图书借阅管理办法系统与网贷信息安全管理办法结合,在同一个系统中,加强对借阅者的信息保护

公安部等通知印发《信息安全等级保护管理办法》
当前位置: >> >>
公安部等通知印发《信息安全等级保护管理办法》
中央政府门户网站 www.gov.cn   日   来源:公安部网站
【E-mail推荐
关于印发《信息安全等级保护管理办法》的通知
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
    为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。
公安部    国家保密局          
国家密码管理局   国务院信息工作办公室
 二〇〇七年六月二十二日            
信息安全等级保护管理办法
    第一章 总则
    第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
    第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
    第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
    第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
    第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
    第二章 等级划分与保护
    第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
    第七条 信息系统的安全保护等级分为以下五级:
    第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
    第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
    第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
    第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
    第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
    第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
    第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
    第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
    第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
    第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
    第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
    第三章 等级保护的实施与管理
    第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
    第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
    跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
    对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
    第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
    第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T)、《信息安全技术 网络基础安全技术要求》(GB/T)、《信息安全技术 操作系统安全技术要求》(GB/T)、《信息安全技术 数据库管理系统安全技术要求》(GB/T)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
    第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T)、《信息安全技术 信息系统安全工程管理要求》(GB/T)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
    第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
    信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
    经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
    第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
    新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
    隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
    第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案; (四)系统使用的信息安全产品清单及其认证、销售许可证明; (五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
    第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
    运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
    第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
    对第五级信息系统,应当由国家指定的专门部门进行检查。
