立信息安全协调领导小组的基础上，成立信息安全办公室，设立在综合管理部，作为信息安全职能部门，负责环境网络建设，信息安全，日常运行管理。

3.制定信息安全责任追究制度

我行严格执行省、市行信息安全责任追究制度，严格按照信息安全责任追究制度，定岗到人，明确责任分工，把信息安全责任事故降低到最低。

（三）积极推进信息安全制度建设 1.加强人员安全管理制度建设

我行建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，对新进人员进行培训，加强人员安全管理，不定期开展考核。

2.严格执行机房安全管理制度

我行制定出《机房管理制度》，加强机房进出人员管理和日常监控制度，严格实施机房安全管理条例，做好防火防盗，保证机房安全。

（四）大力加强信息系统运维 1.开展日常信息安全监测和预警

我行建立日常信息安全监测和预警机制，提高处置网络与信息安全突发公共能力事件，加强网络信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网站网络与信息安全突发公共事件的危害。

2.建立安全事件报告和响应处理程序

我行建立健全分级负责的应急管理体制，完善日常安全管理责任制。相关部门各司其职，做好日常管理和应急处置工作。设立安全事件报告和相应处理程序，根据安全事件分类和分级，进行不同的上报程序，开展不同的响应处理。

3.制定应急处置预案，定期演练并不断完善

我行按照省、市行应急处置预案要求，制定了我行安全应急预案，根据预警信息，启动相应应急程序，加强值班值守工作，做好应急处理各项准备工作。定期演练预警方案，不断完善预警

方案可行性、可操作性。

篇6：信息系统安全等级自查

我校信息安全等级保护工作自查工作自启动以来，结合自身具体实际，认真贯彻落实相关工作机制，逐步完善各项制度，积极参加信息公开相关培训，稳步有序地推进我校信息安全等级建设等各项工作。现将自查报告总结如下：

一、自查情况

（一）安全制度落实情况

我校成立了信息安全机构，主要负责人由校长兼任，网站、信息安全员由王**同志兼任。制定了计算机及网络的保密管理制度。信息管护人员负责保密管理，密码管理，对计算机享有独立使用权，计算机的用户名和开机密码为其专有，且规定严禁外泄。

（二）安全防范措施落实情况

1、涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄漏等方面有效性。

2、涉密计算机都设有开机密码，由专人保管负责。

3、网络终端没有违规上国际互联网及其他的信息网的现象。

4、建立了后台信息发布审核制度，由主要领导审核以后专人进行后台发送。后台用户名、口令仅限于信息管护人员使用。

（三）应急响应机制建设情况

1、制定了初步应急预案，并随着信息化程度的深入，结合我校的实

际，处于不断完善阶段。

2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜。

3、严格文件的收发，完善了清点、修理、编号、签收制度，并要求

信息管理员每天下班前进行系统备份。

二、存在问题及下一步打算

1、要继续加强对师生的安全意识教育，提高做好安全工作的主动性

和自觉性。

2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养，同时，针对信息技术飞速发展的特点，要加大更新力度。

3、进一步加大培训力度，提升业务水平和计算机信息系统安全防范

篇7：信息系统安全等级自查

摘要：随着科技的进步，企业办公信息化、智能化程度显著提升，随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时，需兼顾互联网开放性造成的风险。针对以上问题，国家严格规范信息系统等级保护工作流程，根据系统的重要性和影响范围划分定级，按照系统级别的不同实施区别化管理。此外，依照信息系统等级保护工作的“三同步”原则（同步规划、同步设计、同步投入运行），在信息系统应用建设的各环节进行标准化管理，规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准，同时，明确了检查考核、管理与技术措施，促进供电企业信息专业能力不断提升，充分调动公司各专业的积极性和协调性，有效提高公司信息系统安全管理水平和保护能力。

关键词：信息安全；等级保护；信息系统管理背景简介

通常情况下，企业信息系统管理普遍存在以下问题：（1）信息系统规划阶段侧重于系统功能应用，未提出信息系统安全保护；（2）信息系统设计阶段缺少安全方案的同步设计；（3）信息系统上线运行阶段，未建立安全性测试机制，投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题，信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段，覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路

根据目前信息系统管理的暴露的缺点，公司将信息系统安全建设作为安全等级保护工作的重点，围绕信息系统应用建设的各个阶段，结合等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，保障了信息系统的安全稳定运行。

2.1 规划阶段

信息系统规划初期，通过建立合理的信息系统安全管理体系、工作要求和工作流程，结合公司实际情况，将系统测评费用纳入其中。

2.2 设计阶段

系统设计阶段，公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统，在系统定级后，系统建设项目负责部门应组织系统运维单位和系统开发实施单位，根据系统安全防护等级，遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等，制定系统安全防护方案。

2.3 开发阶段

各系统建设部门是信息系统的用户方，必须严格要求系统开发部门遵守相应原则，如使用正版的操作系统、配置强口令、信息系统测试合格正式书等，从而保证系统投运时的实用性和效率。

