(完整word版)网络信息安全管理制度

公司信息系统安全及保密管理制度第一章总则第一条为建设好公司信息化系统，保护公司信息资源，保证公司计算机网络信息系统安全，为公司安全顺利生产运行保驾护航，结合公司实际情况，特制定本制度。

第二条公司信息安全管理体系分为三级：运营改善部为信息安全管理中心，是第一级；各部门为分管单位，是第二级；各终端用户是第三级。

第三条本办法适用于公司各单位和接入公司局域网的相关单位和个人。

第二章职责分工第四条公司运营改善部负责公司范围内的信息安全系统的统一管理，结合总公司的要求组织部署公司信息安全系统并承担日常管理工作。

负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。

（一）组织制定企业信息化建设规划中有关信息安全的内容。

（二）组织落实公司信息系统安全等级保护和信息安全风险评估等工作。

（三）负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。

（四）负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。

（五）根据企业管理的要求，确定要害信息系统及相关设备；负责企业专网系统各项安全策略的制定及权限的审批。

（六）负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织，明确组织的负责人和管理的责任人。

（七）负责组织对公司企业专网范围内的信息系统安全情况进行检查，落实有关信息安全方面的法律法规，督促开展对于信息安全隐患的整改工作。

（八）处理违反公司信息系统安全管理有关规定的事件和行为，配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。

（九）履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。

（十）配合上级单位的全局安全策略的实施工作；并结合公司的实际情况实施安全策略，审批相应的管理权限、制定相应的管理策略。

第五条公司各单位负责本单位信息化设备及系统的信息安全管理工作，职责为：（一）教育职工遵守内网信息系统安全制度的各项规定。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据〈〈中华人民共和国计算机信息系统安全保护条例》、〈〈金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

信息安全等级保护管理规定公通字文件精编W O R D版IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】信息安全等级保护管理办法（公通字[2007]43号）作者 : 来源 : 公安部、国家保密局、国家密码管理局、国务院信息工作办公室时间：2007-字体：大中小06-22第一章?总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

四川长虹电器股份有限公司虹微公司管理文件信息安全基线管理办法××××–××–××发布××××–××–××实施四川长虹虹微公司发布目录1目的 (1)2 正文 (1)2.1术语定义 (1)2.2职责分工 (1)2.2.1信息安全服务部 (1)2.2.2各职能部门 (1)2.3管理内容 (2)2.3.1 信息安全基线的编制 (2)2.3.2 信息安全基线的评审 (2)2.3.3 信息安全基线的发布 (2)2.3.4信息安全基线的实施 (2)2.3.5信息安全基线的修订 (2)3 检查计划 (2)4 解释 (2)5 附录 (3)1目的明确公司各部门在业务开展、管理活动执行过程中的最低信息安全要求，有效防范信息安全风险，提高公司的抗风险能力。

2 正文2.1 术语定义信息安全：广义上是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统连续可靠正常地运行，信息服务不中断。

信息安全基线：信息安全基线是公司最低的信息安全保证，即公司在业务开展、管理活动执行过程中需要满足的最基本安全要求。

信息安全基线是实现信息安全风险评估和风险管理的前提和基础。

2.2 职责分工2.2.1信息安全服务部负责本管理办法及附录安全基线的制定和发布，并定期维护和更新。

监督和指导本管理办法及附录安全基线在公司范围内的执行。

定期检查信息安全基线在公司各部门的落实情况，并向公司管理层汇报。

2.2.2各职能部门根据本管理办法和安全基线要求，组织编制和优化本部门/事业群（以下统称“部门”）的安全管理制度和工作流程，保证安全基线在本部门的落地执行。

配合信息安全服务部确认信息安全基线内容，编制信息安全基线在本部门的落实计划。

协助和配合信息安全基线检查、风险整改等工作。

XXX数据安全管理规定编制： ____________________审核： ____________________批准： ____________________[本文件中浮现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特殊注明，版权均属 XXX 所有，受到有关产权及版权法保护。

任何个人、机构未经 XXX 的书面授权许可，不得以任何方式复制或者引用本文件的任何片断。

]1. 分发控制分发对象XXX 内部员工2. 文件版本信息文档权限 只读说明3. 文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于 1.0 时，表 示该版本文件为草案，仅可作为参照资料之目的。

