導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇信息安全情況報(bào)告，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

一、加強(qiáng)組織領(lǐng)導(dǎo)，確保責(zé)任落實(shí)到位

為做好信息公開(kāi)保密審查工作，領(lǐng)導(dǎo)高度重視。健全組織機(jī)構(gòu)，確保領(lǐng)導(dǎo)到位。調(diào)整充實(shí)了保密工作領(lǐng)導(dǎo)小組，由局長(zhǎng)王成雙同志任組長(zhǎng)，分管保密、信息工作的副局長(zhǎng)楊慎敏同志任副組長(zhǎng)，各股室處負(fù)責(zé)人為成員。領(lǐng)導(dǎo)小組下設(shè)辦公室，由王強(qiáng)同志兼任辦公室主任，并落實(shí)了辦公室工作人員，負(fù)責(zé)信息公開(kāi)保密審查工作具體事務(wù)。形成了主要領(lǐng)導(dǎo)親自抓，分管領(lǐng)導(dǎo)直接抓，專職人員具體抓的良好格局，為開(kāi)展信息公開(kāi)保密審查工作奠定了堅(jiān)實(shí)的組織基礎(chǔ)。

二、完善機(jī)制，確保制度到位

建立健全了信息公開(kāi)保密審查機(jī)制，明確了審查職責(zé)。今來(lái)，結(jié)合司法行政工作實(shí)際，建立了《縣司法局保密工作管理制度》、《縣司法局要害部位保密安全管理制度》、《縣司法局檔案保密管理制度》、《縣司法局送閱、傳閱文件保密管理制度》、《縣司法局會(huì)議保密管理制度》、《縣司法局領(lǐng)導(dǎo)干部保密工作責(zé)任制》、《縣司法局保密崗位工作職責(zé)》、《和非互聯(lián)網(wǎng)保密管理制度》、《和非移動(dòng)存儲(chǔ)介質(zhì)保密管理制度》、《網(wǎng)絡(luò)保密制度》、《公共信息網(wǎng)絡(luò)上信息保密管理制度》、《互聯(lián)網(wǎng)維修、更換、報(bào)廢保密管理制度》等。

三、開(kāi)展保密宣傳教育情況

為認(rèn)真做好保密機(jī)要工作，結(jié)合工作實(shí)際，切實(shí)把保密教育工作貫穿于日常工作中。在平時(shí)的學(xué)習(xí)例會(huì)上，多次強(qiáng)調(diào)做好保密工作的極端重要性。組織全體干部職工認(rèn)真學(xué)習(xí)了《中華人民共和國(guó)保密法》、《國(guó)家工作人員保密守則》等保密工作規(guī)章制度以及省、州、縣保密工作有關(guān)文件會(huì)議精神等。對(duì)辦公室檔案管理員、文書(shū)收發(fā)等對(duì)保密要害部門(mén)、部位保密工作人員加強(qiáng)保密教育。做好保密工作的檢查督促，促進(jìn)全體工作人員提高思想認(rèn)識(shí)，增強(qiáng)做好保密工作的業(yè)務(wù)能力。

四、互聯(lián)網(wǎng)信息公開(kāi)保密審查工作開(kāi)展情況

（一）嚴(yán)格實(shí)施有關(guān)互聯(lián)網(wǎng)信息保密管理制度，加大保密審查力度。

對(duì)主動(dòng)公開(kāi)的政務(wù)信息，由局辦公室確定并制作、更新。在起草公文和制作信息時(shí),對(duì)文件內(nèi)容是否公開(kāi)提出擬定意見(jiàn),對(duì)屬于免于公開(kāi)的政府信息說(shuō)明具體理由,由股室負(fù)責(zé)人審核并報(bào)單位分管領(lǐng)導(dǎo)審批后報(bào)局信息公開(kāi)保密審查領(lǐng)導(dǎo)小組審批。各處室及個(gè)人未經(jīng)許可，不得私自連接集線器(HUB)、不得將私人互聯(lián)網(wǎng)接入局域網(wǎng)。

（二）抓好互聯(lián)網(wǎng)信息系統(tǒng)的保密管理。

篇2

一、總則

（一）編制目的

為提處置網(wǎng)絡(luò)與信息安全突發(fā)事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大程度地預(yù)防和減少網(wǎng)絡(luò)與信息安全突發(fā)事件及其造成的損害，保障信息資產(chǎn)安全，特制定本預(yù)案。

（二）編制依據(jù)

根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、公安部《計(jì)算機(jī)病毒防治管理辦法》，制定本預(yù)案。

（三）分類分級(jí)

本預(yù)案所稱網(wǎng)絡(luò)與信息安全突發(fā)事件，是指本系統(tǒng)信息系統(tǒng)突然遭受不可預(yù)知外力的破壞、毀損、故障，發(fā)生對(duì)國(guó)家、社會(huì)、公眾造成或者可能造成重大危害，危及公共安全的緊急事件。

1、事件分類

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的性質(zhì)、機(jī)理和發(fā)生過(guò)程，網(wǎng)絡(luò)與信息安全突發(fā)事件主要分為以下三類：

（1）自然災(zāi)害。指地震、臺(tái)風(fēng)、雷電、火災(zāi)、洪水等引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞。

（2）事故災(zāi)難。指電力中斷、網(wǎng)絡(luò)損壞或是軟件、硬件設(shè)備故障等引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞。

（3）人為破壞。指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施，黑客攻擊、病毒攻擊、恐怖襲擊等引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞。

2、事件分級(jí)

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的可控性、嚴(yán)重程度和影響范圍，縣上分類情況。

（1）i級(jí)、ⅱ級(jí)。重要網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全局大規(guī)模癱瘓，事態(tài)發(fā)展超出控制能力，需要縣級(jí)各部門(mén)協(xié)調(diào)解決，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害的信息安全突發(fā)事件。

（2）ⅲ級(jí)。某一部分的重要網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害，屬縣內(nèi)控制之內(nèi)的信息安全突發(fā)事件。

（3）ⅳ級(jí)。重要網(wǎng)絡(luò)與信息系統(tǒng)使用效率上受到一定程度的損壞，對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息安全突發(fā)事件。

（四）適用范圍

適用于本系統(tǒng)發(fā)生或可能導(dǎo)致發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急處置工作。

（五）工作原則

1、居安思危，預(yù)防為主。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)，從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊犯罪等環(huán)節(jié)，在法律、管理、技術(shù)、人才等方面，采取多種措施，充分發(fā)揮各方面的作用，共同構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。

2、提高素質(zhì)，快速反應(yīng)。加強(qiáng)網(wǎng)絡(luò)與信息安全科學(xué)研究和技術(shù)開(kāi)發(fā)，采用先進(jìn)的監(jiān)測(cè)、預(yù)測(cè)、預(yù)警、預(yù)防和應(yīng)急處置技術(shù)及設(shè)施，充分發(fā)揮專業(yè)人員的作用，在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時(shí)，按照快速反應(yīng)機(jī)制，及時(shí)獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。

3、以人為本，減少損害。把保障公共利益以及公民、法人和其他組織的合法權(quán)益的安全作為首要任務(wù)，及時(shí)采取措施，最大限度地避免公共財(cái)產(chǎn)、信息資產(chǎn)遭受損失。

4、加強(qiáng)管理，分級(jí)負(fù)責(zé)。按照“條塊結(jié)合，以條為主”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制。根據(jù)部門(mén)職能，各司其職，加強(qiáng)部門(mén)間協(xié)調(diào)與配合，形成合力，共同履行應(yīng)急處置工作的管理職責(zé)。

5、定期演練，常備不懈。積極參與縣上組織的演練，規(guī)范應(yīng)急處置措施與操作流程，確保應(yīng)急預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。

二、組織指揮機(jī)構(gòu)與職責(zé)

（一）組織體系

成立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，組長(zhǎng)局黨委書(shū)記、局長(zhǎng)擔(dān)任，副組長(zhǎng)由局分管領(lǐng)導(dǎo)，成員包括：信息全體人員、各通信公司相關(guān)負(fù)責(zé)人。

（二）工作職責(zé)

1、研究制訂我中心網(wǎng)絡(luò)與信息安全應(yīng)急處置工作的規(guī)劃、計(jì)劃和政策，協(xié)調(diào)推進(jìn)我中心網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制和工作體系建設(shè)。

2、發(fā)生i級(jí)、ⅱ級(jí)、ⅲ級(jí)網(wǎng)絡(luò)與信息安全突發(fā)事件后，決定啟動(dòng)本預(yù)案，組織應(yīng)急處置工作。如網(wǎng)絡(luò)與信息安全突發(fā)事件屬于i級(jí)、ⅱ級(jí)的，向縣有關(guān)部門(mén)通報(bào)并協(xié)調(diào)縣有關(guān)部門(mén)配合處理。

3、研究提出網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制建設(shè)規(guī)劃，檢查、指導(dǎo)和督促網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制建設(shè)。指導(dǎo)督促重要信息系統(tǒng)應(yīng)急預(yù)案的修訂和完善，檢查落實(shí)預(yù)案執(zhí)行情況。

4、指導(dǎo)應(yīng)對(duì)網(wǎng)絡(luò)與信息安全突發(fā)事件的科學(xué)研究、預(yù)案演習(xí)、宣傳培訓(xùn)，督促應(yīng)急保障體系建設(shè)。

5、及時(shí)收集網(wǎng)絡(luò)與信息安全突發(fā)事件相關(guān)信息，分析重要信息并提出處置建議。對(duì)可能演變?yōu)閕級(jí)、ⅱ級(jí)、ⅲ級(jí)的網(wǎng)絡(luò)與信息安全突發(fā)事件，應(yīng)及時(shí)向相關(guān)領(lǐng)導(dǎo)提出啟動(dòng)本預(yù)案的建議。

6、負(fù)責(zé)提供技術(shù)咨詢、技術(shù)支持，參與重要信息的研判、網(wǎng)絡(luò)與信息安全突發(fā)事件的調(diào)查和總結(jié)評(píng)估工作，進(jìn)行應(yīng)急處置工作。

三、監(jiān)測(cè)、預(yù)警和先期處置

（一）信息監(jiān)測(cè)與報(bào)告

1、要進(jìn)一步完善各重要信息系統(tǒng)網(wǎng)絡(luò)與信息安全突發(fā)事件監(jiān)測(cè)、預(yù)測(cè)、預(yù)警制度。按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)各類網(wǎng)絡(luò)與信息安全突發(fā)事件和可能引發(fā)網(wǎng)絡(luò)與信息安全突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測(cè)。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí)，在按規(guī)定向有關(guān)部門(mén)報(bào)告的同時(shí)，按緊急信息報(bào)送的規(guī)定及時(shí)向領(lǐng)導(dǎo)匯報(bào)。初次報(bào)告最遲不得超過(guò)4小時(shí)，較大、重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)事件實(shí)行態(tài)勢(shì)進(jìn)程報(bào)告和日?qǐng)?bào)告制度。報(bào)告內(nèi)容主要包括信息來(lái)源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢(shì)和采取的措施等。

2、重要信息系統(tǒng)管理人員應(yīng)確立2個(gè)以上的即時(shí)聯(lián)系方式，避免因信息網(wǎng)絡(luò)突發(fā)事件發(fā)生后，必要的信息通報(bào)與指揮協(xié)調(diào)通信渠道中斷。

3、及時(shí)上報(bào)相關(guān)網(wǎng)絡(luò)不安全行為：

（1）惡意人士利用本系統(tǒng)網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況。

（2）網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常，網(wǎng)絡(luò)和信息系統(tǒng)癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況。

（3）網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息。

（4）網(wǎng)絡(luò)安全狀況、安全形勢(shì)分析預(yù)測(cè)等信息。

（5）其他影響網(wǎng)絡(luò)與信息安全的信息。

（二）預(yù)警處理與預(yù)警

1、對(duì)于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)事件，系統(tǒng)管理員應(yīng)立即采取措施控制事態(tài)，請(qǐng)求相關(guān)職能部門(mén)，協(xié)作開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，并在2小時(shí)內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估，判定事件等級(jí)并預(yù)警。必要時(shí)應(yīng)啟動(dòng)相應(yīng)的預(yù)案，同時(shí)向信息安全領(lǐng)導(dǎo)小組匯報(bào)。

2、領(lǐng)導(dǎo)小組接到匯報(bào)后應(yīng)立即組織現(xiàn)場(chǎng)救援，查明事件狀態(tài)及原因，技術(shù)人員應(yīng)及時(shí)對(duì)信息進(jìn)行技術(shù)分析、研判，根據(jù)問(wèn)題的性質(zhì)、危害程度，提出安全警報(bào)級(jí)別。

（三）先期處置

1、當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí)，及時(shí)請(qǐng)技術(shù)人員做好先期應(yīng)急處置工作并立即采取措施控制事態(tài)，必要時(shí)采用斷網(wǎng)、關(guān)閉服務(wù)器等方式防止事態(tài)進(jìn)一步擴(kuò)大，同時(shí)向上級(jí)信息安全領(lǐng)導(dǎo)小組通報(bào)。

2、信息安全領(lǐng)導(dǎo)小組在接到網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生或可能發(fā)生的信息后，應(yīng)加強(qiáng)與有關(guān)方面的聯(lián)系，掌握最新發(fā)展態(tài)勢(shì)。對(duì)有可能演變?yōu)棰＜?jí)網(wǎng)絡(luò)與信息安全突發(fā)事件，技術(shù)人員處置工作提出建議方案，并作好啟動(dòng)本預(yù)案的各項(xiàng)準(zhǔn)備工作。信息安全領(lǐng)導(dǎo)小組根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)展態(tài)勢(shì)，視情況決定現(xiàn)場(chǎng)指導(dǎo)、組織設(shè)備廠商或者系統(tǒng)開(kāi)發(fā)商應(yīng)急支援力量，做好應(yīng)急處置工作。對(duì)有可能演變?yōu)棰⒓?jí)或i級(jí)的網(wǎng)絡(luò)與信息安全突發(fā)事件，要根據(jù)縣有關(guān)部門(mén)的要求，上報(bào)縣政府有關(guān)部門(mén)，趕赴現(xiàn)場(chǎng)指揮、組織應(yīng)急支援力量，積極做好應(yīng)急處置工作。

四、應(yīng)急處置

（一）應(yīng)急指揮

1、本預(yù)案啟動(dòng)后，領(lǐng)導(dǎo)小組要迅速建立與現(xiàn)場(chǎng)通訊聯(lián)系。抓緊收集相關(guān)信息，掌握現(xiàn)場(chǎng)處置工作狀態(tài)，分析事件發(fā)展趨勢(shì)，研究提出處置方案，調(diào)集和配置應(yīng)急處置所需要的人、財(cái)、物等資源，統(tǒng)一指揮網(wǎng)絡(luò)與信息安全應(yīng)急處置工作。

2、需要成立現(xiàn)場(chǎng)指揮部的，立即在現(xiàn)場(chǎng)開(kāi)設(shè)指揮部，并提供現(xiàn)場(chǎng)指揮運(yùn)作的相關(guān)保障?，F(xiàn)場(chǎng)指揮部要根據(jù)事件性質(zhì)迅速組建各類應(yīng)急工作組，開(kāi)展應(yīng)急處置工作。

（二）應(yīng)急支援

本預(yù)案啟動(dòng)后，領(lǐng)導(dǎo)小組可根據(jù)事態(tài)的發(fā)展和處置工作需要，及時(shí)申請(qǐng)?jiān)雠蓪＜倚〗M和應(yīng)急支援單位，調(diào)動(dòng)必需的物資、設(shè)備，支援應(yīng)急工作。參加現(xiàn)場(chǎng)處置工作的有關(guān)人員要在現(xiàn)場(chǎng)指揮部統(tǒng)一指揮下，協(xié)助開(kāi)展處置行動(dòng)。

