信息安全等級保護(hù)制度的提出課件

醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)實施——體系化方法東風(fēng)總醫(yī)院馮淑凱醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)實施——體系化方法東風(fēng)總醫(yī)院馮淑主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體系化實施主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信息安全等級保護(hù)發(fā)展現(xiàn)狀?信息安全等級保護(hù)體系信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信信息安全等級保護(hù)制度的提出?計算機(jī)病毒、黑客攻擊、軟硬件故障等信息安全問題給各類組織造成了極大的風(fēng)險?信息安全問題不僅僅是組織自身的事情，也涉及到國家和社會安全?基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全尤為重要信息安全等級保護(hù)制度的提出?計算機(jī)病毒、黑客攻擊、軟硬件

信息安全等級保護(hù)制度的提出?1994年，國務(wù)院發(fā)布了《中華人民共和國計算機(jī)信息系統(tǒng) 安全保護(hù)條例》（147號令）

–條例第九條明確規(guī)定“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等 級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部 門制定”。?1999年9月13日，《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn) 則》（GB17859-1999）發(fā)布，是我國計算機(jī)信息系統(tǒng)安 全保護(hù)等級工作的基礎(chǔ)?

2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（27號）明確指出“實行信息安全等級保護(hù)” 信息安全等級保護(hù)制度的提出? 2003年，《國家信息信息安全等級保護(hù)制度的提出?2004年，公安部、保密局、密碼管理局、國信辦聯(lián)合印發(fā) 了《關(guān)于信息安全等級保護(hù)工作的實施意見》（66號文

件），明確了等級保護(hù)的原則、內(nèi)容、要求以及部門分工 和實施計劃?2007年，公安部、保密局、密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護(hù)管理辦法》，標(biāo)志著我國等級保護(hù)制度的初步形成信息安全等級保護(hù)制度的提出?2004年，公安部、保密局、信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信息安全等級保護(hù)發(fā)展現(xiàn)狀?信息安全等級保護(hù)體系信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信信息安全等級保護(hù)發(fā)展現(xiàn)狀?測評工作–公信安[2010]303號《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》，要求2010年底前完成測評體系建設(shè)，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設(shè)整改工作。信息安全等級保護(hù)發(fā)展現(xiàn)狀?測評工作–公信安[2010]3信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信息安全等級保護(hù)發(fā)展現(xiàn)狀?信息安全等級保護(hù)體系信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信

信息安全等級保護(hù)標(biāo)準(zhǔn)體系?

《安全等級保護(hù)劃分準(zhǔn)則》GB17859-1999

–我國等級保護(hù)制度的基礎(chǔ)性標(biāo)準(zhǔn)，規(guī)定了計算機(jī)信息系統(tǒng)安全保 護(hù)能力的五個級別?????第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級–針對每個級別，詳細(xì)列出了等級劃分準(zhǔn)則 信息安全等級保護(hù)標(biāo)準(zhǔn)體系?第一級：用戶自主保護(hù)級–信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008–用于指導(dǎo)信息系統(tǒng)的建設(shè)單位和運營、使用單位如何對確定的信息系統(tǒng)進(jìn)行定級，為信息系統(tǒng)等級保護(hù)的實施提供基礎(chǔ)和依據(jù)–定級要素?受侵害的客體：a）公民、法人和其他組織的合法權(quán)益；b）社會秩序、公共利益；c）國家安全?對客體的侵害程度：a）造成一般損害；b）造成嚴(yán)重?fù)p害；c）造成特別嚴(yán)重?fù)p害。信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全保護(hù)等級定級指南

信息安全等級保護(hù)標(biāo)準(zhǔn)體系?

