威尼斯人app

设为威尼斯人app 加入收藏 联系大家

欢迎访问威尼斯人app!

威尼斯人app系统建设管理制度
发布日期:2020-05-18 来源: 电教网络中心 阅读

第一章          系统定级管理制度

第一节          总则

第一条  为了加强和提高学院各信息系统安全保障能力和水平,保障和促进学院教育信息化建设,规范信息安全等级保护管理,切实落实监管机构的工作要求,根据《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护定级指南》等有关法律法规,特制定了信息系统等级保护定级管理制度,以供学院相关部门进行具体操作实行。

第二条  本制度遵循国家通过制定统一的信息安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,接受相应管理和监管部门对等级保护工作的实施进行监督、管理。

第三条  电教网络中心是本制度主要实行部门,负责统一按本制度所制定的流程实行相关操作,或根据需要提出其它部门需要配合完成的具体工作内容。

第二节          信息系统安全等级保护定级规定的内容要点

第四条  根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级,信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

(一) 第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。

(二) 第二级为引导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。

(三) 第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。

(四) 第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。

(五) 第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。

第五条  信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

(一) 等级保护对象受到破坏时所侵害的客体包括以下三个方面:

1、公民、法人和其他组织的合法权益。

2、社会秩序、公共利益。

3、国家安全。

(二) 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

1、造成一般损害。

2、造成严重损害。

3、造成特别严重损害。

第六条  定级要素与信息系统安全保护等级的关系如下表所示:

受侵害的客体

对客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

第七条  信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级;从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

第八条  确定信息系统安全保护等级的一般流程如下:

(一) 确定作为定级对象的信息系统。

(二) 确定业务信息安全受到破坏时所侵害的客体。

(三) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度。

(四) 依据定级要素与信息系统安全保护等级的关系表,得到业务信息安全保护等级。

(五) 确定系统服务安全受到破坏时所侵害的客体。

(六) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。

(七) 依据定级要素与信息系统安全保护等级的关系表,得到系统服务安全保护等级。

(八) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

第九条  关于信息系统安全保护定级后相应保护工作的开展规定:

(一) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。

(二) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行引导。

(三) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。

(四) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。

(五) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。

第十条  电教网络中心应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。

第十一条    信息系统在开展等级保护定级工作时应依据和参阅的以下相关文件:

(一) 《信息安全等级保护管理办法》

(二) 《信息安全技术信息系统安全等级保护定级指南》

(三) 《信息系统安全等级保护定级报告》

(四) 《信息安全等级保护备案表》

(五) 《涉及国家机密信息系统分级保护备案表》

(六) 《信息系统安全保护等级划分准则》

(七) 《信息系统安全保护等级基本要求》

(八) 《信息系统安全等级保护测评准则》

第三节          开展信息系统安全等级保护定级工作方法

第十二条    开展信息系统安全等级保护定级工作的基本流程如下:

QQ截图20200710082215.jpg

第十三条    电教网络中心在组织项目建设过程中,各项目负责人应对信息系统基本要素、系统网络结构、系统边界和边界设备信息和文档进行收集整理,并在相关资料文档中描述信息系统承载的业务及业务情况,信息系统处理的主要业务信息、服务范围、服务对象等。

第十四条    其他相关业务部门应在相关项目需求和业务文档中说明信息受到破坏后,会对哪些侵害客体造成什么程度的侵害,以及说明系统服务受到破坏后对哪些侵害客体造成什么程度的侵害。

第十五条    电教网络中心在项目试运行阶段应准备信息系统等级保护定级备案须提交的材料,包括:

(一) 一式两份备案表。

(二) 主管部门定级报告批复件或单位盖章的未完成审批的说明文档。

(三) 定级报告的电子文档(WORD格式)。

(四) 用备案工具生成的电子数据(RAR格式)。

第十六条    对于第三级以上信息系统,项目负责人和其他岗位负责人应当协同组织以下材料:

(一) 系统拓扑结构及说明。

(二) 系统安全组织机构和管理制度。

(三) 系统安全保护设施设计实施方案或者改建实施方案。

(四) 系统使用的信息安全产品清单及其认证、销售许可证明。

(五) 测评后符合系统安全保护等级的技术检测评估报告。

(六) 信息系统安全保护等级专家评审意见。

(七) 主管部门审核批准信息系统安全保护等级的意见。

第十七条    信息系统等级保护定级报告可以一个单位一份,但是各个系统要分类描述清楚,比较复杂的信息系统建议单独出具定级报告。

第十八条    按照相关规定,信息系统等级保护定级报告须经上级主管部门审批通过,以批复件为准,因特殊原因在规定时间内无法完成审批的应提交由单位盖章的说明文档。单位与公安机关联系后,考虑到本单位的特殊情况,暂定不提交上级主管部门审批报告,由公安机关统一办理。

第十九条    按照相关规定第四级(含)以上信息系统的必须进行评审;第三级(含)以下的,可以根据实际情况不聘请专家或聘请一个或多个专家进行定级评审。

第二十条    单位在信息系统等级保护定级工作开展的准备阶段应完成以下工作内容:

(一)     电教网络中心初步整理完成信息系统的定级报告。

(二)     电教网络中心内部对定级报告进行评审。

(三)     对第三级信息系统,单位组织聘请专家或测评机构进行测评。

(四)     电教网络中心最终提交工作文档应包括:《信息系统安全等级保护定级准备工作资料》、《定级报告_XX系统》。

第二十一条       单位在信息系统等级保护定级工作开展的申报阶段应完成以下工作内容:

(一)     电教网络中心整理工作计划和开展方案,向上级部门递交请示报告。

(二)     电教网络中心初步填写公安机关备案表和电子数据,并递送公安机关。

(三)     电教网络中心最终提交工作文档应包括:《备案单位表_XXXX》、《备案系统表_XXXX》、《备案信息_XXXX》。

第二十二条       在信息系统等级保护定级工作开展的总结阶段应完成以下工作内容:

(一)     电教网络中心定期跟踪公安机关备案办理进度。

(二)     电教网络中心组织进行工作总结的编写。

(三)     电教网络中心提交工作总结和等级保护定级情况统计表。

(四)     归档相应的文档和资料。

第二章          安全方案设计制度

第二十三条       电教网络中心应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如:《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058—2010),遵循行业的相关规定,建立信息安全保障体系建设方案,明确安全策略建设、安全管理体系建设、安全技术体系建设和安全运维体系建设等方面内容。

第二十四条       电教网络中心应根据信息系统的等级划分情况,参考国家的法律法规、技术标准(如:《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058—2010),遵循行业的相关规定,建立信息安全保障体系建设规划,明确信息化建设总体规划,并针对现阶段急迫和关键的安全问题,建立近期和远期的工作计划。

第二十五条       电教网络中心应根据系统的安全保护等级,参考基本要求规定的相应级别的保护要求,确定系统的基本安全措施。

第二十六条       电教网络中心应对系统进行风险分析,并根据风险分析的结果补充或调整已确定的基本安全措施。

第二十七条       电教网络中心应组织相关部门和有关安全技术专家对信息安全保障体系建设规划和建设方案的合理性和正确性进行论证和审定,保存专家论证文档,详细记录评审意见。

第二十八条       信息安全保障体系建设规划和建设方案应经过网络信息安全工作领导小组的评审和批准后,方能正式实施,保存评审和批准记录。

第二十九条       电教网络中心应按照《信息安全等级保护管理办法》(公通字[2007]43号)的要求,选择具有国家相关技术资质和安全资质的测评单位,按照技术标准进行安全测评,并根据等级测评安全评估的结果,定期对信息安全保障体系建设规划和建设方案进行调整和修订,保存信息安全保障体系建设方案的修订记录。

第三章          产品采购和使用管理制度

第三十条    采购部门负责产品的采购工作。

第三十一条       系统使用的有关信息安全产品应获得《计算机信息系统安全专用产品销售许可证》,并根据信息系统安全需求选择使用相应等级的产品。

第三十二条       根据《信息安全等级保护管理办法》(公通字[2007]43号)规定,第三级以上信息系统应当选择使用我国自主研发的信息安全产品。

第三十三条       系统使用的密码产品应获得《商用密码产品销售许可证》,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。

第三十四条         供应商的选择

(一)           供应商必须证照齐全,具有相关资质。

(二)           对于经常使用的商品或服务,采购部应较全面地了解掌握供应商的管理状况、质量控制、运输、售后服务等方面的情况,做好记录,对供应商定期进行审定。