（三）信息處理

現(xiàn)場(chǎng)信息收集、分析和上報(bào)。技術(shù)人員應(yīng)對(duì)事件進(jìn)行動(dòng)態(tài)監(jiān)測(cè)、評(píng)估，及時(shí)將事件的性質(zhì)、危害程度和損失情況及處置工作等情況及時(shí)報(bào)領(lǐng)導(dǎo)小組，不得隱瞞、緩報(bào)、謊報(bào)。符合緊急信息報(bào)送規(guī)定的，屬于i級(jí)、ⅱ級(jí)信息安全事件的，同時(shí)報(bào)縣委、縣政府相關(guān)網(wǎng)絡(luò)與信息安全部門(mén)。

（四）擴(kuò)大應(yīng)急

經(jīng)應(yīng)急處置后，事態(tài)難以控制或有擴(kuò)大發(fā)展趨勢(shì)時(shí)，應(yīng)實(shí)施擴(kuò)大應(yīng)急行動(dòng)。要迅速召開(kāi)信息安全工作領(lǐng)導(dǎo)小組會(huì)議，根據(jù)事態(tài)情況，研究采取有利于控制事態(tài)的非常措施，并向縣政府有關(guān)部門(mén)請(qǐng)求支援。

（五）應(yīng)急結(jié)束

網(wǎng)絡(luò)與信息安全突發(fā)事件經(jīng)應(yīng)急處置后，得到有效控制，將各監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù)報(bào)信息安全工作領(lǐng)導(dǎo)小組，提出應(yīng)急結(jié)束的建議，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施。

五、相關(guān)網(wǎng)絡(luò)安全處置流程

（一）攻擊、篡改類故障

指網(wǎng)站系統(tǒng)遭到網(wǎng)絡(luò)攻擊不能正常運(yùn)作，或出現(xiàn)非法信息、頁(yè)面被篡改。現(xiàn)網(wǎng)站出現(xiàn)非法信息或頁(yè)面被篡改，要第一時(shí)間請(qǐng)求相關(guān)職能部門(mén)取證并對(duì)其進(jìn)行刪除，恢復(fù)相關(guān)信息及頁(yè)面，同時(shí)報(bào)告領(lǐng)導(dǎo)，必要時(shí)可請(qǐng)求對(duì)網(wǎng)站服務(wù)器進(jìn)行關(guān)閉，待檢測(cè)無(wú)故障后再開(kāi)啟服務(wù)。

（二）病毒木馬類故障

指網(wǎng)站服務(wù)器感染病毒木馬，存在安全隱患。

1)對(duì)服務(wù)器殺毒安全軟件進(jìn)行系統(tǒng)升級(jí)，并進(jìn)行病毒木馬掃描，封堵系統(tǒng)漏洞。

2)發(fā)現(xiàn)服務(wù)器感染病毒木馬，要立即對(duì)其進(jìn)行查殺，報(bào)告領(lǐng)導(dǎo)，根據(jù)具體情況，酌情上報(bào)。

3)由于病毒木馬入侵服務(wù)器造成系統(tǒng)崩潰的，要第一時(shí)間報(bào)告領(lǐng)導(dǎo)，并聯(lián)系相關(guān)單位進(jìn)行數(shù)據(jù)恢復(fù)。

（三）突發(fā)性斷網(wǎng)

指突然性的內(nèi)部網(wǎng)絡(luò)中某個(gè)網(wǎng)絡(luò)段、節(jié)點(diǎn)或是整個(gè)網(wǎng)絡(luò)業(yè)務(wù)中斷。

1)查看網(wǎng)絡(luò)中斷現(xiàn)象，判定中斷原因。若不能及時(shí)恢復(fù)，應(yīng)當(dāng)開(kāi)通備用設(shè)備和線路。

2)若是設(shè)備物理故障，聯(lián)系相關(guān)廠商進(jìn)行處理。

（四）數(shù)據(jù)安全與恢復(fù)

1.發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí)，運(yùn)維人員應(yīng)及時(shí)報(bào)告領(lǐng)導(dǎo)，檢查、備份系統(tǒng)當(dāng)前數(shù)據(jù)。

2.強(qiáng)化數(shù)據(jù)備份，若備份數(shù)據(jù)損壞，則調(diào)用異地光盤(pán)備份數(shù)據(jù)。

3.數(shù)據(jù)損壞事件較嚴(yán)重?zé)o法保證正常工作的，經(jīng)部門(mén)領(lǐng)導(dǎo)同意，及時(shí)通知各部門(mén)以手工方式開(kāi)展工作。

4.中心應(yīng)待數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查基礎(chǔ)數(shù)據(jù)的完整性；重新備份數(shù)據(jù)，并寫(xiě)出故障分析報(bào)告。

（五）有害信息大范圍傳播

系統(tǒng)內(nèi)發(fā)生對(duì)互聯(lián)網(wǎng)電子公告服務(wù)、電子郵件、短信息等網(wǎng)上服務(wù)中大量出現(xiàn)危害國(guó)家安全、影響社會(huì)穩(wěn)定的有害、敏感信息等情況進(jìn)行分析研判，報(bào)經(jīng)縣委、縣政府分管領(lǐng)導(dǎo)批準(zhǔn)后啟動(dòng)預(yù)案；或根據(jù)上進(jìn)部門(mén)要求對(duì)網(wǎng)上特定有害、敏感信息及時(shí)上報(bào)，由上級(jí)職能部門(mén)采取封堵控制措施，按照市上職能部門(mén)要求統(tǒng)一部署啟動(dòng)預(yù)案。

（六）惡意炒作社會(huì)熱點(diǎn)、敏感問(wèn)題

本系統(tǒng)互聯(lián)網(wǎng)網(wǎng)站、電子公告服務(wù)中出現(xiàn)利用社會(huì)熱點(diǎn)、敏感問(wèn)題集中、連續(xù)、反復(fù)消息，制造輿論焦點(diǎn)，夸大、捏造、歪曲事實(shí)，煽動(dòng)網(wǎng)民與政府對(duì)立、對(duì)黨對(duì)社會(huì)主義制度不滿情緒，形成網(wǎng)上熱點(diǎn)問(wèn)題惡意炒作事件時(shí)，啟動(dòng)預(yù)案。

（七）敏感時(shí)期和重要活動(dòng)、會(huì)議期間本地互聯(lián)網(wǎng)遭到網(wǎng)絡(luò)攻擊

敏感時(shí)期和重要活動(dòng)、會(huì)議期間，本系統(tǒng)互聯(lián)網(wǎng)遭受網(wǎng)絡(luò)攻擊時(shí)，啟動(dòng)預(yù)案。要加強(qiáng)值班備勤，提高警惕，密切注意本系統(tǒng)網(wǎng)上動(dòng)態(tài)。收到信息后，及時(shí)報(bào)警，要迅速趕赴案（事）發(fā)網(wǎng)站，指導(dǎo)案（事）件單位采取應(yīng)急處置措施，同時(shí)收集、固定網(wǎng)絡(luò)攻擊線索，請(qǐng)求縣上技術(shù)力量，分析研判，提出技術(shù)解決方案，做好現(xiàn)場(chǎng)調(diào)查和處置工作記錄，協(xié)助網(wǎng)站恢復(fù)正常運(yùn)行并做好防范工作。

六、后期處置

（一）善后處置

在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作，統(tǒng)計(jì)各種數(shù)據(jù)，查明原因，對(duì)事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估，認(rèn)真制定恢復(fù)重建計(jì)劃，迅速組織實(shí)施。

（二）調(diào)查和評(píng)估

在應(yīng)急處置工作結(jié)束后，信息安全工作領(lǐng)導(dǎo)小組應(yīng)立即組織有關(guān)人員和專家組成事件調(diào)查組，對(duì)事件發(fā)生及其處置過(guò)程進(jìn)行全面的調(diào)查，查清事件發(fā)生的原因及財(cái)產(chǎn)損失狀況和總結(jié)經(jīng)驗(yàn)教訓(xùn)，寫(xiě)出調(diào)查評(píng)估報(bào)告。

七、應(yīng)急保障

（一）通信與信息保障

領(lǐng)導(dǎo)小組各成員應(yīng)保證電話24小時(shí)開(kāi)機(jī)，以確保發(fā)生信息安全事故時(shí)能及時(shí)聯(lián)系到位。

（二）應(yīng)急裝備保障

各重要信息系統(tǒng)在建設(shè)系統(tǒng)時(shí)應(yīng)事先預(yù)留出一定的應(yīng)急設(shè)備，做好信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資儲(chǔ)備工作。在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時(shí)，由領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)一調(diào)用。

（三）應(yīng)急隊(duì)伍保障

按照一專多能的要求建立網(wǎng)絡(luò)與信息安全應(yīng)急保障隊(duì)伍。選擇若干經(jīng)國(guó)家有關(guān)部門(mén)資質(zhì)認(rèn)可的，具有管理規(guī)范、服務(wù)能力較強(qiáng)的企業(yè)作為我縣網(wǎng)絡(luò)與信息安全的社會(huì)應(yīng)急支援單位，提供技術(shù)支持與服務(wù)；必要時(shí)能夠有效調(diào)動(dòng)機(jī)關(guān)團(tuán)體、企事業(yè)單位等的保障力量，進(jìn)行技術(shù)支援。

（四）交通運(yùn)輸保障

應(yīng)確定網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急交通工具，確保應(yīng)急期間人員、物資、信息傳遞的需要，并根據(jù)應(yīng)急處置工作需要，由領(lǐng)導(dǎo)小組統(tǒng)一調(diào)配。

（五）經(jīng)費(fèi)保障

網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)公共事件應(yīng)急處置資金，應(yīng)列入年度工作經(jīng)費(fèi)預(yù)算，切實(shí)予以保障。

八、工作要求

（一）高度重視?；ヂ?lián)網(wǎng)信息安全突發(fā)事件應(yīng)急處置工作事關(guān)國(guó)家安全、社會(huì)政治穩(wěn)定和經(jīng)濟(jì)發(fā)展，要切實(shí)增強(qiáng)政治責(zé)任感和敏感性，建立應(yīng)急處置的快速反應(yīng)機(jī)制。

篇3

通過(guò)開(kāi)展信息安全檢查工作，進(jìn)一步落實(shí)信息安全責(zé)任，增強(qiáng)全員信息安全意識(shí)，認(rèn)真查找突出問(wèn)題和薄弱環(huán)節(jié)，全面排查安全隱患和安全漏洞，有針對(duì)性地采取管理和技術(shù)防護(hù)措施，促進(jìn)安全防范水平和安全可控能力提升，預(yù)防和減少重大信息安全事件的發(fā)生，切實(shí)保障信息安全。

二、檢查范圍

信息安全檢查的范圍包括縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位。涉及國(guó)家秘密的信息系統(tǒng)安全檢查，按照國(guó)家保密管理規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

三、檢查內(nèi)容

（一）信息安全管理情況

按照國(guó)家信息安全政策和標(biāo)準(zhǔn)規(guī)范要求，信息安全管理規(guī)章制度的建立健全及落實(shí)情況。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)、信息管理機(jī)構(gòu)和工作人員履職情況，信息安全責(zé)任制落實(shí)及事故責(zé)任追究情況，人員、資產(chǎn)、采購(gòu)、外包服務(wù)等日常安全管理情況，信息安全經(jīng)費(fèi)保障情況等。

（二）技術(shù)防護(hù)情況

網(wǎng)絡(luò)與信息系統(tǒng)防病毒、防攻擊、防篡改、防癱瘓、防泄密等技術(shù)措施及有效性。重點(diǎn)檢查事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，對(duì)部門(mén)或行業(yè)正常生產(chǎn)生活具有較大影響的重要網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)情況，包括技術(shù)防護(hù)體系建立情況；網(wǎng)絡(luò)邊界防護(hù)措施，不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施，互聯(lián)網(wǎng)接入安全防護(hù)措施，無(wú)線局域網(wǎng)安全防護(hù)策略等；服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性，應(yīng)用系統(tǒng)安全功能配置及有效性；終端計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)安全防護(hù)措施；重要數(shù)據(jù)傳輸、存儲(chǔ)的安全防護(hù)措施等。

（三）應(yīng)急工作情況

按照國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案要求，建立健全信息安全應(yīng)急工作機(jī)制。重點(diǎn)檢查信息安全事件應(yīng)急預(yù)案制訂、修訂情況，應(yīng)急預(yù)案演練情況；應(yīng)急技術(shù)支撐隊(duì)伍、災(zāi)難備份與恢復(fù)措施建設(shè)情況，重大信息安全事件處置及查處情況等。

（四）安全教育培訓(xùn)情況

重點(diǎn)檢查信息安全和保密形勢(shì)宣傳教育、領(lǐng)導(dǎo)干部和各級(jí)人員信息安全技能培訓(xùn)、信息安全管理和技術(shù)人員專業(yè)培訓(xùn)情況等。

（五）安全問(wèn)題整改情況

重點(diǎn)檢查以往信息安全檢查中發(fā)現(xiàn)問(wèn)題的整改情況，包括整改措施、整改效果及復(fù)查情況，以及類似問(wèn)題的排查情況等，分析安全威脅和安全風(fēng)險(xiǎn)，進(jìn)一步評(píng)估總體安全狀況。

四、檢查方式

按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，信息安全檢查工作以各縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位組織自查為主。同時(shí)，市衛(wèi)生局將會(huì)組織專業(yè)技術(shù)隊(duì)伍對(duì)部分重點(diǎn)單位和重要系統(tǒng)進(jìn)行安全抽查。

（一）安全自查

各縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位統(tǒng)籌組織安排本地和本單位的信息安全自查工作，制定信息安全檢查實(shí)施方案，印發(fā)檢查部署文件，明確自查范圍、責(zé)任單位、工作安排及工作要求等相關(guān)內(nèi)容，并認(rèn)真組織實(shí)施。自查工作完成后，各縣、市（區(qū)）衛(wèi)生局和市直醫(yī)療衛(wèi)生單位要對(duì)本地衛(wèi)生系統(tǒng)和本單位檢查情況進(jìn)行全面匯總、總結(jié)，填寫(xiě)檢查結(jié)果統(tǒng)計(jì)表，認(rèn)真梳理存在的主要問(wèn)題，分析評(píng)估安全風(fēng)險(xiǎn)，撰寫(xiě)檢查總結(jié)報(bào)告。

（二）安全抽查

1．抽查任務(wù)

市衛(wèi)生局將組織專業(yè)技術(shù)隊(duì)伍對(duì)部分縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位進(jìn)行抽查，抽查單位和時(shí)間另行通知。

2．抽點(diǎn)內(nèi)容

(1)現(xiàn)場(chǎng)抽查內(nèi)容。重點(diǎn)檢查被抽查單位自查工作組織開(kāi)展情況，2012年安全檢查發(fā)現(xiàn)問(wèn)題的整改情況，網(wǎng)絡(luò)架構(gòu)、安全區(qū)域劃分的合理性，網(wǎng)絡(luò)邊界防護(hù)措施的完備性，服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的安全策略配置、應(yīng)用系統(tǒng)安全功能配置及其有效性，重要數(shù)據(jù)傳輸、存儲(chǔ)等安全防護(hù)措施。專業(yè)技術(shù)隊(duì)伍應(yīng)對(duì)重要設(shè)備和應(yīng)用系統(tǒng)進(jìn)行安全技術(shù)檢測(cè)，深入挖掘安全漏洞，采用人工方式對(duì)安全漏洞的可利用性進(jìn)行驗(yàn)證，幫助排查安全隱患，分析評(píng)估安全風(fēng)險(xiǎn)。

