单位信息安全等级保护课件

我们毕业啦其实是答辩的标题地方信息安全等级保护工作汇报2016-01-18我们毕业啦信息安全等级保护工作汇报2016-01-181当前，我国信息化发展正进入全面深化的新阶段。新型信息技术发展应用，给我国网络与信息安全保障工作提出了新任务。前言前言当前，我国信息化发展正进入全面深化的新阶段。前言2法律法规：法律法规：信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字200743号）号）中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例最高人民法院、最高人民检察院最高人民法院、最高人民检察院2015年年10月月30日联合发日联合发布布关于执行关于执行中华人民共和国刑法中华人民共和国刑法确定罪名的补充规定确定罪名的补充规定(六六)对适用刑法的部分罪名进行了补充或修改，其中对适用刑法的部分罪名进行了补充或修改，其中增加增加了拒不履行信息网络安全管理义务罪了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。帮助信息网络犯罪活动罪。法律法规：3一、等级保护背景二、等级保护概念三、等保评定内容四、推进等保工作的一些探讨五、本单位的问题和建议目录目录一、等级保护背景目录4一、等级保护背景一、等级保护背景5等保背景中央网信办 2016年第1期网络安全信息与动态周报(12月28日-01月03日)等保背景中央网信办 2016年第1期网络安全信息与动态6等保背景当前面临的安全威胁：当前面临的安全威胁：独立黑客：黑客攻击越来越频繁，影响独立黑客：黑客攻击越来越频繁，影响企事业企事业正常的业务正常的业务运作。运作。内部员工：内部员工：1、信息安全意识薄弱的员工误用、滥用等；、信息安全意识薄弱的员工误用、滥用等；2、管理员权限过大，如：系统管理员越权访问数据；、管理员权限过大，如：系统管理员越权访问数据；3、不稳定、情绪不满的员工。如：员工离职带走企业、不稳定、情绪不满的员工。如：员工离职带走企业秘密。秘密。竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密）。）。国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务机密，破坏企业的业务服务）。）。等保背景当前面临的安全威胁：7等保背景2014年年8月月1日，浙江温州有线数字电视被攻击，电视屏幕日，浙江温州有线数字电视被攻击，电视屏幕叠加反动字幕和图片，叠加反动字幕和图片，50万用户、万用户、80万机顶盒受影响。万机顶盒受影响。等保背景2014年8月1日，浙江温州有线数字电视被攻击，电视8等保背景等保背景9等保背景重要网站和信息系统被植入木马后门重要网站和信息系统被植入木马后门等保背景重要网站和信息系统被植入木马后门10等保背景网络病毒和网络攻击已形成一个黑色产业链，侵害政府公信力、社会公共安全、公民个人利益和隐私。l破坏数据、应用、服务、硬件；破坏数据、应用、服务、硬件；l盗取数据、资金；盗取数据、资金；l对外传播危害信息，对内传播木马扩大危害范围；对外传播危害信息，对内传播木马扩大危害范围；l利用被控制的电脑从事犯罪活动。利用被控制的电脑从事犯罪活动。等保背景网络病毒和网络攻击已形成一个黑色产业链，侵害政府11等保背景一个巴掌拍不响！外因是条件，内因才是根本。全省全省3523个重点网站安全技术检测结果：个重点网站安全技术检测结果：l存在安全漏洞的网站存在安全漏洞的网站2621个，占被检网站数量个，占被检网站数量74.4%；其中高危网站；其中高危网站1633个，占检测网站的个，占检测网站的46.35%；l发现安全漏洞数量发现安全漏洞数量93760个，其中高危漏洞个，其中高危漏洞25578个。个。l平均平均1个网站有个网站有26个漏洞，个漏洞，7个高危漏洞。个高危漏洞。l本行业的漏洞，本单位网站漏洞：详见粤等保办本行业的漏洞，本单位网站漏洞：详见粤等保办201413号号 2014年上半年我省重点网站安全检测情年上半年我省重点网站安全检测情况通报况通报等保背景一个巴掌拍不响！全省3523个重点网站安全技术检12等保背景安全意识薄弱人、财、物等保障不到位；人、财、物等保障不到位；重建设、重应用、轻安全、轻管理；重建设、重应用、轻安全、轻管理；系统建设与安全建设不同步，有的废弃后仍未关停，系统建设与安全建设不同步，有的废弃后仍未关停，有的服务器长期未打补丁，有的虽然配备安全设备但有的服务器长期未打补丁，有的虽然配备安全设备但配置不科学。配置不科学。等保背景安全意识薄弱人、财、物等保障不到位；13等保背景等保背景14等保背景u信息安全责任不清未成立领导机构、未明确责任、缺乏追责制度等。未成立领导机构、未明确责任、缺乏追责制度等。u缺乏长远信息安全规划安全策略不当、安全措施不合理、没有数据备份和恢复等。安全策略不当、安全措施不合理、没有数据备份和恢复等。u监测预警和应急处理能力欠缺缺乏人员、技术、系统和预案、演练，各单位发现问题、缺乏人员、技术、系统和预案、演练，各单位发现问题、处理问题能力有待提高。