(三)           在选择供应商时,必须进行询议价程序和综合评估。供应商为中间商时,应调查其信誉、技术服务能力、资信和以往的服务对象,供应商的报价不能作为唯一决定的因素。

(四)           为确保供应渠道的畅通,防止意外情况的发生,应有两家或两家以上供应商作为后备供应商或在其间进行交互采购。

(五)           采购产品前应预先对产品进行选型测试确定产品的候选范围,保存产品选型测试结果记录;应至少每年对候选产品名单进行审定和更新,保存候选产品名单的审定记录和更新后的候选产品名单。

第三十五条         采购程序

(一)           需求部门对服务和供应品的需求情况提出采购申请,填写《采购申请表》,申请中应明确供应品的类别、名称、规格型号、数量、技术要求、质量要求、原因用途等要求报采购部门。

(二)           采购部门汇总各部门的需求,制定采购计划,并报主管领导审批。

(三)           采购部门应从候选产品名单中选择供应商实施采购。

(四)           采购询价、综合评估、会签合同,由采购部门协调财务部门和需求部门共同完成,报主管领导审批。采购部门负责合同条款的谈判,付款申请、索赔、采购档案的建立,市场信息的收集等。同时,与供方和生产厂联系产品到货的时间、方式、质量反馈及确认售后服务等事宜。

(五)           采购需求发生变化时,需求部门出具采购变更申请,由采购部门负责人签字。确认后交采购部门实行。

第三十六条         付款程序

(一)  采购部门根据付款计划提出申请,部门负责人签字,后附付款明细单或合同编号,交给财务部办理付款手续。无论汇款还是支票要求复印存档。

(二)  发票:付款时必须索要发票,核对发票内容是否和合同一致,交给财务部核销。

第三十七条         违约处理

(一)  产品出现延期后,采购部门负责跟进索赔事宜。

(二)  产品出现质量问题后,由需求部门提出意见,报需求部门负责人签字,交采购部门处理。采购部门接到意见后,将情况上报部门负责人,并按投诉做紧急处理,将情况发邮件并书面报给供应商,要求供应商换货、退货、赔偿。

(三)  采购部门与供应商协商不成或造成损失的,由财务部核算损失,采购部门负责追索。追索不成,由法院裁决。

第三十八条         审计监督

(一)  采购全过程进行财务监督和审计。

(二)  在采购询价、议价、合同签订、合同实行和采购结算过程中,除有需求部门及相关领导参与外,财务部门要全程参与。财务部门主要负责价格的核查及审计。

(三)  采购人员要自觉接受审计及针对采购活动的监督和质询。对采购人员在采购过程发生的违反清廉制度的行为,将按单位有关制度处理。

第四章          自行App开发管理制度

第三十九条       自主开发App应在独立的模拟环境中编写、调试和完成,与实际运行环境物理隔离。

第四十条    电教网络中心应制定代码编写安全规范,要求开发人员参照规范编写代码。

第四十一条       App开发之后应交给测试人员测试App,并且要求同一系统的开发人员和测试人员分离,即开发人员不能参与系统测试工作。

第四十二条       电教网络中心应对测试数据和测试结果的使用情况进行控制,保存测试数据、测试结果的使用控制记录。

第四十三条       电教网络中心应指定专人负责保存App设计的相关文档(至少包括应用App设计程序文件、源代码文档等)、App使用指南或操作手册、维护手册等,以及App开发相关文档,并保存使用控制记录。

第四十四条       电教网络中心负责程序资源库的修改、更新、发布的授权工作,并由负责人进行批准。

第四十五条       为了减少计算机程序被破坏的可能性,严格控制对程序资源库的访问控制措施有:

(一) 程序资源库不应被保存在运行系统中。

(二) 技术开发人员不应具有对程序资源库不受限制的访问权。

(三) 应保留程序的所有版本,程序清单应被保存在一个安全的环境中。

(四) 应保存对所有程序资源库访问的审计记录。

第五章          外包App开发管理制度

第四十六条       App交付前应依据开发要求的技术指标对App功能和性能等进行验收测试;并在App安装之前使用第三方的检测工具检测App包中可能存在的恶意代码。