    公安机关、国家指定的专门部门应当对下列事项进行检查:(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;(二) 运营、使用单位安全管理制度、措施的落实情况;(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四) 系统安全等级测评是否符合要求;(五) 信息安全产品使用是否符合要求; (六) 信息系统安全整改情况;(七) 备案材料与运营、使用单位、信息系统的符合情况;(八) 其他应当进行监督检查的事项。
    第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:(一) 信息系统备案事项变更情况;(二) 安全组织、人员的变动情况;(三) 信息安全管理制度、措施变更情况;(四) 信息系统运行状况记录;(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;(六) 对信息系统开展等级测评的技术测评报告; (七) 信息安全产品使用的变更情况;(八) 信息安全事件应急预案,信息安全事件应急处置结果报告; (九) 信息系统安全建设、整改结果报告。
    第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
    第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
    第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:(一) 在中华人民共和国境内注册成立(港澳台地区除外);(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三) 从事相关检测评估工作两年以上,无违法记录;(四) 工作人员仅限于中国公民;(五) 法人及主要业务、技术人员无犯罪记录;(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八) 对国家安全、社会秩序、公共利益不构成威胁。
    第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
    第四章 涉及国家秘密信息系统的分级保护管理
    第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。
    第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
    涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
    保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
    第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
    第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
    涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
    第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
    第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
    涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
    第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:(一)系统设计、实施方案及审查论证意见;(二)系统承建单位资质证明材料;(三)系统建设和工程监理情况报告;(四)系统安全保密检测评估报告;(五)系统安全保密组织机构和管理制度情况;(六)其他有关材料。
    第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
    第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
    第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:(一)指导、监督和检查分级保护工作的开展;(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;(四)依法对涉密信息系统集成资质单位进行监督管理;(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
    第五章 信息安全等级保护的密码管理
    第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
    信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
    第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
    第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
    第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
    第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
    第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
    第六章 法律责任
    第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果: (一) 未按本办法规定备案、审批的;(二) 未按本办法规定落实安全管理制度、措施的;(三) 未按本办法规定开展系统安全状况检查的;(四) 未按本办法规定开展系统安全技术测评的;(五) 接到整改通知后,拒不整改的;(六) 未按本办法规定选择使用信息安全产品和测评机构的;(七) 未按本办法规定如实提供有关文件和证明材料的;(八) 违反保密管理规定的;(九) 违反密码管理规定的;(十) 违反本办法其他规定的。
