浙江省信息安全等级保护管理办法

浙江省信息安全等级保护管理办法（精选6篇）

浙江省信息安全等级保护管理办法 第1篇

第一章总则

第一条为加强和规范信息安全等级保护管理，提高信息安全保障能力，维护国家安全、公共利益和社会稳定，促进信息化建设，根据国家有关规定，结合本省实际，制定本办法。

第二条本省行政区域内建设、运营、使用信息系统的单位，均须遵守本办法。

第三条本办法所称信息安全等级保护，是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护，对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。

第四条本办法所称信息，是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。

本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

第五条信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。

信息系统应当按照信息安全等级保护的要求，实行同步建设、动态调整、谁运行谁负责的原则。

第六条县级以上人民政府应当加强对信息安全等级保护工作的领导，把信息安全等级保护纳入信息化建设规划，协调、解决有关重大问题，建立必要的资金和技术的保障机制。

第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定，履行监督管理职责。

县级以上人民政府其他相关部门，应当按照职责分工，落实信息安全等级保护管理的责任，配合做好相关工作。

第二章等级保护的分级与实施

第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度，确定信息系统相应的保护等级。

信息系统的保护等级分为以下五级：

(一)信息系统承载的信息涉及公民、法人和其他组织的权益，信息系统遭到破坏后，业务可以直接用其他方式替代处理，对公民、法人和其他组织的权益有一定影响，但不损害国家安全、社会秩序、经济建设和公共利益的，为一级保护，由运营单位自主保护;

(二)信息系统承载的信息直接涉及公民、法人和其他组织的权益，信息系统遭到破坏后，会影响业务的正常处理，并对国家安全、社会秩序、经济建设和公共利益造成一定损害的，为二级保护，由运营单位在信息安全等级保护工作监管部门的指导下进行保护;

(三)信息系统承载的信息涉及国家、社会和公共利益，信息系统遭到破坏后，会严重影响业务的正常处理，并对国家安全、社会秩序、经济建设和公共利益造成较大损害的，为三级保护，由运营单位在信息安全等级保护工作监管部门的监督下进行保护;

(四)信息系统承载的信息直接涉及国家、社会和公共利益，信息系统遭到破坏后，业务无法正常处理，并对国家安全、社会秩序、经济建设和公共利益造成严重损害的，为四级保护，由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护;

(五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行，信息系统遭到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的，为五级保护，由运营单位在国家指定的专门部门、专门机构的专控下进行保护。

第九条信息系统的建设、运营、使用单位，应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。

基础信息网络和重要信息系统的保护等级，建设单位应当在信息系统规划设计时，按照本办法第十条规定报经审定。

第十条基础信息网络和重要信息系统保护等级，实行专家评审制度。

省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则，由省信息化行政主管部门会同省公安部门制定，并报省人民政府备案。

第十一条对于包含多个子系统的信息系统，应当根据各子系统的重要程度分别确定保护等级。

第十二条信息系统建设完成后，其运营、使用单位应当按照国家有关技术规范和标准进行安全测评，符合要求的，方可投入使用。

第十三条信息系统投入运行或者系统变更之日起三十日内，运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。

信息系统涉及国家秘密的，运营、使用单位应当按照有关保密法律、法规、规章的规定执行。

第十四条信息系统的运营、使用单位，应当按照国家有关技术规范和标准，建立信息安全等级保护管理制度，落实安全保护责任，采取相应的安全保护措施，切实保障信息系统正常安全运行。

第十五条信息系统的运营、使用单位，应当建立信息系统安全状况日常检测工作制度，加强对信息系统的日常维护和安全管理，及时消除安全隐患，确保信息的安全和系统的正常运行。

基础信息网络和重要信息系统的运营、使用单位，应当按照国家有关技术规范和标准，每年对系统的信息安全状况进行一次全面的测评，也可以委托有相应资质的单位进行安全测评。

第十六条信息系统发生信息安全突发公共事件时，应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度，实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。

通信基础网络发生突发公共事件时，应当按照省有关通信保障应急预案的规定执行。

第三章监督管理

第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理，并做好下列工作：

(一)督促、指导信息安全等级保护工作;

(二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况;

(三)受理信息系统保护等级的备案;

(四)依法查处信息系统运营、使用单位和个人的违法行为;

