第一篇:等级保护全面自查
潞安容海发电有限责任公司信息安全等级保护自查报告
随着我国信息网络事业的飞速发展,信息安全保障能力提到了一个新的高度,我厂信息安全以及信息安全等级保护工作就提到了日常议程上来了。围绕提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设的要求,一年来,我厂认真贯彻落实行业和公司的总体部署,在公司和企业信息化工作的统一部署下,按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,狠抓系统维护、培训和流程梳理,促进管理规范,提高系统运行效率。进一步完善企业新的运行机制条件下的信息化管理工作,促进企业年度信息安全管理工作目标的实现。特别是今年9月以来,我厂在总结以往工作的基础上,通过认真学习和领会《信息系统安全等级保护基本要求》精神,根据公司的统一部署,结合我厂的具体情况,认真梳理和开展了信息安全等级保护这项工作,取得一定成效。现简要总结汇报我厂202_年度开展信息安全等级保护工作情况。
一、企业开展信息安全等级保护主要工作回顾
1、加强宣传,增强认识,积极推进企业信息安全等级保护工作。为提高企业对信息安全等级保护这项工作的认识,我厂组织信息化管理部门和相关人员认真宣传学习了工业和信息化部文件,大家充分了解到开展定级等工作内容、要求和技术标。一是增强了大家对推行信息安全等级保护制度的重要性和必要性以及信息安全等级保护工作的认识。二是在总结过去工作经验的基础上,确定了将信息安全等级保护工作作为今年网络安全保障工作的一项重要任务来抓。三是采取一定措施,积极推进了公司和企业信息安全等级保护工作。从系统定级、定级评审、系统备案、测评整改、监督检查等五个阶段进行了一些有益的探索。并按照既定的工作目标和时限要求,确保等级保护定级工作保质保量完成。
2、对照要求,认真查找和消除企业信息安全等级保护工作中的差距。信息化管理部门和相关人员通过对照国家和行业有关信息安全等级保护工作文件相关规定和我厂实际,认真开展自查和总结。针对企业现状展开分析和讨论,寻找我厂开展信息安全等级保护这项工作的差距,理清工作思路,进一步确立了企业信息安全等级保护工作思路和目标。一是对企业信息安全总体情况进行了全面摸底,检查了企业信息安全管理、信息安全技术、和信息安全运维三个体系建设情况。二是对信息安全检查中发现的主要问题进行了及时整改,采取了相应的对策和措施。
3、落实组织,建立企业信息安全等级保护工作长效机制。我厂领导高度重视信息安全等级保护工作的开展。企业有关领导和相关信息安全职能部门充分认识到开展信息安全等级保护是保障全市政治稳定、经济发展和社会和谐的有效手段。为适应公司组织机构调整需要,提高企业信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,我厂及时调整了信息化工作领导机构,同时,成立了潞安容海电厂关于成立信息系统安全工作领导小组,进一步落实了信息系统安全工作责任。在落实企业信息安全等级保护工作目标责任基础上,一是重新梳理和调整了企业信息化队伍;二是建立健全了信息安全管理制度;三是落实和发挥了系统备份、安全巡检、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能;四是实现了集中安全管理控制,快速安全事件响应,高可信的安全防护;五是重申了对IT系统和产品开展入网前安全检查,消除安全隐患等几项具体措施。
4、总体规划,分步实施和落实信息安全策略。我厂信息安全规划坚持行业和政策实际,着眼于企业长远的发展目标,以及高新技术迅猛发展的需要,立足企业当前的基础和迫切需要解决的问题。信息安全规划主要是企业部署了网络硬件路由、防火墙和网络防毒墙。实施和应用了中心机房安全监控、火灾报警系统,瑞星网络版企业杀毒软件和上网行为管理系统。机房和综合楼办公楼实施了 UPS供电,建立了中心机房网络雷电防护体系。安全策略主要是针对网络进行了CISCO PIX515安全策略配置,企业内部网络采用了路由和VLAN技术;服务器采取用户和密码登录;各部门上网用户实行等级权限,采用帐户和密码登录方式进行单个PC管理。各个终端运维强调Windows补丁管理,并通过Windows安全策略向用户提供限制性的访问权限,有效地保护了windows机器。
另外,结合企业职业健康安全管理体系建设要求,对供电体系、雷电防护体系缺陷、计算机的安全保护,信息泄露、数据备份、病毒或黑客入侵等危险源进行了认真的辨识,对二级以上危险源都制订了预控措施,明确了各岗位的岗位职责并对相关职责抓好落实。目前,企业信息系统的安全正式纳入烟草行业安全管理信息系统管理,并着手规划建立健全信息安全技术和信息安全运维两个体系建设。