处理问题能力有待提高。等保背景信息安全责任不清15二、等级保护概念二、等级保护概念16等保概念什么是信息安全等级保护工作？概念：信息安全等级保护是指对国家秘密信息、法人和其信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。统中发生的信息安全事件分等级响应、处置。信息安全等级保护的核心是对信息系统分等级、按信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。标准进行建设、管理和监督。等保概念什么是信息安全等级保护工作？信息安全等级保护是指17等保概念什么是信息安全等级保护工作？意义：信息安全等级保护制度是国家信息安全保障的基本制度、信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法基本策略、基本方法 ；是当今发达国家的通行做法，也；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结是我国多年来信息安全工作经验的总结 。开展信息安全等级保护工作：有利于同步建设开展信息安全等级保护工作：有利于同步建设 ；有利于；有利于指导和服务；有利于保障重点；有利于明确责任指导和服务；有利于保障重点；有利于明确责任 ；有利；有利于企事业单位保护商业秘密和知识产权。于企事业单位保护商业秘密和知识产权。等保概念什么是信息安全等级保护工作？信息安全等级保护制度是国18等保概念实施等级保护工作的基本原则：自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。业务或关键信息资产的信息系统。同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。适应。动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。等保概念实施等级保护工作的基本原则：自主保护原则：信息系统运19等保概念信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等保概念20等保概念信息安全等级保护工作信息安全等级保护工作定级定级备案备案检查检查等级测评等级测评安全建设整改安全建设整改关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号）信息安全等级保护备案实施细则（公信安20071360号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技2008 2071号）关于推动信息安全等级保护测评 体系建设和开展等级测评工作的通知（公信安2010303号）公安机关信息安全等级保护检查工作规范（试行）（公信安2008736号）信息系统安全等级测评报告模版（试行）（公信安20091487号）信息安全等级保护管理办法（公通字200743号）关于信息安全等级保护工作的实施意见（公通字200466号）中华人民共和国计算机信息系统安全保护条例（国务院147号令）国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）等保概念信息安全等级保护工作定级备案检查等级测评安全建设整改21等保概念等级保护实施过程中涉及的角色和职责：等保概念等级保护实施过程中涉及的角色和职责：22等保概念等级保护实施的基本流程：等保概念等级保护实施的基本流程：23三、等保评定内容三、等保评定内容24评定内容等级测评内容：物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理评定内容等级测评内容：物理安全技术要求管理要求基本要求网络安25评定内容等级测评内容：物理位置选择物理安全(三级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电物理物理层面构成组件包括信息系统工作的设施环境以及构层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质成信息系统的硬件设备和介质等。等。评定内容等级测评内容：物理位置选择物理安全(三级)物理访问控26评定内容n物理安全解读基本要求指标项基本要求指标项实施建议实施建议重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。对安装网络与重要服务器等核心设备的机房或区域应配置门禁系统，并采用密码或指纹识别密码或指纹识别技术。应将设备或主要部件进行固定，并设置明显的不易除去的标记；标记应明确服务对象、服务对象、IP 地址、固定资产编号、地址、固定资产编号、物理位置、设备维护责任人物理位置、设备维护责任人等信息，并粘贴在明显的位置明显的位置。应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；在线缆的两端做好标记标记。应对机房设置监控报警系统。