信息系統(tǒng)安全自查報告

1、信息系統(tǒng)安全自查報告信息系統(tǒng)安全材料報告一、什么是信息系統(tǒng)安全信息系統(tǒng)安全：包括信息系統(tǒng)安全基本概念、信息系統(tǒng)安全體系、信息系統(tǒng)安全管理目標(biāo)、信息系統(tǒng)安全需求、風(fēng)險管理與控制、風(fēng)險評估與分析、信息系統(tǒng)安全技術(shù)、信息安全標(biāo)準(zhǔn)與法律法規(guī)。二、信息系統(tǒng)安全等級保護信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。在中國，信息安全等級保護廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作；狹義上稱為的一般指信息系統(tǒng)安全等級保護，是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處

2、理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作。工作內(nèi)容信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段，作為公安部授權(quán)的第三方測評機構(gòu)，為企事業(yè)單位提供免費專業(yè)的信息安全等級測評咨詢服務(wù)。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護 等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制

3、，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體測評。 政策標(biāo)準(zhǔn)政策法規(guī)中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年國務(wù)院147號令）（“第九條計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”）計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（gb 17859-1999）（“第一級：用戶自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標(biāo)記保護級；第四級：結(jié)構(gòu)

4、化保護級； 地方及行業(yè)范例關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技20082071號）關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求（2010年3月）證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求(試行) （jr/t 0060-2010） 山西省計算機信息系統(tǒng)安全保護條例（2009年1月）廣東省計算機信息系統(tǒng)安全保護條例（2008年4月）寧夏回族自治區(qū)計算機信息系統(tǒng)安全保護條例（2009年10月）徐州市計算機信息系統(tǒng)安全保護條例（2009年1月）標(biāo)準(zhǔn)規(guī)范十大重要標(biāo)準(zhǔn)計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則（gb 17859-1999）（基礎(chǔ)

5、類標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護實施指南（gb/t 25058-2010）（基礎(chǔ)類標(biāo)準(zhǔn)）信息系統(tǒng)安全保護等級定級指南（gb/t 22240-2008）（應(yīng)用類定級標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護基本要求（gb/t 22239-2008）（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）信息系統(tǒng)通用安全技術(shù)要求（gb/t 20271-2006）（應(yīng)用類建設(shè)標(biāo)準(zhǔn)）信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求（gb/t 25070-2010） （應(yīng)用類建設(shè)標(biāo)準(zhǔn)） 信息系統(tǒng)安全等級保護測評要求（gb/t 28448-2012）（應(yīng)用類測評標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護測評過程指南（gb/t 28449-2012）（應(yīng)用類測評標(biāo)準(zhǔn)）信息系統(tǒng)安全管理要求（gb/

6、t 20269-2006）（應(yīng)用類管理標(biāo)準(zhǔn)）信息系統(tǒng)安全工程管理要求（gb/t 20282-2006）（應(yīng)用類管理標(biāo)準(zhǔn)）其它相關(guān)標(biāo)準(zhǔn)gb/t 21052-2007 信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求gb/t 20270-2006 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求gb/t 20271-2006 信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求gb/t 20272-2006 信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求gb/t 20273-2006 信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求gb/t 20984-2007 信息安全技術(shù)信息安全風(fēng)險評估規(guī)范 gb/t 20285-2007 信息安全技術(shù)信息安全事件管理指南 g

7、b/z 20986-2007 信息安全技術(shù)信息安全事件分類分級指南gb/t 20988-2007 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范三、信息系統(tǒng)安全管理制度1、信息系統(tǒng)安全包括：軟件安全和硬件網(wǎng)絡(luò)安全兩部分。2、計算機中心人員必須采取有效的方法和技術(shù)，防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密；硬件破壞、失效等災(zāi)難性故障。3、對系統(tǒng)用戶的訪問模塊、訪問權(quán)限由使用單位負責(zé)人提出，交信息化領(lǐng)導(dǎo)小組核準(zhǔn)后，由計算機中心人員給予配置并存檔，以后變更必須報批后才能更改，計算機中心做好變更日志存檔。4、系統(tǒng)管理人員應(yīng)熟悉并嚴(yán)格監(jiān)督數(shù)據(jù)庫使用權(quán)限、用戶密碼使用情況，定期更換用戶口令或密碼。網(wǎng)絡(luò)管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時內(nèi)由班組長監(jiān)督檢查更換新的密碼；廠方調(diào)試人員調(diào)試維護完成后一小時內(nèi)，由系統(tǒng)管理員關(guān)閉或修改其所用帳號