    违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
    第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
    第七章 附则
    第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
    第四十三条 本办法所称“以上”包含本数(级)。
    第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。 
    公安部、国家保密局、国家密码管理局、国务院信息化工作办公室19日在北京联合召开信息安全等级保护试点工作会议,国家信息安全等级保护协调小组组长、公安部副部长张新枫到会并作重要讲话。
    把不同信息系统分成不同安全级别,然后严格按照安全级别所规定的要求,从事信息活动。目前,我国正积极推动这一信息安全等级保护制度,以最大限度避免系统安全漏洞和低级庸俗内容带来的信息安全风险。
    18日,在中国信息协会、国家信息中心主办的“‘十一五’信息安全发展趋势高峰论坛”上,记者了解到,我国正积极推动信息安全等级保护管理与技术标准的制定和完善,建立信息安全等级保护监督、检查的技术支撑体系,组织研制科学、实用的检查与评估工具,并选择电子政务、电子商务等领域的重点单位开展等级保护试点工作。
    日前,公安部信息安全等级保护评估中心在其网站上宣布,国家《信息安全等级保护管理办法(试行)》于2006年3月份开始正式实施。为了配合办法的实施,全国各级公安网监部门已经就相关单位的信息系统安全等级保护基础信息开展全面调查。
 相关链接
 图片图表
 栏目推荐
(责任编辑: 林振芬豆丁微信公众号
君,已阅读到文档的结尾了呢~~
uml图书借阅管理系统的用例图
扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
uml图书借阅管理系统的用例图
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='http://www.docin.com/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口您的位置: &
信息安全工作的意见和建议 正文
信息安全工作的意见和建议
相关热词搜索:
篇一:对集团公司信息安全工作的建议
关于集团公司信息安全建设的建议
(提纲) (分子公司名称)
一、本公司系统信息安全现状
二、关于集团公司信息安全建设指导思想、目标、原则的建议
三、关于集团公司信息安全策略的建议
四、关于集团公司信息安全体系的建议
五、关于集团公司信息安全建设内容的建议
(一)信息安全管理体系方面的建议
(二)信息安全技术体系方面的建议
(三)信息系统运维安全方面的建议
(四)信息项目建设与报废安全方面的建议
(五)信息安全平台建设方面的建议
(六)其它方面的建议
六、关于集团公司信息安全建设保障措施的建议
1、加强对集团公司信息化建设的领导。由集团公司领导挂帅,成立“信息安全管理组织”,推行信息安全管理制度。这个组织是集团公司在信息系统安全方面的最高权力组织。信息安全是所有管理
层成员所共有的责任,一个管理组织应确保有明确的安全目标。信息化建设必须由集团公司领导亲自抓、亲自参与,否则投入再大,做的再好,也有可能失败。
2、建立信息系统的安全风险评估机制。网络信息系统的安全建设应该建立在风险评估的基础上,这是信息化建设的内在要求,集团公司主管部门和运营、应用单位都必须做好本系统的信息安全评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,才能避免重复建设和投资的浪费。
3、提供足够的资金保障。集团公司应该在每年的预算中规划出一定数额的资金,专款专用,以保证集团信息化建设资金投入的需要。同时,集团公司在进行基本建设和技术改造时,要充分考虑信息化的需求。
4、加强设备保障。设备指与信息化相关的所有软硬件设备。引进的硬件和软件应统一纳入职能部门固定资产管理范畴。引进软件要和软件正版化规划一起考虑;引进硬件和计算机设备升级换代一起考虑,实现设备管理规范化。确保集团信息化建设必须的设备及时到位。
5、加强集团信息化人才队伍的建设。制定吸引、稳定信息化人才的措施,以确保人才不外流。建立多层次、多渠道、重实效的信息化人力资源培养制度和考核机制。
七、关于《集团公司网络与信息安全手册》修订的建议
1、制定《集团公司网络与信息安全手册》应包含以下主要内容:有主要领导负责的逐级安
全保护管理责任制,配备专职的信息安全管理人员,各级职责划分明确,并有效开展工作;明确运行和使用部门或岗位责任制,建立信息安全管理;在职工群众中普及网路与信息安全知识,对重点岗位职工进行专门培训和考核;采取必要的安全技术措施;对出现的网络与信息安全问题应有文档记录和应对措施;定期进行网络与信息安全检查、风险分析及出现的隐患进行整改;实行信息安全等级保护制度。
2、在《集团公司网络与信息安全手册》中,还应制定系统运行情况记录制度。1)、数据量处理:包括系统每天运行的时间、处理内容、数据吞吐量等内容,这些资料是反应信息系统软硬件功能和状态最基本的数据。2)、数据处理效率:如果信息安全管理人员“感觉”数据处理速度明显变慢,那么就可以通过对历史记录的分析,找出可能的原因,并一一排除。3)、系统的故障
及维修情况:无论系统故障大小,都应该及时地记录故障发生的时间、故障的现象、故障发生时的工作环境、处理方法、处理结果、处理人员、善后措施、原因分析等,这有利于信息管理人员对系统的评价及提出进一步扩展完善建议。
3、集团公司网络与信息安全手册要不断的补充和完善。集团公司网络与信息安全手册是集团信息化建设的重要组成部分,它是集团公司信息化建设过程中形成、积累的,是以文字、图纸、表格等多种形式记录了集团信息化的建设发展过程。所以要不断的对集团公司网络与信息安全手册进行补充和完善,来满足集团公司信息化不断发展建设的需要。
八、其它有关集团公司信息安全建设的建议
1、要从技术手段上保证集团信息化的安全。集团信息化建设由于其本身开放性所带来的各个方面的安全问题是事实存在的。集团公司应该正视这一事实的基础上,承认不可能有绝对安全的网络系统的前提下,努力探讨如何加强网络安全防范性能,如何通过安全系列软件、硬件及相关管理手段提篇二:网络及信息安全管理意见