应在机房入口、机柜走道、重要服务器等位置机房入口、机柜走道、重要服务器等位置安装摄像头和图像存储、监控系统。评定内容物理安全解读基本要求指标项实施建议重要区域应配置电子27评定内容n物理安全解读2基本要求指标项基本要求指标项实施建议实施建议机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。政务外网的重要设备如广域网核心路由器、城域网核心交换机等，应与其他网络和应用设备隔离放置隔离放置，并按消防要求采取相应的防火措施。应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；在机房内做好隔热层做好隔热层，并注意楼层之间的温差温差不要太大不要太大。机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。一般机房日常温度应控制在1028，湿度3070%。应具有联网监控和自动报警联网监控和自动报警、并及时通知相关运维人员等功能。电源线和通信线缆应隔离铺设，避免互相干扰；电源线和通信线应隔离铺设，平行超过30米时，其铺设间隔应大于200毫米毫米。评定内容物理安全解读2基本要求指标项实施建议机房应采取区域隔28评定内容等级测评内容：结构安全和网段划分网络安全(三级)网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护评定内容等级测评内容：结构安全和网段划分网络安全(三级)网络29评定内容n网络安全解读基本要求指标项基本要求指标项实施建议实施建议应绘制与当前运行情况相符的网络拓扑结构图；拓扑图应与实际部署一致，其各类安全设备也各类安全设备也应标应标注在图上注在图上，建议拓扑图挂在机房内建议拓扑图挂在机房内，以便故障处置，有利于运维人员直观、便捷的查看应在会话处于非活跃一定时间或会话结束后终止网络连接网络应有实时监控功能，对会话处于非活跃30分钟分钟以上或会话结束后及时终止网络连接应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；可在应用服务器前设置防火墙、认证网关或授权管防火墙、认证网关或授权管理系统理系统，对单个用户的访问进行策略控制。应能够根据记录数据进行分析，并生成审计报表；对数据进行分析时，应能发现异常并主动告警，审计报表应能根据用户需要修改，相关信息应能上上报报到安全管理系统到安全管理系统。评定内容网络安全解读基本要求指标项实施建议应绘制与当前运行情30评定内容n网络安全解读2基本要求指标项基本要求指标项实施建议实施建议应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。审计记录应保存至少半年半年以上。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警应部署安全管理系统（SOC)，对网络攻击行为进行综合分析，对发现有严重入侵事件时应实时告警实时告警。身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；用户口令应不少于12位位，数字和字母组成，至少3 个月个月更换一次。应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当一次登录密码错误次数超过6次次，应能自动关闭并告警。评定内容网络安全解读2基本要求指标项实施建议应对审计记录进行31评定内容等级测评内容：身份鉴别主机系统安全(三级)访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制评定内容等级测评内容：身份鉴别主机系统安全(三级)访问控制安32评定内容n主机安全解读基本要求指标项基本要求指标项实施建议实施建议应对登录操作系统和数据库系统的用户进行身份标识和鉴别；对网络管理系统和安全管理系统的管理员登陆地址应进行限制，禁止在内部网络中禁止在内部网络中的任何终端的任何终端均可均可登陆到管理系统登陆到管理系统，应在管理系统前的防火墙上做好访问控制。操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；系统管理员的登录身份标识应唯一，口令应至少12 位位以上，且数字和字母大小写组合，每半年半年应更改一次。应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当登录次数错误超过6次次，应自动退出并告警评定内容主机安全解读基本要求指标项实施建议应对登录操作系统和33评定内容n主机安全解读2基本要求指标项基本要求指标项实施建议实施建议应及时删除多余的、过期的帐户，避免共享帐户的存在。应定期（每半年每半年）清理服务器中多余、过期的账户。应能够根据记录数据进行分析，并生成审计报表；审计分析系统应具有这些功能，并对异对异常行为常行为实时实时告警告警。应保护审计记录，避免受到未预期的删除、修改或覆盖等。审计记录至少应保存半年半年。