拟稿和修改 版本 说明日期第一章总则第一条为保证 XXX 信息系统核心数据安全，维护数据所有者权利，明确利益相关者的责任与义务，按照分类管理、分级保护、授权使用的原则，根据《XXX 信息系统安全管理规定》及国家信息系统安全等级保护等有关要求，特制订本规定。

第二条本规定所管理的数据均为非涉密的数据， XXX 系统已标识密级的文件或者已声明密级的数据不纳入本规定管理范畴。

第三条本规定合用于全国 XXX 信息系统环境中的数据安全管理工作。

XXX 各单位、部门均应按本规定开展数据安全管理工作。

第二章术语定义第四条本规定所称数据所有者是指，对所管理业务领域内的信息或者信息系统，有权获取、创建、维护和授权的业务主管。

第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。

第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。

其中，非文件形式的数据包括数据库及配置文件中的数据、配置信息等。

第三章职责定义第七条数据创建者负责针对其所创建数据的内容和价值提出分类分级建议，提交对应级别数据所有者确认。

网络信息安全体系架构一、安全保障体系的总体架构网络信息安全涉及立法、技术、管理等许多方面, 包括网络信息系统本身的安全问题, 以及信息、数据的安全问题。

信息安全也有物理的和逻辑的技术措施, 网络信息安全体系就是从实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全等层面上进行综合的分析和管理。

安全保障体系总体架构如下图所示：安全保障体系架构图二、安全保障体系层次按照计算机网络系统体系结构，我们将安全保障体系分为7个层面：（1）实体安全实体安全包含机房安全、设施安全、动力安全、等方面。

其中，机房安全涉及到：场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁；设施安全如：设备可靠性、通讯线路安全性、辐射控制与防泄露等；动力包括电源、空调等。

这几方面的检测优化实施过程按照国家相关标准和公安部颁发实体安全标准实施。

(2)平台安全平台安全包括：操作系统漏洞检测与修复（Unix系统、Windows系统、网络协议）;网络基础设施漏洞检测与修复（路由器、交换机、防火墙）；通用基础应用程序漏洞检测与修复（数据库、Web/ftp/mail/DNS/其它各种系统守护进程）;网络安全产品部署（防火墙、入侵检测、脆弱性扫描和防病毒产品)；整体网络系统平台安全综合测试、模拟入侵与安全优化。

（3）数据安全数据安全包括：介质与载体安全保护；数据访问控制(系统数据访问控制检查、标识与鉴别）;数据完整性;数据可用性；数据监控和审计；数据存储与备份安全。

（4)通信安全既通信及线路安全。

为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试与优化；安装网络加密设施;设置通信加密软件；设置身份鉴别机制；设置并测试安全通道;测试各项网络协议运行漏洞等方面。

（5）应用安全应用安全包括：业务软件的程序安全性测试（bug分析)；业务交往的防抵赖；业务资源的访问控制验证；业务实体的身份鉴别检测；业务现场的备份与恢复机制检查；业务数据的唯一性/一致性/防冲突检测；业务数据的保密性;业务系统的可靠性;业务系统的可用性。