(2)外部檢測(cè)內(nèi)容。通過(guò)互聯(lián)網(wǎng)對(duì)被抽查的網(wǎng)站系統(tǒng)、業(yè)務(wù)系統(tǒng)等安全風(fēng)險(xiǎn)狀況進(jìn)行外部檢測(cè)，包括安全漏洞、網(wǎng)頁(yè)篡改、惡意代碼情況以及近年來(lái)安全檢查中發(fā)現(xiàn)問(wèn)題的整改情況等，驗(yàn)證被抽查系統(tǒng)安全防護(hù)措施的有效性。

五、時(shí)間安排

（一）自查時(shí)間安排

自查工作自本工作方案印發(fā)之日起啟動(dòng)，2013年9月23日結(jié)束。

（二）抽查時(shí)間安排

市衛(wèi)生局牽頭組織的抽查工作自9月23日起啟動(dòng)，9月30日前完成。

六、信息報(bào)送

（一）請(qǐng)各縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位于2013年9月23日前向市衛(wèi)生局上報(bào)檢查總結(jié)報(bào)告，以及《地方／行業(yè)信息安全檢查結(jié)果統(tǒng)計(jì)匯總表》（衛(wèi)生局填報(bào)本地區(qū)衛(wèi)生系統(tǒng)匯總后數(shù)據(jù)，醫(yī)療衛(wèi)生單位填寫(xiě)本單位數(shù)據(jù)）、《信息安全檢查結(jié)果統(tǒng)計(jì)表》和《政府部門(mén)信息安全管理工作自評(píng)估表（試行）》等相關(guān)材料。

（二）報(bào)送方式。報(bào)送材料紙質(zhì)版至市衛(wèi)生局辦公室，電子版請(qǐng)通過(guò)省衛(wèi)生廳集群辦公OA系統(tǒng)發(fā)送至市衛(wèi)生局。如填報(bào)內(nèi)容，請(qǐng)按照保密要求通過(guò)機(jī)要方式傳送。

（三）在自查中發(fā)現(xiàn)重大安全隱患或出現(xiàn)因檢查工作導(dǎo)致的跨地區(qū)、跨部門(mén)或跨行業(yè)安全問(wèn)題時(shí)，應(yīng)及時(shí)向市衛(wèi)生局和本地信息化管理部門(mén)報(bào)告。

七、有關(guān)工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任

各縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位要把信息安全檢查工作列入重要議事日程，加強(qiáng)組織領(lǐng)導(dǎo)，明確檢查責(zé)任，建立并落實(shí)信息安全檢查工作責(zé)任制，明確檢查工作負(fù)責(zé)人、檢查機(jī)構(gòu)和檢查人員，安排并落實(shí)檢查工作經(jīng)費(fèi)，保證檢查工作順利進(jìn)行。

（二）注重源頭，深入檢查

各縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位要全面細(xì)致開(kāi)展檢查工作，注重采用技術(shù)檢測(cè)等手段，深入查找安全問(wèn)題和隱患。認(rèn)真統(tǒng)計(jì)與填報(bào)數(shù)據(jù)，確保檢查工作不走過(guò)場(chǎng)、不漏環(huán)節(jié)、不留死角。要高度重視檢查中發(fā)現(xiàn)的苗頭性、趨勢(shì)性問(wèn)題，全面系統(tǒng)地分析研究解決，從源頭上遏制和消除安全隱患。

（三）即查即改，確保成效

各縣市區(qū)衛(wèi)生局和市直醫(yī)療衛(wèi)生單位對(duì)檢查中發(fā)現(xiàn)的問(wèn)題要及時(shí)整改，因條件不具備暫時(shí)不能整改的問(wèn)題應(yīng)采取臨時(shí)防范措施，保證系統(tǒng)安全正常運(yùn)行。各縣市區(qū)衛(wèi)生局應(yīng)及時(shí)把檢查中發(fā)現(xiàn)的問(wèn)題通報(bào)給相關(guān)單位，督促相關(guān)單位組織風(fēng)險(xiǎn)研判、并落實(shí)整改措施，對(duì)于逾期未進(jìn)行整改的單位將予以通報(bào)。

（四）密切配合，加強(qiáng)指導(dǎo)

各縣市區(qū)衛(wèi)生局應(yīng)加強(qiáng)與同級(jí)信息化主管部門(mén)的溝通合作，組織專業(yè)技術(shù)隊(duì)伍對(duì)檢查工作進(jìn)行技術(shù)咨詢和指導(dǎo)，不斷提高檢查

工作的科學(xué)性和規(guī)范性。承擔(dān)抽查任務(wù)的專業(yè)技術(shù)隊(duì)伍和被抽查

單位應(yīng)加強(qiáng)溝通，做好配合工作，保障信息安全抽查工作的順利

開(kāi)展。

篇4

通過(guò)開(kāi)展信息系統(tǒng)安全檢查，掌握全局信息安全總體態(tài)勢(shì)，發(fā)現(xiàn)存在的主要問(wèn)題和薄弱環(huán)節(jié)，推動(dòng)局及下屬事業(yè)單位進(jìn)一步健全信息安全管理制度、完善信息安全保障技術(shù)措施、提高信息安全防護(hù)能力。

二、檢查范圍和內(nèi)容

對(duì)局機(jī)關(guān)及下屬事業(yè)單位信息安全工作進(jìn)行全面檢查。

檢查內(nèi)容包括：局機(jī)關(guān)和下屬事業(yè)單位自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)以及部分終端設(shè)備等，檢點(diǎn)為公共服務(wù)業(yè)務(wù)系統(tǒng)和門(mén)戶網(wǎng)站。詳細(xì)內(nèi)容參見(jiàn)《2012年度市地震局機(jī)關(guān)信息系統(tǒng)安全自查情況報(bào)告表》。

涉及國(guó)家秘密的信息系統(tǒng)保密檢查工作，按照國(guó)家保密管理規(guī)定執(zhí)行。

三、檢查原則

堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，統(tǒng)籌安排、突出重點(diǎn)、明確責(zé)任、注重實(shí)效。

局機(jī)關(guān)各處（室）信息系統(tǒng)安全檢查，由辦公室牽頭組織實(shí)施。

下屬事業(yè)單位信息安全檢查工作由臺(tái)、中心自行組織開(kāi)展。

四、檢查形式及時(shí)間安排

信息系統(tǒng)安全檢查以自查為主。局機(jī)關(guān)及下屬事業(yè)單位應(yīng)于7月2日至7月6日完成本年度信息安全自查，應(yīng)按照《2012年度市地震局機(jī)關(guān)信息系統(tǒng)安全自查情況報(bào)告表》逐項(xiàng)檢查，并核對(duì)準(zhǔn)確度。局辦公室應(yīng)于7月10日前完成《2012年度市地震局信息系統(tǒng)安全檢查工作報(bào)告》的撰寫(xiě)和報(bào)送市信安辦工作。自查結(jié)束后，要盡快消除自查中發(fā)現(xiàn)的安全隱患，時(shí)刻繃緊信息安全這根弦，全面迎接7月中旬市政府信息系統(tǒng)安全檢查小組的抽查。

五、工作要求

（一）局及下屬事業(yè)單位應(yīng)將信息系統(tǒng)安全檢查列入重要議事日程，切實(shí)加強(qiáng)組織領(lǐng)導(dǎo)，完善檢查工作機(jī)制，落實(shí)檢查工作經(jīng)費(fèi)，確保檢查工作順利開(kāi)展。

（二）請(qǐng)局辦公室于7月10日前，將自查工作總結(jié)（紙質(zhì)文檔和電子光盤(pán)）報(bào)送市信安辦（紙質(zhì)材料需蓋章）。

篇5

1總則

1.1編制目的

為保障XX市醫(yī)療保障局網(wǎng)絡(luò)和信息安全，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的能力，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害，進(jìn)一步完善網(wǎng)絡(luò)安全事件應(yīng)急處置機(jī)制，制定本預(yù)案。

1.2編制依據(jù)

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《信息安全技術(shù)信息安全事件分類分級(jí)指南》（GB/Z20986-2007)、《信息安全事件管理指南》（GB/Z20985-2007)、《應(yīng)急預(yù)案編制導(dǎo)則》（GBA29639-2013)、《信息技術(shù)服務(wù)運(yùn)行維護(hù)第3部分:應(yīng)急響應(yīng)規(guī)范》（GBA28827.3-2012)等相關(guān)規(guī)定。

1.3工作原則

強(qiáng)化監(jiān)測(cè)，主動(dòng)防御。強(qiáng)化網(wǎng)絡(luò)和信息安全防護(hù)意識(shí)，加強(qiáng)日常安全檢測(cè)，積極主動(dòng)防御，做到安全風(fēng)險(xiǎn)早發(fā)現(xiàn)。

明確分工，落實(shí)責(zé)任。加強(qiáng)網(wǎng)絡(luò)和信息安全組織體系建設(shè)，明確網(wǎng)絡(luò)安全應(yīng)急工作權(quán)責(zé)，健全安全信息通報(bào)機(jī)制，做到安全風(fēng)險(xiǎn)早通報(bào)。

快速響應(yīng)，有效處置。加強(qiáng)日常監(jiān)管和運(yùn)維，強(qiáng)化人力、物資、技術(shù)等基礎(chǔ)資源儲(chǔ)備，增強(qiáng)應(yīng)急響應(yīng)能力，做到安全問(wèn)題早處置。

1.4適用范圍

本預(yù)案適用于市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件應(yīng)急工作。

2事件分級(jí)與監(jiān)測(cè)預(yù)警

2.1事件分類

網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件。

（1）有害程序事件。包括：計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件。

（2）網(wǎng)絡(luò)攻擊事件。包括：拒絕服務(wù)攻擊事件、后門(mén)攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。

（3）信息破壞事件。包括：信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

（4）信息內(nèi)容安全事件。指通過(guò)網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動(dòng)集會(huì)游行或炒作敏感問(wèn)題并危害國(guó)家安全、社會(huì)穩(wěn)定和公眾利益的事件。

（5）設(shè)備設(shè)施故障。包括：軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。

（6）災(zāi)害性事件。指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。

（7）其他事件。指除以上所列事件之外的網(wǎng)絡(luò)安全事件。

2.2事件分級(jí)

按照事件性質(zhì)、嚴(yán)重程度、可控性和影響范圍等因素，將市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件劃分為四級(jí)：Ⅰ級(jí)、Ⅱ級(jí)、Ⅲ級(jí)和Ⅳ級(jí)，分別對(duì)應(yīng)特別重大、重大、較大和一般安全應(yīng)急事件。

（1）Ⅰ級(jí)（特別重大）。局網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生全局性癱瘓，事態(tài)發(fā)展超出控制能力，產(chǎn)生特別嚴(yán)重的社會(huì)影響或損害的安全事件。

（2）Ⅱ級(jí)（重大）。局網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓，對(duì)社會(huì)造成嚴(yán)重?fù)p害，需要局各科室（單位）協(xié)同處置應(yīng)對(duì)的安全事件。

（3）Ⅲ級(jí)（較大）。局部分網(wǎng)絡(luò)和信息系統(tǒng)癱瘓，對(duì)社會(huì)造成一定損害，事態(tài)發(fā)展在掌控之中的安全事件。

（4）Ⅳ級(jí)（一般）。局網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，對(duì)社會(huì)不構(gòu)成影響的安全事件。

2.3預(yù)警監(jiān)測(cè)

有關(guān)科室（單位）應(yīng)加強(qiáng)日常預(yù)警和監(jiān)測(cè)，必要時(shí)應(yīng)啟動(dòng)應(yīng)急預(yù)案，同時(shí)向局網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱“領(lǐng)導(dǎo)小組”）通報(bào)情況。收到或發(fā)現(xiàn)預(yù)警信息，須及時(shí)進(jìn)行技術(shù)分析、研判，根據(jù)問(wèn)題的性質(zhì)、危害程度，提出安全預(yù)警級(jí)別。

（1）對(duì)發(fā)生或可能發(fā)生的Ⅳ級(jí)安全事件，及時(shí)消除隱患避免產(chǎn)生更為嚴(yán)重的后果。

（2）對(duì)發(fā)生或可能發(fā)生的Ⅲ級(jí)安全事件，迅速組織技術(shù)力量，研判風(fēng)險(xiǎn)，消除影響，并將處置情況和結(jié)果報(bào)領(lǐng)導(dǎo)小組，由領(lǐng)導(dǎo)小組預(yù)警信息。

（3）對(duì)發(fā)生和可能發(fā)生的Ⅱ級(jí)安全事件，應(yīng)迅速啟動(dòng)應(yīng)急預(yù)案，召開(kāi)應(yīng)急工作會(huì)議，研究確定事件等級(jí)，研判事件產(chǎn)生的影響和發(fā)展趨勢(shì)，組織技術(shù)力量進(jìn)行應(yīng)急處置，并將處置情況報(bào)領(lǐng)導(dǎo)小組，由領(lǐng)導(dǎo)小組預(yù)警信息。

（4）對(duì)于發(fā)生和可能發(fā)生的Ⅰ級(jí)安全事件，迅速啟動(dòng)應(yīng)急預(yù)案，由領(lǐng)導(dǎo)小組向省醫(yī)療保障局、市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、市公安局通報(bào)，并在省級(jí)有關(guān)部門(mén)的指揮下開(kāi)展應(yīng)急處置工作，預(yù)警信息由省級(jí)有關(guān)部門(mén)。

3應(yīng)急處置

3.1網(wǎng)頁(yè)被篡改時(shí)處置流程

（1）網(wǎng)頁(yè)由主辦網(wǎng)站的科室（單位）負(fù)責(zé)隨時(shí)密切監(jiān)視顯示內(nèi)容。

（2）發(fā)現(xiàn)非法篡改時(shí)，通知技術(shù)單位派專人處理，并作好必要記錄，確認(rèn)清除非法信息后，重新恢復(fù)網(wǎng)站訪問(wèn)。

（3）保存有關(guān)記錄及日志，排查非法信息來(lái)源。

（4）向領(lǐng)導(dǎo)小組匯報(bào)處理情況。

（5）情節(jié)嚴(yán)重時(shí)向公安部門(mén)報(bào)警。

3.2遭受攻擊時(shí)處置流程

（1）發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊時(shí)，立即將被攻擊的服務(wù)器等設(shè)備斷網(wǎng)隔離，并及時(shí)向領(lǐng)導(dǎo)小組通報(bào)情況。

（2）進(jìn)行系統(tǒng)恢復(fù)或重建。

（3）保持日志記錄，排查攻擊來(lái)源和攻擊路徑。

（4）如果不能自行處理或?qū)賴?yán)重事件的，應(yīng)保留記錄資料并立即向公安部門(mén)報(bào)警。

3.3病毒感染處置流程

（1）發(fā)現(xiàn)計(jì)算機(jī)被感染上病毒后，將該機(jī)從網(wǎng)絡(luò)上隔離。

（2）對(duì)該設(shè)備的硬盤(pán)進(jìn)行數(shù)據(jù)備份。

（3）啟用殺病毒軟件對(duì)該機(jī)器進(jìn)行殺毒處理工作。

（4）必要時(shí)重新安裝操作系統(tǒng)。

3.4軟件系統(tǒng)遭受攻擊時(shí)處置流程

（1）重要的軟件系統(tǒng)應(yīng)做異地存儲(chǔ)備份。

（2）遭受攻擊時(shí)，應(yīng)及時(shí)采取相應(yīng)措施減少或降低損害，必要時(shí)關(guān)停服務(wù)，斷網(wǎng)隔離，并立即向領(lǐng)導(dǎo)小組報(bào)告。