(五)信息安全等级保护的其他相关工作。

第十八条保密工作部门依照职责分工，依法做好下列工作：

(一)督促、指导涉及国家秘密的信息安全等级保护工作;

(二)受理涉及国家秘密的信息系统保护等级的备案;

(三)依法查处信息泄密、失密事件;

(四)信息安全等级保护中涉及国家秘密的其他相关工作。

第十九条密码管理部门应当按照职责分工依法做好相关工作，加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导，查处信息安全等级保护工作中违反密码管理的行为和事件。

第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理，并做好下列工作：

(一)指导、协调信息安全等级保护工作;

(二)组织制定信息安全等级保护工作规范;

(三)组织专家审定信息系统的保护等级;

(四)为相关单位提供信息安全等级保护的有关资讯和技术咨询;

(五)根据预案规定，组织落实信息安全突发公共事件的应急处置工作;

(六)信息安全等级保护的其他相关工作。

第二十一条信息系统建设、运营、使用单位，应当按照国家和本办法有关规定，开展信息安全等级保护工作，接受有关部门的指导、检查和监督管理。

信息系统运营、使用单位，在运营、使用中发生信息安全突发公共事件、泄密失密事件的，应当按照应急预案要求，及时采取有效措施，防止事态扩大，并立即报告有关主管部门，配合做好应急处置工作。

第四章法律责任

第二十二条违反本办法规定的行为，有关法律、法规已有行政处罚规定的，从其规定。

第二十三条信息系统运营、使用单位违反本办法规定，不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的，由公安部门责令限期改正，并给予警告;逾期拒不改正的，处一千元以上二千元以下罚款。

第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的，由公安部门责令限期改正，并给予警告;逾期不改正的，处二千元罚款。

第二十五条信息系统运营、使用单位违反本办法第十四条规定，未建立信息安全等级保护管理制度、落实安全保护责任和措施的，由公安部门责令限期改正，并给予警告;

逾期拒不改正的，对经营性的处五千元以上五万元以下罚款，对非经营性的处二千元罚款。

第二十六条违反本办法第十五条第一款规定，信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的，由公安部门责令限期改正，并给予警告;逾期拒不改正的，处一千元以上二千元以下罚款。

违反本办法第十五条第二款规定，基础信息网络与重要信息系统的运营、使用单位，未定期对系统的信息安全状况进行测评的，由公安部门责令限期改正，并给予警告;逾期拒不改正的，对经营性的处二千元以上二万元以下罚款，对非经营性的处二千元罚款。

第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的，由县级以上人民政府信息化行政主管部门责令改正，给予警告，对经营性的并处五千元以上三万元以下罚款，对非经营性的并处二千元罚款;涉及泄密、失密的，按照有关保密法律、法规、规章的规定处理。

第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的，由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。

(一)未按照本办法规定履行监督管理职责的;

(二)违反国家和本办法规定审定信息系统保护等级的;

(三)违反法定程序和权限实施行政处罚的;

(四)在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的;

(五)其他应当依法给予行政或者纪律处分的行为。

第二十九条违反本办法规定，构成犯罪的，依法追究刑事责任。

第五章附则

第三十条在本办法施行前已经建成的信息系统，运营、使用单位应当依照本办法规定建立相应的保护等级。

第三十一条本办法自1月1日起施行。

浙江省信息安全等级保护管理办法 第2篇

为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。

一.指导思想

以中央和省委、省政府有关加强信息安全保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。

二.工作目标

通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。

通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使我省信息安全保障状况得到基本改善。

通过加强和规范信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。

三.组织管理

为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。

信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。

省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。

为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全保密测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。

四.工作内容

（一）系统定级

信息系统运营、使用单位应按照国家有关规定，确定信息系统的安全保护等级，有主管部门的，应当经主管部门审核批准。系统涉及国家秘密的部分，应当按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》（国家保密标准BMBl7-2006）确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

（二）定级评审

属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后，应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的，运营、使用单位或主管部门应经省信息化行政主管部门初审后，请国家信息安全等级保护专家评审委员会评审。其它定级评审，依照《浙江省信息安全等级评审实施细则》执行。

（三）系统备案

安全保护等级为二级以上的信息系统，其运营、使用单位需在等级确定后的三十天内，向设区的市级以上公安机关备案。安全保护等级为五级的，由国家指定的专门部门进行备案。系统涉及国家秘密的，向设区的市级以上保密工作部门备案。系统中使用密码设备的，密码设备要向设区的市级密码管理部门备案。