第四十七条       电教网络中心应要求开发单位提供需求分析说明书、App设计说明书、App操作手册等App开发文档和使用指南,并妥善保管。

第四十八条       电教网络中心应要求开发单位提供App源代码文档,并根据App源代码对App中可能存在的后门进行审查,保存App源代码审查记录,详细记录对可能存在后门的审查结果;若未能提供App源代码,则应要求开发单位提供第三方机构出具的App源代码审查报告。

第六章          工程实施管理制度

第四十九条       电教网络中心负责工程实施过程的管理,并按照工程实施方案的要求对工程实施的过程进行进度和质量控制,保存按照实施方案形成的阶段性工程报告等文档。

第五十条    工程实施方案应明确工程时间限制、进度控制和质量控制等方面的内容。

第五十一条       电教网络中心应要求系统建设方提供能够安全实施系统建设的资质证明和能力保证。

第五十二条       电教网络中心可委托第三方工程监理单位按照系统建设文档的要求对工程实施过程进行进度和质量控制,并保存工程监理实施过程形成所有文档,如:阶段性工程监理报告。

第七章          测试验收管理制度

第五十三条       电教网络中心负责系统项目的管理,并按照管理规定的要求完成系统测试验收工作。

第五十四条       系统建设方在项目完成后1个月内,向电教网络中心提出项目竣工验收申请,同时提交以下材料:

(一)     App测试报告。

(二)     信息安全测评报告。

(三)     系统测试验收方案。

(四)     系统测试用例。

(五)     系统使用手册。

(六)     其他相关资料和文件。

第五十五条       在系统建设完成之后,电教网络中心应委托信息安全测评机构对信息系统进行独立的安全测评,保存测评报告,明确安全测评的结果,并具有信息安全测评机构的签字或盖章;若测评报告中提出了存在的问题,应及时进行整改,保存整改报告。

第五十六条       系统建设方应根据设计方案或合同要求等制订测试验收方案,明确参与测试的部门、人员、测试验收的内容、现场操作过程等方面内容。

第五十七条       信息系统测试内容主要包括:

(一)     信息系统功能是否符合需求规格说明书的业务流程和业务需求。

(二)     信息系统数据处理是否正确。

(三)     信息系统性能是否满足业务要求。

(四)     信息系统是否易于操作,并具较好的容错性。

第五十八条       电教网络中心应保存测试验收记录,详细记录测试时间、人员、现场操作过程和测试验收结果等内容。

第五十九条       电教网络中心应保存系统测试验收报告,详细描述整体测试验收过程以及测试验收结果,必要时,提出存在的问题及改进意见等内容。

第六十条    电教网络中心应根据设计方案或合同要求组织相关部门和人员对测评报告和系统测试验收报告进行符合性审定,保存报告的审定文档,详细记录相关人员的审定意见。

第八章          系统交付管理制度

第六十一条       电教网络中心负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。

第六十二条       系统交付时,应由系统建设方对负责系统运行维护的技术人员进行相应的技能培训,培训内容至少包括系统操作规程、运维注意事项等;并保存培训记录,详细记录培训内容、培训时间和参与人员等内容。

第六十三条       电教网络中心应保存系统建设过程中的所有文档、引导用户进行系统维护的文档和系统培训手册等。

第六十四条       系统建设过程中的所有文档包括工程实施、系统测试、系统验收等过程产生的所有文档,可参考《信息安全技术 信息系统安全工程管理要求》GB/T 20282—2006。

第六十五条       电教网络中心应建立系统交付清单,分类列举系统交付的各类设备、App、文档等。

第六十六条       系统交接时应根据交付清单对所交接的设备、文档、App等进行清点。

第九章          系统备案管理制度

第六十七条       电教网络中心负责管理系统定级的相关材料;并对系统定级的相关材料的使用情况进行控制,保存系统定级相关材料的使用控制记录。

第六十八条       系统定级后,应按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)的要求,及时对信息系统进行备案。

第六十九条       电教网络中心应将系统定级及相关材料报上级主管部门备案,保存上级主管部门的反馈意见。

第七十条    已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由电教网络中心到公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由电教网络中心到公安机关办理备案手续;并保存公安机关颁发的《信息系统安全等级保护备案证明》。

