信息安全等级保护管理办法

国家密码管理局文件

国密局发[2009]10号

关于印发《<信息安全等级保护商用密码

管理办法>实施意见》的通知

各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局，深圳市密码管理局：

为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施，进一步规范信息安全等级保护商用密码管理工作，我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。现印发你们，请认真贯彻执行。

执行中的意见和建议，请及时向我局反馈(联系电话：010-********) 。

2009年12月15日

主题词：商用密码等级保护实施意见通知

抄送：公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委，国务院各直属机构。

国家密码管理局办公室 2009年lo月29日印发

(共印l000份)

《信息安全等级保护商用密码管理办法》

实施意见

为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施，进一步规范信息安全等级保护商用密码管理工作，特提出以下意见。

一、使用商用密码对信息系统进行密码保护，应当严格遵守国家商用密码相关政策和标准规范。

二、在实施信息安全等级保护的信息系统中，商用密码应用系统是指采用商用密码产

信息安全等级保护

公安部公共信息网络安全监察局

(一)等级保护是什么 (二)等级保护做什么 (三)等级保护如何实施

法律和政策依据《中华人民共和国计算机信息系统安全保护条例》第二章安 中华人民共和国计算机信息系统安全保护条例》 全保护制度部分规定： 全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全 计算机信息系统实行安全等级保护。 等级保护的具体办法，由公安部会同有关部门制定。” 等级保护的具体办法，由公安部会同有关部门制定。

《计算机信息系统安全保护等级划分准则》GB17859-1999(技 计算机信息系统安全保护等级划分准则》GB17859-1999 术法规)规定： :国家对信息系统实行五级保护。 国家对信息系统实行五级保护。

《国家信息化领导小组关于加强信息安全保障工作的意见》 国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系 实行信息安全等级保护制度， 统。

一、等级保护是什么(一)等级保护基本概念：信息系统安全等级保护是指对信息安全实行等 等级保护基本概念： 级化保护和等级化管理

根据信息系统应用业务重要程度及其实际安全需求，实 行分级、分类、分

南京林业大学

信息安全等级保护工作检查总结材料 一、部署和组织实施情况 为加强我校信息系统等级保护工作的组织领导，扎实推进信息系统等级保护工作开展，预防和杜绝信息系统安全事件发生，确保信息系统安全，我校成立了网络与信息安全工作领导小组，并组织相关专业技术力量，全面负责信息系统安全管理工作。2011年6月份信息（网络）中心召开多次会议，学习、讨论《信息系统安全等级保护定级指南》等相关文件，组织开展我校信息安全等级保护工作，由各个信息系统的使用部门专人完成相应的信息系统定级工作。

二、定级备案情况

信息安全等级保护(二级)

备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统

信息安全等级保护培训试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息

WORD

专业资料

信息系统安全等级保护

备案表

备 案 单 位： （盖章）

备 案 日 期：

受理备案单位： （盖章）

受 理 日 期：

备案表编号：

WORD

专业资料中华人民国公安部监制填表说明

一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本

表；

二、填表围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）

填写；本表由四表单构成，表一为单位信息，每个填表单位填写一；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一；表四为第三级以上信息系统需要同时提交的容，由每个第三级以上信息系统填写一，并在完成系统建设、整改、测评等工作，投入运行后三十日向受理备案公安机关提交；表二、表

三、表四可以复印使用；

三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；

四、本表中有选择的地方请在选项左侧“”划“√”，如选择“其他”，请在其后的横线

中注明详细容；

五、封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部

分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备

内蒙古自治区人民医院

信息安全等级保护制度

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函[2011]1126号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（内卫信[2012]20号）、关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知（内卫信字[2012]665号）、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（内卫信字[2012]21号）、关于开展信息安全等级保护大检查工作的通知（内卫信字[2012]1号）等文件的精神，根据我院自身情况，制定了内蒙古自治区人民医院信息安全等级保护制度。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全

信息安全等级保护培训试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。

B．适用于地市级以上国家

教育行业信息系统安全等级保护

定级工作指南

（试行）

1 总则

本指南依据国家信息安全等级保护相关政策和标准，结合教育行业信息化工作的特点和具体实际，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。

信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。

2 定级依据

《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

《信息系统安全等级保护定级指南》（GB/T 22240-2008）《信息系统安全等级保护实施指南》（GB/T 25058-2010）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《信息安全等级保护管理办法》（公通字〔2007〕43号）

3 信息系统的类型划分

信息系统的类型划分是进行信息系统安全等级划分的前提和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类，形成信息系统分类表（附件1）。

3.1按信息系统主管单位划分

按照信息系统主管单位的不同，信息系统分为“教育行政部门及其直属事业单位信息系统”（简称“部门信息系统”）和“学

备案表编号：

信息系统安全等级保护

备案表

备 案 单 位： （盖章） 备 案 日 期：

受理备案单位： （盖章） 受 理 日 期：

中华人民共和国公安部监制

填 表 说 明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本

表；

二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单

位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；

三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、 本表中有选择的地方请在选项左侧“

中注明详细内容；

五、 封面中备案表编号（由受理备案的