网吧信息安全管理制度第一章总则第一条为了规范网吧的信息安全管理，保护用户个人信息的安全，维护网络安全秩序，根据《网络安全法》等相关法律法规，制定本制度。

第二条本制度适用于本网吧内所有人员，包括管理人员、员工和用户。

第三条网吧信息安全管理应遵循依法、合规、风险可控、保护用户隐私的原则。

第二章信息安全管理责任第四条网吧应设立信息安全管理部门，负责信息安全管理工作，确保网络设备和系统的正常运行。

第五条网吧应当指定专门的人员负责信息安全工作，负责信息安全的监督和管理。

第六条网吧应当建立健全信息安全管理机制，明确信息安全工作职责和权限。

第七条网吧管理人员应当定期组织信息安全培训，提高员工的信息安全意识。

第三章用户隐私保护第八条网吧应当建立健全用户信息保护制度，保护用户的隐私和个人信息安全。

第九条网吧应当在用户注册时，明确告知用户收集信息的目的、方式和范围，取得用户的明示同意。

第十条网吧不得非法获取、使用和泄露用户的个人信息，不得将用户的个人信息交易或向第三方提供。

第十一条网吧应当采取技术措施，加密存储用户的个人信息，防止信息泄露。

第四章网络安全管理第十二条网吧应当建立健全网络安全管理制度，确保网络设备和系统的安全稳定运行。

第十三条网吧应当对网络设备和系统进行定期检查和维护，发现问题要及时处理，并记录留存。

第十四条网吧应当加强网络安全防护，及时更新防火墙、杀毒软件等安全软件，防范黑客攻击和网络病毒的侵害。

第十五条网吧应当加强对网络通信的监控，发现网络异常情况要及时处置，保障网络安全。

第五章处罚措施第十六条对违反信息安全管理制度的人员，网吧应当依据相关法律法规和内部规章制度进行处理，包括批评教育、警告、记过、停职、辞退等处理措施。

第十七条对于因违反信息安全管理制度给网吧造成损失的，应当依法向其追究民事、行政和刑事责任。

第六章监督和检查第十八条网吧应当定期对信息安全管理制度进行检查和评估，发现问题要及时整改。

第十九条网吧应当接受有关部门的监督和检查，配合有关部门的信息安全工作。

信息安全等级保护管理办法(最新版)Safety management is an important part of production management. Safety and production are inthe implementation process( 安全管理 )单位：_________________________姓名：_________________________日期：_________________________精品文档 / Word文档 / 文字可改信息安全等级保护管理办法(最新版)第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息安全管理制度为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。

本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案网络安全管理制度第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。

第二条任何单位和个人不得从事下列危害公司网络安全的活动：1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。

2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。

3、未经允许，对信息网络功能进行删除、修改或增加。

4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。

5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。

7、向其它非本单位用户透露公司网络登录用户名和密码。

8、其他危害信息网络安全的行为。

第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。

第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。

第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。

第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息系统安全保密制度第一条、“信息系统安全保密”是一项常抓不懈的工作，每名系统管理员都必须提高信息安全保密意识，充分认识到信息安全保密的重要性及必要性。

一、十八项医疗核心制度(1)首诊医师负责制度.(2）三级医师查房制度。

(3)疑难病例讨论制度。

（4)会诊制度.（5）急危重患者抢救制度。

(6)手术分级分类管理制度。

（7)术前讨论制度。

(8）死亡病例讨论制度。

（9）查对制度.（10)病历书写与管理制度。

（11)值班与交接班制度。

（12)分级护理制度。

（13）新技术和新项目准入制度.(14）危急值报告制度。

（15)抗菌药物分级管理制度。

(16)手术安全核查制度.（17)临床用血审核制度。

（18)信息安全管理制度。

一、首诊负责制度1、第一次接诊的医师或科室为首诊医师和首诊科室，首诊医师对患者的检查、诊断、治疗、抢救、转院和转科等工作负责。

2、首诊医师必须详细询问病史，进行体格检查、必要的辅助检查和处理，并认真记录病历。

对诊断明确的患者应积极治疗或提出处理意见;对诊断尚未明确的患者应在对症治疗的同时，应及时请上级医师或有关科室医师会诊；3、首诊医师下班前，应将患者移交接班医师，把患者的病情及需注意的事项交待清楚，并认真做好交接班记录。

4、对急、危、重患者，首诊医师应采取积极措施负责实施抢救。

如为非所属专业疾病或多科疾病，应组织相关科室会诊或报告医院主管部门组织会诊。

危重症患者如需检查、住院或转院者,首诊医师应陪同或安排医务人员陪同护送;如接诊医院条件所限，需转院者,首诊医师应与所转医院联系安排后再予转院。

5、首诊医师在处理患者，特别是急、危、重患者时，有组织相关人员会诊、决定患者收住科室等医疗行为的决定权,任何科室、任何个人不得以任何理由推诿或拒绝。

二、三级医师查房制度查房实行正(副）主任医师、主治医师、住院医师三级查房。

危重者入院后当天要有上级医师查房；夜间病重者入院后，次日要有上级医师查房记录，二级医师书写三级医师查房记录，一级医师书写二级医师查房记录，查房前各级医师对需要进行讨论诊断和治疗的病例，事前应查阅有关文献资料，作好充分准备，以提高查房质量。

