信息系统安全自查报告.docVIP

信息系统安全材料报告 什么是信息系统安全 信息系统安全：包括信息系统安全基本概念、信息系统安全体系、信息系统安全管理目标、信息系统安全需求、风险管理与控制、风险评估与分析、信息系统安全技术、信息安全标准与法律法规。 信息系统安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 工作内容 　　信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全等级测评咨询服务。 　　信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。 政策标准 政策法规 　中华人民共和国计算机信息系统安全保护条例 （1994年国务院147号令）（“第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”） 计算机信息系统安全保护等级划分准则 （GB 17859-1999） （“第一级：用户自主保护级； 　　第二级：系统审计保护级； 　　第三级：安全标记保护级； 　　第四级：结构化保护级； 　　第五级：访问验证保护级”） 　　国家信息化领导小组关于加强信息安全保障工作的意见 （中办发[2003]27号） 　　关于信息安全等级保护工作的实施意见 （公通字[2004]66号） 　　定级标准 　　信息安全等级保护管理办法 （公通字[2007]43号） 　　关于开展全国重要信息系统安全等级保护定级工作的通知 （公信安[2007]861号） 　　关于开展信息安全等级保护安全建设整改工作的指导意见 （公信安[2009]1429号） 　　关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 （公信安[2010]303号） 地方及行业范例 　　关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 （发改高技[2008]2071号） 　　关于进一步推进中央企业信息安全等级保护工作的通知 　　水利网络与信息安全体系建设基本技术要求 （2010年3月） 　　证券期货业信息系统安全等级保护基本要求(试行) （JR/T 0060-2010） 　　山西省计算机信息系统安全保护条例 （2009年1月）　广东省计算机信息系统安全保护条例 （2008年4月） 　　宁夏回族自治区计算机信息系统安全保护条例 （2009年10月） 　　徐州市计算机信息系统安全保护条例 （2009年1月） 标准规范 十大重要标准 　　计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准） 　　信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准） 　　信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准） 　　信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准） 　　信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 　　信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准） 　　信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准） 　　信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准） 　　信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 　　信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） 其它相关标准 　　GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 　　GB/T 20270-2006 信息安全技术 网络基