评定内容主机安全解读2基本要求指标项实施建议应及时删除多余的34评定内容等级测评内容：身份鉴别应用安全(三级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制评定内容等级测评内容：身份鉴别应用安全(三级)访问控制通信完35评定内容n应用安全解读基本要求指标项基本要求指标项实施建议实施建议应提供专用的登录控制模块对登录用户进行身份标识和鉴别可采用堡垒机堡垒机等方式，对登录用户的身份进行标识和鉴别。应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；在应用服务器和数据库服务器前部署网关或部署网关或授授权管理系统权管理系统，对主体配置访问控制策略。当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；如果通信双方中有一方在10分钟分钟内未作任何响应，则应自动结束会话，释放网络连接。应能够对系统服务水平降低到预先规定的最小值进行检测和报警；在网络管理系统或安全管理系统中，对重要对重要服服务器务器运行状况设定门限值运行状况设定门限值，实时监测，低于门限值时，应及时告警。评定内容应用安全解读基本要求指标项实施建议应提供专用的登录控36评定内容等级测评内容：数据完整性数据安全(三级)数据保密性安全备份评定内容等级测评内容：数据完整性数据安全(三级)数据保密性安37评定内容n数据安全解读基本要求指标项基本要求指标项实施建议实施建议应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。在数据存储前，增设安全加密网关设备增设安全加密网关设备，通过密码技术对重要数据实现加密存储。应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；对网络管理和安全管理系统等重要信息系统网络管理和安全管理系统等重要信息系统应提供本地的数据备份和恢复功能，并按要求备份。应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；对重要信息系统的数据，应提供异地数据备份的功能，定时批量或增量备份，数据异地备份数据异地备份至少至少每月一每月一次次。应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。广域网和城域网的关键设备应采用双电源、双双电源、双引引擎擎，通信线路应采用环型或双链路环型或双链路等手段，保证网络的高可用性。评定内容数据安全解读基本要求指标项实施建议应采用加密或其他保38评定内容等级测评内容：岗位设置安全管理机构(三级)人员配备授权和审批沟通与合作审核和检查评定内容等级测评内容：岗 位设置安全管理机构(三级39评定内容等级测评内容：管理制度安全管理制度(三级)制订和发布评审和修订安全管理制度一般是文档化的，被正式制定、评审、安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔式结构的文档体系。构成一个塔式结构的文档体系。评定内容等级测评内容：管理制度安全管理制度(三级)制订和发布40评定内容等级测评内容：人员录用人员安全管理(三级)人员离岗人员考核安全意识教育和培训外部人员访问管理评定内容等级测评内容：人员录用人员安全管理(三级)人员离岗人41评定内容等级测评内容：系统定级系统建设管理(三级)安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案评定内容等级测评内容：系统定级系统建设管理(三级)安全方案设42评定内容等级测评内容：环境管理系统运维管理(三级)资产管理设备管理介质管理运行管理和监控管理网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急预案管理评定内容等级测评内容：环境管理系统运维管理(三级)资产管理设43评定内容n管理安全解读基本要求指标项基本要求指标项实施建议实施建议安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；安全管理员应至少每月每月对管辖的系统和设备日志、系统漏洞、数据备份情况检查一次。应对关键岗位的人员进行全面、严格的安全审查和技能考核；考察内容主要应包括技能、工作责任心、保密技能、工作责任心、保密意意识识和工作态度、再学习能力和工作态度、再学习能力等各方面。应在软件安装之前检测软件包中可能存在的恶意代码；应用软件上线前，应委托第三方对软件中可能第三方对软件中可能存存在在的恶意代码专门进行检测的恶意代码专门进行检测，并提交检测报告。应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；可委托信息化工程建设咨询单位信息化工程建设咨询单位对管辖内的政务外网安全建设进行总体规划。评定内容管理安全解读基本要求指标项实施建议安全管理员应负责定44评定内容n管理安全解读2基本要求指标项基本要求指标项实施建议实施建议应指定或授权专门的部门或人员负责工程实施过程的管理；应采用监理制采用监理制，加强工程实施过程中的管理。