（3）網(wǎng)絡(luò)安全人員排查問(wèn)題，確保安全后重新部署系統(tǒng)。

（4）檢查日志等資料，確定攻擊來(lái)源。

（5）情況嚴(yán)重時(shí)，應(yīng)保留記錄資料并立即向公安部門(mén)報(bào)警。

3.5數(shù)據(jù)庫(kù)安全緊急處置流程

（1）主要數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)做雙機(jī)熱備，并存于異地。

（2）發(fā)生數(shù)據(jù)庫(kù)崩潰時(shí)，立即啟動(dòng)備用系統(tǒng)。

（3）在備用系統(tǒng)運(yùn)行的同時(shí)，盡快對(duì)故障系統(tǒng)進(jìn)行修復(fù)。

（4）若兩主備系統(tǒng)同時(shí)崩潰，應(yīng)立即向領(lǐng)導(dǎo)小組報(bào)告，并向軟硬件廠商請(qǐng)求支援。

（5）系統(tǒng)恢復(fù)后，排查原因，出具調(diào)查報(bào)告。

3.6網(wǎng)絡(luò)中斷處置流程

（1）網(wǎng)絡(luò)中斷后，立即安排人員排查原因，尋找故障點(diǎn)。

（2）如屬線路故障，重新修復(fù)線路。

（3）如是路由器、交換機(jī)配置問(wèn)題，應(yīng)迅速重新導(dǎo)入備份配置。

（4）如是路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備硬件故障，應(yīng)立即使用備用設(shè)備，并調(diào)試通暢。

（5）如故障節(jié)點(diǎn)屬電信部門(mén)管轄范圍，立即與電信維護(hù)部門(mén)聯(lián)系，要求修復(fù)。

3.7發(fā)生火災(zāi)處置流程

（1）首先確保人員安全，其次確保核心信息資產(chǎn)的安全，條件允許的情況下再確保一般信息資產(chǎn)的安全。

（2）及時(shí)疏散無(wú)關(guān)人員，撥打119報(bào)警電話。

（3）現(xiàn)場(chǎng)緊急切斷電源，啟動(dòng)滅火裝置。

（4）向領(lǐng)導(dǎo)小組報(bào)告火災(zāi)情況。

4調(diào)查與評(píng)估

（1）網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后，由相關(guān)科室（單位）自行組織調(diào)查的，科室（單位）對(duì)事件產(chǎn)生的原因、影響以及責(zé)任認(rèn)定進(jìn)行調(diào)查，調(diào)查報(bào)告報(bào)領(lǐng)導(dǎo)小組。

（2）網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后，對(duì)按照規(guī)定需要成立調(diào)查組的事件，由領(lǐng)導(dǎo)小組組織成立調(diào)查組，對(duì)事件產(chǎn)生的原因、影響及責(zé)任認(rèn)定進(jìn)行調(diào)查。

（3）網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后，對(duì)產(chǎn)生社會(huì)影響且由省級(jí)有關(guān)部門(mén)進(jìn)行調(diào)查的，按照省級(jí)有關(guān)部門(mén)的要求配合進(jìn)行事件調(diào)查。

5附則

篇6

[關(guān)鍵詞]信息安全管理 評(píng)估模型 管理體系

中圖分類號(hào)：P9.T3308 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設(shè)的發(fā)展，信息安全越來(lái)越多的受到人們的重視，企業(yè)信息安全重點(diǎn)面臨的問(wèn)題主要表現(xiàn)在[1]：1）網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無(wú)終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無(wú)法開(kāi)展或相關(guān)重要數(shù)據(jù)被盜??；2）網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓；3）信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒(méi)有主管部門(mén)負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響；4）計(jì)算機(jī)病毒的危害，相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級(jí)，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式，但在目前還沒(méi)有形成系統(tǒng)化和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數(shù)學(xué)，而評(píng)價(jià)方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評(píng)價(jià)體系，并運(yùn)用隸屬函數(shù)和隸屬度確定待評(píng)對(duì)象的安全狀況。上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)，如技術(shù)、管理、過(guò)程、人員等，著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)，其評(píng)估過(guò)程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評(píng)估框架，很多評(píng)估準(zhǔn)則和指標(biāo)沒(méi)有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來(lái)。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個(gè)科學(xué)、合理的管理體系，并根據(jù)該體系和方法對(duì)大型企業(yè)的信息安全狀況和水平進(jìn)行評(píng)價(jià)，對(duì)信息安全管理績(jī)效進(jìn)行考核。

2、 大型企業(yè)信息安全管理體系的內(nèi)涵

通過(guò)管理體系的應(yīng)用，將對(duì)大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對(duì)企業(yè)信息安全的水平做出客觀的反應(yīng)，認(rèn)識(shí)企業(yè)信息安全存在的不足之處，發(fā)揮考評(píng)體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展；二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐；三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動(dòng)的進(jìn)程，提高信息安全級(jí)別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、 大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對(duì)于信息安全方面出現(xiàn)的問(wèn)題，達(dá)到防范目的；對(duì)于信息安全工作進(jìn)行查漏補(bǔ)缺，加強(qiáng)管理；通過(guò)評(píng)估體系的考核，落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時(shí)注重管理體系整體的時(shí)效性，根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。

1） 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級(jí)，包含9個(gè)一級(jí)指標(biāo)，14個(gè)二級(jí)指標(biāo)，27個(gè)三級(jí)指標(biāo)。一級(jí)指標(biāo)和二級(jí)指標(biāo)為共性指標(biāo)，三級(jí)指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級(jí)指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動(dòng)信息化安全、服務(wù)器掃描情況。一級(jí)和二級(jí)指標(biāo)結(jié)構(gòu)圖如下：

2）信息安全考評(píng)指標(biāo)的權(quán)重設(shè)計(jì)

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德?tīng)柗品╗4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過(guò)程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對(duì)重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對(duì)各指標(biāo)按百分制進(jìn)行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見(jiàn)，初步確定各指標(biāo)的權(quán)重，再組織專家研討會(huì)，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評(píng)指標(biāo)總分計(jì)算方法：

I=Σ（Pi*Wi） （1）

I表示指標(biāo)體系的總得分；Pi表示第i個(gè)指標(biāo)的得分，各指標(biāo)得滿分都是100分；Wi表示第i個(gè)指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3）建設(shè)大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)

為了實(shí)施信息安全措施體系，以信息安全體系、信息安全文件和考評(píng)制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)。通過(guò)使用該系統(tǒng)，將減輕信息化管理部門(mén)的負(fù)擔(dān)，填報(bào)和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)，可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作，大大減輕了信息化管理部門(mén)的工作強(qiáng)度，增加了信息化管理部門(mén)對(duì)新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫(kù)層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開(kāi)發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實(shí)現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評(píng)價(jià)初始化、基層初評(píng)、數(shù)據(jù)提交、部門(mén)權(quán)限管理（含單位、指標(biāo)項(xiàng)）、管理部門(mén)復(fù)評(píng)、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺(tái)，提高企業(yè)信息整合水平。

建立在線交流及公告平臺(tái)。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析，可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等，例如：信息化評(píng)級(jí)、信息化水平評(píng)測(cè)報(bào)告。

4、 結(jié)束語(yǔ)

通過(guò)大型企業(yè)信息安全管理體系的實(shí)施，使企業(yè)信息化水平評(píng)估體系更加完善，在考評(píng)信息化建設(shè)水平的同時(shí)，又對(duì)信息安全水平等級(jí)有所提升。

參考文獻(xiàn)

[1] 周學(xué)廣，劉藝.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào)，信息與管理工程版，2007，1（29）：153-156.

篇7

基礎(chǔ)設(shè)施安全隱患自查報(bào)告范文(一)

根據(jù)《關(guān)于轉(zhuǎn)發(fā)<關(guān)于開(kāi)展2019年六安市網(wǎng)絡(luò)安全檢查工作的通知>的通知》(區(qū)宣字〔2019〕23號(hào))的要求，椿樹(shù)鎮(zhèn)黨委、政府高度重視并迅速開(kāi)展檢查工作，現(xiàn)將檢查情況總結(jié)報(bào)告如下：

一、成立領(lǐng)導(dǎo)小組

為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我鎮(zhèn)成立了網(wǎng)絡(luò)信息工作領(lǐng)導(dǎo)小組，由鎮(zhèn)長(zhǎng)任組長(zhǎng)，分管副書(shū)記任副組長(zhǎng)，下設(shè)辦公室，做到分工明確，責(zé)任具體到人，確保網(wǎng)絡(luò)信息安全工作順利實(shí)施。

二、網(wǎng)絡(luò)安全現(xiàn)狀

目前我鎮(zhèn)共有電腦32臺(tái)，均采用防火墻對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，并安裝了殺毒軟件對(duì)全鎮(zhèn)計(jì)算機(jī)進(jìn)行病毒防治。

三、網(wǎng)絡(luò)安全管理措施

為了做好信息化建設(shè)，規(guī)范政府信息化管理，我鎮(zhèn)專門(mén)制訂了《椿樹(shù)鎮(zhèn)網(wǎng)絡(luò)安全管理制度》、《椿樹(shù)鎮(zhèn)網(wǎng)絡(luò)信息安全保障工作方案》、《椿樹(shù)鎮(zhèn)病毒檢測(cè)和網(wǎng)絡(luò)安全漏洞檢測(cè)制度》等多項(xiàng)制度，對(duì)信息化工作管理、內(nèi)部電腦安全管理、計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計(jì)算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定，進(jìn)一步規(guī)范了我鎮(zhèn)信息安全管理工作。

針對(duì)計(jì)算機(jī)保密工作，我鎮(zhèn)制定了《椿樹(shù)鎮(zhèn)鎮(zhèn)信息審核、登記制度》、《椿樹(shù)鎮(zhèn)突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》等相關(guān)制度，并定期對(duì)網(wǎng)站上的所有信息進(jìn)行整理，未發(fā)現(xiàn)涉及到安全保密內(nèi)容的信息;與網(wǎng)絡(luò)安全小組成員簽訂了《椿樹(shù)鎮(zhèn)網(wǎng)絡(luò)信息安全管理責(zé)任書(shū)》，確保計(jì)算機(jī)使用做到“誰(shuí)使用、誰(shuí)負(fù)責(zé)”;對(duì)我鎮(zhèn)內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理，并及時(shí)存檔備份;此外，在全鎮(zhèn)范圍內(nèi)組織相關(guān)計(jì)算機(jī)安全技術(shù)培訓(xùn)，并開(kāi)展有針對(duì)性的“網(wǎng)絡(luò)信息安全”教育及演練，積極參加其他計(jì)算機(jī)安全技術(shù)培訓(xùn)，提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識(shí)，有力地保障我鎮(zhèn)政府信息網(wǎng)絡(luò)正常運(yùn)行。

四、網(wǎng)絡(luò)安全存在的不足及整改措施

目前，我鎮(zhèn)網(wǎng)絡(luò)安全仍然存在以下幾點(diǎn)不足：

一是安全防范意識(shí)較為薄弱;二是病毒監(jiān)控能力有待提高;三是對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用管理還不夠規(guī)范;四是遇到惡意攻擊、計(jì)算機(jī)病毒侵襲等突發(fā)事件處理能力不夠。

針對(duì)目前我鎮(zhèn)網(wǎng)絡(luò)安全方面存在的不足，提出以下幾點(diǎn)整改意見(jiàn)：

1、進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全小組成員計(jì)算機(jī)操作技術(shù)、網(wǎng)絡(luò)安全技術(shù)方面的培訓(xùn)，強(qiáng)化計(jì)算機(jī)操作人員對(duì)網(wǎng)絡(luò)病毒、信息安全威脅的防范意識(shí)，做到早發(fā)現(xiàn)，早報(bào)告、早處理。

2、加強(qiáng)干部職工在計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)方面的學(xué)習(xí)，不斷提高機(jī)關(guān)干部的計(jì)算機(jī)技術(shù)水平。

基礎(chǔ)設(shè)施安全隱患自查報(bào)告范文(二)

按照《XX市交通局關(guān)于開(kāi)展全市重大交通基礎(chǔ)設(shè)施安全隱患排查工作的通知》文件的安排部署，10月25日至11月2日，市公路處副處長(zhǎng)劉大倫、劉志斌帶隊(duì)赴各縣、區(qū)(市)，采取檢查組重點(diǎn)抽查與各縣、區(qū)(市)自查結(jié)合的方式，檢查了全市管養(yǎng)的縣公路、鄉(xiāng)公路和部分村公路XX縣鄉(xiāng)公路橋梁情況?，F(xiàn)將綜合檢查情況報(bào)告如下：

一、公路檢查情況

全面檢查了縣公路68條，抽查和自查了鄉(xiāng)公路692條、村公路310條。查出存在安全隱患的線路有958條，需處治隱患4521處，處治隱患里程1587.464公里，需總投資4307.23萬(wàn)元。沒(méi)有發(fā)現(xiàn)重大安全隱患。檢查資料已上報(bào)省公路局。

二、橋梁檢查情況

抽查農(nóng)村公路管理養(yǎng)護(hù)橋梁211座(不含村道中小橋)，自查管理養(yǎng)護(hù)農(nóng)村公路橋梁499座(不含村道中小橋)。大部分橋梁存在不同類型安全隱患的橋梁。已查出存在安全隱患的管理養(yǎng)護(hù)橋梁：二郎小橋、二郎大橋、兩河口二橋、兩蔑路一橋、梁蔑路二橋、官渡大橋、人仁路孔灘橋、官渡魚(yú)灣大橋、河閃渡大橋、戲子灘大橋、龍?zhí)翗颉肟矘?、?lè)莊橋、鹽津河大橋、兩河口大橋等，存在的隱患類型主要是超荷、地質(zhì)災(zāi)害、水毀等，隱患程度不一，有的僅需少量人財(cái)物即可恢復(fù)，有的需列入危橋改造工程維修加固。針對(duì)隱患的不同類型和程度，分別采取了設(shè)置超載限速標(biāo)志、落實(shí)專人監(jiān)管、向省公路局上報(bào)檢查資料等措施。

募溪河橋(XX縣)、青杠塘橋(XX縣)、進(jìn)化新橋(XX縣)等在建橋梁、危橋維修加固橋梁未發(fā)現(xiàn)安全隱患。列入抽查的通村公路橋梁，以及各縣、區(qū)(市)自查通村公路橋梁，檢查中沒(méi)有發(fā)現(xiàn)重大安全隱患。

三、安保工程實(shí)施情況

根據(jù)省公路局“關(guān)于XX市農(nóng)村公路安全保障工程設(shè)計(jì)方案的批復(fù)”(黔路復(fù)〔2019〕169號(hào)文)，我市今年18個(gè)項(xiàng)目的安保工程計(jì)劃，中央車購(gòu)稅投資827萬(wàn)元，項(xiàng)目涉及習(xí)水、務(wù)川、湄潭、仁懷、綏陽(yáng)、余慶、桐梓、正安、XX縣及習(xí)赤公司等十個(gè)縣、區(qū)(市)，12月底完成鋼筋砼護(hù)欄14808米，波型護(hù)欄74698米，警示墩3589個(gè)，禁令和警告標(biāo)志898套，地名和指路標(biāo)志18套，標(biāo)線4194㎡，處治隱患670處，處治隱患里程309k，完成投資827萬(wàn)元。