《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008

對客體的侵害程度受侵害的客體公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全一般損害 第一級 第二級 第三級嚴(yán)重?fù)p害

第二級 第三級

第四級特別嚴(yán)重?fù)p害

第二級 第四級 第五級 信息安全等級保護(hù)標(biāo)準(zhǔn)體系受侵害的客體一般損害嚴(yán)重?fù)p害特別嚴(yán)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全等級。業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之相關(guān)的受侵害客體和對客兩種安全的定義對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中：信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)；由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能；導(dǎo)致業(yè)務(wù)能力下降；引起法律糾紛；導(dǎo)致財產(chǎn)損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。兩種安全的定義對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害定級流程定級流程信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–針對每個等級的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，這些要求的實現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級的基本保護(hù)能力–用途?為信息系統(tǒng)的建設(shè)單位和運營、使用單位如何對確定等級的信息系統(tǒng)進(jìn)行保護(hù)提供技術(shù)指導(dǎo)?為信息系統(tǒng)主管部門、信息系統(tǒng)運營、使用單位或?qū)ｉT的等級測評機(jī)構(gòu)對信息系統(tǒng)安全保護(hù)等級的檢測評估提供依據(jù)?為監(jiān)管部門的監(jiān)督檢查提供依據(jù)信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–基本技術(shù)類要求?與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)–基本管理類要求?與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–基本技術(shù)類要求的三種類型?保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為S）；?保護(hù)系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為A）?通用安全保護(hù)類要求（簡記為G）信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–不同等級的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力?第一級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。?第二級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–不同等級的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力?第三級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。?第四級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?其他已發(fā)布的重要信息安全等級保護(hù)國家標(biāo)準(zhǔn)–《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006–《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》GB/T20271-2006–《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》GB/T20282-2006信息安全等級保護(hù)標(biāo)準(zhǔn)體系?其他已發(fā)布的重要信息安全等級保主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體系化實施主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的體系化總體實施流程信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安-從管理的定義說起體系化管理方法

?什么是管理？-從管理的定義說起體系化管理方法administeradministrationadministrator

managemanagement manager

18世紀(jì) 工業(yè)革命（1700'S）體系化管理方法

“管”

中國古代

春秋戰(zhàn)國

康熙19年 （1680）-從管理的定義說起

“理”

管理administer manage 18世紀(jì)體系化管理方體系化管理方法-從管理的定義說起?管理的定義

–ISO9000:2000質(zhì)量管理體系基礎(chǔ)和術(shù)語

?管理management：指揮和控制組織的協(xié)調(diào)的活動

–管理學(xué)

?管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、 物力、財力等資源，以期有效達(dá)成組織目標(biāo)的過程。

–管理是一種理論，也可以說是一種方法或工具，與具體業(yè) 務(wù)相結(jié)合的時候，便形成不同領(lǐng)域、不同門類的管理科學(xué)， 例如經(jīng)濟(jì)管理、質(zhì)量管理、信息安全管理等體系化管理方法-從管理的定義說起?管理的定義體系化管理方法-管理的體系化?質(zhì)量管理領(lǐng)域率先提出體系化方法

–質(zhì)量管理的體系化方法衍生于軍品的質(zhì)量保證要求

–1979年，ISO成立了質(zhì)量管理和質(zhì)量保證技術(shù)委員會負(fù)責(zé)制定質(zhì) 量管理和質(zhì)量保證標(biāo)準(zhǔn)，1987年發(fā)布了ISO9000《質(zhì)量管理和質(zhì) 量保證標(biāo)準(zhǔn)選擇和使用指南》、ISO9001《質(zhì)量體系設(shè)計開發(fā)、 生產(chǎn)、安裝和服務(wù)的質(zhì)量保證模式》以及ISO9002、ISO9003、

ISO9004等標(biāo)準(zhǔn)

–質(zhì)量管理的體系化模式取得廣泛應(yīng)用之后，體系化方法也逐漸在 其他領(lǐng)域運用，例如環(huán)境管理領(lǐng)域、職業(yè)健康安全管理領(lǐng)域等， 這種管理的體系化方法也逐漸發(fā)展為一個特殊的領(lǐng)域，即管理體 系體系化管理方法-管理的體系化?質(zhì)量管理領(lǐng)域率先提出體系化體系化管理方法-管理的體系化圖釋增值活動 信息流體系化管理方法-管理的體系化圖釋增值活動體系化管理方法-管理的體系化要素?在管理體系方法中，應(yīng)用了下列要素：