省公安厅负责安全保护等级确定为第二级以上的省级基础信息网络、省级重要领域信息系统、跨设区市联网运行的信息系统，及安全保护等级为四级的信息系统备案，其余需要备案的系统由其运营、使用单位到设区市公安机关备案。办理备案手续时，应提交《信息系统安全等级保护备案表》，安全保护等级为三级以上的应同时提供备案表所列的“系统拓扑结构及说明”等备案材料，并可利用辅助备案工具软件生成备案电子数据一并向公安机关提交。《信息系统安全等级保护备案表》和辅助备案工具软件可在省公安厅门户网站下载。

信息系统备案后，公安机关应当对信息系统的备案情况进行审核，发现不符合国家有关规定、标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统安全等级后，应向公安机关重新备案。

（四）等级测评、整改

信息系统运营、使用单位在进行信息系统备案后，应当选择测评机构进行安全测评。测评机构依据《信息系统安全等级保护测评要求》等技术标准，对信息系统安全等级状况开展测评，给出相应的系统安全检测评估报告。经测评信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改，以符合安全保护等级要求。对符合等级保护要求的，公安机关应当颁发信息系统安全等级保护备案证明。安全保护等级为五级的信息系统，由国家指定的专门部门进行测评和整改。

（五）安全管理、建设

信息系统运营、使用单位应根据国家有关规定和技术标准，建立信息安全等级保护管理制度，落实安全保护责任。具体包括制定信息安全事件等级响应和处置制度；信息安全等级保护系统建设、运行维护制度；信息系统安全检测和风险评估制度；安全教育和培训制度等。根据检测评估报告中反映出的安全问题，要按照《信息系统安全等级保护基本要求》和风险评估有关标准，确定系统安全需求，制定系统总体安全策略和相关制度，细化符合安全等级保护要求的系统安全技术框架和安全管理框架方案，明确安全建设计划，并全面组织实施。

同时，基础信息网络和重要信息系统的运营、使用单位，应当按照国家有关技术规范和标准，每年对系统的信息安全状况进行一次全面的测评或者自查。第四级信息系统应当每半年至少进行一次测评或者自查，第五级信息系统应当依据特殊安全需求进行测评或者自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位要进行整改，直至达到安全保护等级要求。

五.监督管理

根据信息安全等级保护工作的职责分工，公安机关负责信息安全等级保护工作的总体监督、检查、指导。保密工作部门负责信息安全等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责信息安全等级保护工作中有关密码工作的监督、检查、指导。信息化行政主管部门负责信息安全等级保护工作的部门间协调。

公安机关要对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨市或全省统一联网运行的信息系统检查，要会同其主管部门进行。

保密工作部门要加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评。

密码管理部门要定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况，每两年至少进行一次检查和测评。六.工作安排

按照突出重点、统筹规划，重点保障基础信息网络和重要信息系统安全的总体要求和原则，我省信息安全等级保护工作将分批、分阶段进行。2007年8月至10月集中开展基础信息网络和重要信息系统的定级工作。

我省重要信息系统包括：

1.党政事务处理信息系统和重要网站； 2.金融、财税、海关业务信息系统；

3.铁路、机场、交通（港口）等业务信息系统；

4.医疗、社（医）保、供水、电力、燃气等业务信息系统； 5.涉及国家秘密的信息系统；

6.国家和省规定的其他重要信息系统。

基础信息网络主要包括公用通信网、广播电视传输网等。

其它已运营、使用信息系统和新建信息系统按照相关规定开展等级保护工作。

（一）准备阶段.设区的市公安机关、保密工作部门、密码管理部门和信息化行政主管部门联合成立公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，积极做好信息安全等级保护工作的宣传、培训和组织工作，全面推进本地信息安全等级保护工作。

设区的市信息化行政主管部门成立市信息系统安全等级保护专家评审组，积极做好信息安全等级保护工作的咨询和定级评审工作。

各行业主管部门，信息系统运营、使用单位成立信息安全等级保护工作领导小组，对所属信息系统进行摸底调查，全面掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况，确定定级对象，并提出开展本行业、本单位等级保护工作的具体意见。