四、水毀恢復(fù)情況

據(jù)統(tǒng)計(jì)，進(jìn)入雨季以來(lái)，我市有41條農(nóng)村公路發(fā)生水毀，工程量：損毀路基13906 m3/2365m，沖毀路面砂路87000 m2/4428m，砼或?yàn)r青路面14261 m2/4428m;橋梁局部毀20米/1座;涵洞全毀18道，局部毀6道;擋墻15908 m3/193處，坍方259342 m3/620處，需恢復(fù)資金810.682萬(wàn)元。今年共安排水毀搶險(xiǎn)資金320萬(wàn)元，主要修復(fù)路基缺口、山體滑坡造成改移線路段截12月底共完成擋墻修復(fù)23500m3， 177處，改線3.2公里，恢復(fù)水毀線路37條。

檢查表明：我市列入管理養(yǎng)護(hù)的農(nóng)村公路及橋梁，安全形勢(shì)穩(wěn)定，無(wú)安全事故，

五、下步工作安排

(一)進(jìn)一步全面了解本轄區(qū)內(nèi)事故事易發(fā)路段，建立安保工程數(shù)據(jù)庫(kù)。

(二)逐年安排資金消除存在安全隱患的線路。

六、存在問(wèn)題及建議

(一)我市農(nóng)村公路點(diǎn)多、線長(zhǎng)、面廣，公路建設(shè)中未考慮安保設(shè)施，安全隱患治理資金投入少，急需治理隱患較多，為保障公路安全運(yùn)行，需各級(jí)籌措資金治理現(xiàn)有農(nóng)村安全隱患。建議今后公路改建安全設(shè)施應(yīng)納入設(shè)計(jì)。

(二)汛期水毀災(zāi)害有突發(fā)性和季節(jié)性特征。由于無(wú)水毀預(yù)備資金，發(fā)生災(zāi)害后不能及時(shí)安排資金處治，計(jì)劃報(bào)送后，往往投資不足，造成水毀工程修復(fù)不徹底，部分路段只能設(shè)置簡(jiǎn)易警示標(biāo)志，建議安排水毀預(yù)備金。

基礎(chǔ)設(shè)施安全隱患自查報(bào)告范文(三)

根據(jù)南信聯(lián)發(fā)[XX]4號(hào)文件《關(guān)于開(kāi)展**市電子政務(wù)網(wǎng)信息安全與網(wǎng)絡(luò)管理專項(xiàng)檢查的通知》文件精神，我局積極組織落實(shí)，認(rèn)真對(duì)照，對(duì)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)情況、網(wǎng)絡(luò)安全防范技術(shù)情況及網(wǎng)絡(luò)信息安全保密管理情況進(jìn)行了自查，對(duì)我局的網(wǎng)絡(luò)信息安全建設(shè)進(jìn)行了深刻的剖析，現(xiàn)將自查情況報(bào)告如下：

一、加強(qiáng)領(lǐng)導(dǎo)，成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組

為進(jìn)一步加強(qiáng)全局網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我局成立了網(wǎng)絡(luò)與信息系統(tǒng)安全保密工作領(lǐng)導(dǎo)小組，由局長(zhǎng)任組長(zhǎng)，下設(shè)辦公室，做到分工明確,責(zé)任具體到人。確保網(wǎng)絡(luò)信息安全工作順利實(shí)施。

二、我局網(wǎng)絡(luò)安全現(xiàn)狀

我局的統(tǒng)計(jì)信息自動(dòng)化建設(shè)從一九九七年開(kāi)始，經(jīng)過(guò)不斷發(fā)展，逐漸由原來(lái)的小型局域網(wǎng)發(fā)展成為目前與國(guó)家局、自治區(qū)局以及縣區(qū)局實(shí)現(xiàn)四級(jí)互聯(lián)互通網(wǎng)絡(luò)。網(wǎng)絡(luò)核心采用思科7600和3600交換機(jī)，數(shù)據(jù)中心采用3com4226交換機(jī)，匯集層采用3com4226交換機(jī)、思科2924交換機(jī)和聯(lián)想天工ispirit 1208e交換機(jī)，總共可提供150多個(gè)有線接入點(diǎn)，目前為止已使用80個(gè)左右。數(shù)據(jù)中心骨干為千兆交換式，百兆交換到桌面。因特網(wǎng)出口統(tǒng)一由市信息辦提供，為雙百兆光纖;與自治區(qū)統(tǒng)計(jì)局采用2兆光纖直聯(lián)，各縣區(qū)統(tǒng)計(jì)局及三個(gè)開(kāi)發(fā)區(qū)統(tǒng)計(jì)局采用天融信vpn虛擬專用網(wǎng)絡(luò)軟件從互聯(lián)網(wǎng)上連接進(jìn)入到自治區(qū)統(tǒng)計(jì)局的網(wǎng)絡(luò)，vpn入口總帶寬為4兆，然后再連接到我局。橫向方面，積極推進(jìn)市統(tǒng)計(jì)局與政府網(wǎng)互聯(lián)，目前已經(jīng)實(shí)現(xiàn)與100多家市級(jí)黨政部門(mén)和12個(gè)縣區(qū)政府的光纖連接。我局采用天融信硬件防火墻對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，采用偉思網(wǎng)絡(luò)隔離卡和文件防彈衣軟件對(duì)重點(diǎn)計(jì)算機(jī)進(jìn)行單機(jī)保護(hù)，安裝正版金山毒霸網(wǎng)絡(luò)版殺毒軟件，對(duì)全局計(jì)算機(jī)進(jìn)行病毒防治。

三、我局網(wǎng)絡(luò)信息化安全管理

為了做好信息化建設(shè)，規(guī)范統(tǒng)計(jì)信息化管理，我局專門(mén)制訂了《**市統(tǒng)計(jì)局信息化規(guī)章制度》，對(duì)信息化工作管理、內(nèi)部電腦安全管理、機(jī)房管理、機(jī)房環(huán)境安全管理、計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計(jì)算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定，進(jìn)一步規(guī)范了我局信息安全管理工作。

針對(duì)計(jì)算機(jī)保密工作，我局制定了《涉密計(jì)算機(jī)管理制度》，并由計(jì)算機(jī)使用人員簽訂了《**市統(tǒng)計(jì)局計(jì)算機(jī)保密工作崗位責(zé)任書(shū)》，對(duì)計(jì)算機(jī)使用做到“誰(shuí)使用誰(shuí)負(fù)責(zé)”;對(duì)我局內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理。

此外，我局在全局范圍內(nèi)每年都組織相關(guān)計(jì)算機(jī)安全技術(shù)培訓(xùn)，計(jì)算站的同志還積極參加市信息辦及其他計(jì)算機(jī)安全技術(shù)培訓(xùn)，提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識(shí)，有力地保障我局統(tǒng)計(jì)信息網(wǎng)絡(luò)正常運(yùn)行。

四、網(wǎng)絡(luò)安全存在的不足及整改措施

目前，我局網(wǎng)絡(luò)安全仍然存在以下幾點(diǎn)不足：一是安全防范意識(shí)較為薄弱;二是病毒監(jiān)控能力有待提高;三是遇到惡意攻擊、計(jì)算機(jī)病毒侵襲等突發(fā)事件處理不夠及時(shí)。

針對(duì)目前我局網(wǎng)絡(luò)安全方面存在的不足，提出以下幾點(diǎn)整改辦法：

篇8

【關(guān)鍵詞】金融信息；安全體系；措施

隨著社會(huì)的不斷進(jìn)步和發(fā)展，“數(shù)字化”社會(huì)正慢慢向人們生產(chǎn)生活靠近，信息化的時(shí)代促使了整個(gè)社會(huì)發(fā)展對(duì)信息資源產(chǎn)生巨大依賴，同時(shí)也形成了信息資源成為重要資產(chǎn)的局面，信息資源相對(duì)于傳統(tǒng)的資源實(shí)體更容易遭受損害，這就給計(jì)算機(jī)技術(shù)的迅猛發(fā)展帶來(lái)了潛在的信息安全問(wèn)題，在信息化愈加普及的今天，加強(qiáng)對(duì)信息資源的保護(hù)，建立完善的金融信息安全體系，才能確保信息體系的安全運(yùn)行和實(shí)施，保障了監(jiān)視、評(píng)審信息安全，并能在此基礎(chǔ)上做到有效的保持和改進(jìn)。

1信息安全體系概況

信息安全體系的構(gòu)建在于其通過(guò)計(jì)算機(jī)技術(shù)在內(nèi)部形成有效的防火墻和鞏固的內(nèi)部系統(tǒng)來(lái)預(yù)防和阻止因非法入侵、攻擊、盜用而造成的信息遺失安全問(wèn)題，信息安全管理主要包括系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。要確保信息安全體系的有效運(yùn)行，就要確保安全有效的信息安全保護(hù)機(jī)制。

1.1信息安全保護(hù)機(jī)制

信息安全保護(hù)機(jī)制的形成是由內(nèi)而外的逐級(jí)形成，其形成的基礎(chǔ)在于現(xiàn)階段全民對(duì)于信息資源安全問(wèn)題的高度重視，從而形成了全體信息資源安全意識(shí)，建立起了鞏固的心理屏障；其次，國(guó)家通過(guò)相關(guān)法律法規(guī)對(duì)信息安全管理進(jìn)行了規(guī)范和約束，嚴(yán)厲打擊非法入侵和盜用信息資源，為信息安全體系的構(gòu)建提供了法律保障。

1.2安全服務(wù)

安全服務(wù)通過(guò)對(duì)服務(wù)過(guò)程中的數(shù)據(jù)和服務(wù)對(duì)象的鑒定來(lái)規(guī)范訪問(wèn)權(quán)限，以確保未授權(quán)情況下的信息資源的完整性和保密性，在服務(wù)過(guò)程中對(duì)相關(guān)信息數(shù)據(jù)的接收和發(fā)生備檔，防止事后對(duì)方抵賴事件的發(fā)生。

1.3信息安全體系的框架

完整的信息安全體系的構(gòu)建是由技術(shù)體系、組織機(jī)構(gòu)體系、管理體系三者共同組建的。在技術(shù)體系層面通過(guò)技術(shù)機(jī)制來(lái)實(shí)現(xiàn)運(yùn)行環(huán)境及系統(tǒng)安全技術(shù)、OSI安全技術(shù)，以確保系統(tǒng)的安全和實(shí)現(xiàn)OSI安全管理；技術(shù)管理在于制定安全策略和服務(wù)，通過(guò)加密對(duì)信息進(jìn)行保密設(shè)定，此外以先進(jìn)的技術(shù)對(duì)運(yùn)行的體系進(jìn)行審核，以保證現(xiàn)有狀態(tài)監(jiān)測(cè)的安全和對(duì)入侵的有效監(jiān)控。

2信息安全體系構(gòu)建

2.1信息安全體系構(gòu)建步驟

信息安全體系隸屬于風(fēng)險(xiǎn)管理范疇，其構(gòu)建需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)之上，是一個(gè)系統(tǒng)化、程序化、文件化的安全管理體系，并在具體構(gòu)建過(guò)程中選擇科學(xué)合理的監(jiān)控方式來(lái)保障信息的完整性、保密性和可用性，并嚴(yán)格按照國(guó)家相關(guān)法律法規(guī)進(jìn)行系統(tǒng)構(gòu)建和維護(hù)，切實(shí)保障信息安全。信息安全體系的構(gòu)建需要全員的參與，要明確分工、正確部署，通過(guò)有效的部署來(lái)實(shí)現(xiàn)低成本控制下的高效信息保障體系構(gòu)建，其具體構(gòu)建步驟主要有以下幾點(diǎn)。

（1）通過(guò)前期培訓(xùn)讓員工們了解信息安全系統(tǒng)的相關(guān)知識(shí)和其構(gòu)建的必要性，強(qiáng)化員工們的信息安全意識(shí)，并通過(guò)動(dòng)態(tài)的、系統(tǒng)化的、制度化的預(yù)控信息安全管理模式來(lái)嚴(yán)格規(guī)范內(nèi)部組織信息安全行為，要求員工們以高素質(zhì)和高服務(wù)的心態(tài)及理念切實(shí)維護(hù)客戶的私人信息安全，要與客戶達(dá)成保密協(xié)議。

（2）組織內(nèi)部事先做到信息安全的強(qiáng)化，通過(guò)對(duì)關(guān)鍵重要的信息進(jìn)行全面系統(tǒng)的保護(hù)，要求切實(shí)做到信息備案、信息保護(hù)、安全系統(tǒng)更新和維護(hù)、安全訪問(wèn)、風(fēng)險(xiǎn)評(píng)估和防控，并在信息資源受到侵害的時(shí)候及時(shí)進(jìn)行補(bǔ)救，確保將損失降到最低程度，保障業(yè)務(wù)的持續(xù)展開(kāi)。

（3）要與客戶建立起信息保密協(xié)議，獲得客戶的信任，并通過(guò)不斷完善自身信息安全體系以獲得相關(guān)標(biāo)準(zhǔn)認(rèn)證，以此證明自身有較強(qiáng)的信息安全保障能力，以提高自身的知名度來(lái)不斷獲得客戶的滿意與信任，以及社會(huì)的認(rèn)可。

3信息安全體系構(gòu)建的基本操作

信息安全體系的構(gòu)建需要掌握信息安全風(fēng)險(xiǎn)的狀態(tài)及其分布變化的規(guī)律，并在現(xiàn)場(chǎng)調(diào)查和風(fēng)險(xiǎn)評(píng)估之后結(jié)合企業(yè)自身的特點(diǎn)，以構(gòu)建起具有自適應(yīng)能力的信息安全模型，保證信息安全風(fēng)險(xiǎn)能夠被控制在可接受的最小范圍內(nèi)，并接近于零。其構(gòu)建的具體操作如下：

3.1前期策劃與準(zhǔn)備

前期的策劃與準(zhǔn)備是對(duì)信息安全體系的構(gòu)建打好基礎(chǔ)，主要包括對(duì)員工的教育培訓(xùn)、初步制定體系構(gòu)建的目標(biāo)和整體計(jì)劃，并以建立相關(guān)內(nèi)部安全管理機(jī)制和系統(tǒng)構(gòu)建組織來(lái)切實(shí)推動(dòng)項(xiàng)目的開(kāi)展運(yùn)行，在人力資源的管理和配置上要做到統(tǒng)籌規(guī)劃，確保構(gòu)建的每個(gè)環(huán)節(jié)都有人員參與。

3.2確認(rèn)適用范圍

根據(jù)自身實(shí)際情況來(lái)確定信息安全管理系統(tǒng)的適用范圍，注重關(guān)鍵安全領(lǐng)域的構(gòu)建和管理保護(hù)，在管理上可以通過(guò)劃分管理區(qū)域來(lái)進(jìn)行管理，并通過(guò)責(zé)任制將責(zé)任落實(shí)在每個(gè)管理者的身上，依據(jù)信息安全等級(jí)的不同來(lái)規(guī)范管理者的管理權(quán)限，以實(shí)現(xiàn)適當(dāng)?shù)牟煌?jí)別的信息安全管理。

3.3風(fēng)險(xiǎn)評(píng)估

對(duì)構(gòu)建的信息安全體系進(jìn)行風(fēng)險(xiǎn)評(píng)估可以從內(nèi)部和外部?jī)蓚€(gè)方面來(lái)進(jìn)行，以內(nèi)部自身設(shè)定的安全管理制度和對(duì)信息資產(chǎn)等級(jí)重要程度的分化來(lái)逐級(jí)評(píng)估風(fēng)險(xiǎn)，在檢查審核系統(tǒng)能否有效保障信息安全的同時(shí)，要對(duì)可能出現(xiàn)的安全隱患進(jìn)行評(píng)估和預(yù)測(cè)，并提出相關(guān)方案來(lái)對(duì)此進(jìn)行預(yù)控和將損失降到最小。