第十章          等级测评管理制度

第七十一条       电教网络中心负责等级测评的管理工作。

第七十二条       选择的等级测评单位应获得《信息安全等级保护测评机构推荐证书》。

第七十三条       应至少每年委托测评机构对系统进行一次等级测评,并根据等级测评结果,对发现的问题及时整改,保存测评报告和整改报告。

第七十四条       当系统发生变更时,应及时对系统进行等级测评;当发现级别发生变化的,应及时调整级别并进行安全改造;当发现不符合相应等级保护要求的,应及时进行整改。

第十一章             安全服务商选择管理制度

第七十五条       选择的安全服务商应具有国家有关部门颁发的相关安全服务资质,包括安全咨询、监理、培训、规划、设计、实施、测评、运维等方面。

第七十六条       电教网络中心应保存与安全服务商签订的安全责任合同书或保密协议等文档,明确保密范围、安全责任、违约责任、协议的有效期限等方面内容,并具有双方签字或盖章。

第七十七条       电教网络中心应保存与安全服务商签订的服务合同,明确其提供的技术培训内容、服务承诺、服务期限等方面,并具有双方签字或盖章。

第十二章             附件

《信息系统安全等级保护定级报告》(模版)

《信息安全等级保护备案表》(模版)

《涉及国家机密信息系统分级保护备案表》(模版)

《信息化建设总体规划》(模版)

《信息化建设近期和远期工作计划》(模版)

《信息安全建设方案》(模版)

《信息安全建设方案评审记录表》    (GISM_MT_04_01_01

《信息安全建设方案审批表》       (GISM_MT_04_02_01)

《信息安全建设方案修订记录表》    (GISM_MT_04_03_01)

《专家论证评审记录表》            (GISM_MT_04_04_01

《候选产品名单》                 (GISM_MT_04_05_01)

《候选产品定期审定表》           (GISM_MT_04_06_01)

《采购申请表》                    (GISM_MT_04_07_01)

《采购计划》                      (GISM_MT_04_08_01)

《采购变更申请表》                (GISM_MT_04_09_01

《代码编写安全规范》(模版)

《程序资源库修改申请表》          (GISM_MT_04_10_01)

《代码审查检查表》               (GISM_MT_04_11_01)

《阶段性工程监理报告》(模版)

《测试验收记录》                  (GISM_MT_04_12_01

《系统测试验收报告》(模版)

《报告审定记录表》                (GISM_MT_04_13_01

《培训记录表》                    (GISM_MT_04_14_01

《系统交付清单》                  (GISM_MT_04_15_01

《年度信息系统定级备案一览表》    (GISM_MT_04_16_01

 


 

《信息系统安全等级保护定级报告》(模版)

 

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)

(一)业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

信息系统名称

安全保护等级

业务信息安全等级

系统服务安全等级

XXX信息系统

X

X

X


 

备案表编号:














 

 

 

信息系统安全等级保护

备案表

(模版)

 

 

 

 

 

 

 

 

 

 

 

位:       (盖章)        

期:                            

 

受理备案单位:       (盖章)        

期:                         

 

 

 

 

中华人民共和国公安部监制

 

 

 

 

 

填 表 说 明

 

一、   制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;

二、   填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;

三、   保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;

四、   本表中有选择的地方请在选项左侧“0划“√”,如选择“其他”,请在其后的横线中注明详细内容;

五、   封面中备案表编号由受理备案的公安机关填写并校验)分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;

六、   封面中备案单位:是指负责运营使用信息系统的法人单位全称;

七、   封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章

八、   表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;

九、  表一05单位负责人:是指主管本单位信息安全工作的领导;

十、  表一06责任部门:是指单位内负责信息系统安全工作的部门;

十一、 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997填写;

十二、 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;

十三、 表二05系统网络平台:是指系统所处的网络环境和网络构架情况;

十四、 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主常识产权;

十五、 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;

十六、 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;

十七、 表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;

十八、 说明:本表由公安部公共信息网络安全监察局监制并负责说明,未经允许,任何单位和个人不得对本表进行改动。


 

表一  单位基本情况

01 单位名称


02 单位地址

          省(自治区、直辖市)           地(区、市、州、盟)

          县(区、市、旗)

03 邮政编码








04 行政区划代码








05 单位

负责人

姓   名


职务/职称


办公电话


电子邮件


06 责任部门


07 责任部门

联系人

姓   名


职务/职称


办公电话


电子邮件


移动电话


08 隶属关系

01中央             02省(自治区、直辖市)      03地(区、市、州、盟)

