信息安全等级保护建设方案.docx

信息安全等级保护（二级）建设方案 2016年3月 目录 1.项目概述 1.1.项目建设目标 为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作?依照国家《计算 机信息系统安全保护等级划分准则》、《信思系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》 等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表.并指导学 校信息化人员将定级材料提交当地公安机关备案。 本方案中，通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方而基本技术要求进 行技术体系建设：为满足安全管理设度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个 方面基本管理要求进行管理体系建设。使得学校信息系统的等级保护建设方案最终既可以满足等级保护的相关 要求，又能够全方面为学校的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能 力。 本项目建设将完成以下目标： M以学校信息系统现有基础设施，建设并完成满足等级保护二级系统基本要求的信息系统，确保学校的 整体信息化建设符合相关要求。 2、 建立安全管理组织机构。成立信息安全工作组，学校负责人为安全责任人，拟定实施信息系统安全等 级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。 3、 建立完善的安全技术防护体系.根据信息安全等级保护的要求，建立满足二级要求的安全技术防护体 系。 4、 建立健全信息系统安全管理制度.根据信息安全等级保护的要求，制定各项信息系统安全管理制度， 对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。 5、 制定学校信息系统不中断的应急预案.应急预案是安全等级保护的重要组成部分，按可能出现问题的 不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行. 6、 安全培训：为学校信息化技术人员提供信息安全相关专业技术知识培训。 12项目参考标准 我司遵循国家信息安全等级保护指南等最新安全标准以及开展佇项服务工作.配合学校的等级保护测评工 作。本项目建设参考依据: 指导 思想 等级 保护 系统 定级 技术 方而 管理 方而 中办［2003127号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的 意见》的通知） 公通字［2004166号文件（关于印发《信息安全等级保护工作的实施意见》的通知） 公通字［2007143号文件（关于印发《信息安全等级保护管理办法》的通知） 公信安［2009］ 1429《关于开展信息安全等级保护安全建设整改工作的指导意见》 全国人大《关于加强网络信息保护的决定》 国发E2012123号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》 国发［2013］7号《国务院关于推进物联网有序健康发展的指导意见》 公信安［2014J2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》 ＜公信安［2014］2182号） GB 17859-1999 il?算机信息系统安全保护等级划分准则 GB/T25058-2010信息系统安全等级保护实施指南 GB/T 22240-2008信息安全技术信息系统安全保护等級定級指南 GB/T25066-2010 GB/T17900-1999 GB/T20010-2005 GB/T20281-2006 GB/T18018-2007 GB/T20008-2005 GB/T20272-2006 GB 720273-2006 GB.T20009-2005 GB/T20275-2006 GB/T20277-2006 GB/T20279-2006 GB/T20278-2006 GB/T20280-2006 GB/T20915-2007 信息安全产品类别与代码 网络代理服务器的安全技术要求 包过滤防火墙评估准则 防火墙技术要求和测试评价方法 路由器安全技术要求 路由器安全评估准则 操作系统安全技术要求 数据库管理系统安全技术要求 数据库管理系统安全评估准则 入侵检测系统技术要求和测试评价方法 网络和终端设备隔离部件测试评价方法 网络和终端设备隔离部件安全技术要求 网络脆弱性扫描产品技术要求 网络脆弱性扫描产品测试评价方法 信息系统安全审计产品技术要求和测试评价方法 GB/T 21028-2007服务器安全技术要求 GB/T25063-2010服务器安全侧评要求 GB/T 21050-2007网络交换机安全技术要求（EAL3） GB/T28452-2012 GB/T29210-2012 GB/T28456-2012 GB/T28457-2012 应用软件系统通用安全技术要求 终端计算机通用安全技术要求与测试评价方法 IPsec协议应用测试规范