5、完善制度,建立和落实了信息安全保护责任制。自从202_年组建信息系统网络以来,我厂就先后制订并修改了各项信息安全相关制度,坚持对重大节日期间的信息安全保障工作进行专门部署。今年,我厂在加强内部信息化管理制度建设方面,将国家局行业卷烟生产经营决策管理系统五个操作文件纳入了企业贯标管理。另外,为加强企业网络安全与信息管理,适应行业改革与发展机制的需要,企业除执行国家、行业和公司有关信息网络管理法律法规和制度外,内部制订和修订了一系列规章制度(包括预案和管理办法)。这些制度的制订和修改遵循了相关流程,并形成了记录。目前已正式印发的制度主要包括:《计算机和网络信息系统管理办法》、《通信管理制度》、《网络与信息安全事件专项应急预案》、《潞安矿业(集团)公司容海热电厂计算机安全管理规定》、《通信突发事件应急处置专项预案》。制度下发以后,日常开展督导和制度执行力检查,促进信息安全保护责任的落实。
6、抓好人员培训和系统演练,促进企业重要信息系统日常信息安全保护工作落到实处。另外,在下半年的10月和11月,内部分两期采取模拟信息网络及中心机房突发事件、发生网络中断等突发事件,以训带练的形式开展了这两个应急预案的演练。由生技部牵头,安全科、生产(设备)、物资科等相关部门安排相关人员参加了这次预案的培训和演练。培训和演练取得了预期目的。
5、日常认真抓好信息安全检查和系统运维,促进信息安全管理和系统整治规范。为了营造良好的网络环境,保护自身信息的安全,我厂信息化主管部门结合信息技术支持与服务本职,突出工作重点,积极抓好网络安全管理,进一步使安全落到实处。
(一)、坚持日常信息系统运维检查。针对企业信息网络系统管理和因特网上病毒和欺骗木马程序(病毒)攻击猖獗现状,信息化主管部门日常组织开展了专业性和群众性的信息及安全检查,集中消除和治理安全隐患,杜绝各种信息安全事故发生。
(二)、定期开展信息系统管理制度执行情况检查。按照企业制度督察检查办法,信息化主管部门编制了《计算机网络系统管理办法检查表》,对照信息系统管理制度内容开展对各部门和各岗位以及重点部位、重点项目检查,形成检查记录。
(三)、结合节假日和安全生产月、6S以及内部审核活动等开展信息网络安全专项检查。按照节假日和安全生产月、6S以及内部审核活动要求,开展网络设备全面检查和现场清理整顿工作,(1)是检查全厂各部门采用集线束对办公设备连线的整理规范状况;(2)是重点对两个机房以及各网络交换点场所的开关线路和周围杂物及时进行清理。对检查发现的问题,尤其是严重对网络系统造成安全隐患的项目立即下达通知整改,使问题消灭在萌芽状态,促进信息网络安全监督检查到位,安全记录真实规范。(3)是按照电力行业严格规范的总要求,对全厂网络的一些历史遗留问题和以往布线(电话线、有线、网线等)凸显瑕疵的地方,结合厂区布局的规范化,结合网络规范和6S管理要求,严格按相关标准进行了一次全面清理。
二、企业信息安全工作存在的问题是和改善工作意见或建议
1、企业在网络审计、安全设备统一管理、网站防篡改、行业数字证书(CA)认证等系统方面的建设工作未开展,建议公司加强企业信息安全技术体系建设这些方面给予特别支持和引导。另外,指导企业对信息系统备份措施的检查,包括检查的方法和内容。
2、公司对国家局行业生产经营决策管理系统的安全运维今年正式进行了部署,建议对每次巡检发现的问题能给予统一解决和处理。另外,指导企业开展网络和应用系统应急预案的编制和演练。
三、202_年企业信息安全工作重点
信息安全管理的对象是计算机网络和相关硬件系统以及在此系统上构架应用的软件和信息系统的决策规划、效能应用、系统安全、网络监察、个人上网等一切网络管理行为。而信息和信息网络安全的防范和监管是信息主管部门的一个重要职责。为此,需要做好以下安全防范工作。
1、明确各层组织机构和人员的信息和信息网络安全责任,实现组织和人力上的安全保证;
2、组织建立和健全各项信息和信息网络安全制度,实现制度和管理上的安全保证;
3、规范日常信息化管理和检查制度。包括:软件管理、硬件管理、机房管理、系统运行和维护管理、网络管理等,提出并实施各系统配置和标准化设置,便于安全的维护和加固,实现基础管理上的安全保证;
4、除采用相应的物理防火墙和安全软件外,做好应急预案是确保万无一失的第一步,实现技术上的安全保证;
5、组织好本单位内的项目协调、实施、推广应用与培训等工作,确保信息化项目的实施成效,实现规划和应用上的安全保证;
6、定期组织开展信息和网络安全检查活动。通过对现场检查和清理,系统的监管,促进网络现场规范,营造一个整洁、规范、安全、高效的网络和信息系统环境,实现环境上的安全保证。
202_年12月3日
第二篇:信息安全等级保护自查项目表
信息安全等级保护自查项目表