（二）组织实施阶段.1.定级备案工作。基础信息网络和重要信息系统在2007年10月20日前完成定级、评审和初备案工作。其余信息系统在2008年6月30日前完成。

2.等级测评工作。基础信息网络和重要信息系统在2008年7月31日前完成等级测评工作。其余信息系统在2008年12月31日前完成。

3.整改建设工作。基础信息网络和重要信息系统在2009年6月30日前完成整改建设工作。其余信息系统在2009年10月31日前完成整改建设工作。

（三）巩固完善阶段

信息系统整改建设工作完成后，应当建立完善信息系统安全状况日常检测工作制度，加强对信息系统的日常维护和安全管理，及时消除安全隐患，确保信息的安全和系统的正常运行。

七.工作要求

（一）提高认识，加强领导。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为此，各级公安机关、保密工作部门、密码管理部门和信息化行政主管部门，以及重要信息系统运营、使用单位和主管部门，要充分认识开展信息安全等级保护工作的重要性、必要性，切实增强政治责任感和工作紧迫感，全面贯彻落实中央、国务院和省委、省政府的要求和部署，切实做好信息安全等级保护工作。

（二）明确责任，密切配合。信息安全等级保护工作由各级公安机关牵头，会同保密工作部门、密码管理部门和信息化行政主管部门共同组织实施。四部门要在明确责任的基础上，加强协调配合，共同组织信息系统主管部门和运营、使用单位开展信息安全等级保护工作。各信息系统主管部门组织本行业、本部门信息系统运营、使用单位开展信息安全等级保护工作，督促其落实信息安全等级保护工作的各项任务。

（三）动员部署，开展培训。各地区、各部门要按照统一部署，广泛进行宣传动员，加强培训，指导本地区、本行业信息系统运营、使用单位按照信息安全等级保护工作的总体要求，分阶段、分步骤完成各项任务。省公安厅将会同省保密局、省国家密码管理局、省信息办对省有关单位、行业以及各市公安机关、保密工作部门、国家密码管理工作部门和信息化行政主管部门就信息安全等级保护工作规范、标准等内容进行培训。信息系统主管部门对所管辖的信息系统运营、使用单位进行培训。各市参照上述培训模式开展培训工作。

浙江省信息安全等级保护管理办法 第3篇

伴随着电力信息化需求程度的提高, 业务逻辑与流程体系对于信息系统的依赖程度不断增加, 不断推动信息价值的显露和提升, 信息安全的盲点和隐患也日渐凸现。正是由于信息资产威胁无处不在, 信息损失的代价愈加昂贵, 保障安全已经从一个宏观论调转化为IT建设无法规避的基础策略。信息系统等级保护系统设计主要围绕三大目标进行:建立适度化的等级保护建设成果, 并达成政策与标准的合规性保障。构建基于SG186安全保障标准的等级保护体系, 确立黑龙江省电力各级、各类业务资产的等级保护建设要求, 确保各类信息系统在不同时期、不同条件下的安全水平可控, 以此形成电力信息系统的自主评测、自主巩固与持续改进的能力;达到公安部《信息安全技术信息系统等级保护安全设计技术要求》和《信息系统安全等级保护基本要求》, 并达到测评标准;基于SG186安全保障标准的等级保护体系建设过程及其成果完全遵循国家电网、国家政策标准的重要指导, 以及行业发展趋势;确保符合测评单位的检查要求, 同时符合各级电力单位的实际需求与适用性。

1 建设要点

(1) 要实现要求到需求的演变, 需要对黑龙江省电力行业现有信息系统进行调研和评估, 确定等级保护要求中的适用程度, 识别出等级保护要求的不适用项和部分适用项;

(2) 通过对《国家电网公司信息化SG186工程安全防护总体方案》和《信息安全技术信息系统等级保护安全设计技术要求》中的要求, 形成一个适用于黑龙江省电力的等级保护指标体系, 实现从要求到需求的过渡。

(3) 增强防护机制的互补性。通过对等级保护的深入理解可以看到, 安全要求和防护手段并不是一一对应的关系, 在本设计中, 尽可能的将多个要求总结为一个需求, 通过单一防护系统或者管理手段满足更多的安全要求, 实现更好的防护效果。

2 系统设计

《国家电网公司信息化SG186工程安全防护总体方案》中的安全防护架构 (见图1) , 可以看到其安全防护的核心思想是“分区、分级、分域”, 具体而言就是通过信息系统划分为管理信息大区与生产控制大区, 将管理信息大区的系统, 依据系统级别及业务系统类型, 进行安全域划分, 以实现不同安全域的独立化、差异化防护, 通过“区、级、域”形成多梯次、大纵深的安全纵深防护体系。