3.4建立體系框架

科學(xué)合理的安全體系框架的構(gòu)建要從全局的角度去考慮，通過(guò)對(duì)內(nèi)部整體資源進(jìn)行整合和劃分，對(duì)不同等級(jí)信息采取不同層次的框架建立，如根據(jù)業(yè)務(wù)性質(zhì)、信息狀況、技術(shù)條件、組織特征等來(lái)進(jìn)行信息框架構(gòu)建，并依次對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定預(yù)控方案和盡可能地更新完善。

3.5文件編寫(xiě)

文件編寫(xiě)的主要內(nèi)容為：前期策劃制定的總方針、風(fēng)險(xiǎn)評(píng)估報(bào)告、現(xiàn)場(chǎng)調(diào)查報(bào)告、適用范圍文檔、適用性申明等文件來(lái)作為信息安全管理體系構(gòu)建的基礎(chǔ)工作，要求其符合相關(guān)標(biāo)準(zhǔn)的總體要求，儲(chǔ)存以便后期的改進(jìn)和完善。

3.6 運(yùn)行及更新維護(hù)

前期工作的完盡之后系統(tǒng)便可進(jìn)入運(yùn)行階段，運(yùn)行階段是對(duì)前期工作的驗(yàn)證和檢查，通過(guò)發(fā)行系統(tǒng)的漏洞來(lái)對(duì)系統(tǒng)進(jìn)行改進(jìn)，并在運(yùn)行過(guò)程中不斷完善信息資源數(shù)據(jù)庫(kù)，使得安全系統(tǒng)的安全程度更高。后期的更新維護(hù)還需要技術(shù)人員自身素質(zhì)和技能的不斷提高，這也需要從組織內(nèi)部去加強(qiáng)培訓(xùn)。

參考文獻(xiàn)：

篇9

信息系統(tǒng)是智能建筑與社區(qū)（以下簡(jiǎn)稱智能社區(qū)）的重要基礎(chǔ)系統(tǒng)，確保信息系統(tǒng)自身及其所傳輸、處理、存儲(chǔ)信息的安全，是保證智能社區(qū)各個(gè)子系統(tǒng)正常運(yùn)轉(zhuǎn)、確保人身和公共安全的重要方面。

標(biāo)準(zhǔn)中對(duì)信息安全的規(guī)定是針對(duì)智能社區(qū)中各種信息系統(tǒng)安全的特點(diǎn)，結(jié)合國(guó)家相關(guān)信息安全政策、標(biāo)準(zhǔn)而制定的。智能社區(qū)的建設(shè)和運(yùn)營(yíng)機(jī)構(gòu)應(yīng)對(duì)信息安全問(wèn)題予以足夠的重視，要意識(shí)到這是一個(gè)需要嚴(yán)格遵守國(guó)家法律、法規(guī)的領(lǐng)域。

智能社區(qū)的建設(shè)與運(yùn)行應(yīng)符合國(guó)家有關(guān)安全法律、法規(guī)、標(biāo)準(zhǔn)的規(guī)定和要求。建筑及住宅社區(qū)的設(shè)備研發(fā)機(jī)構(gòu)、運(yùn)營(yíng)服務(wù)商應(yīng)采取一定的信息安全措施,保障信息系統(tǒng)（包括智能建筑的控制系統(tǒng)）的安全,確保運(yùn)營(yíng)服務(wù)系統(tǒng)不會(huì)對(duì)用戶造成信息安全損害?？芍鸩浇⑵鸾ㄖ熬幼^(qū)設(shè)備及應(yīng)用系統(tǒng)的認(rèn)證體制，以提高建筑及居住區(qū)設(shè)備的安全、有效管理。

建筑及住宅社區(qū)運(yùn)營(yíng)服務(wù)商應(yīng)明確系統(tǒng)本身可能受到的安全威脅以及可能對(duì)用戶造成的安全威脅,采取措施應(yīng)對(duì)和消除安全威脅。

智能社區(qū)建設(shè)和運(yùn)行機(jī)構(gòu)應(yīng)該清楚信息安全領(lǐng)域是一個(gè)處于不斷發(fā)展和變化階段的專業(yè)領(lǐng)域，各種信息安全漏洞、缺陷、威脅和攻擊會(huì)不斷出現(xiàn)和發(fā)展，因此，不存在一種靜態(tài)的、一勞永逸的信息安全體系。包括本標(biāo)準(zhǔn)、本指南在內(nèi)的相關(guān)內(nèi)容都處于不斷發(fā)展只種，智能社區(qū)建設(shè)和運(yùn)行機(jī)構(gòu)應(yīng)密切關(guān)注相關(guān)領(lǐng)域的進(jìn)展情況，及時(shí)采用最新的、有效的技術(shù)和管理研究成果，以確保智能社區(qū)安全運(yùn)行。

等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息和公開(kāi)信息，以及對(duì)存儲(chǔ)、傳輸和處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理。對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。

根據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）的精神，實(shí)施信息安全等級(jí)保護(hù)，有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，確保信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào),同時(shí)有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)和重要信息系統(tǒng)的安全。

智能社區(qū)建設(shè)和運(yùn)營(yíng)單位應(yīng)按照等級(jí)保護(hù)的要求開(kāi)展信息安全體系的建設(shè)和運(yùn)行，根據(jù)智能社區(qū)及其信息系統(tǒng)的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，以及信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，按照國(guó)家有關(guān)標(biāo)準(zhǔn)和規(guī)范的程序和方法確定智能社區(qū)信息系統(tǒng)的安全等級(jí)。國(guó)家標(biāo)準(zhǔn)將信息和信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：

1. 第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。

2. 第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。

3. 第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。

4. 第四級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。

5. 第五級(jí)為?？乇Ｗo(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。

國(guó)家對(duì)不同安全保護(hù)級(jí)別的信息和信息系統(tǒng)實(shí)行不同的監(jiān)管政策。第一級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)；第二級(jí)在信息安全監(jiān)管職能部門(mén)指導(dǎo)下依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)；第三級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行監(jiān)督、檢查；第四級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查；第五級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國(guó)家指定專門(mén)部門(mén)、專門(mén)機(jī)構(gòu)進(jìn)行專門(mén)監(jiān)督。智能社區(qū)建設(shè)與運(yùn)營(yíng)機(jī)構(gòu)應(yīng)按照上述國(guó)家的規(guī)定接受國(guó)家相關(guān)職能部門(mén)的監(jiān)管。

智能社區(qū)的信息

安全要求

標(biāo)準(zhǔn)對(duì)智能社區(qū)運(yùn)營(yíng)機(jī)構(gòu)信息安全相關(guān)工作從以下幾個(gè)方面提出了要求，即：

信息系統(tǒng)基本安全活動(dòng);

風(fēng)險(xiǎn)分析與評(píng)估;

安全策略

安全體系

標(biāo)準(zhǔn)中對(duì)這些方面提出了基本的要求，運(yùn)營(yíng)商應(yīng)根據(jù)最新的信息安全相關(guān)標(biāo)準(zhǔn)、信息安全技術(shù)和管理體系的研究成果，結(jié)合自身的實(shí)際情況，形成自身完整的智能社區(qū)信息安全運(yùn)行保障體系。

1. 信息系統(tǒng)基本安全活動(dòng)

信息系統(tǒng)基本安全活動(dòng)是指智能社區(qū)運(yùn)營(yíng)機(jī)構(gòu)在負(fù)責(zé)運(yùn)營(yíng)智能社區(qū)信息系統(tǒng)過(guò)程中應(yīng)該開(kāi)展的相關(guān)活動(dòng)。信息系統(tǒng)基本安全活動(dòng)是由運(yùn)營(yíng)機(jī)構(gòu)負(fù)責(zé)組織、實(shí)施的活動(dòng)，并確保這些活動(dòng)的質(zhì)量和所涉及范圍的完備性。

運(yùn)營(yíng)服務(wù)信息系統(tǒng)基本安全活動(dòng)包括:

（1）根據(jù)運(yùn)營(yíng)服務(wù)的特點(diǎn)和服務(wù)對(duì)象的需求，基于風(fēng)險(xiǎn)分析的結(jié)果，確定運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)。

（2）安全策略的制定、、教育、評(píng)價(jià)、修正等活動(dòng)。運(yùn)營(yíng)機(jī)構(gòu)必須保證行政管理范圍的所有實(shí)體對(duì)安全策略正確理解、實(shí)施與保障，并有相應(yīng)的考核等管理措施予以監(jiān)督和檢查;

（3）建立信息安全相關(guān)的機(jī)構(gòu)，設(shè)置相應(yīng)的崗位，確定相關(guān)的責(zé)任，并建立相配套的管理、考核和獎(jiǎng)懲體系；

（4）保障信息安全相關(guān)工作的人力資源投入，建立相關(guān)的人員選拔、考核、培訓(xùn)體系，并規(guī)劃和實(shí)施針對(duì)一般運(yùn)營(yíng)服務(wù)人員和普通用戶的安全教育、宣傳活動(dòng)；

（5）確定運(yùn)營(yíng)服務(wù)系統(tǒng)中的關(guān)鍵信息資產(chǎn)，并進(jìn)行資產(chǎn)分類管理;

（6）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，建立相應(yīng)的物理和環(huán)境安全保護(hù)體系；

（7）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，建立相應(yīng)的信息安全技術(shù)保障體系。

（8）建立和維護(hù)系統(tǒng)的運(yùn)行安全體系，主要包括針對(duì)運(yùn)營(yíng)信息系統(tǒng)以及普通用戶的應(yīng)急響應(yīng)體系、安全基礎(chǔ)設(shè)施服務(wù)體系、定期的安全風(fēng)險(xiǎn)評(píng)估體系等；

（9）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，對(duì)相應(yīng)的信息系統(tǒng)承包商、信息軟硬件產(chǎn)品進(jìn)行安全資質(zhì)審查、實(shí)施過(guò)程的質(zhì)量監(jiān)督和控制；

（10）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，對(duì)系統(tǒng)運(yùn)行過(guò)程中可能發(fā)生的升級(jí)、完善等活動(dòng)做好安全規(guī)劃，對(duì)系統(tǒng)的拆除應(yīng)提前做好規(guī)劃和處理。

2. 風(fēng)險(xiǎn)分析與評(píng)估

按照即將頒布的國(guó)家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)》組織和開(kāi)展信息安全評(píng)估工作。

標(biāo)準(zhǔn)在以下幾方面對(duì)風(fēng)險(xiǎn)評(píng)估提出了要求：

（1）運(yùn)營(yíng)商應(yīng)對(duì)運(yùn)營(yíng)服務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，并將風(fēng)險(xiǎn)分析的結(jié)果作為確定相應(yīng)系統(tǒng)安全等級(jí)的主要依據(jù)。

（2）運(yùn)營(yíng)商應(yīng)建立定期和不定期風(fēng)險(xiǎn)評(píng)估的機(jī)制。

（3）運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全風(fēng)險(xiǎn)分析與評(píng)估，宜由有相應(yīng)資質(zhì)的機(jī)構(gòu)完成。

（4）風(fēng)險(xiǎn)分析與評(píng)估宜采用適用的方法，對(duì)每一個(gè)識(shí)別出的信息資產(chǎn)，按照資產(chǎn)的“保密性”、“完整性”和“可用性”三個(gè)最基本的安全要求，分析可能受到的威脅和后果，提出相應(yīng)的安全需求建議。

開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的時(shí)候，要注意相關(guān)國(guó)家政策（如等級(jí)保護(hù)等）對(duì)風(fēng)險(xiǎn)評(píng)估的要求，組織好智能社區(qū)相關(guān)信息系統(tǒng)整個(gè)生命周期的風(fēng)險(xiǎn)評(píng)估工作。全生命周期的風(fēng)險(xiǎn)分析工作主要包括：

規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估。規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估應(yīng)針對(duì)智能社區(qū)信息系統(tǒng)對(duì)社區(qū)運(yùn)行的作用（包括技術(shù)、管理等方面），確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。分析的重點(diǎn)在安全威脅，應(yīng)根據(jù)未來(lái)系統(tǒng)的應(yīng)用對(duì)象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。規(guī)劃階段的評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書(shū)中。

設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估。設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷，作為采購(gòu)過(guò)程風(fēng)險(xiǎn)控制的依據(jù)。本階段評(píng)估中，應(yīng)詳細(xì)評(píng)估設(shè)計(jì)方案中對(duì)系統(tǒng)面臨威脅的描述，將使用的具體設(shè)備、軟件等資產(chǎn)列表，以及這些資產(chǎn)的安全功能需求。

實(shí)施階段的風(fēng)險(xiǎn)評(píng)估。實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段所分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。實(shí)施階段風(fēng)險(xiǎn)評(píng)估主要對(duì)系統(tǒng)的開(kāi)發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實(shí)施兩個(gè)過(guò)程進(jìn)行評(píng)估。

運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估。運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。

廢棄階段的風(fēng)險(xiǎn)評(píng)估。當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。

3. 應(yīng)制定明確的安全策略

智能社區(qū)建設(shè)和運(yùn)營(yíng)機(jī)構(gòu)應(yīng)針對(duì)相關(guān)信息系統(tǒng)，制定相應(yīng)的信息安全策略。信息安全策略規(guī)定的是智能社區(qū)中各種人員對(duì)社區(qū)信息系統(tǒng)資產(chǎn)（包括：軟件、硬件、數(shù)據(jù)）的訪問(wèn)權(quán)限以及所應(yīng)承擔(dān)的責(zé)任。典型策略規(guī)定的內(nèi)容包括：訪問(wèn)范圍、訪問(wèn)時(shí)間、訪問(wèn)方式、訪問(wèn)地點(diǎn)、訪問(wèn)手段等。

標(biāo)準(zhǔn)中規(guī)定的安全策略包括:

（1）物理安全策略：確定在物理訪問(wèn)、保護(hù)方面的安全規(guī)定；

典型的物理安全策略包括：機(jī)房、機(jī)柜、電纜等的訪問(wèn)、使用、檢查規(guī)定；

（2）訪問(wèn)控制策略：規(guī)定內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)段之間的訪問(wèn)規(guī)定和策略要求；

典型的訪問(wèn)控制策略包括：網(wǎng)絡(luò)訪問(wèn)策略、應(yīng)用訪問(wèn)策略等；

（3）安全檢測(cè)策略：規(guī)定對(duì)系統(tǒng)安全實(shí)施定期檢查的周期、方法等；

（4）審計(jì)與監(jiān)控策略；

（5）網(wǎng)絡(luò)防病毒策略；

（6）備份與災(zāi)難恢復(fù)策略。

4. 安全體系方面

（1）信息安全措施

信息系統(tǒng)應(yīng)從以下幾個(gè)方面采取安全措施：

建立明確的信息安全體系,包括明確的安全策略、安全的網(wǎng)絡(luò)系統(tǒng)配置等安全服務(wù)和安全機(jī)制運(yùn)行說(shuō)明，指明在哪些部位必須配置哪些安全服務(wù)和安全機(jī)制，以及規(guī)定如何進(jìn)行安全管理；

