等级保护工作指导建议书v.doc

等级保护工作建议书山东维平信息安全测评技术有限公司2015年4月14日目录一、 什么是信息安全等级保护 -3-二、 为什么要开展信息安全等级保护工作 -4-三、 开展等级保护工作的法律法规依据 -5-(一)总体政策 -6-(二)具体政策 -6- -7- -7- -7- -8- -8-四、 等级保护工作流程 -8-(一)确定测评机构 -9-(二)信息系统定级、备案 -9-(三)差距分析测评 -10-(四)安全建设整改 -11-(五)等级测评 -12-(六)安全运行与维护 -12-(七)信息系统终止 -12-附:山东维平信息安全测评技术有限公司承担的项目介绍 -13-什么是信息安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,信息系统的安全保护等级确定为5个级别,从第一级到第五级逐级增高。(1级自主保护级;2级指导保护级;3级监督保护级;4级强制保护级;5级专控保护级。)信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的基本制度、基本策略、基本管理方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。在我国信息安全领域,只有等级保护是一项强制的制度,只有等级保护是由公安部牵头国务院四个部门(公安部、国务院信息办、国家保密局、国家密码管理局)共同推进的工作,只有等级保护是由国家专政工具——警察监督检查的工作。为什么要开展信息安全等级保护工作当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。信息安全等级保护充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我。从政府角度,电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于电子政务信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须建立电子政务信息系统安全保障体系,考虑技术、管理和法律的因素,全方位地、综合解决系统安全问题。等级保护制度是电子政务提供科学决策、监管控制、大众服务功能成功的保证。实施等级保护制度可以很好的解决信息共享与保密性、完整性的关系、开放性与保护隐私的关系、互联性与局部隔离的关系,是实现“安全”电子政务的基本保障。从卫生信息化建设角度,国家卫生和计划生育委员(以下简称“国家卫计委”)会非常重视卫生医疗行业的信息化及安全建设,近年来颁发如下文件:《卫生行业信息安全等级保护的指导意见》(卫办发[2011]85号)、《关于配合卫生行业开展信息安全等级保护工作的通知》(公信安[2011]2501号)、卫生部卫办发(2010)59号文,《关于进一步深化治理医药购销领域商业贿赂工作的通知》、国家卫生计生委印发《关于建立医药购销领域商业贿赂不良记录的规定》的通知(国卫法制发〔2013〕50号)、国家卫生计生委办公厅公安部办公厅关于加强医院安全防范系统建设的指导意见国卫办医发〔2013〕28号、省计生委《关于转发国家卫生计生委办公厅公安部办公厅关于加强医院安全防范系统建设的指导意见的通知》、省卫计委(2013)2号文《关于加强医疗机构信息系统药品、高值耗材统计功能管理办法(试行)》、、省卫计委《关于开展卫生行业信息安全等级保护工作的通知》。该通知要求全省卫生医疗系统,尤其是三甲医院按照国家卫计委文件要求并结合山东省医院实际开展等级保护建设工作。开展等级保护工作的法律法规依据图一等级保护文件体系(一)总体政策总体方面的文件有两个,这两个文件确定了等级保护制度的总体内容和要求,对等级保护工作的开展起到宏观指导作用。1、公安部、国家保密局、国家