一、备案单位基本情况 单位全称 责任部门负责人 责任部门联系人 已定级备案的信 息系统数量 姓 姓 名 名 职务或职称 职务或职称 三级系统 等级保护工作责任部门 办公电话 办公电话 二级系统 移动电话 移动电话 合 计
四级系统
二、备案单位等级保护工作开展情况
(一)等级保护工作的组织部署和实施情况 序号 1-1 1-2 1-3 检 查 内 容 具 体 情 况
等级保护协调领导机构设置、落实信息安全责任情况。等级保护责任部门和岗位人员确定情况。等级保护工作的文件,有关工作意见或方案的制定情况。
1-4 1-5 1-6
依据国家等级保护政策、标准规范和行业主管部门等要求,组织开展各项工作情况。等级保护工作会议、业务培训情况。单位主要领导对等级保护工作批示、指示情况。
(二)信息安全管理制度的建立和落实情况 2-1 2-2 2-3 2-4 2-5 2-6 人员安全管理制度建设情况。包括人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度。是否建立安全责任制,系统管理员、网络管理员、安全管理 员、安全审计员是否与本单位签订信息安全责任书。是否有完善的机房安全管理制度,是否建立了机房进出人员 管理和日常监控制度。信息安全产品采购、使用管理、工程实施、验收交付、服务 外包等系统建设相关管理制度建设情况。信息安全事件报告和处置管理制度建设情况,是否建立了日 常信息安全监测和预警机制。制定信息系统安全应急处置预案情况,是否定期组织开展应 急处置演练,并根据演练情况进行完善。
(三)信息系统安全等级保护定级备案情况
3-1 3-2 3-3 3-4
本单位是否有未定级、备案信息系统,已定级信息系统是否 定级准确。新建信息系统是否在规划、设计阶段确定安全保护等级并备 案。信息系统所承载的业务、服务范围、安全需求等是否发生变 化,信息系统安全保护等级是否及时进行变更。是否对本单位重要信息系统的重要性有清楚的认识,是否开 展重要信息系统相关的威胁分析和相互依赖分析。
(四)重要信息系统开展等级测评和安全建设整改情况。4-1 4-2 是否对本单位信息系统等级测评和安全建设整改工作进行总 体部署,具体工作计划是什么? 重要信息系统等级测评和安全建设整改工作是否纳入经 费预算,如何予以保障? 是否每年对第三级(含)以上信息系统进行等级测评,开展 等级测评时,《全国信息安全等级保护测评机构推荐目录》 从 中选择测评机构。是否要求测评机构和测评人员提供相关证明和资质材料;是 否与测评机构签订保密协议
并对测评过程进行监督。
4-3
4-4
4-5
是否按照国家标准或行业标准建设安全设施,落实安全措施; 是否根据等级测评结果,对不符合安全标准要求的,进一步 进行安全整改。
(五)信息安全产品使用、等级保护自查整改等情况。是否按照《管理办法》要求的条件选择使用信息安全产品; 采用国外信息安全产品的,是否经主管部门批准,并请有关 单位对产品进行专门技术检测。本单位如采用国外信息安全产品,主要是哪几类产品,所占 比例如何? 本单位是否采用国外信息安全服务,如采用,主要是哪几个 方面,主要原因是什么? 本单位等级保护自查工作组织部署情况;如接收过公安机关 反馈意见或整改通知书,具体落实情况。重要信息系统 202_ 年以来发生的重大信息安全事件(事故)等情况。
5-1
5-2 5-3 5-4 5-5
(七)其他需要说明的自查情况以及对等级保护工作的意见和建议情况
填表时间:
自查单位主管人员(签字):
本单位信息系统基本情况表
是否 定级 备案 安全 保护 等级 等级测评工作开展情况 未测评 已制定测 已测评 评机构 安全建设整改工作开展情况 未整改 已制定整改方案 完成整改 正在组织实施 并达标
信息系统名称
总数
总数
总数
总数
总数
总数
总数
填表人:
审核人:
填表日期:
第三篇:等级保护
总结下关于等级保护工作的一些基础性知识,对等级保护工作有个快速的认识和了解。
一、什么是等级保护?
答:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
解读:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。
二、等级保护工作具体步骤是怎样的?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:
1)是信息系统定级。
2)是信息系统备案。
3)是系统安全建设。
4)是信息系统开始等级测评。
5)主管单位定期开展监督检查。
解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。
三、开展等级保护工作的相关法律法规或文件要求?