应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；应定期分析政务外网广域网、城域网的运行状况（如可用率），及网络利用率（如流量），应定期对监测和报警记录进行分析形成分析报告，发现可疑行为时，应采取必要的应对措施，其设备设备记录记录的保存时间应与设备使用生命周期相同的保存时间应与设备使用生命周期相同。应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；应能按周、月、季和年度形成分析报告周、月、季和年度形成分析报告，并指导采取相应的解决措施。评定内容管理安全解读2基本要求指标项实施建议应指定或授权专门45评定内容n管理安全解读3基本要求指标项基本要求指标项实施建议实施建议应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；至少每半年每半年对系统服务器等进行漏洞扫描，对高危漏洞应及时修补。应安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；为防止系统因补丁程序导致瘫痪，影响工作，测试测试和备份是必须要做的，并应做好记录和备份是必须要做的，并应做好记录。应定期对运行日志和审计数据进行分析，以便及时发现异常行为。应每月每月对系统运行日志和审计数据进行分析，并提交分析报告。评定内容管理安全解读3基本要求指标项实施建议应定期进行漏洞扫46评定内容n管理安全解读4基本要求指标项基本要求指标项实施建议实施建议应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成书面的报表和总结汇报。每个月每个月应检查一次信息系统内各类恶意代码库的升级情况。应建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告；应制定系统变更的管理制度和流程，明确软件开软件开发发商、集成商、管理、运维等各方的职责和商、集成商、管理、运维等各方的职责和工作工作内容内容，并根据系统的影响范围通告相关人员和领导。应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。每年每年应至少执行恢复程序一次，可与应急演练相结合，并保证其有效性和可靠性。评定内容管理安全解读4基本要求指标项实施建议应定期检查信息系47评定内容n管理安全解读5基本要求指标项基本要求指标项实施建议实施建议应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；对于所发现的问题，应及时报告，禁止在生产禁止在生产网络网络环境中尝试验证环境中尝试验证，而应在模拟环境中验证或通知相关厂商处置。应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；在运维费用中，应充分保证应急处置时有足够充分保证应急处置时有足够的资源的资源。应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；对各类的应急预案，根据不同的情况，每年每年至至少进行少进行一次应急演练一次应急演练，检验预案的可操作性及应急处置能力。应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。每年每年应审查应急预案并及时更新相关内容。评定内容管理安全解读5基本要求指标项实施建议应报告所发现的安48四、推进等保工作的一些探讨四、推进等保工作的一些探讨49探讨安全管理制度体系典型结构安全方针安全方针管理规定、规范管理规定、规范作业指导书、操作规程作业指导书、操作规程记录、日志记录、日志第一级第一级 方针方针，是信息安全，是信息安全管理工作的纲领性文件管理工作的纲领性文件 。第二级第二级 管理管理规定规定和规范，规定所要求的管理制和规范，规定所要求的管理制度或技术控制措施。度或技术控制措施。第三第三级级作业作业指导书、操作规程，规定各种工指导书、操作规程，规定各种工作和活动的细节。作和活动的细节。第四第四级级记录记录、日志，、日志，记录记录管理活动管理活动的的客观证据客观证据。探讨安全管理制度体系典型结构安全方针管理规定、规范作业指导书50探讨PDCA（戴明环）u大环套小环，小环保大环，推动大循环PDCA循循环环作作为质为质量管理的基本方法，量管理的基本方法，不不仅仅适用于整个工程适用于整个工程项项目，也适目，也适应应于整个于整个单位和单位单位和单位内的内的处处室、室、队伍队伍以至个人。各以至个人。各级级部部门门根据根据单位单位的方的方针针目目标标，都有自己的，都有自己的PDCA循循环环，层层层层循循环环，形成大，形成大环环套小套小环环，小小环环里面又套更小的里面又套更小的环环。大。大环环是小是小环环的母的母体和依据，小体和依据，小环环是大是大环环的分解和保的分解和保证证。各。各级级部部门门的小的小环环都都围绕围绕着企着企业业的的总总目目标标朝着朝着同一方向同一方向转动转动。通。