安全域划分针对黑龙江省电力有限公司管理信息大区进行设计, 管理信息大区用以支撑公司不涉及国家秘密的企业管理信息业务应用, 包括公司一体化平台、八大业务应用及支持系统正常运营的基础设施及桌面终端。管理信息大区划分为用于承载SG186工程业务应用和内部办公的信息内网 (可涉及企业商业秘密) 以及用于支撑对外业务和互联网用户终端的信息外网 (不涉及企业商业秘密) 。因此, 依据安全域划分原则方法, 具体到黑龙江省电力公司应用系统主要部署于信息内网, 与互联网有交互的子系统或功能单元部署于信息外网, 信息内网与信息外网以逻辑强隔离设备进行安全隔离, 对于信息内网和信息外网分别进行安全域的划分。

同时, 安全域划分采取将等级保护要求较高的各三级系统划分独立的安全域进行安全防护, 以实现三级系统间及与其他系统之间的独立安全防护, 也便于国家电网公司及外部监管机构对于三级系统的安全监管。

安全域划分后, 黑龙江省电力公司信息内网将有以下安全域:

(1) 电力市场交易系统域 (三级系统) ;

(2) 营销管理系统域 (三级系统) ;

(3) 财务资金管理系统域 (三级系统) ;

(4) 二级系统域:所有二级系统统一部署于二级系统域中进行安全防护建设;

(5) 内网桌面终端域:信息内网桌面终端用于内网业务操作及内网业务办公处理;

(6) 内网网管域:指用于网络管理和安全管理等系统主机和相关设备所在区域。

黑龙江省电力公司信息外网系统划分为以下安全域:

(1) 外网应用系统域:需与互联网进行数据交换的系统部署于外网应用系统域进行安全防护;

(2) 外网桌面终端域:信息外网桌面终端用于外网业务办公及互联网访问。必要时, 各单位跟据各自具体情况对外网桌面办公终端按业务部门或访问类型进行区域细分, 以便于针对不同的业务访问需求进行访问控制及实施其他安全防护措施;

(3) 外网网管域:指用于网络管理和安全管理等系统主机和相关设备所在区域;

3 安全域防护设计

在对黑龙江省电力有限公司管理信息系统安全防护设计时将遵循以下策略:

(1) 双网双机:管理信息大区划分为信息内网和信息外网, 管理信息内外网间采用逻辑强隔离设备进行隔离, 信息内外网分别采用独立的服务器及桌面主机;

(2) 分区分域:针对管理信息大区, 依据定级情况及业务系统类型, 进行安全域划分, 以实现不同安全域的独立化、差异化防护;

(3) 等级防护:管理信息系统将以实现等级保护为基本出发点进行安全防护体系建设, 并参照国家等级保护基本要求进行安全防护措施设计;

(4) 多层防御:在分域防护的基础上, 将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计, 以实现层层递进, 纵深防御。

4 边界防护

根据等级保护和国网安全防护的要求, 边界安全防护的目标是使边界的内部不受来自外部的攻击, 同时也用于防止恶意的内部人员跨越边界对外实施攻击, 或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图, 安全事件发生后可以提供入侵事件记录以进行审计追踪。

在国网标准中网络环境安全建设包括了网络设备安全防护、网络基础服务安全防护和网络业务信息流安全防护3部分, 而对于信息内网的网络环境安全建设主要从网络基础服务安全进行, 其主要是关注路由器、交换机以及防火墙、安全网关等安全设备自身的安全防护。基础服务设备的安全可通过多种途径满足标准的需要, 而且其针对的是设备本身, 对省公司和地市公司信息内网的设备要求并无区别, 因此, 结合等级保护三级系统的基本要求, 信息内网网络环境安全建设做了分析 (见表2) 。

4.1 主机系统安全防护

主机系统安全防护包括对服务器及桌面终端的安全防护。保护主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性, 采用相应的身份认证、访问控制等手段阻止未授权访问, 采用防火墙、入侵检测等技术确保主机系统的安全, 进行事件日志审核以发现入侵企图, 在安全事件发生后通过对事件日志的分析进行审计追踪, 确认事件对主机的影响以进行后续处理。与网络环境安全建设一样, 服务器安全针对的是设备本身, 对省公司和地市公司信息内网的设备要求并无区别, 因此, 结合等级保护三级系统的基本要求, 对信息内网主机系统建设做了分析 (见表3) 。

