篇一:《信息安全等级保护安全建设整改工作指南》
附件2
信息安全等级保护安全
建设整改工作指南
中华人民共和国公安部
二〇〇九年十月
前 言
为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了《信息安全等级保护安全建设整改工作指南》,供参考。 本指南包括总则、安全管理制度建设、安全技术措施建设三个部分,附录是信息安全等级保护主要标准简要说明。
由于时间仓促,经验不足,不妥之处,敬请批评指正。
目 录
1 总则………………………………………………………………………………(1)
1.1 工作目标…………………………………………………………………(1)
1.2 工作内容…………………………………………………………………(1)
1.3 工作流程…………………………………………………………………(2)
1.4 标准应用…………………………………………………………………(3)
1.5 安全保护能力目标………………………………………………………(5) 2 安全管理制度建设………………………………………………………………(6)
2.1 落实信息安全责任制……………………………………………………(7)
2.2 信息系统安全管理现状分析……………………………………………(7)
2.3 确定安全管理策略,制定安全管理制度………………………………(8)
2.4 落实安全管理措施………………………………………………………(8)
2.4.1 人员安全管理……………………………………………………(8)
2.4.2 系统运维管理……………………………………………………(8)
2.4.2.1 环境和资产安全管理……………………………………(8)
2.4.2.2 设备和介质安全管理……………………………………(9)
2.4.2.3 日常运行维护……………………………………………(9)
2.4.2.4 集中安全管理……………………………………………(9)
2.4.2.5 事件处臵与应急响应……………………………………(9)
2.4.2.6 灾难备份…………………………………………………(9)
2.4.2.7 安全监测 ………………………………………………(10)
2.5 系统建设管理 …………………………………………………………(10)
2.6 安全自查与调整 ………………………………………………………(10) 安全技术措施建设 ……………………………………………………………(10)
3.1 信息系统安全保护技术现状分析 ……………………………………(11)
3.1.1 信息系统现状分析 ……………………………………………(11)
3.1.2 信息系统安全保护技术现状分析 ……………………………(12)
3.1.3 安全需求论证和确定 …………………………………………(12)
3.2 信息系统安全技术建设整改方案设计 ………………………………(12)
3.2.1 确定安全技术策略,设计总体技术方案 ……………………(12)
3.2.1.1 确定安全技术策略 ……………………………………(12)
3.2.1.2 设计总体技术方案 ……………………………………(12)
3.2.2 安全技术方案详细设计 ………………………………………(13)
3.2.2.1 物理安全设计 …………………………………………(13)
3.2.2.2 通信网络安全设计 ……………………………………(13)
3.2.2.3 区域边界安全设计 ……………………………………(13)
3.2.2.4 主机系统安全设计 ……………………………………(13)
3.2.2.5 应用系统安全设计 ……………………………………(14)
3.2.2.6 备份和恢复安全设计 …………………………………(14)
3.2.3 建设经费预算和工程实施计划 …………………………(14)
3.2.3.1 建设经费预算 …………………………………………(14) 3
3.2.4 方案论证和备案 ………………………………………………(15)
3.3 安全建设整改工程实施和管理 ………………………………………(15)
3.3.1 工程实施和管理 ………………………………………………(15)
3.3.2 工程监理和验收 ………………………………………………(15)
3.3.3 安全等级测评 …………………………………………………(15) 附录:信息安全等级保护主要标准简要说明 ……………………………(17)
篇二:医疗信息安全等级保护建设整改方案(板模)-V1.0
XX医院信息安全等级保护
XX医院信息安全等级保护
建设整改方案
福建星网锐捷网络有限公司
版权所有 侵权必究
修
订记
录
目
1 录
2
3 概述 ..................................................................................................................................... 4 1.1 目的 .................................................................................................................... 4 1.2 等级安全体系设计目标 .......................................................................................... 4 1.2.1 总体目标 ........................................................................................................... 5 1.2.2 安全技术体系目标 .............................................................................................. 5 安全需求分析 ........................................................................................................................ 6 2.1 现状分析 .............................................................................................................. 6 2.1.1 网络体系现状 ..................................................................................................... 6 2.1.2 安全体系现状 ..................................................................................................... 6 2.1.3 应用系统现状 ..................................................................................................... 7 2.2 安全风险威胁分析 ................................................................................................. 8 2.3 安全问题总结 ....................................................................................................... 8 2.3.1 网络安全问题 ..................................................................................................... 