通过过循循环环把把单位单位上下或工上下或工程程项项目的各目的各项项工作有机地工作有机地联联系起来，彼此系起来，彼此协协同，互相促同，互相促进进。探讨PDCA（戴明环）大环套小环，小环保大环，推动大循环51探讨PDCA（戴明环）u不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。不断提高，是一个螺旋式上升的过程。探讨PDCA（戴明环）不断前进、不断提高52探讨思考与建议当前的要求与原则总体要求总体要求:坚持坚持积极防御、综合防范积极防御、综合防范的方针，全面提高的方针，全面提高信息安全防护能力，保障和促进信息化发展，保护公信息安全防护能力，保障和促进信息化发展，保护公众利益，维护企业商业利益。众利益，维护企业商业利益。主要原则：立足国情，以我为主，坚持管理与技术并主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，重；正确处理安全与发展的关系，以安全促发展，在以安全促发展，在发展中求安全发展中求安全；统筹规划，突出重点，强化基础性工统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。各方面的积极性，共同构筑国家信息安全保障体系。探讨思考与建议当前的要求与原则53探讨（1）加强顶层设计）加强顶层设计应加强统筹规划、顶层设计，在战略发展规划、信息化专项规划的应加强统筹规划、顶层设计，在战略发展规划、信息化专项规划的基础上，做好信息安全体系的设计，制定信息安全专项规划或工作计划。基础上，做好信息安全体系的设计，制定信息安全专项规划或工作计划。充分重视信息资源、资产的梳理、界定工作，将信息安全与商业信息、充分重视信息资源、资产的梳理、界定工作，将信息安全与商业信息、个人信息保护工作密切结合个人信息保护工作密切结合。（2）强化组织保障）强化组织保障应明确专门信息安全管理机构和安全管理负责人，并对该负责人和应明确专门信息安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。信息化工作领导小组组长应承担起关键岗位的人员进行安全背景审查。信息化工作领导小组组长应承担起信息安全的领导责任，建立并完善信息化管理部门与保密及其他业务部信息安全的领导责任，建立并完善信息化管理部门与保密及其他业务部门齐抓共管、协同配合的信息安全工作机制，并逐级落实信息安全责任门齐抓共管、协同配合的信息安全工作机制，并逐级落实信息安全责任制。制。应加强信息安全人才培养，打造适应信息化要求的专业人才队伍。应加强信息安全人才培养，打造适应信息化要求的专业人才队伍。建立健全信息安全专业岗位持证上岗制度。加强全员信息安全教育培训建立健全信息安全专业岗位持证上岗制度。加强全员信息安全教育培训工作，把相关培训纳入员工培训计划。定期对从业人员进行网络安全教工作，把相关培训纳入员工培训计划。定期对从业人员进行网络安全教育、技术培训和技能考核，积极组织或参与信息安全知识技能竞赛，形育、技术培训和技能考核，积极组织或参与信息安全知识技能竞赛，形成培养、选拔、吸引和使用信息安全人才的良性机制成培养、选拔、吸引和使用信息安全人才的良性机制。探讨（1）加强顶层设计54探讨安全保障体系架构探讨安全保障体系架构55探讨 想做做不到：想做做不到：外包服务单位的人员素质、业务结构、外包服务单位的人员素质、业务结构、管理水平等客观因素都会对信息系统的安全和发展带管理水平等客观因素都会对信息系统的安全和发展带来风险，而外包单位也会显得无能为力。来风险，而外包单位也会显得无能为力。没想到要做到：没想到要做到：信息化项目是一个创新性的工作，信息化项目是一个创新性的工作，服务外包采购时不可能把未来服务细节说清楚，在服务外包采购时不可能把未来服务细节说清楚，在合同履行期间发现新的需求时，服务提供商能否主合同履行期间发现新的需求时，服务提供商能否主动积极配合提供服务或提升服务能力，也形成直接动积极配合提供服务或提升服务能力，也形成直接影响整个电子政务健康发展的风险。影响整个电子政务健康发展的风险。三专：三专：在服务外包项目招标时要明在服务外包项目招标时要明确要求确要求服务商做到：专业服务商做到：专业团队专注团队专注做专项服务。做专项服务。监管：监管：建立外包监管办法，对人员建立外包监管办法，对人员结构及流动，结构及流动，业务内容业务内容，工作规范，工作规范等全面进行强有力的监管。等全面进行强有力的监管。考核：考核：制定和实行严格的目标考核制定和实行严格的目标考核与奖惩制度。与奖惩制度。说到不做到：说到不做到：在投标时承诺很好，在建设运行中许在投标时承诺很好，在建设运行中许多方面达不到服务要求，还不积极主动想办法改进，多方面达不到服务要求，还不积极主动想办法改进，使信息安全保障处于被动地位，使工作发展受到影使信息安全保障处于被动地位，使工作发展受到影响。响。