4.2 业务系统安全防护

业务应用安全防护主要针对应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。应用安全防护的目标是通过采取身份认证、访问控制等安全措施, 保证应用系统自身的安全性, 以及与其他系统进行数据交互时所传输数据的安全性;采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。目前应用安全建设的主体应用系统的安全要求是省公司和地市公司相统一的, 结合等级保护三级系统的基本要求, 信息内网应用系统建设的分析 (见表4) 。

5 结语

黑龙江省电力公司在按照国网《国家电网公司信息化SG186工程安全防护总体方案》和《信息安全技术信息系统等级保护安全设计技术要求》, 结合自身的信息系统实际情况, 提出适用于黑龙江省电力信息系统的安全防护要点和解决方案的设计, 提高了信息系统的安全防护能力。

当面向业务资源进行安全建设时, 如果过度钻研单个信息系统的风险并投入深度安全防护, 将导致该系统的易用性下降, 管理负担过重, 同时相对于业务影响而言, 安全建设的投资回报率较低, 所以, 在对黑龙江省电力信息系统进行安全建设时, 需要深刻理解等级保护建设的思想, 要锲合实际业务情况, 投入合理化的安全防护建设, 以实现对信息系统的等级化、差异化防护。

摘要：以《国家电网公司信息化SG186工程安全防护总体方案》中的“分区、分级、分域”为基础, 主要围绕电力信息安全如何实现, 如:建立适度化的等级保护, 达到公安部门对电网公司的文件要求和评测标准, 充分满足实际需求等三大目标进行阐述, 对黑龙江电力公司全面提升自身信息安全的应对能力、建设高效的安全技术体系全过程进行了说明。

信息系统安全等级保护研究与实践 第4篇

安全防护需求

《信息安全技术一信息系统安全等级保护基本要求》(GB／T22239-2008)明确了基本要求，电网作为重点行业信息安全领域，充分结合自身安全的特殊要求，在对国家标准消化基础上进行深化、扩充，将二级系统技术要求项由79个扩充至134个，三级系统技术要求项由136个扩充至184个，形成了企业信息系统安全等级保护要求，见表1。

安全防护架构与策略

按照纵深防御的思想设计安全防护总体架构，核心内容是“分区、分级、分域”，如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统，依据系统级别及业务系统类型划分不同的安全域，实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。

生产控制大区和管理信息大区的系统特性不同，安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统，安全防护遵循以下策略：

(1)双网双机。将管理信息大区网络划分为信息内网和信息外网，内外网间采用逻辑强隔离装置进行隔离，内外网分别采用独立的服务器及桌面主机；

(2)分区分域。将管理信息大区的系统，依据定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；

(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设，并参照国家等级保护基本要求进行安全防护措施设计；

(4)多层防御。在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层递进，纵深防御。

安全防护设计

信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。

(一)边界安全防护

边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐通道进入内部网络；在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

边界安全防护关注对进出该边界的数据流进行有效的检测和控制，有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤，有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证／访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。

信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类，安全防护设计见表2

(二)网络安全防护

网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击，同时阻止恶意人员对网络设备发动的攻击，在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图，在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。

网络安全防护面向企业整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。

(三)主机安全防护

主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等；桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。

(四)应用防护

应用安全防护的目标是保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性；在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。

安全防护实施

信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB／T22240-2008)开展定级工作，定级结果报政府主管部门审批确认。现状测评委托专业机构进行，测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节，是方案制定的关键内容之一。

管理信息大区划分为内网和外网，内网部署为公司内部员工服务的系统，外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。按照等级保护的思想，安全域按照“二级系统统一成域，三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护，以实现三级系统的独立安全防护，将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。

限于篇幅，系统建设改造方案细节、等保符合度测评等内容不在此赘述。

浙江省信息安全等级保护管理办法 第5篇

摘要：随着科技的进步，企业办公信息化、智能化程度显著提升，随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时，需兼顾互联网开放性造成的风险。针对以上问题，国家严格规范信息系统等级保护工作流程，根据系统的重要性和影响范围划分定级，按照系统级别的不同实施区别化管理。此外，依照信息系统等级保护工作的“三同步”原则（同步规划、同步设计、同步投入运行），在信息系统应用建设的各环节进行标准化管理，规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准，同时，明确了检查考核、管理与技术措施，促进供电企业信息专业能力不断提升，充分调动公司各专业的积极性和协调性，有效提高公司信息系统安全管理水平和保护能力。