网络安全管理制度(意见)
第一条 严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。
第二条 非政府工作人员不允许在本网络内上网查询信息。严禁工作人员访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。
第三条 加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。
第四条 禁止非政府工作人员操纵电脑,禁止不合法的登录情况出现。
第五条 局域网内要采取安全管理措施。每台电脑需装杀毒软件,每周定时查杀病毒和木马,并自动修复系统漏洞。建议使用360杀毒软件或金山卫士(此两款软件均免费)。养成良好的操作习惯,经常备份重要资料。
第六条 不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络服务和破坏网络设备的活动。
第七条 局域网应统一规划、建设,未经许可,不得私自将陌生的计算机接入局域网,不得将涉密电脑接入局域网。
第八条 不得向其它非本部门工作人员透露内部网登录用户名和密码,做好各个应用系统的用户名和密码的保密工作。
第九条 存储介质(包含:U盘、移动硬盘、光盘)在与计算机连接前,确保被计算机内安装有防木马和病毒的软件。如果杀毒软件提示有病毒存在,请做杀毒处理。不得在发现病毒的情况下强行拷贝数据。
第十条 在发现某台计算机中毒后,请拔出网线,进行单机杀毒或重装系统,以免造成网络内部感染,导致网络崩溃。
数据、资料和信息的安全管理制度
第一条 机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。
第二条 各单位要建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。
第三条 各项技术资料应集中统一保管,严格借阅制度。
第四条 应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份,并报送有关部门存放。
第五条 存放税收业务应用系统及重要信息的磁带光盘严禁外借,确因工作需要,须报请有关领导批准。
第六条 对需要长期保存的数据磁带、磁盘,应在一年内进行转储,以防止数据失效造成损失。
第七条 对有关电脑文件、数据进行加密处理。为保密需要,应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息,须经有关领导批准,才能查询、打印有关保密资料。对保密信息应严加看管,不得遗失、私自传播。
第八条 及时关注电脑界病毒防治情况和提示,根据要求调整计算机参数或安装防毒软件,避免电脑病毒侵袭。
第九条 对于联入局域网的计算机,任何人在未经批准的情况下,不得向局域网内拷入软件或文档。
第十条 任何微机需安装软件时,由各单位提出申请,
经同意后,由计算机管理人员负责安装。
机房环境安全管理制度
第一条 计算机设备和机房应保持其工作环境整洁,保持机房所必须的温度和湿度。
第二条 计算机房应按照规定配备足够数量的消防器材,并定期检查更换消防器材。
第三条 机房及其附近严禁吸烟、焚烧任何物品,严禁携带易燃易爆品进入机房。
第四条 机房用电严禁超负荷运行。需要接入设备时,应严格按照机房配电线路,对号接入,严禁随意接入负载。
第五条 定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。
第六条 机房工作人员要熟悉设备电源和照明用电以及其他电气设备总开关位置,掌握切断电源的方法和步骤,发现火情应沉着判断起火原因,及时报告,并立即切断电源及通风系统,采取有效措施及时灭火。
第七条 机房内应定期除尘,在除尘时应确保计算机设备的安全。
第八条 机房内严禁存放与工作无关的任何设备或物品。
第九条 节假日期间,应留有值班人员,或开启监控设备。篇三:关于加强信息安全的提案内容及办理复文
关于加强个人信息安全的提案内容及办理复文
摘要:全国政协十一届五次会议2771号提案内容及办理复文
_(转 载于:www.zaIdian.cOM 在 点 网)________________________________________________________________________
全国政协十一届五次会议2771号提案内容
案由:关于加强个人信息安全的提案
提案人:袁希钢
审查意见:建议国务院交由工业和信息化部办理
主题词:信息安全
目前以各种接入方式提供的互联网服务、电信服务越来越深入到大众生活的各个领域,人们的日常事务,包括银行、购物、车票和旅馆的预定等重要事务越来越多地依赖于通信这些手段。随着我国信息化的推进和水平的提高,电子通信服务会更加广泛地渗透到百姓生活中去。在现代电子通信提供的各种服务平台为大众提供巨大的便利的同时,个人信息正在被大量地集中于这些平台,这些个人信息包括比较敏感的个人身份及其识别信息、联系方式信息、有关家庭的信息、身体信息,甚至十分敏感的银行信息等。这些信息一旦泄露会给当事人造成很大的隐患或直接的负面影响,甚至会导致个体利益的严重损害。更严重的问题在于,我国目前网络用户已经超过5亿,手机用户已经突破10亿,进入各种服务平台的个人信息量是巨大的。如此大量的个人信息一旦出现问题,发生泄露则会严重危害公众利益,在造成巨大经济损失的同时直接危及公共安全和社会的稳定。然而目前我国在个人信息安全方面漏洞较多,个人信息被泄露、交易并谋取私利的事件时有发生,严重损害了当事人的利益,毁坏了行业的信誉,伤害了社会的诚信体系。
个人信息安全是事关大局的重大问题,政府有关部门应予以高度重视。
因此建议:
一、加强个人信息安全的立法
目前我国涉及个人信息安全的法律条款散落在国家法律、行政法规、部门规章以及地方法规之中,涉及我国宪法、刑法、以国务院令形式颁布的条例、国家各部门制定的规定和办法等共几十部法律,并且条款中规定不够具体和明确,体系不够清楚。鉴于个人信息问题的重要性、广泛性和独立性,建议专门针对个人信息安全问题,采取人大通过、国家主席发布的方式立法,规定具体的刑责。二、提高信息平台服务业的准入门槛
以往出现的个人信息成批泄露事件的原因之一是从事提供服务平台的企业在个人信息安全上投入不够,导致安全防范的能力和措施的严重缺失,使一些人有机可乘。企业往往以缺少资金的投入为由加以搪塞。保证个人信息安全是任何一个从事信息平台服务的机构或人员必须具备的前提条件,就像建设公共设施必须设有消防通道一样,将具有保证被服务对象的个人信息安全的能力和可靠、符合标准的手段作为行业准入的前提条件,采取一票否决制。