探讨 想做做不到：外包服务单位的人员素质、业务结构、管理水平56探讨习近平总书记在中央网信领导小组第一次会议上强调，习近平总书记在中央网信领导小组第一次会议上强调，网络安全与信息化是事关国家安全和国家发展、事关广大网络安全与信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大人民群众工作生活的重大战略问题，没有网络安全战略问题，没有网络安全就没有国家安全，网络安就没有国家安全，网络安全和信息化是一体之两翼、全和信息化是一体之两翼、驱动之双轮，必须统一谋驱动之双轮，必须统一谋划、统一部署、统一推进、划、统一部署、统一推进、统一实施。统一实施。信息安全已经上升为国家意志探讨习近平总书记在中央网信领导小组第一次会议上强调，网络57探讨（一）落实信息安全工作责任严格落实信息安全严格落实信息安全“一把手一把手”责任制，建立单位网责任制，建立单位网络安全与信息化领导机构，全面统筹信息安全工作。络安全与信息化领导机构，全面统筹信息安全工作。建立信息安全责任追究制度，明确责任部门、工作建立信息安全责任追究制度，明确责任部门、工作岗位、具体负责人、将安全责任逐级落实到人。岗位、具体负责人、将安全责任逐级落实到人。按照信息安全等级保护要求，落实机构、人员、经按照信息安全等级保护要求，落实机构、人员、经费保障，加快推动信息安全等级保护，提升安全防护能费保障，加快推动信息安全等级保护，提升安全防护能力。力。探讨（一）落实信息安全工作责任58探讨（二）建立信息化与信息安全衔接机制2011年，公安厅、保密局、经信委、财厅、国资委联合年，公安厅、保密局、经信委、财厅、国资委联合发出发出关于继续深化我省信息安全等级保护工作的通知关于继续深化我省信息安全等级保护工作的通知（粤（粤公通字公通字2011124号），明确了信息安全要与信息化同步立项、号），明确了信息安全要与信息化同步立项、设计、建设。设计、建设。按照通知要求，各单位要将等级保护定级、备案、建设和按照通知要求，各单位要将等级保护定级、备案、建设和整改、测评工作环节纳入本单位信息化建设流程，在信息化项整改、测评工作环节纳入本单位信息化建设流程，在信息化项目建设过程中，同步立项、同步规划、同步设计、同步建设信目建设过程中，同步立项、同步规划、同步设计、同步建设信息安全措施。息安全措施。彻底解决信息化与信息安全彻底解决信息化与信息安全“两张皮两张皮”问题。问题。探讨（二）建立信息化与信息安全衔接机制59探讨（三）全面开展等级保护重点工作u摸清底数，全面定级，落实备案。摸清底数，全面定级，落实备案。u定级测评，排查隐患，落实整改。定级测评，排查隐患，落实整改。u加强培训，强化素质，提升意识。加强培训，强化素质，提升意识。探讨（三）全面开展等级保护重点工作60探讨（四）加强网络安全监测预警和应急处理u制订应急预案。制订应急预案。u加强安全监测。加强安全监测。u加强通报预警。加强通报预警。u提升处理能力。提升处理能力。u健全应急支撑。健全应急支撑。u加强应急演练。加强应急演练。探讨（四）加强网络安全监测预警和应急处理61五、单位的问题和建议五、单位的问题和建议62问题与建议单位有多少信息系统？问题与建议单位有多少信息系统？63问题与建议问题与建议64完完651、有时候读书是一种巧妙地避开思考的方法。5月-245月-24Thursday,May 16,20242、阅读一切好书如同和过去最杰出的人谈话。13:33:0513:33:0513:335/16/2024 1:33:05 PM3、越是没有本领的就越加自命不凡。5月-2413:33:0513:33May-2416-May-244、越是无能的人，越喜欢挑剔别人的错儿。13:33:0513:33:0513:33Thursday,May 16,20245、知人者智，自知者明。胜人者有力，自胜者强。5月-245月-2413:33:0513:33:05May 16,20246、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16五月20241:33:05下午13:33:055月-247、最具挑战性的挑战莫过于提升自我。五月241:33下午5月-2413:33May 16,20248、业余生活要有意义，不要越轨。2024/5/1613:33:0513:33:0516 May 20249、一个人即使已登上顶峰，也仍要自强不息。1:33:05下午1:33下午13:33:055月-2410、你要做多大的事情，就该承受多大的压力。5/16/2024 1:33:05 PM13:33:0516-5月-2411、自己要先看得起自己，别人才会看得起你。5/16/2024 1:33 PM5/16/2024 1:33 PM5月-245月-2412、这一秒不放弃，下一秒就会有希望。16-May-2416 May 20245月-2413、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Thursday,May 16,202416-May-245月-2414、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。5月-2413:33:0516 May 202413:33谢谢大家谢谢大家1、有时候读书是一种巧妙地避开思考的方法。8月-238月-266