采取措施保護(hù)局域網(wǎng)；

采取措施保護(hù)基礎(chǔ)通信設(shè)施；

采取措施保護(hù)邊界；

配置或依托公共信息安全基礎(chǔ)設(shè)施；

具體安全措施的采取應(yīng)根據(jù)系統(tǒng)的實(shí)際情況確定。

（2）保護(hù)局域網(wǎng)計(jì)算環(huán)境

局域網(wǎng)可采取的安全措施有：

建立用戶終端、數(shù)據(jù)庫(kù)、服務(wù)器和應(yīng)用系統(tǒng)保護(hù)機(jī)制，以防止拒絕服務(wù)攻擊、未授權(quán)數(shù)據(jù)泄漏和數(shù)據(jù)修改；

保護(hù)操作系統(tǒng)，確保操作系統(tǒng)的自身安全；

保護(hù)數(shù)據(jù)庫(kù)：對(duì)數(shù)據(jù)庫(kù)應(yīng)該實(shí)施細(xì)粒度訪問(wèn)控制、關(guān)鍵數(shù)據(jù)加密、重要服務(wù)器用單獨(dú)網(wǎng)段、強(qiáng)身份鑒別、備份恢復(fù)應(yīng)急措施、安全審計(jì)等安全保護(hù)措施；

身份鑒別和數(shù)字簽名：對(duì)于系統(tǒng)中重要的服務(wù)器、應(yīng)用系統(tǒng)的訪問(wèn)，應(yīng)采用統(tǒng)一的身份鑒別，并對(duì)用戶訪問(wèn)行為采用抗抵賴措施；

建立入侵檢測(cè)體系，防止內(nèi)部局域網(wǎng)受到非法入侵；

建立病毒防范體系，防止局域網(wǎng)計(jì)算環(huán)境受到病毒破壞；

具有足夠的防止內(nèi)外人員進(jìn)行違規(guī)操作和攻擊的能力。

（3）保護(hù)網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施

可采取的保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的措施有：

保證基礎(chǔ)設(shè)施所支持的關(guān)鍵應(yīng)用任務(wù)和數(shù)據(jù)資源任務(wù)，防止受到拒絕服務(wù)的攻擊；

防止受到保護(hù)的信息在發(fā)送過(guò)程中的延遲、誤傳或未發(fā)送；

防止非法數(shù)據(jù)流分析；

保護(hù)各種應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)流；

保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施控制信息。

（4）保護(hù)邊界

可采取的邊界保護(hù)措施有：

建立網(wǎng)絡(luò)級(jí)物理隔離體系，實(shí)現(xiàn)物理隔離(這是一些高敏感度網(wǎng)絡(luò)必須達(dá)到的)；

建立系統(tǒng)的防火墻體系，實(shí)現(xiàn)進(jìn)出網(wǎng)絡(luò)邊界的細(xì)粒度訪問(wèn)控制；

建立系統(tǒng)遠(yuǎn)程訪問(wèn)安全系統(tǒng)，以保護(hù)系統(tǒng)邊界遠(yuǎn)程訪問(wèn)的安全；

建立基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以防止入侵者的攻擊；

建立基于網(wǎng)絡(luò)的防病毒系統(tǒng)，以防止病毒入侵；

建立漏洞掃描系統(tǒng)以改進(jìn)系統(tǒng)的配置和功能設(shè)置。

（5）支撐性安全基礎(chǔ)設(shè)施

可采用的支撐性安全基礎(chǔ)設(shè)施有：

公共密鑰基礎(chǔ)設(shè)施(PKI)；

密鑰管理系統(tǒng)；

安全管理系統(tǒng)；

應(yīng)急響應(yīng)體系。

關(guān)于嵌入式與控制信息系統(tǒng)的安全

智能建筑中存在大量的智能設(shè)備，并通過(guò)現(xiàn)代網(wǎng)絡(luò)技術(shù)，構(gòu)成為一個(gè)完整的智能社區(qū)（建筑）控制系統(tǒng)。該系統(tǒng)的安全運(yùn)行是確保智能社區(qū)正常運(yùn)轉(zhuǎn)的基石，保障智能建筑控制系統(tǒng)安全是智能社區(qū)信息安全的關(guān)鍵內(nèi)容。標(biāo)準(zhǔn)中在控制協(xié)議中從協(xié)議層次對(duì)有關(guān)技術(shù)問(wèn)題進(jìn)行了規(guī)定和描述，涉及控制系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)行的信息安全問(wèn)題則應(yīng)按照標(biāo)準(zhǔn)“運(yùn)營(yíng)”和“評(píng)測(cè)”部分的規(guī)定執(zhí)行。

鑒于智能控制系統(tǒng)對(duì)于智能社區(qū)的特別重要性，本節(jié)對(duì)其信息安全體系的實(shí)施提出具體指南。

1. 嵌入式與控制系統(tǒng)面臨的安全威脅

智能社區(qū)嵌入式與控制系統(tǒng)面臨的典型安全威脅有：

控制網(wǎng)絡(luò)中的信息流被阻塞或延遲，包括干擾通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的各種控制操作。這些阻塞、延遲、干擾有可能是由于產(chǎn)品和系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、部署存在缺陷和故障引起了，也有可能是惡意行為造成的。

向系統(tǒng)操作員發(fā)送不準(zhǔn)確的信息，以實(shí)現(xiàn)非法的修改或者引發(fā)操作員不正確的操作。智能社區(qū)中會(huì)存在有很多分布式的、人機(jī)結(jié)合的控制系統(tǒng)，有大量的狀態(tài)和控置信息通過(guò)網(wǎng)絡(luò)系統(tǒng)傳輸和處理，引發(fā)或指令各種設(shè)備（或操作員）的各種管理和控制行為，因此通過(guò)惡意發(fā)送不正確信息，有可能對(duì)智能社區(qū)運(yùn)轉(zhuǎn)造成嚴(yán)重后果，甚至引發(fā)嚴(yán)重的犯罪行為。

直接干擾可能造成人身傷害的安全保護(hù)系統(tǒng)。網(wǎng)絡(luò)在實(shí)現(xiàn)遠(yuǎn)程狀態(tài)監(jiān)控和監(jiān)控的同時(shí)，也為通過(guò)網(wǎng)絡(luò)遠(yuǎn)程干擾系統(tǒng)提供了可能，尤其是對(duì)安全保護(hù)系統(tǒng)的干擾將引發(fā)嚴(yán)重的后果。

非法修改各種可能損壞、關(guān)閉設(shè)備的指令或報(bào)警參數(shù)設(shè)置。破壞設(shè)備是干擾智能社區(qū)運(yùn)行的一種手段，網(wǎng)絡(luò)為這種行為提供了一種新手段，通過(guò)可能造成設(shè)備損害的指令、關(guān)閉設(shè)備指令都可能造成設(shè)備失效。采取修改設(shè)備報(bào)警參數(shù)等方法，造成設(shè)備大量告警，造成設(shè)備（或系統(tǒng)）無(wú)法應(yīng)對(duì)突然出現(xiàn)的大量告警而崩潰或失效，也可以達(dá)到破壞的目的。

修改智能社區(qū)控制系統(tǒng)軟件、配置信息，或者傳播惡意軟件，以及其它可能造成負(fù)面效果的問(wèn)題 。智能控制系統(tǒng)中存在大量的遠(yuǎn)程設(shè)置、軟件升級(jí)、補(bǔ)丁分發(fā)等操作，通過(guò)干擾這些操作行為，除了可以對(duì)設(shè)備直接造成破壞外，還可以散發(fā)各種惡意軟件和木馬等程序和軟件，為智能社區(qū)運(yùn)轉(zhuǎn)埋下嚴(yán)重的隱患。

2. 嵌入式與控制系統(tǒng)安全目標(biāo)

針對(duì)前面提到的威脅，智能社區(qū)嵌入式與控制系統(tǒng)信息安全的目標(biāo)如下：

限制對(duì)智能社區(qū)控制系統(tǒng)網(wǎng)絡(luò)的邏輯訪問(wèn)行為。這包括：通過(guò)設(shè)置DMZ區(qū)，防止社區(qū)其他網(wǎng)絡(luò)對(duì)智能社區(qū)控制系統(tǒng)網(wǎng)絡(luò)的直接訪問(wèn)；智能社區(qū)控制系統(tǒng)和社區(qū)運(yùn)營(yíng)機(jī)構(gòu)內(nèi)部管理系統(tǒng)使用不同的鑒別和加密機(jī)制。智能社區(qū)控制系統(tǒng)應(yīng)該使用多層（級(jí)）的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確保關(guān)鍵通信是通過(guò)最安全和可靠的層。

限制對(duì)智能社區(qū)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備的物理接近。對(duì)智能社區(qū)控制系統(tǒng)部件的非授權(quán)物理接近，有可能會(huì)對(duì)智能社區(qū)控制系統(tǒng)功能造成嚴(yán)重的破壞。應(yīng)使用多種物理訪問(wèn)控制措施，如：鎖、讀卡器和保安。

要防止智能社區(qū)控制系統(tǒng)部件被非法利用。這包括：對(duì)安全補(bǔ)丁，應(yīng)該盡可能快地完成現(xiàn)場(chǎng)測(cè)試，并部署；關(guān)閉所有的不使用服務(wù)和端口；限制 智能社區(qū)控制系統(tǒng)用戶的權(quán)限，確保只擁有完成工作的最小權(quán)限；跟蹤并監(jiān)視系統(tǒng)設(shè)計(jì)數(shù)據(jù)；使用防病毒軟件、文件完整性檢查軟件等安全工具，來(lái)監(jiān)測(cè)、確定、防止、消除惡意代碼。

確保極端情況下的系統(tǒng)功能。要確保每一個(gè)關(guān)鍵部件都有冗余和備份部件。除此之外，還要確保一個(gè)部件失效時(shí)，應(yīng)該是以一種安全的方式失效，即不會(huì)在智能社區(qū)控制系統(tǒng)系統(tǒng)中產(chǎn)生不必要的通信流量，也不會(huì)帶來(lái)其它問(wèn)題，比方說(shuō)連串的事件。

3. 嵌入式與控制系統(tǒng)安全防護(hù)體系

智能社區(qū)嵌入式與控制系統(tǒng)安全防護(hù)體系要根據(jù)本標(biāo)準(zhǔn)的規(guī)定建立相應(yīng)的防護(hù)體系，在體系的建設(shè)與運(yùn)行過(guò)程中，要特別注意以下幾個(gè)方面：

高度重視智能社區(qū)專用的安全策略、流程和培訓(xùn)宣貫材料的制定。

按照“等級(jí)保護(hù)”的 思想，制定嵌入式與控制系統(tǒng)安全策略和流程，并根據(jù)威脅級(jí)別的增加部署相應(yīng)的安全措施。

關(guān)注智能社區(qū)相關(guān)信息系統(tǒng)整個(gè)生命周期的安全，包括：架構(gòu)設(shè)計(jì)、采購(gòu)、安全、運(yùn)行維護(hù)和拆除。

將嵌入式與控制系統(tǒng)網(wǎng)絡(luò)部署成多層（級(jí)）的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確保關(guān)鍵通信是通過(guò)最安全和可靠的網(wǎng)絡(luò)。

在控制網(wǎng)絡(luò)與其他網(wǎng)絡(luò)，尤其是與其他用途完全不同的網(wǎng)絡(luò)系統(tǒng)（如：內(nèi)部管理信息系統(tǒng)、互聯(lián)網(wǎng)等）,之間部署邏輯隔離設(shè)備（比如：基于狀態(tài)監(jiān)測(cè)的防火墻）。

采用隔離區(qū)架構(gòu)，防止其他網(wǎng)絡(luò)和控制系統(tǒng)網(wǎng)絡(luò)之間的直接通信。

確保關(guān)鍵部件有足夠的冗余并聯(lián)接在有冗余的網(wǎng)絡(luò)之上

將關(guān)鍵系統(tǒng)設(shè)計(jì)成“容錯(cuò)”系統(tǒng)，以防止“級(jí)聯(lián)”事故的發(fā)生。更進(jìn)一步，系統(tǒng)應(yīng)設(shè)計(jì)成“安全地“失效。

在控制系統(tǒng)測(cè)試完成后，應(yīng)關(guān)閉不用的端口和服務(wù)，確保不影響系統(tǒng)的正常運(yùn)行

限制對(duì)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備的物理訪問(wèn)。

限制控制系統(tǒng)用戶的權(quán)限，確保只授予他們完成工作所需的最少權(quán)限（例如：部署基于角色的訪問(wèn)控制系統(tǒng)，并賦予每一個(gè)角色完成其工作所需的最少權(quán)限）。

智能社區(qū)運(yùn)營(yíng)機(jī)構(gòu)在控制系統(tǒng)和其他系統(tǒng)應(yīng)分別使用完全隔離的鑒別機(jī)制（例如： 控制系統(tǒng)不要和機(jī)構(gòu)內(nèi)部管理信息系統(tǒng)使用一套用戶管理系統(tǒng)）。

使用強(qiáng)度更高的身份鑒別技術(shù)（如：智能卡）。

部署安全措施（典型的措施包括防病毒軟件、文件完整性檢測(cè)軟件等），以檢測(cè)、防止惡意代碼的傳播。

在存儲(chǔ)和通信過(guò)程中使用加密技術(shù)。

各種補(bǔ)丁、修訂在正式安裝之前，應(yīng)盡可能在現(xiàn)場(chǎng)環(huán)境下完成所有測(cè)試。

對(duì)智能社區(qū)內(nèi)所有關(guān)鍵區(qū)域內(nèi)控制系統(tǒng)的運(yùn)行進(jìn)行跟蹤、監(jiān)控和審計(jì)。

信息安全檢測(cè)與驗(yàn)收

1. 檢測(cè)

（1）信息安全活動(dòng)檢查

檢查內(nèi)容包括：活動(dòng)的計(jì)劃、活動(dòng)過(guò)程的記錄和成果。具體的檢查項(xiàng)按照GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.1中規(guī)定的內(nèi)容進(jìn)行。

（2）風(fēng)險(xiǎn)分析與評(píng)估核查

核查內(nèi)容主要包括系統(tǒng)安全風(fēng)險(xiǎn)分析與評(píng)估記錄和報(bào)告，系統(tǒng)例行風(fēng)險(xiǎn)分析計(jì)劃、記錄和報(bào)告；還應(yīng)對(duì)風(fēng)險(xiǎn)分析具體完成人員（或機(jī)構(gòu)）的資格（或資質(zhì)）、能力等按照有關(guān)規(guī)定進(jìn)行核查。具體的核查項(xiàng)按照GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.2中規(guī)定的內(nèi)容進(jìn)行。

（3）安全策略檢查

系統(tǒng)安全策略主要包括物理安全策略、訪問(wèn)控制策略、安全檢測(cè)策略、審計(jì)與監(jiān)控策略、防病毒策略、備份與災(zāi)難恢復(fù)策略。安全策略應(yīng)在系統(tǒng)的建設(shè)、運(yùn)行、檢測(cè)和驗(yàn)收等相關(guān)文檔中有明確的規(guī)定。實(shí)施檢測(cè)時(shí)，應(yīng)對(duì)策略的合理性、完備性、法規(guī)符合性進(jìn)行檢查。具體檢查項(xiàng)根據(jù)GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.3的規(guī)定。