关键词：信息安全；等级保护；信息系统管理背景简介

通常情况下，企业信息系统管理普遍存在以下问题：（1）信息系统规划阶段侧重于系统功能应用，未提出信息系统安全保护；（2）信息系统设计阶段缺少安全方案的同步设计；（3）信息系统上线运行阶段，未建立安全性测试机制，投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题，信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段，覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路

根据目前信息系统管理的暴露的缺点，公司将信息系统安全建设作为安全等级保护工作的重点，围绕信息系统应用建设的各个阶段，结合等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，保障了信息系统的安全稳定运行。

2.1 规划阶段

信息系统规划初期，通过建立合理的信息系统安全管理体系、工作要求和工作流程，结合公司实际情况，将系统测评费用纳入其中。

2.2 设计阶段

系统设计阶段，公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统，在系统定级后，系统建设项目负责部门应组织系统运维单位和系统开发实施单位，根据系统安全防护等级，遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等，制定系统安全防护方案。

2.3 开发阶段

各系统建设部门是信息系统的用户方，必须严格要求系统开发部门遵守相应原则，如使用正版的操作系统、配置强口令、信息系统测试合格正式书等，从而保证系统投运时的实用性和效率。

2.4 测试阶段

系统建设部门组织定级系统，通过具有国家资质的测评机构对系

统进行安全测评，并在当地公安机关网监部门进行定级和备案工作。

2.5 实施阶段和应用上线

各级信息通信职能管理部门，督促检查本单位及下属单位等级保护工作，同时，要求各系统建设部门在信息系统实施阶段，确保系统完成测评整改工作。

2.6 运维阶段

根据“谁主管谁负责，谁运行谁负责”的工作原则，各系统主管部门合理分配部门人员的管理和运维工作，制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制

通过信息系统等级保护方案，公司要在系统应用建设全过程中加入安全防护机制，规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外，为进一步促进等级保护工作的有效执行，公司明确了相应的检查考核管理措施，完善信息系统安全工作的全面管理。

3.1 考评机制

建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作，即检查各相关单位网络与信息安全工作的开展情况，并根据上级部门的实时反馈进行整改，从公司信息系统正常运行到信息内外网安全，实施监督和管控，纳入各单位年度绩效指标考核。

3.2 协同机制

成立信息化领导小组及办公室，开展协同控制工作。建立关于信息安全工作的协调机制，明确公司各部门网络与信息安全工作职责，具体负责组织开展信息系统安全等级保护工作，协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外，针对信息系统测评和评估所发现的问题，责任单位制定完善的安全整改方案并认真落实。

3.3 例会机制

例会机制主要通过信息系统等级保护集中工作实现，定期召开信息专业网络安全会议，通过会议通报各单位存在的问题和下一步改进措施。结语

本文提出了一种基于等级保护的信息系统管理工作思路。一方面，从信息系统全生命周期着手，在系统应用建设的各环节加入安全管理工作；另一方面，完善信息系统管理工作机制，通过建立合理的考评机制、协同机制和例会机制，优化系统管理手段。根据以上管理思路，不仅在工作流程上对信息系统进行了安全防护加固，而且制定了相应的管理手段，促进企业信息系统管理工作水平的提升。

参考文献

浙江省信息安全等级保护管理办法 第6篇

第一条 为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条 等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条 等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条 国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条 申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；

（三）从事信息系统安全相关工作两年以上，无违法记录；

（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有信息系统安全相关工作经验的技术人员，不少于10人；

（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；

（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；

（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务；

（十）应具备的其他条件。

第七条 申请时，申请单位应向等保办提交以下材料：

（一）《信息安全等级保护测评机构申请表》；

（二）从事信息系统安全相关工作情况；

（三）检测评估工作所需软硬件及其他服务保障设施配备情况；

（四）有关管理制度建设情况；

（五）申请单位及其测评人员基本情况；

（六）应提交的其他材料。

等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

第八条 通过初审的申请单位，应及时参加指定评估机构组织的测评人员培训。考试合格的人员，取得等级测评师证书。

等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书，其中高级和中级测评师均不得少于1人。

第九条 指定评估机构应根据标准规范对申请单位开展能力评估，出具信息安全等级保护测评机构能力评估报告，并及时将申请单位能力评估有关情况报送等保办。

第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的，颁发《信息安全等级保护测评机构推荐证书》。

省级等保办应及时将本地等级测评机构推荐情况报国家等保办，国家等保办定期发布公告，在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。

