网络安全等级保护建设的流程

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

[键入文档标题]

解决方案

2018年6月

医院等级保护建设网络安全建设

目录

1

概述 1.1 1.2 1.3 1.4 2

背景分析

等级保护建设目标和范围 方案设计 参照标准

信息系统现状 2.1 2.2 2.3

医院网络安全现状 医院网络安全风险分析 医院网络安全需求 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6

物理安全 网络安全 主机安全 应用安全 数据安全

安全域划分及边界防护

3 网络安全建设必要性 3.1

等级保护要求

3.2 4

医院系统面临安全威胁

网络安全建设目标 4.1 4.2

满足合规性要求 等级保护技术要求

5 安全技术体系方案设计 5.1 5.2

物理层安全 网络层安全 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8 5.2.9 5.3

安全域划分 边界访问控制 网络审计 网络入侵防范 边界恶意代码防范 网络设备保护 主机层安全 身份鉴别 强制访问控制 主机入侵防范 主机审计 恶意代码防范 剩余信息保护 资源控制

应用层安全 5.3.1 5.3.2 5.3.3 5

信息网络安全等级保护工作

自检自查报告

XX县烟草专卖局（分公司）的信息网络安全建设在上级部门的关心指导下，近年取得了快速的进步和发展，实效性强，网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定，严格规范信息安全等级保护，提高企业对信息网络安全的防控能力，保障企业信息网络安全，保证公司各项办公自动化工作的正常进行，促进企业效益的稳步提升，按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求，我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查，现将自查情况报告如下。

一、 等级保护工作部署和组织实施情况

XX县烟草公司企业信息化建设在市局（公司）的统一领导下，按照“统一网络、统一平台、统一数据库”的要求，以打造“数字烟草”为战略目标，以“系统集成、资源整合、信息共享”为工作方针，取得了快速的发展，在积极推进企业信息化建设的过程中，更加重视网络信息的安全建设工作。从省公司到市公司、县公司，领导高度重视，统一规划，统一标准，同步实施。首先是逐级成立了领导小组和职能部门，XX分公司按照上级部门要求，2000年11月成立了信息化领导小组，下设信息办在公司办公室，并设置了计算机系统管理

信息安全等级保护

公安部公共信息网络安全监察局

(一)等级保护是什么 (二)等级保护做什么 (三)等级保护如何实施

法律和政策依据《中华人民共和国计算机信息系统安全保护条例》第二章安 中华人民共和国计算机信息系统安全保护条例》 全保护制度部分规定： 全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全 计算机信息系统实行安全等级保护。 等级保护的具体办法，由公安部会同有关部门制定。” 等级保护的具体办法，由公安部会同有关部门制定。

《计算机信息系统安全保护等级划分准则》GB17859-1999(技 计算机信息系统安全保护等级划分准则》GB17859-1999 术法规)规定： :国家对信息系统实行五级保护。 国家对信息系统实行五级保护。

《国家信息化领导小组关于加强信息安全保障工作的意见》 国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系 实行信息安全等级保护制度， 统。

一、等级保护是什么(一)等级保护基本概念：信息系统安全等级保护是指对信息安全实行等 等级保护基本概念： 级化保护和等级化管理

根据信息系统应用业务重要程度及其实际安全需求，实 行分级、分类、分

1 项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全

南京林业大学

信息安全等级保护工作检查总结材料 一、部署和组织实施情况 为加强我校信息系统等级保护工作的组织领导，扎实推进信息系统等级保护工作开展，预防和杜绝信息系统安全事件发生，确保信息系统安全，我校成立了网络与信息安全工作领导小组，并组织相关专业技术力量，全面负责信息系统安全管理工作。2011年6月份信息（网络）中心召开多次会议，学习、讨论《信息系统安全等级保护定级指南》等相关文件，组织开展我校信息安全等级保护工作，由各个信息系统的使用部门专人完成相应的信息系统定级工作。

二、定级备案情况

信息安全等级保护(二级)

备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统

1 项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全

``

XX云数据中心安全等级保护建设方案

```

``

项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按