深圳卫生和计生行业.doc

深圳市卫生和计生行业 信息系统安全等级保护 工 作 指 南 深圳市卫生和人口计划生育委员会 信息化建设领导小组办公室 二〇一三年三月 目 录 第一章 前言 - 4 - 第一节 编写目的 - 4 - 第二节 信息安全等级保护概念 - 4 - 第三节 适用范围 - 4 - 第四节 规范性引用文件 - 5 - 第五节 基本原则 - 5 - 第二章 工作流程与职责 - 6 - 第一节 等级保护实施基本工作流程 - 6 - 第二节 工作职责 - 9 - 第三节 工作机制 - 11 - 一、 组织机制 - 11 - 二、 沟通机制 - 11 - 三、 专家指导机制 - 11 - 四、 监督机制 - 11 - 第四节 安全等级保护工作与信息系统生命周期的关系 - 12 - 第三章 定级备案 - 13 - 第一节 定级备案工作流程 - 13 - 一、 确定定级对象 - 13 - 二、 确定受侵害的客体与侵害程度 - 15 - 三、 信息系统安全保护等级初步确定 - 18 - 四、 定级报告的编写 - 18 - 五、 定级结果审核和批准 - 18 - 第四章 建设与整改 - 20 - 第一节 安全规划设计 - 20 - 一、 工作内容 - 20 - 二、 安全需求分析 - 21 - 三、 安全建设规划 - 22 - 第二节 安全建设与整改 - 23 - 一、 工作内容 - 23 - 二、 安全方案详细设计 - 24 - 三、 安全详细设计方案实施 - 25 - 第五章 等级测评 - 26 - 第一节 工作内容 - 26 - 第二节 测评申请 - 28 - 第三节 测评准备 - 29 - 第四节 现场测评 - 30 - 第五节 测评反馈 - 31 - 第六节 测评结果备案 - 31 - 第六章 安全运维 - 32 - 第一节 工作内容 - 32 - 第二节 运行管理和控制 - 33 - 第三节 变更管理和控制 - 33 - 第四节 安全状态监控 - 34 - 第五节 安全事件处置和应急预案 - 35 - 第七章 监督检查 - 35 - 第一节 工作内容 - 35 - 第二节 等级保护工作现状分析 - 37 - 第三节 改进方案制定和实施 - 37 - 第四节 检查考核 - 39 - 第八章 系统终止 - 39 - 第一节 工作内容 - 39 - 第二节 信息转移、暂存或清除 - 40 - 第三节 设备迁移或废弃 - 41 - 第四节 存储介质的清除或销毁 - 41 - 第九章 保障措施 - 42 - 第一节 加强组织领导 - 42 - 第二节 配备专业人才队伍 - 42 - 第三节 落实资金保障措施 - 42 - 第四节 加强考核考评 - 43 - 附件1：卫生和计生信息系统定级参考 - 44 - 附件2：《信息系统安全等级保护定级报告》模版 - 45 - 附件3：定级备案表 - 48 - 附件4：第二级信息系统自查内容参考模板 - 54 - 附件5：信息系统等级保护工作自查报告 - 60 - 附件6：信息安全等级保护管理制度 - 63 - 安全管理总要求 - 63 - 安全管理机构 - 64 - 人员安全管理 - 65 - 系统建设管理 - 66 - 系统运维管理 - 68 - 附件7：信息安全技术委员会单位名单 - 73 - 附件8：(单位名称)信息安全等级保护工作小组名单表 - 74 - 附件9：深圳市等级保护测评机构推荐单位 - 75 - 前言 编写目的 为贯彻落实公安部、国家必威体育官网网址局、国家密码管理局、国务院信息化工作办公室《关于印发信息安全等级保护管理办法的通知》（公通字〔2007〕43号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号） 《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号） 计算机信息系统安全等级保护划分准则 （GB 17859-1999） 信息系统安全等级保护实施指南 （GB/T 25058-2010） 信息系统安全保护等级定级指南 （GB/T 22240-2008） 信息系统安全等级保护基本要求 （GB/T 22239-2008） 信息系统通用安全技术要求 （GB/T 20271-2006） 信息系统等级保护安全设计技术要求 （GB/T 25070-2010） 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 信息系统安全管理要求 （GB/T 20269-2006） 信息系统安全工程管理要求 （GB/T 20282-2006） 基本原则 等级保护的核心是对系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下原则： 自主保护原则 深圳市卫生和计生行业各单位信息系统运营、使用部门及其主管部门按照国家相关法规和标准，自主确定信