答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[202_]27 号)明确要求我国信息安全保障工作实行等级保护制度;
《信息安全等级保护管理办法》的通知(公通字[202_]43号)具体部署了实施信息安全等级保护工作的操作办法;
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[202_]303号)加快推动了等级保护工作的发展;
《中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。
解读:网络安全法的出台将等级保护工作以法律形式确定下来,等级保护工作至此以法律的形式确定为国家网络安全的基本国策,没有网络安全就没有国家安全.四、等级保护分为几个等级?
答:分为五个等级,分别为:
第一级(自主保护级)
第二级(指导保护级)
第三级(监督保护级)
第四级(强制保护级)
第五级(专控保护级)
系统的重要程度从1-5级逐级升高。
解读:我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。
五、去哪里进行信息系统的定级备案工作?
答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
解读:系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。
六、什么是等级保护测评?
答:等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程,测评结束后出具相应的信息系统测评报告。
解读:对测评机构要求一定是有资质且在用户所在地公安网安部门备案
七、信息系统的测评多久需要测一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。
解读:二级系统为什么建议是两年呢?
一、系统相对三级没那么重要,所以时间上相对长点;
二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。
八、等级保护测评一般多长时间能测完?
答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。
解读:测评周期最不确定的因素就是整改,整改的快自然结束的快,所以用户单位想早点结束的话就得把安全整改抓紧落实完成。
九、等级保护测评的费用是多少?
答:测评的费用首先是按照信息系统来算,不是按照一个单位,不同等级的测评费用不一样。费用每个省市具体要求不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,如某些省市:二级系统不低于4万元;三级系统不低于8万元。
解读:测评的费用按照系统个数和系统的等级去核算,等级越高的相对费用越高
十、用户单位需要开展等级保护测评,找谁去做?
答:找有测评资质在当地有资格的测评公司去做测评,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,同时要求在测评机构在省公安厅网安总队备案成功;另外部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
解读:测评必须是有资质有资格的测评公司去做,有些厂商或者集成商号称能做测评,他们可能是有这个技术水平,但是没有这个资格和资质。
十一、等级保护测评后的最终结论分为哪几种?
答:测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分,如82分。
解读:测评的结论理论上有符合这种结论,就是满分100分的情况,但是实际上很难达到,也几乎没有出现过,如果你们家测评达到100分了,或者你经常看到有人得100分,那一定是这家测评机构不负责任地在测评。一方面是没有绝对的安全,另一方面等保的一些条款确实很难达到或者不适用。初次做等保能达到65-75之间就已经不错了。
十二、等级保护测评结论不符合是不是等级保护工作就白做了?
答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
解读:测评结论不符合不是最重要的,最重要的是我们已经发现了问题,下面就需要及时对这些问题特别是高危风险及时进行安全整改,消除隐患,降低风险。
十三、测评结束后有什么书面性的材料证明自己开展过等保工作?
答:书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章。
解读:有不少人会问,测评报告出了后主管部门有没有一个类似通过测评的一个证明,这个据我了解全国只有极个别地方有类似证明文件,绝大多数地方都没有,拿到了正式测评报告测评的工作就可以算是告一段落了
第四篇:等级保护
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-202_)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-202_)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-202_)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-202_)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-202_)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-202_)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-202_)(应用类测评标准)信息系统安全管理要求(GB/T 20269-202_)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-202_)(应用类管理标准)
第五篇:202_年××单位信息安全等级保护自查工作报告
202_年××单位信息安全等级保护自查工作报告
我校信息安全等级保护工作自查工作自启动以来,结合自身具体实际,认真贯彻落实相关工作机制,逐步完善各项制度,积极参加信息公开相关培训,稳步有序地推进我校信息安全等级建设等各项工作。现将自查报告总结如下:
一、自查情况
(一)安全制度落实情况
我校成立了信息安全机构,主要负责人由校长兼任,网站、信息安全员由王**同志兼任。制定了计算机及网络的保密管理制度。信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄漏等方面有效性。
2、涉密计算机都设有开机密码,由专人保管负责。
3、网络终端没有违规上国际互联网及其他的信息网的现象。
4、建立了后台信息发布审核制度,由主要领导审核以后专人进行后台发送。后台用户名、口令仅限于信息管护人员使用。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我校的实
际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求
信息管理员每天下班前进行系统备份。
二、存在问题及下一步打算
1、要继续加强对师生的安全意识教育,提高做好安全工作的主动性
和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术飞速发展的特点,要加大更新力度。
3、进一步加大培训力度,提升业务水平和计算机信息系统安全防范
能力。不断提高政务信息工作人员的综合素质,增强处理信息的能力,提高信息质量,确保我校信息公开工作安全、顺利开展。202_年12月12日
鲁公网安备37028302000876号