2.4 测试阶段

系统建设部门组织定级系统，通过具有国家资质的测评机构对系

统进行安全测评，并在当地公安机关网监部门进行定级和备案工作。

2.5 实施阶段和应用上线

各级信息通信职能管理部门，督促检查本单位及下属单位等级保护工作，同时，要求各系统建设部门在信息系统实施阶段，确保系统完成测评整改工作。

2.6 运维阶段

根据“谁主管谁负责，谁运行谁负责”的工作原则，各系统主管部门合理分配部门人员的管理和运维工作，制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制

通过信息系统等级保护方案，公司要在系统应用建设全过程中加入安全防护机制，规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外，为进一步促进等级保护工作的有效执行，公司明确了相应的检查考核管理措施，完善信息系统安全工作的全面管理。

3.1 考评机制

建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作，即检查各相关单位网络与信息安全工作的开展情况，并根据上级部门的实时反馈进行整改，从公司信息系统正常运行到信息内外网安全，实施监督和管控，纳入各单位年度绩效指标考核。

3.2 协同机制

成立信息化领导小组及办公室，开展协同控制工作。建立关于信息安全工作的协调机制，明确公司各部门网络与信息安全工作职责，具体负责组织开展信息系统安全等级保护工作，协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外，针对信息系统测评和评估所发现的问题，责任单位制定完善的安全整改方案并认真落实。

3.3 例会机制

例会机制主要通过信息系统等级保护集中工作实现，定期召开信息专业网络安全会议，通过会议通报各单位存在的问题和下一步改进措施。结语

本文提出了一种基于等级保护的信息系统管理工作思路。一方面，从信息系统全生命周期着手，在系统应用建设的各环节加入安全管理工作；另一方面，完善信息系统管理工作机制，通过建立合理的考评机制、协同机制和例会机制，优化系统管理手段。根据以上管理思路，不仅在工作流程上对信息系统进行了安全防护加固，而且制定了相应的管理手段，促进企业信息系统管理工作水平的提升。

参考文献

篇8：电力系统信息安全等级保护研究

关键词：信息安全,等级保护,安全域

1 基本原理

《信息安全等级保护管理办法》对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求, 必须从实际出发, 综合平衡安全成本和风险, 优化信息安全资源的配置, 确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”

信息安全等级保护是根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。信息系统与安全保护措施级别划分关系如图1所示。

电力系统属于国家的关键基础设施, 电力信息系统是涉及国家安全和社会稳定的重要信息系统, 需要得到重点保护。

根据《关于信息安全等级保护工作的实施意见》对信息系统安全等级的划分要求, 系统安全等级共分为五级, 从第一级到第五级, 安全等级逐级升高, 五级是系统的最高安全等级。五个等级的基本描述如下:

第一级为自主保护级, 适用于一般的信息系统, 其受到破坏后, 会对公民、法人和其他组织的合法权益产生损害, 但不损害国家安全、社会秩序和公共利益。

第二级为指导保护级, 适用于一般的信息系统, 其受到破坏后, 会对社会秩序和公共利益造成轻微损害, 但不损害国家安全。

第三级为监督保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成损害。

第四级为强制保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成严重损害。

第五级为专控保护级, 适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统, 其受到破坏后, 会对国家安全、社会秩序和公共利益造成特别严重损害。

2 设计方法

等级保护是国家信息安全的一项基本制度, 但如何落实并在电力系统中实现呢?这里提出构建电力等级化安全体系的思路。

等级保护的核心是根据不同用户在不同阶段的需求、业务特性及应用重点, 确定不同系统的重要程度, 并给予重点保护。在电力安全等级保护体系设计中利用等级化与体系化相结合的安全体系设计方法, 在遵循国家等级保护制度的同时, 将安全等级保护思想融汇到产品、方案及应用中 (见图2) , 建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

“等级化”的特质在于符合国家等级保护制度, 能够真正实现重点保护, 节省投资。“体系化”的特质有3个方面:一是整体性, 采用结构化的设计原理, 系统地实现电力系统总体安全目标, 确保内容全面;二是针对性, 体系是根据电力系统业务发展战略目标确定安全目标, 结合实际情况度身定做;三是可持续发展, 体系中设计的框架是相对稳定, 能够确保在一段时间内持续发展, 逐步完善。

在建立和实施等级化安全体系后, 电力系统会建立一套持续运行、涵盖所有安全内容的信息安全保障体系, 这是安全工作追求的最终目标。

3 实施过程

电力行业涉及业务面广, 企业、单位、人员众多, 信息化建设和安全保护措施建设程度参差不齐。如何在行业发展中, 谋求信息系统的安全生产、安全运营、安全管理、安全壮大, 并把有限的资金、人员落实到关键保护对象, 使电力企业能够以安全保发展, 在发展中促安全, 是摆在电力行业面前的一次技术与管理的挑战。

根据电力系统的安全实际情况, 电力系统建立安全等级保护的主要过程包括 (见图3) :

(1) 系统识别与风险评估;

(2) 系统定级;

(3) 等级指标设计;