（4）安全技術(shù)保障體系的檢查和測(cè)試

a. 信息安全技術(shù)保障體系完整性檢查

應(yīng)根據(jù)系統(tǒng)的安全策略和實(shí)際情況，對(duì)系統(tǒng)局域網(wǎng)、基礎(chǔ)通信設(shè)施、系統(tǒng)邊界、安全基礎(chǔ)設(shè)施等幾方面采取的措施進(jìn)行檢查。

b. 安全技術(shù)保障措施檢查

檢查的重點(diǎn)有：

安全措施本身是否符合國(guó)家和地方的有關(guān)規(guī)定；

采取的安全措施是否符合安全策略要求；

安全措施的選擇和部署是否合理；

安全措施是否發(fā)揮應(yīng)有的作用；

系統(tǒng)的安全措施是否完備、合理等。

c. 系統(tǒng)安全測(cè)試

應(yīng)根據(jù)GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.4規(guī)定的內(nèi)容，按照系統(tǒng)所確定的等級(jí)或系統(tǒng)本身的安全要求，制定相應(yīng)的測(cè)試方案，準(zhǔn)備相應(yīng)的測(cè)試表格和測(cè)試工具，并根據(jù)相應(yīng)的測(cè)試流程，對(duì)系統(tǒng)相關(guān)的安全技術(shù)文檔進(jìn)行核查，對(duì)系統(tǒng)的運(yùn)行進(jìn)行現(xiàn)場(chǎng)測(cè)試。系統(tǒng)安全測(cè)試工作宜委托國(guó)家認(rèn)可的安全檢測(cè)機(jī)構(gòu)進(jìn)行。

2. 測(cè)評(píng)機(jī)構(gòu)

測(cè)評(píng)須由獲得國(guó)家認(rèn)可的相關(guān)測(cè)評(píng)機(jī)構(gòu)承擔(dān)，測(cè)評(píng)完成后由測(cè)評(píng)機(jī)構(gòu)按規(guī)定格式出具測(cè)評(píng)報(bào)告。

3. 驗(yàn)收

（1）驗(yàn)收條件

系統(tǒng)試運(yùn)行階段結(jié)束，并提出試運(yùn)行報(bào)告；

本章“檢測(cè)”部分中規(guī)定的檢測(cè)工作已經(jīng)完成，并形成相應(yīng)的檢測(cè)結(jié)論；

所有信息安全相關(guān)文檔。

（2）驗(yàn)收文檔

a. 系統(tǒng)試運(yùn)行記錄和報(bào)告

b. 檢測(cè)報(bào)告

由國(guó)家授權(quán)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)的測(cè)試報(bào)告；

第三方測(cè)試小組提供的測(cè)試報(bào)告；

承建單位進(jìn)行測(cè)試的測(cè)試報(bào)告。

c. 系統(tǒng)信息安全風(fēng)險(xiǎn)分析報(bào)告

d. 系統(tǒng)設(shè)計(jì)文檔

系統(tǒng)的應(yīng)用需求及總體設(shè)計(jì)方案；

網(wǎng)絡(luò)規(guī)模和拓樸結(jié)構(gòu)；

信息流描述；

安全威脅描述及其風(fēng)險(xiǎn)分析；

系統(tǒng)主要安全功能及其實(shí)現(xiàn)方法；

系統(tǒng)主要環(huán)境安全功能的實(shí)現(xiàn)方法；

網(wǎng)絡(luò)管理方式及實(shí)現(xiàn)方法；

安全設(shè)備管理方式及實(shí)現(xiàn)方法；

主要軟硬件設(shè)備及性能清單；

主要安全產(chǎn)品安全選型依據(jù)。

e. 管理文檔

（a）管理機(jī)制

工程適用的法律法規(guī)；

安全策略文檔資料；

安全策略審查和評(píng)估的相關(guān)規(guī)定；

信息資產(chǎn)管理規(guī)定；

安全事件處理規(guī)程；

物理安全規(guī)定；

資產(chǎn)移交的管理規(guī)定；

安全事故管理規(guī)程；

用戶口令管理規(guī)定；

備份策略規(guī)程；

計(jì)算機(jī)介質(zhì)操作規(guī)程；

系統(tǒng)工具使用規(guī)程；

系統(tǒng)審計(jì)規(guī)程。

（b）人員、機(jī)構(gòu)與職責(zé)文檔

安全決策機(jī)構(gòu)組成圖及職責(zé)分工表；

安全管理人員的職責(zé)分工表；

安全顧問(wèn)的資質(zhì)評(píng)審記錄和聘任書(shū)；

安全管理人員履歷及專業(yè)資格證書(shū)；

人員保密協(xié)議范本；

人員崗位職責(zé)規(guī)定。

（c）安全運(yùn)行資料

安全策略有效性審查和評(píng)估的記錄；

安全管理會(huì)議的會(huì)議紀(jì)要；

安全專家的建議記錄；

系統(tǒng)和設(shè)備維護(hù)記錄；

訪問(wèn)控制策略文檔；

定期的審計(jì)分析報(bào)告；

異常情況審計(jì)日志和安全事件記錄。

（d）工程實(shí)施文檔

施工管理文件；

變更文件；

系統(tǒng)調(diào)試分析報(bào)告；

系統(tǒng)培訓(xùn)文件；

系統(tǒng)移交清單及文件；

工程監(jiān)理報(bào)告。

（e）其它文檔

項(xiàng)目相關(guān)的合約；

產(chǎn)品的法定安全測(cè)評(píng)機(jī)構(gòu)的評(píng)估證書(shū)；

外包服務(wù)的合同；

外包軟件開(kāi)發(fā)方的資料；

外包工作人員合約；

質(zhì)量手冊(cè)；

以上未涉及的且與系統(tǒng)安全相關(guān)的文檔資料。

以上要求提交的文檔，可根據(jù)系統(tǒng)的具體情況進(jìn)行選擇。

（f）驗(yàn)收結(jié)論

由驗(yàn)收組依據(jù)上述檢測(cè)、檢查報(bào)告和各項(xiàng)記錄文檔，通過(guò)專家評(píng)審，做出驗(yàn)收結(jié)論。

安全保密

如果智能社區(qū)為涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位建筑數(shù)字化工程，則應(yīng)嚴(yán)格按照保密機(jī)關(guān)的安全保密要求，開(kāi)展相關(guān)建筑數(shù)字化工程。

1. 通用要求

GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求中強(qiáng)調(diào)，凡涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑中計(jì)算機(jī)信息系統(tǒng)的建設(shè)、網(wǎng)和非網(wǎng)建設(shè)、專用電話（紅機(jī)）、通信線、電源線、地線的布線以及信息系統(tǒng)安全保密測(cè)評(píng)均須按國(guó)家相關(guān)法律、法規(guī)及有關(guān)規(guī)定執(zhí)行，一些具體要求如下：

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑中計(jì)算機(jī)信息系統(tǒng)的建設(shè)應(yīng)滿足國(guó)家相關(guān)管理部門(mén)的規(guī)定；

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位建筑數(shù)字化系統(tǒng)工程應(yīng)與保密設(shè)施同步建設(shè)；

涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)中使用的安全保密設(shè)備，應(yīng)通過(guò)國(guó)家保密局信息系統(tǒng)安全保密測(cè)評(píng)中心的檢測(cè)；

從事系統(tǒng)集成業(yè)務(wù)的單位，應(yīng)經(jīng)過(guò)保密工作部門(mén)認(rèn)定，取得《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書(shū)》（簡(jiǎn)稱《資質(zhì)證書(shū)》）；需要建設(shè)系統(tǒng)的單位，應(yīng)選擇具有《資質(zhì)證書(shū)》的集成單位來(lái)承建。獲得《資質(zhì)證書(shū)》的集成單位，可以從保密部門(mén)取得相關(guān)保密標(biāo)準(zhǔn)和指南遵照?qǐng)?zhí)行；

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑及居住區(qū)數(shù)字化系統(tǒng)工程應(yīng)經(jīng)過(guò)國(guó)家保密部門(mén)的審批才能投入運(yùn)行；

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑應(yīng)與外國(guó)人經(jīng)常居住使用的建筑物（如外國(guó)機(jī)構(gòu)、涉外飯店、外國(guó)人居住公寓）保有一定的距離，具體規(guī)定請(qǐng)參照國(guó)家相關(guān)管理部門(mén)的有關(guān)規(guī)定；

2. 安全保密檢測(cè)

篇10

為了規(guī)范本市公共信息系統(tǒng)安全測(cè)評(píng)活動(dòng)，保障公共信息系統(tǒng)正常運(yùn)行，制定本辦法。

第二條（定義）

本辦法所稱的公共信息系統(tǒng)安全測(cè)評(píng)，是指依據(jù)有關(guān)信息安全標(biāo)準(zhǔn)、規(guī)范，對(duì)本市承擔(dān)公共管理職能的機(jī)構(gòu)（以下簡(jiǎn)稱公共管理機(jī)構(gòu)）以及提供社會(huì)公共服務(wù)的單位（以下簡(jiǎn)稱公共服務(wù)單位）的計(jì)算機(jī)信息系統(tǒng)，進(jìn)行安全保障性能測(cè)試、評(píng)估的活動(dòng)。

第三條（適用范圍）

本市行政區(qū)域內(nèi)的公共信息系統(tǒng)安全測(cè)評(píng)及其管理活動(dòng)，適用本辦法。法律、法規(guī)另有規(guī)定的，從其規(guī)定。

第四條（管理部門(mén)）

*市信息化委員會(huì)（以下簡(jiǎn)稱市信息委）負(fù)責(zé)本市公共信息系統(tǒng)安全測(cè)評(píng)的組織協(xié)調(diào)和監(jiān)督管理工作。

第五條（責(zé)任制度）

公共管理機(jī)構(gòu)、公共服務(wù)單位的負(fù)責(zé)人應(yīng)當(dāng)承擔(dān)開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)的管理責(zé)任。各有關(guān)主管部門(mén)應(yīng)當(dāng)督促所屬的公共管理機(jī)構(gòu)、公共服務(wù)單位開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)。

第六條（測(cè)評(píng)年度計(jì)劃）

市信息委應(yīng)當(dāng)會(huì)同各有關(guān)主管部門(mén)，制定公共信息系統(tǒng)安全測(cè)評(píng)年度計(jì)劃，組織公共管理機(jī)構(gòu)、公共服務(wù)單位實(shí)施，并進(jìn)行指導(dǎo)、監(jiān)督。

第七條（新建系統(tǒng)的測(cè)評(píng)）

新建公共信息系統(tǒng)的，公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)在系統(tǒng)建設(shè)前將安全設(shè)計(jì)方案報(bào)送市信息委審查；市信息委應(yīng)當(dāng)在15日內(nèi)提出審查意見(jiàn)。新建的公共信息系統(tǒng)試運(yùn)行結(jié)束后30日內(nèi)，應(yīng)當(dāng)進(jìn)行安全測(cè)評(píng)。

第八條（測(cè)評(píng)機(jī)構(gòu)）

公共信息系統(tǒng)安全測(cè)評(píng)，應(yīng)當(dāng)由國(guó)家有關(guān)部門(mén)認(rèn)可的信息安全測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn)稱測(cè)評(píng)機(jī)構(gòu)）實(shí)施。公共管理機(jī)構(gòu)的公共信息系統(tǒng)，由市信息委指定的測(cè)評(píng)機(jī)構(gòu)統(tǒng)一實(shí)施安全測(cè)評(píng)；公共服務(wù)單位的公共信息系統(tǒng)，由該單位委托的測(cè)評(píng)機(jī)構(gòu)實(shí)施安全測(cè)評(píng)。

第九條（測(cè)評(píng)協(xié)議）

公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)與測(cè)評(píng)機(jī)構(gòu)簽訂公共信息系統(tǒng)安全測(cè)評(píng)協(xié)議，明確測(cè)評(píng)的范圍、內(nèi)容、方案、期限、費(fèi)用和違約責(zé)任等事項(xiàng)。公共信息系統(tǒng)安全測(cè)評(píng)協(xié)議的示范文本，由市信息委制定。

第十條（測(cè)評(píng)要求）

測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)國(guó)家和本市信息技術(shù)、信息系統(tǒng)安全的標(biāo)準(zhǔn)、規(guī)范，實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)，保證測(cè)評(píng)活動(dòng)的客觀、公正。

第十一條（安全事項(xiàng)告知與協(xié)助義務(wù)）

安全測(cè)評(píng)的實(shí)施過(guò)程可能影響公共信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知公共管理機(jī)構(gòu)、公共服務(wù)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。

第十二條（測(cè)評(píng)報(bào)告）

測(cè)評(píng)機(jī)構(gòu)實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)后，應(yīng)當(dāng)出具包括以下內(nèi)容的測(cè)評(píng)報(bào)告：

（一）測(cè)評(píng)范圍、內(nèi)容；

（二）測(cè)評(píng)所依據(jù)的相關(guān)標(biāo)準(zhǔn)、規(guī)范；

（三）系統(tǒng)安全的評(píng)估結(jié)論、整改建議。測(cè)評(píng)報(bào)告應(yīng)當(dāng)由測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)人簽署。

第十三條（安全整改）

公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)根據(jù)測(cè)評(píng)報(bào)告的整改建議，對(duì)公共信息系統(tǒng)采取安全整改措施；測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)給予協(xié)助和指導(dǎo)。公共管理機(jī)構(gòu)完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送市信息委備案；公共服務(wù)單位完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送其主管部門(mén)備案。

第十四條（測(cè)評(píng)實(shí)施情況的報(bào)告）

測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)每季度將實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)的匯總情況向市信息委報(bào)告；發(fā)現(xiàn)公共信息系統(tǒng)存在重大安全問(wèn)題時(shí)，應(yīng)當(dāng)立即向市信息委報(bào)告。

第十五條（動(dòng)態(tài)復(fù)測(cè)）

公共信息系統(tǒng)安全測(cè)評(píng)后，應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次復(fù)測(cè)；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當(dāng)及時(shí)進(jìn)行復(fù)測(cè)。公共信息系統(tǒng)的復(fù)測(cè)應(yīng)當(dāng)包括以下內(nèi)容：

（一）系統(tǒng)前次測(cè)評(píng)時(shí)發(fā)現(xiàn)的主要問(wèn)題；

（二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部分發(fā)生變更，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對(duì)系統(tǒng)安全造成的影響。

第十六條（測(cè)評(píng)機(jī)構(gòu)的保密義務(wù)）

測(cè)評(píng)機(jī)構(gòu)對(duì)公共信息系統(tǒng)安全測(cè)評(píng)過(guò)程中取得的技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息負(fù)有保密義務(wù)，不得以任何方式將相關(guān)信息提供給第三方。

第十七條（測(cè)評(píng)機(jī)構(gòu)的行為禁止）

禁止測(cè)評(píng)機(jī)構(gòu)從事下列活動(dòng)：

（一）信息安全產(chǎn)品開(kāi)發(fā)、營(yíng)銷和信息系統(tǒng)集成活動(dòng)；

（二）限定公共管理機(jī)構(gòu)、公共服務(wù)單位購(gòu)買、使用其指定的信息安全產(chǎn)品；

（三）其他可能影響測(cè)評(píng)客觀、公正的活動(dòng)。第十八條（未進(jìn)行測(cè)評(píng)或者整改的處理）公共管理機(jī)構(gòu)、公共服務(wù)單位未按照本辦法的規(guī)定開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)或者采取安全整改措施的，由市信息委或者相關(guān)主管部門(mén)責(zé)令其改正；因未開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)或者采取安全整改措施，導(dǎo)致系統(tǒng)發(fā)生安全故障的，依法追究有關(guān)負(fù)責(zé)人的行政責(zé)任。

第十九條（對(duì)測(cè)評(píng)機(jī)構(gòu)違法行為的處理）

對(duì)測(cè)評(píng)機(jī)構(gòu)違反本辦法的行為，由市信息委按照下列規(guī)定進(jìn)行處理：

（一）違反本辦法第十四條規(guī)定，未報(bào)告公共信息系統(tǒng)安全測(cè)評(píng)情況或者重大安全問(wèn)題的，責(zé)令改正，并處1萬(wàn)元以下罰款；