8 2.3.2 主机安全问题 ..................................................................................................... 9 2.3.3 应用系统和数据安全 ........................................................................................... 9 2.3.4 安全保障 ........................................................................................................... 9 2.4 安全需求总结 ....................................................................................................... 9 2.4.1 身份鉴别与访问控制 ........................................................................................... 9 2.4.2 病毒的防治 ............................................................................ 错误!未定义书签。 2.4.3 安全审计 ............................................................................... 错误!未定义书签。 2.4.4 安全管理 ............................................................................... 错误!未定义书签。
等保安全体系总体设计 ........................................................................................................... 9
3.1 等级保护体系概述 ...................................................................... 错误!未定义书签。
3.2 等级化安全体系设计方法 ............................................................ 错误!未定义书签。
3.3 3.2.1 11
分域保护框架建立 ...................................................................... 错误!未定义书签。
4
5 3.3.1 11 整改方案总结 ............................................................................................ 错误!未定义书签。
附录:资产清单列表 ................................................................................... 错误!未定义书签。
概述
1.1 编制背景
随着医疗卫生体制改革的不断深化,卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。同时,医院信息系统涉及大量医院经营和患者医疗等私密信息,信息的泄露和传播将会给医院、社会和患者带来安全风险。
为贯彻落实国家信息安全等级保护制度,按照《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》要求,XX医院积极开展等级测评工作。医院信息系统是支撑医院系统运作及各部门共同合作与营运的关键应用,承载着医院主要的业务数据。通过信息系统等级保护定级和安全测评工作,提前发现信息系统中存在的安全风险和漏洞,据此提出信息系统安全等级保护整改和解决方案,避免安全事件对业务工作带来损失;完善信息系统安全管理制度,提升信息系统安全管理水平。
1.2 编制目的
根据XX医院网络系统的现状和将来的应用需求,并结合等级化保护的相关要求,而制定针对性的技术方案与管理方案,为XX医院信息系统的等级化安全体系改造和加固提供参考和实施依据。本方案将主要阐述和针对XX医院网络系统的改造和信息安全体系的规划设计。
主要内容为XX医院信息系统的总体信息安全体系安全改造,包括以下几个方面:
?
?
?
?
? 建设XX医院网络安全基础设施; XX医院信息系统的边界安全保护; XX医院 信息系统的计算环境安全保护; 建立XX医院信息系统的安全管理和运维体系。
1.3 等级安全体系设计目标
根据对XX医院信息系统的全面了解,并结合国家的相关政策标准,XX医院网络系统的信息安全建设目标如下。
4
1.3.1 总体目标
为了落实《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)和《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号),实施符合国家标准的安全等级保护体系建设,通过对XX医院网络系统的安全等级划分,确保XX医院网络的核心信息资产的安全性,从而使重要信息系统的安全威胁最小化,达到网络信息安全投入的最优化。最终实现如下总体安全目标:
(1) 依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统
服务范围以及业务对信息系统的依赖性等指标,来划分信息系统的安全等级。
(2) 通过信息安全需求分析,判断信息系统的安全保护现状与《信息安全技术信息系统安全等
级保护基本要求》之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级
情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,
并制定出安全实施规划,以指导后续的信息系统安全建设工程实施。
(3) 达到公安部关于信息系统安全等级保护相关要求。
1.3.2 安全技术体系目标
按照信息系统安全等级保护关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求,科学合理评估信息系统当前存在的风险,协助其合理确定安全保护等级,在此基础上科学规划设计一整套完整的安全体系改造加固方案。
该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容,实现信息资源的机密、完整、可用、不可抵赖和可审计性,基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计”。
具体包括:
(1) 保障基础设施安全,保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
(2) 保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
(3) 保障计算环境的安全,保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
(4) 保障应用系统安全,保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和
鉴别,防止和抵御各种安全威胁和攻(本文来自:WWw.DXF5.com 东 星 资 源 网:关于开展信息安全等级保护安全建设整改工作的实施方案)击手段,在一定程度上弥补和完善现有操作系统和网络信
息系统的安全风险。
(5) 安全管理体系保障,根据国家有关信息安全等级保护方面的标准和规范要求,结合XX医
院实际情况,建立一套切实可行的安全管理体系。
5
篇三:信息安全等级保护工作实施方案
白鲁础九年制学校
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。
学校办公室负责定级工作的部门间协调。
安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案