(4) 安全解决方案域规划设计。

3.1 系统识别与风险评估

系统识别是对信息系统进行定级和安全保护措施的基础, 正确识别系统、了解系统边界、区分系统信息和服务是系统识别过程的主要工作。

风险评估是等级保护的重要组成部分, 等级的确定和安全措施的选择需要通过风险评估考核其必要性和重要性, 在等级保护工作中风险评估可以采用简化或者齐备的方法, 这根据系统复杂性和成本要求综合考虑。

(1) 系统识别。实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述, 识别和描述的内容至少包括如下信息:

1) 系统基本信息:系统名称、系统的简要描述、所在地点等。

2) 系统相关单位:负责定级的责任单位、系统所属单位、系统运营单位、主管部门、安全运营单位、安全主管部门等。

3) 系统范围和边界:描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等, 并清晰描述出其边界。

4) 系统提供的主要功能或服务:从整体层面描述系统所提供的主要功能或服务, 即对公众、企业、相关政府机关、内部用户等提供的主要服务。

5) 系统所包含的主要信息:描述系统所输入、处理、存储、输出的主要信息和数据。

(2) 风险评估。在等级保护实施工作中风险评估工作的处理方式比较灵活, 风险评估的目的在于识别风险进而管理风险, 风险评估主要包括资产评估、弱点评估、威胁评估等。

3.2 系统定级

信息系统的安全等级主要由4个要素决定:

(1) 信息系统所属类型, 即信息系统资产的安全利益主体;

(2) 信息系统主要处理的业务信息类别;

(3) 信息系统服务范围, 包括服务对象和服务网络覆盖范围;

(4) 业务对信息系统的依赖程度。

其中第1、2个要素决定信息系统内信息资产的重要性, 第3、4个要素决定信息系统所提供服务的重要性, 而信息资产及信息系统服务的重要性决定了信息系统的安全等级。

上述定级要素是适用于各行业的通用定级要素, 对不同行业信息系统定级的主观性较大, 不同人员对定级要素的理解不一致, 定级结果容易出现分歧。因此, 针对电力行业信息系统应对定级要素进行细化, 每个定级要素在电力行业中细化为多个类别的具体情形。

对于电力信息系统, 可以在遵循国家定级指南的基础上, 经过业务分析和风险评估, 细化信息系统的定级规则, 确定符合电力业务特点的定级要素和赋值标准, 简化定级过程, 提高定级精度和科学性, 精细化掌控信息系统的安全要求和保障措施。

3.3 等级指标设计

不同级别的信息系统都对应安全目标和安全措施, 也就是等级化的安全指标体系, 安全指标体系从国家层面有一套推荐指标系统, 由于国家级别的指标体系面向所有信息系统, 不能充分考虑行业特性和业务特点, 电力系统应在充分了解业务应用的基础上, 结合风险评估制定符合电力系统特点和要求的指标体系, 提高系统的可操行性。

电力行业等级安全指标体系是各等级系统要达到的安全要求。安全指标体系主要依据以下方面进行设计:

(1) 依据信息系统安全等级保护基本要求, 提供电力信息安全应达到的基本要求;

(2) 通过电力行业信息系统风险评估, 识别电力信息系统的主要安全风险, 进行根据行业特性补充各等级安全要求

通过上述2部分工作, 设计电力行业的安全指标体系, 作为安全建设的基础依据。

3.4 安全解决方案域规划设计

安全解决方案设计的主要依据所建立的安全指标体系, 评估现有安全措施与相应等级安全指标之间的差距, 设计相应的技术解决方案和安全管理策略并实施, 使系统安全水平达到相应等级的安全要求。

在解决方案设计主要描述每项技术控制方案的技术选型、产品选择原则、产品选型建议、部署方案、配置方案和相关的管理策略。

安全策略设计主要包括安全方针和系列安全制度和规范。安全方针的目标是为信息安全管理提供清晰的策略方向, 阐明信息安全建设和管理的重要原则, 阐明信息安全的所需支持和承诺。各类管理规定、管理办法和暂行规定主要规定的安全各个方面所应遵守的原则方法、具体管理规定、管理办法和实施办法,

根据安全指标体系的要求, 以风险评估为基础, 在安全等级保护体系基础上, 结合信息化规划、预算等实际情况, 对用户信息安全等级保护体系的建设和管理提出规划方案, 实现信息安全总体规划、分步实施、重点落实的建设方法。

4 电力行业实施信息安全等级保护制度的原则

电力行业实施信息安全等级保护制度应该遵循以下基本原则:

(1) 明确责任, 共同保护。通过等级保护, 组织和动员电力行业各企业和单位共同参与信息安全保护工作;各方主体按照等级保护的规范和标准分别承担相应的、明确具体的信息安全保护责任。

(2) 依照标准, 自行保护。电力行业和企业和单位应运用国家强制性的规范及标准, 要求信息和信息系统按照相应的建设和管理要求, 自行定级、自行保护。

(3) 同步建设, 动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施, 保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因, 安全保护等级需要变更的, 应当根据等级保护的管理规范和技术标准的要求, 重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

(4) 指导监督, 重点保护。电力行业和企业和单位应通过国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式, 对重要信息和信息系统的信息安全保护工作进行指导监督。

5 结语