04县(区、市、旗) 09其他           

09 单位类型

01党委机关  02政府机关  03事业单位  04企业   09其他         

10 行业类别

011电信          012广电         013经营性公众互联网

 

021铁路          022银行         023海关                024税务            

025民航          026电力         027证券                028保险

 

031国防科技工业  032公安         033人事劳动和社会保障  034财政

035审计          036商业贸易     037国土资源            038能源

039交通          040统计         041工商行政管理        042邮政

043教育          044学问         045卫生                046农业               

047水利          048外交         049发展改革            050科技     

051宣传          052质量监督检验检疫

 

099其他                 

11 信息系统

总数

  

12 第二级信息系统数

13 第三级信息系统数

14 第四级信息系统数

15 第五级信息系统数





















 


 

表二( / )信息系统情况

 

01 系统名称


02 系统编号





03 系统承

载业务情况

业务类型

01生产作业   02指挥调度       03管理控制     04内部办公      

05公众服务   09其他       

业务描述


04 系统服

务情况

服务范围

010全国                        011跨省(区、市) 跨    

020全省(区、市)              021跨地(市、区) 跨    

030地(市、区)内 

099其它            

服务对象

01单位内部人员  02社会公众人员 03两者均包括  09其他       

05 系统网

络平台

覆盖范围

01局域网        02城域网       03广域网      09其他       

网络性质

01业务专网      02互联网       09其它      

06 系统互联情况

01与其他行业系统连接     02与本行业其他单位系统连接

03与本单位其他系统连接   09其它         

07 关键产品使用情况

序号

产品类型

数量

使用国产品率

全部使用

全部未使用

部分使用及使用率 

1

安全专用产品


0

0

0           %

2

网络产品


0

0

0           %

3

操作系统


0

0

0           %

4

数据库


0

0

0           %

5

服务器


0

0

0           %

6

其他       


0

0

0           %

08 系统采用服务情况

序号

服务类型

服务责任方类型

本行业(单位)

国内其他服务商

国外服务商

1

等级测评

00

0

0

0

2

风险评估

00

0

0

0

3

灾难恢复

00

0

0

0

4

应急响应

00

0

0

0

5

系统集成

00

0

0

0

6

安全咨询

00

0

0

0

7

安全培训

00

0

0

0

8

其它      

0

0

0

09 等级测评单位名称


10 何时投入运行使用

           年      月    日

11 系统是否是分系统

0是             0否(如选择是请填下两项)

12 上级系统名称


13 上级系统所属单位名称

















 


 

表三( / )信息系统定级情况

01 确定

业务

信息

安全

保护

等级

损害客体及损害程度

级别

0仅对公民、法人和其他组织的合法权益造成损害

0第一级

0对公民、法人和其他组织的合法权益造成严重损害

0对社会秩序和公共利益造成损害

0第二级

0对社会秩序和公共利益造成严重损害

0对国家安全造成损害

0第三级

0对社会秩序和公共利益造成特别严重损害

0对国家安全造成严重损害

0第四级

0对国家安全造成特别严重损害

0第五级

02 确定

系统

服务

安全

保护

等级

 

 

 

0仅对公民、法人和其他组织的合法权益造成损害

0第一级

0对公民、法人和其他组织的合法权益造成严重损害

0对社会秩序和公共利益造成损害

0第二级

0对社会秩序和公共利益造成严重损害

0对国家安全造成损害

0第三级

0对社会秩序和公共利益造成特别严重损害

0对国家安全造成严重损害

0第四级

0对国家安全造成特别严重损害

0第五级

03 信息系统安全保护等级

0第一级  0第二级    0第三级  0第四级    0第五级

04 定级时间

       年      月    日

05 专家评审情况

0已评审            0未评审

06 是否有主管部门

0有                0无(如选择有请填下两项)

07 主管部门名称


08 主管部门审批定级情况

0已审批            0未审批

09 系统定级报告

0有                0无        附件名称               

填表人: 

填表日期:     年   月   日






 

备案审核民警:                              审核日期:       年   月   日

 


 

表四( / )第三级以上信息系统提交材料情况

 

