信息系统等级保护建设管理规定模板.docx
- 文档编号:6416413
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:10
- 大小:19.53KB
信息系统等级保护建设管理规定模板.docx
《信息系统等级保护建设管理规定模板.docx》由会员分享,可在线阅读,更多相关《信息系统等级保护建设管理规定模板.docx(10页珍藏版)》请在冰豆网上搜索。
信息系统等级保护建设管理规定模板
版本号:
Ver1.0
密级:
内部公开
XX学院
信息系统等级保护建设管理规定
修订记录
版本号
编制部门
修改日期
生效日期
修改原因和修改内容提示
修改说明:
(注:
版本号:
第一次制订为第一版,既以“1.0”表示。
若有重大修改时,号码递增1,即为“2.0”。
若有细微修改,号码递增0.1,即为“1.1”,若号码变更数超过9时,则以10、11、12……依序排列。
)
第一章总则1
第二章适用范围1
第三章术语定义1
第四章组织职责1
第五章系统定级1
第六章安全检查报告2
第七章系统建设3
第八章系统备案3
第九章系统测评4
第十章系统终止5
第十一章相关文件5
第十二章相关记录5
第十三章持续改进5
第十四章附则6
第一章总则
第一条本标准是为了规范信息安全等级保护管理,提高信息安全保障能力和水平,维护信息系统安全运行,保障和促进信息化建设,特制定本规定。
第二章适用范围
第二条本规定适用于XX学院信息系统等级保护建设过程,管理对象为等级保护建设过程中所有管理人员、维护人员、使用人员以及第三方服务机构。
第三章组织职责
第三条信息安全工作领导小组负责信息安全等级保护工作的监督、检查、指导并协调各个部门之间的协同工作,支持和推动信息安全等级保护工作在整个学校范围内的实施。
第四条信息安全等级保护工作小组在信息安全工作领导小组的指导下负责落实信息安全等级保护工作的监督、检查、指导信息安全等级保护工作。
第五条安全管理员负责协调组织学校信息安全等级保护建设工作,包括系统定级、方案设计、等级备案、等级测评等工作。
第六条学校相关部门或人员协助配合安全管理员进行等级保护建设工作。
第四章系统定级
第七条信息系统定级坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第八条信息系统的安全保护等级分为以下五级:
1)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
3)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
4)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
5)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第九条由安全管理员根据《GB/T22240信息安全等级保护定级指南》中等级保护定级因素对系统进行定级。
第一十条安全管理员制订信息系统定级报告,并组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。
第一十一条审定通过的定级报告报送相关等级保护主管部门进行审批。
第五章安全检查报告
第一十二条安全方案设计阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
第一十三条安全管理员协调相关部门或人员对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
第一十四条安全管理员协调相关部门或人员根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。
第一十五条信息安全等级保护工作小组负责组织相关部门和有关安全技术专家对系统安全设计方案进行评审和论证。
第一十六条根据等级测评、安全评估的结果由安全管理员协调相关人员定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
第六章系统建设
第一十七条产品采购和使用应按照国家相关部门要求和学校相关管理制度进行产品采购。
第一十八条对于自行、外包软件开发以及项目工程实施过程应按照《XX学院信息系统管理规范》相关要求进行管理。
第一十九条系统建设完成后对系统进行安全性测试,并出具安全性测试报告;根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,对不符合等级保护要求的及时进行整改,并形成测试验收报告。
第二十条安全管理员负责对第三方测试单位进行管理,并按照《XX学院第三方安全管理规定》对第三方人员行为准则进行严格管理。
第二十一条安全管理员组织相关部门和相关人员对系统测试验收报告进行审定。
第七章系统备案
第二十二条已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由安全管理员到所在地区的市级以上公安机关办理备案手续。
第二十三条新建第二级以上信息系统,应当在投入运行后30日内,由安全管理员到所在地区的市级以上公安机关办理备案手续。
第二十四条办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
1)系统拓扑结构及说明
2)系统安全组织机构和管理制度;
3)系统安全保护设施设计实施方案或者改建实施方案;
4)系统使用的信息安全产品清单及其认证、销售许可证明;
5)测评后符合系统安全保护等级的技术检测评估报告;
6)信息系统安全保护等级专家评审意见;
7)主管部门审核批准信息系统安全保护等级的意见。
安全检查工具只能在检查设备或者被检查部门的设备上运行,并由检查人员负责操作。
第八章系统测评
第二十五条测评机构应具有国家相关技术资质和安全资质的测评单位进行等级测评,第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
1)在中华人民共和国境内注册成立(港澳台地区除外);
2)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
3)从事相关检测评估工作两年以上,无违法记录;
4)工作人员仅限于中国公民;
5)法人及主要业务、技术人员无犯罪记录;
6)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
7)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
8)对国家安全、社会秩序、公共利益不构成威胁。
第二十六条安全管理员负责对测评机构等级测评过程按照学校相关规定进行管理,负责对测评人员安全保密进行要求,必要时与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第二十七条在系统运行过程中,应定期进行等级测评,二级及系统至少每年对系统进行一次等级测评,三级及三级以上系统至少每半年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改。
第二十八条在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。
第九章系统终止
第二十九条信息系统被转移、终止或废弃时,由安全管理员组织系统相关管理人员提出系统终止申请,由学校信息安全工作领导小组进行审批,方可执行系统转移、终止或废弃。
第三十条审批通过后由安全管理对系统所属软、硬件和介质等敏感信息按照相关规定进行处理。
第一十章持续改进
第三十一条为了保证本策略文件的时效性、可有性,必须根据相关审核规定进行评审和修订,修订后重新发布。
第一十一章附则
第三十二条本文件由信息中心负责制定、解释和修改,学校过去制定和颁布的有关规定与本文件不一致的,以本文件为准。
第三十三条本文件自发布之日起执行。
附录一、系统安全设计方案评审表
日期:
年月日
方案名称
评审人员
方案内容(须提交方案作为附件):
评审意见:
评审人员:
日期:
附录二、系统测试验收评审表
日期:
年月日
报告名称
评审人员
报告内容(须提交测试报告作为附件):
评审意见:
评审人员:
日期:
附录三、系统转移、终止或废弃申请表
日期:
年月日
系统名称:
系统申请调整状态(转移、终止或废弃):
提出部门:
提出人:
转移、终止或废弃原因说明:
系统所属部门意见:
(签章)
年月日
信息安全工作领导小组意见:
组长签字:
年月日
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 等级 保护 建设 管理 规定 模板