一、网络与信息安全责任人：1.网络与信息安全第一责任人：企业法定代表人姓名；工作职责为：对机构内的信息安全工作负有领导责任；联系方式：电话及邮箱。

（联系电话应为自己常用、真实有效的手机号码，可抽测。

）2.网络与信息安全责任人：分管信息安全工作的负责人姓名；工作职责为：对企业内信息安全工作负有直接领导责任。

联系方式：电话及邮箱。

（联系电话应为自己常用、真实有效的手机号码，可抽测。

）（上述两项请全部填写）二、网络与信息安全管理组织机构设置及工作职责网络与信息安 1.企业需设置或指定网络与信息安全主管部门（如信息安全领导小全管理组织机组、信息安全工作组、信息安全部等），负责本企业网络与信息安构设置及工作全相关工作；企业网络与信息安全管理组织架构：包括主管部门、职责相关配合部门；2.网络与信息安全管理机构职责（包括但不限于下述内容，要对公司实质制度建立和管理情况进行简述）：（1）建立健全网络与信息安全规章制度，以及各项规章制度执行情况督查检查；（2）睁开网络与信息安全风险监测预警和评估控制、隐患排查整改工作；（3）建立健全网络与信息安全事件应急办理和上报制度，以及组织睁开应急演练；（4）建立健全从业人员网络与信息安全教育培训以及核查制度；（5）违纪有害信息监测办理制度和技术手段建设；（6）建立健全用户信息保护制度。

3.关于申请 IDC/ISP(睁开网站接入业务的）企业，在同意证申请完成后，睁开业务前，企业的IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接，并且依照《工业和信息化部办公厅关于印发《互联网信息安全管理系统使用及运行保护管理办法（试行）》（工信厅网安（2016）135 号）要求，拟定本企业 IDC/ISP信息安全管理系统的运行保护管理方法。

一、网络与信息安全管理人员装备情况及相应资质请依照下表内容在系统上填写相关文字信息：网络与信息安全管理人员装备情况表姓名身份联系归属工作全职 /资质证号方式部门内容兼职情况责任人（手机）网络与信息安全管理人员配备情况及相应资质第一责任人(企业法人 /总经理）信息安全负责人网络安全负责人7×24 小时传真应急联系电话电话其中 :1.工作内容（包括但不限于下述内容）：（1）网络与信息安全制度拟定和执行检查；（2）网络与信息安全事件应急办理和上报；（3）网络与信息安全人员教育培训工作落实；（4）违纪有害信息监测办理（如申请信息服务业务，此项必定体现）；（5）睁开网络安全防范工作，如如期睁开病毒检测和网络安全漏洞检测等；（6）用户信息保护工作落实等；2.资质情况等：可否获取CISP、CISSP、CISA 等资质以及等级保护测评机构测评师也许学历证明等资料。

编号：SY-AQ-06946( 安全管理)单位：_____________________审批：_____________________日期：_____________________WORD文档/ A4打印/ 可编辑信息安全等级保护制度Information security classified protection system信息安全等级保护制度导语：进行安全管理的目的是预防、消灭事故，防止或消除事故伤害，保护劳动者的安全与健康。

在安全管理的四项主要内容中，虽然都是为了达到安全管理的目的，但是对生产因素状态的控制，与安全管理目的关系更直接，显得更为突出。

第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

ISO27001产品概述；ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。

该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

条件：1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件；2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；3) 至少完成一次内部审核，并进行了有效的管理评审；4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

材料1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。

校园网络信息安全管理制度是为了保护学校网络系统和网络用户的信息安全，维护校园网络的正常运行而制定的一系列规章制度和管理措施。

下面是一个具体的校园网络信息安全管理制度的内容框架：1.网络用户管理1.1 用户注册与身份验证：所有网络用户必须注册并提供真实身份信息，通过身份验证后方可使用校园网络。