第十一条 下列事项发生变更时，等级测评机构应在变更后5个工作日内向等保办报告。

（一）等级测评机构名称、地址、测评人员和主要负责人发生变更的；

（二）等级测评机构法人、股权结构发生变更的；

（三）其他重大事项发生变更的。

省级等保办应及时将等级测评机构变更情况报国家等保办。

第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内，向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的，等保办应督促其限期整改。

省级等保办应及时将等级测评机构期满复审情况报国家等保办。

第十三条 等级测评师上岗前，等级测评机构应组织岗前培训。培训合格的，由等级测评机构配发上岗证。未取得测评师证书和上岗证的，不得参与等级测评项目。

等级测评师离职前，等级测评机构应与其签订离职保密承诺书，并收回上岗证。

第十四条 等级测评师应妥善保管等级测评师证书、上岗证，不得涂改、出借、出租和转让。

第十五条 等级测评机构应加强对本机构等级测评师的监督管理，定期组织开展安全保密教育和业务培训。

第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作，依据模板出具信息系统安全等级测评报告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。

第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内，向受理信息系统备案的公安机关报告等级测评项目有关情况。

第十八条 测评项目实施过程中，等级测评机构应接受等保办的监督、检查和指导。测评项目完成后，等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价，评价情况由被测单位反馈等保办。

第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践，每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标，对等级测评机构划分为五个星级，最低为一星级，最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。

第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。

等保办负责组织所推荐等级测评机构的星级评定审核工作，并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定，国家等保办定期发布星级评定结果。

第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的，不参加星级评定。

第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作，及时掌握等级测评机构工作情况。

第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的，当年可免予年审。年审时，等级测评机构应提交以下材料：

（一）《信息安全等级保护测评机构年审表》；

（二）信息安全等级保护测评机构推荐证书副本；

（三）测评工作总结；

（四）其他所需材料。

第二十五条

国家等保办负责组织开展等级测评机构能力验证和抽查工作。

第二十六条 等级测评机构有下列情形之一的，等保办应责令其限期整改；情形严重的，予以通报。

（一）未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的；

（二）影响被测评信息系统正常运行，危害被测评信息系统安全的；

（三）非授权占有、使用，未妥善保管等级测评相关资料及数据文件的；

（四）分包或转包等级测评项目，以及扰乱测评市场秩序的；

（五）限定被测评单位购买、使用指定信息安全产品的；

（六）测评人员未取得等级测评师证书和上岗证从事等级测评活动的；

（七）未按本办法规定向等保办提交材料、报告情况或弄虚作假的；

（八）其他违反等级测评有关规定的行为。

第二十七条 等级测评机构有下列情形之一的，等保办应取消其信息安全等级保护测评机构推荐证书，并向社会公告。

（一）因单位股权、人员等情况发生变动，不符合等级测评机构基本条件的；

（二）有信息安全产品开发、销售或信息系统安全集成行为的；

（三）故意泄露被测评单位工作秘密、重要信息系统数据信息的；

（四）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；

（五）一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的；

（六）连续两年年审不合格或限期整改后仍未通过复审的；

（七）违反本办法第二十六条规定，情节特别严重的。第二十八条 等级测评师有下列行为之一的，等保办应责令等级测评机构督促其限期改正；情节严重的，责令等级测评机构暂停其参与测评工作；情形特别严重的，应注销其等级测评师证书，并对其所在等级测评机构进行通报。

（一）未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的；

（二）违反本办法第十四条规定，未妥善保管等级测评师证书、上岗证，有涂改、出借、出租和转让等行为的；

（三）测评行为失误或不当，影响信息系统安全或造成运营使用单位利益损失的；

（四）其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定，给被测评信息系统运营使用单位造成严重危害和损失的，由相关部门依照有关法律、法规予以处理。

第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的，可向国家等保办举报、投诉。