01 系统拓扑结构及说明

0有           0无          附件名称               

02 系统安全组织机构及管理制度

0有           0无          附件名称               

03 系统安全保护设施设计实施方案或改建实施方案

0有           0无          附件名称               

04 系统使用的安全产品清单及认证、销售许可证明

0有           0无          附件名称               

05 系统等级测评报告

0有           0无          附件名称               

06 专家评审情况

0有           0无          附件名称               

07 上级主管部门审批意见

0有           0无            附件名称               

 

 


 

涉及国家秘密的信息系统分级保护备案表(模版)

单位名称


涉密信息系统名称


系统密级(保护等级)

□ 秘密      □ 机密      □ 绝密

系统联接范围

□局域网 □城域网 □广域网(跨    个省或地)

系统安全域划分和安全域密级确定

□未划分安全域

□划分安全域(共有    个,其中绝密级    个,

    机密级      个,秘密级      个,内部级      个)

系统主要承建单位


系统投入使用时间


系统运行管理部门


系统安全保密管理部门


系统分级保护实施情况

□已经实施   □正在实施   □计划     年实施  

填报日期:    年  月  日                填报单位:(盖章)

填表说明:

1.“系统密级”依据《涉及国家秘密的信息系统分级保护管理办法》和国家保密标准BMB17-2006确定。

2.涉密信息系统一般应划分安全域,同一系统内的不同安全域根据所处理信息的重要程度,可分别确定密级。

3.表中“□”项,确认划“√”。

4.填报多个涉密信息系统,可复印此表。


 

信息化建设总体规划(模版)

一、    信息化分析

(一)    信息化现状分析

(二)    信息化需求分析

二、    信息化建设的引导方针、发展战略和目标

(一)    信息化建设的引导方针

(二)    信息化建设的发展战略

(三)    信息化建设的总体目标、阶段目标

三、    信息化发展基础建设

 

四、    支撑信息化建设的未来主要管理战略

 

五、    信息化发展项目实施原则、过程及风险分析

(一)    项目实施主要原则

(二)    项目实施主要过程

(三)    项目实施主要风险分析

六、    信息化建设投资概算与效益分析

 

 


 

信息化建设近期和远期工作计划(模版)

 

一、    信息化建设的引导思想和原则

(一)    引导思想

(二)    原则

二、    信息化建设近期工作计划

 

三、    信息化建设远期工作计划

 

 

 


 

信息安全建设方案(模版)

一、    概述

 

二、    网络现状

 

三、    信息安全分析

 

四、    安全需求分析

 

五、    信息安全体系建设

 

六、    信息安全方案设计

 

七、    信息化建设实施计划

 

八、    信息化安全建设实施步骤

 

九、    安全运营建设方案

 

十、    售后服务与培训

 

十一、      安全产品清单

 


 

信息安全建设方案评审记录表            GISM_MT_04_01_01

方案名称


评审时间


评审主持人


方案起草部门


存在问题及改进建议


评审结论


记录人


日期


审核人


日期


评审人签名

单位/部门

职位
















 


 

信息安全建设方案审批表            GISM_MT_04_02_01

方案名称


日期


方案设计单位


阶段


经办部门


经办人


内容摘要:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

方案负责人意见

 

 

 

 

 

 

 

签字:          日期         

批准人审批意见

 

 

 

 

 

 

 

 

签字:          日期         

 


 

信息安全建设方案修订记录表            GISM_MT_04_03_01

时间


地点


会议主持人


会议记录人


方案名称


参见人员(签名)


评审内容


修订内容及生效日期


编制人签字


日期


审核人签字


日期


批准人签字


日期







 


 

专家论证评审记录表               GISM_MT_04_04_01

时间


主持人


论证制度名称


会议内容


专家会签


专家论证意见


部门意见

 

 

 

 

 

 

 

负责人:          日期:          

信息中心意见

 

 

 

 

 

负责人:          日期:          


 

候选产品名单                              GISM_MT_04_05_01

序号

产品名称

产品性能指标

供应商

联系人

电话

编制人/日期

审批人/日期

















































 

 

 


 

候选产品定期审定表                           GISM_MT_04_06_01

 

序号

产品名称

供应商

首次列入日期

审批人

备注















































































 


 

采购申请表                GISM_MT_04_07_01

申请人


日期


采购类型

供应品         服务   

原因、用途:

技术要求:

质量要求:

序号

类别

名称

规格型号

数量

单价(元)

合计




































资金合计(人民币大写):                                          

审核意见:

 

 

 

                                    技术(办公室)负责人:

                                                                      

批准意见:

 

 

 

                                    批准人:

                                                                      











 


 

采购计划表                 GISM_MT_04_08_01

序号

名称

规格/型号

计划数量

单价

计划到货日期

备注



































































































 


 

采购变更申请表               GISM_MT_04_09_01

采购部门


原采购单号


名称


规格型号


变动内容


变动原因


经办人


联系方式


采购部

意见

 

 

 

 

 

签字:             日期:           

财务部

意见

 

 

 

 

 

签字:             日期:           

批准人

意见

 

 

 

 

 

签字:             日期:           

备注

1.附件资料:原采购申请表复印件,已采购合同复印件

2.本表一式四份:采购申请部门、采购部、财务部、档案室各一份

 


 

代码编写安全规范(模版)

一、       目的

 

二、       范围

 

三、       注释规范

 

四、       命名总体规则

 

五、       命名规则

 

六、       编码规则

 

七、       编程准则

 

八、       代码包规范

 

九、       输入控制校验规则

 

十、       附件

 

 


 

程序资源库修改申请表           GISM_MT_04_10_01

申请人


申请时间


操作员


监护人


修改时间




修改内容

原程序

新程序



修改目的及达到效果


预防措施


部门负责人


批准人








 

代码审查检查表               GISM_MT_04_11_01

问题

否,指出问题所在或说明理由

总体

代码编制是否遵照编码规范?



缺陷修改是否完全完成?



所有的代码是否风格保持一致?



注释

所有的注释是否是最新的?



所有的注释是清楚和正确?



若代码修改注释是否很方便修改?



所有代码异常处理是否都有注释?



每一功能目的是否都有注释?



是否按注释类型格式编写注释?



代码注释量是否达到了规定值?



源代码质量

所有变量的命名是否依照规则?



循环嵌套是否优化到最少?



所有代码是否易懂?



所有设计要求是否都实现?



其他(根据情况添加)



记录人


日期


审核人


日期








 

阶段性工程监理报告(模版)

 

一、       工程概述

 

二、       质量控制

 

三、       安全管理

 

四、       工程验收检测结果

 

五、       监理对XX工程质量综合评估意见

 

六、       存在问题

 

七、       下阶段工作计划

 

八、       附件

 

 


 

测试验收记录               GISM_MT_04_12_01

测试时间


测试人员


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

记录人:               日期:                

测试验收

结果


审核人意见:

 

 

 

 

签字:                  日期:                

 


 

系统测试验收报告(模版)

一、       测试概括

(一)           项目名称

 

(二)           工程情况概况

 

(三)           设备清单列表

 

(四)           网络系统先容

 

二、       测试内容和结果

(一)           测试时间:

(二)           测试人员:

(三)           测试目的

 

(四)           测试内容

 

(五)           测试结果

 

三、       存在问题及改进建议

 

 


 

报告审定记录                GISM_MT_04_13_01

报告名称


报告编号


提交人


审查日期


审查内容:

 

 

 

 

 

 

 

 

 

 

 

 

负责人:                  日期:

审查结果:

 

 

 

 

 

 

负责人:                  日期:

整改意见:.

 

 

 

 

 

 

负责人:                  日期:

批准人意见:

 

 

 

 

签字:                日期:

 


 

培训记录表                GISM_MT_04_14_01

培训主题


培训对象


教    师


教    材


考核方式


时    间


姓    名

岗   位

 

培训内容:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                          

 































记录人


审核人


审核时间










 


 

系统交付清单              GISM_MT_04_15_01

项目名称


交付人员


交付日期


序号

名称

数量

备注













































交付单位负责人意见:

 

 

 

签字:            日期:           

接收单位负责人意见:

 

 

 

签字:            日期:           

 


    年度信息系统定级备案一览表                     GISM_MT_04_16_01

序号

系统名称

建设时间

运行时间

备案时间

定级

情况

(级别)

定级结果

组合(SAG)

测试时间/

机构

备注

(附定级报告、备案证明、测试资料等)









































































 


XML 地图 | Sitemap 地图