1.2 用户权限管理：不同权限的用户分别享有不同的网络使用权限，包括访问教学资源、上传下载文件等。

1.3 用户行为规范：禁止网络用户从事非法活动，包括但不限于网络攻击、传播违法信息、侵犯他人权益等。

2.网络设备管理2.1 设备接入规范：只允许合法设备接入校园网络，要求设备安装最新的安全补丁和杀毒软件。

2.2 设备安全防护：禁止使用未经授权的硬件或软件进行网络攻击，同时要求用户定期更新操作系统和软件。

2.3 设备行为监控：对网络设备进行实时监控，及时发现异常行为并进行处理。

3.信息安全管理3.1 数据备份与恢复：对重要数据进行定期备份，并确保备份数据可恢复性。

3.2 数据加密与防泄露：对重要数据进行加密处理，防止未经授权的人员获取。

3.3 访问控制与安全策略：设置访问控制策略，限制网络资源的访问范围，并制定安全策略，确保网络安全。

4.安全事件处理4.1 安全事件记录与报告：对网络安全事件进行记录，并及时向相关部门报告。

4.2 安全事件响应与处置：一旦发生安全事件，要及时采取相应措施进行响应和处置，以最小化损失。

4.3 安全事件调查与追责：对严重安全事件进行调查，对相关责任人进行追责。

以上是一个简单的校园网络信息安全管理制度的内容框架，具体实施时需要根据学校的实际情况进行细化和补充。

信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。

管理层面贯穿于其他层面之中，是其他层面实施分等级安全保护的保证。

本标准对信息和信息系统的安全保护提出了分等级安全管理的要求，阐述了安全管理要素及其强度，并将管理要求落实到信息安全等级保护所规定的五个等级上，有利于对安全管理的实施、评估和检查。

GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的，公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。

两者的共同点是：安全等级越高，发生的安全技术费用和管理成本越高，从而预期能够抵御的安全威胁越大，建立起安全信心越强，使用信息系统的风险越小。

本标准以安全管理要素作为描述安全管理要求的基本组件。

安全管理要素是指，为实现信息系统安全等级保护所规定的安全要求，从管理角度应采取的主要控制方法和措施。

根据GB17859-1999对安全保护等级的划分，不同的安全保护等级会有不同的安全管理要求，可以体现在管理要素的增加和管理强度的增强两方面。

对于每个管理要素，根据特定情况分别列出不同的管理强度，最多分为5级，最少可不分级。

在具体描述中，除特别声明之外，一般高级别管理强度的描述都是在对低级别描述基础之上进行的。

信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构，以下统称为“组织机构”。

信息系统在技术上采取何种安全机制应根据相关技术标准确定，本标准仅提出保证这些安全机制实施的管理要求。

信息安全等级保护制度第一条为规范信息平安等级爱护管理，提高信息平安保障实力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设，依据《中华人民共和国计算机信息系统平安爱护条例》等有关法律法规，制定本方法。

其次条国家通过制定统一的信息平安等级爱护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行平安爱护，对等级爱护工作的实施进行监督、管理。

第三条公安机关负责信息平安等级爱护工作的监督、检查、指导。

国家保密工作部门负责等级爱护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级爱护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级爱护工作的部门间协调。

第四条信息系统主管部门应当依照本方法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、运用单位的信息平安等级爱护工作。

第五条信息系统的运营、运用单位应当依照本方法及其相关标准规范，履行信息平安等级爱护的义务和责任。

其次章等级划分与爱护第六条国家信息平安等级爱护坚持自主定级、自主爱护的原则。

信息系统的平安爱护等级应当依据信息系统在国家平安、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的平安爱护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。

其次级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严峻损害，或者对国家平安造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特殊严峻损害，或者对国家平安造成严峻损害。

Information SecurityWith the development of science and technology, information security problem is becoming more and more important. Because information security is not only related to the personal privacy, is also related to the national defense security and country's economic security.The Information security accident led to many hazards. Such as citizens all kinds of personal privacy was leaked, the state secret being stolen and so on .In addition to our country overseas hackers information network to carry on an attack, the home also has some use system hole cyber crime, such as transmission, steal others network bank account password and so on. It will violate to personal privacy and personal interests. If national frontier information being stolen, it will harm to the national security and interests.As far as I am concerned, in order to protect information security, we must perfect the computer information system safety management system. Not only to information control people take protective measures, also want to every one respect other people's privacy, so we are clamoring for a law designed to clamp down on various cyber crimes.得分：78.6。