三、加强制定和完善有关个人信息安全标准有关部门尽快制定和完善有关个人信息安
全的技术和管理标准,使得安全措施有效、可靠。
2771号提案复文
中华人民共和国工业和信息化部
日以工信提案〔2012〕2号文函复:
袁希纲委员:
您提出的《关于加强个人信息安全的提案》收悉。现答复如下:
首先感谢您对个人信息的关注和提出的建议。随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现。近年来,窃取、泄露、篡改、非法买卖个人信息等事件频发,亟需对个人信息加强保护。您在提案中建议,加强个人信息安全,应针对个人信息安全专门立法、提高信息平台服务业的准入门槛和加强制定、完善有关个人信息安全标准,我们表示认同。
工业和信息化部对个人信息安全相关问题非常重视,相关已经或正逐步开展。
一、关于个人信息保护立法我国涉及个人信息的法律法规虽多,但规定过于简单、缺乏操作性、层次低、名称表述不统一等不足之处也很明显,出台专门的个人信息保护法十分必要。
2011年工业和信息化部组织开展相关课题研究时发现,我国现有涉及个人信息的法律有近40部、法律解释10条、法规近30部、部门规章近200部。如《中华人民共和国居民身份证法》规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任。《中华人民共和国刑法修正案(七)》首次增设了侵犯个人信息安全犯罪条文,随后《最高人民法院、最高人民检察院关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》确定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。《互联网电子邮件服务管理办法》规定,互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址等。现有的法律法规并非专门针对个人信息,对个人信息缺少清晰界定,且多从信息安全保护角度作出规定,对个人信息处理的程序、具体制度以及相关的法律救济手段等缺少明确的规定。在调研中还发现,75%的受访者认为应进一步立法来加强个人信息保护,受访企业也认为应通过立法规定企业在收集利用个人信息时的权利、义务以及保护原则,使企业在开展个人信息保护工作时有据可依。
出台专门的个人信息保护法,明确个人信息定义,提出有关各方权利、责任等十分必要。因个人信息保护外延的广泛性、个人信息权利被侵害现象的多样性和个人信息保护的复杂性,个人信息保护立法是一项综合性较强且较为复杂的工作,一些难点问题还需进一步形成共识,如立法模式的选择、对个人信息的界定、法律保护的是隐私权还是个人信息权,这项权利究竟是民事权利还是宪法权利、平衡个人信息保护和信息合理利用之间的关系等。我们认为,保护个人信息是尊重和保护公民权益的重要内容,涉及到每一个公民的切身利益和基本权利,要解决我国个人信息安全问题,必须加快制定专门的个人信息保护法,从顶层对
个人信息保护有关内容作出规定,建立个人信息保护的监管体制,明确个人信息保护的基本概念和法律主体各方的权责,明确侵犯个人信息主体合法权益的法律责任,从源头上规范个人信息处理活动,同时严厉打击个人信息犯罪活动。工业和信息化部将积极配合立法部门,做好个人信息保护的立法工作。
二、关于规范信息服务业个人信息处理行为工业和信息化部非常重视规范信息服务提供商在处理用户个人信息时的行为和安全防护措施。日工业和信息化部发布了《规范互联网信息服务市场秩序若干规定》,对互联网信息服务提供者的行为提出了规范性要求,其中第十一条和第十二条对互联网信息服务提供者处理个人信息的行为和采取安全防护措施作出了明确的规定,如“第十一条:未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(以下简称“用户个人信息”),不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外。互联网信息服务提供者经用户同意收集用户个人信息的,应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的”;“第十二条:互联网信息服务提供者应当妥善保管用户个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行的调查处理”。
三、制定标准,倡导行业自律和社会监督工业和信息化部倡导行业自律和社会监督,推进个人信息保护工作。
2011年由全国信息安全标准化委员会提出并归口的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)已编制完成,正按程序报批。《个人信息保护指南》将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。《个人信息保护指南》还正式提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确,划分了收集、加工、转移和删除四个环节,并针对每一个环节提出了落实八项基本原则的具体要求。该项标准还明确要求,处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,应当在达成个人信息使用目的之后删除个人信息。《个人信息保护指南》旨在提高个人信息保护意识,规范个人信息的处理行为,促进个人信息的合理利用,保护个人合法权益,建构政府引导下的行业自律机制和模式。
2011年5月根据《个人信息保护指南》,工业和信息化部组织研究制定了互联网网站个人信息保护政策测评方案和测评指标,选取了7类共105家网站,对其隐私保护政策进行测评,于日在“2012中国个人信息保护大会”上将测评结果发布。多家媒体报道后,引起社会的热烈反响。
我们将继续推进个人信息保护工作,逐步研究制定个人信息保护相关技术、管理和评测标准,以指导行业自律工作;继续探索建立个人信息保护第三方评估机制,面向社会公布当前个人信息保护态势,提高公民意识,为社会监督提供支持。
感谢您对个人信息保护工作的关注,欢迎再提宝贵意见。
来源:中国政协网
信息安全工作的意见和建议相关文章
《》由www.zaidian.com(在点网)整理提供,版权归原作者、原出处所有。
Copyright & 2016
All Rights Reserved.

我要回帖

更多关于 信息安全等级管理办法 的文章

 

随机推荐