–過程方法

–PDCA模型

–管理職責(zé)

–資源管理

–

持續(xù)改進(jìn)等體系化管理方法-管理的體系化要素?在管理體系方法中，應(yīng)用體系化管理方法-過程方法?過程process

–一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動?過程方法processapproach

–

系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間 的相互作用，稱為過程方法。體系化管理方法-過程方法?過程process-過程方法記錄體系化管理方法

責(zé)任人 輸入 資源測量、改進(jìn)

輸出-過程方法記錄體系化管理方法測量、改進(jìn)體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法

AP CD體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法

–又稱戴明環(huán)，PDCA循環(huán)是能使任何一項活動有效進(jìn) 行的工作程序：????策劃實施檢查處置體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)體系化管理方法-PDCA模型?PDCA的特點一

–按順序進(jìn)行，它靠組織的力量來推動，像車輪一樣向 前進(jìn)，周而復(fù)始，不斷循環(huán)PDA C體系化管理方法-PDCA模型?PDCA的特點一PA體系化管理方法-PDCA模型?PDCA的特點二

–組織中的每個部分，甚至個人，均可以PDCA循環(huán)， 大環(huán)套小環(huán)，一層一層地解決問題PDACAPCDAPCD體系化管理方法-PDCA模型?PDCA的特點二PAA體系化管理方法-PDCA模型?PDCA的特點三

–每通過一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)， 再進(jìn)行第二次PDCA循環(huán)PACDPACD體系化管理方法-PDCA模型?PDCA的特點三PAC體系化管理方法-管理職責(zé)?管理職責(zé)是指管理活動中，管理者應(yīng)該具備的職責(zé) 要求?有人認(rèn)為這應(yīng)該是一個很簡單的活動

–質(zhì)量管理中，當(dāng)質(zhì)量與進(jìn)度產(chǎn)生沖突時，往往是質(zhì)量讓進(jìn) 度！

–信息安全管理中，安全與方便性、安全與日常習(xí)慣發(fā)生矛 盾時，安全管理如何保證？?管理職責(zé)的重要性就在于此，作為管理者，在任何 時刻都應(yīng)毫無疑義的堅持管理的要求體系化管理方法-管理職責(zé)?管理職責(zé)是指管理活動中，管理者體系化管理方法-資源管理?在整個管理活動中，如何分配人員、能否保證資金、 如何配備物品，是影響實現(xiàn)管理目標(biāo)的關(guān)鍵要素?人員無疑是資源管理中最難控制的部分

–人員的評價：是否滿足崗位的要求

–人員的培訓(xùn)：確定需求、實施培訓(xùn)、培訓(xùn)效果評價

–人員的持續(xù)發(fā)展：確保人員能夠一直滿足崗位要求體系化管理方法-資源管理?在整個管理活動中，如何分配人員體系化管理方法-持續(xù)改進(jìn)?不斷對管理活動進(jìn)行檢查，發(fā)現(xiàn)問題及時采取改進(jìn) 措施，從而實現(xiàn)持續(xù)的改進(jìn)?檢查方式

–內(nèi)部審核

–管理評審等?改進(jìn)措施

–糾正措施：為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原 因所采取的措施

–預(yù)防措施：為消除潛在不符合或其他潛在不期望情況的原 因所采取的措施體系化管理方法-持續(xù)改進(jìn)?不斷對管理活動進(jìn)行檢查，發(fā)現(xiàn)問信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的體系化總體實施流程信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的特點–過程多：包括定級備案、建設(shè)改建、等級測評、自查、檢查等諸多過程–內(nèi)容繁雜：涉及到系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理制度、管理機(jī)構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等各個層面–涉及面廣：等級保護(hù)工作將覆蓋組織的多個部門，包括系統(tǒng)建設(shè)部門、運維部門、使用部門以及行政、人力、財務(wù)等部門?應(yīng)該采用體系化方法來實施等級保護(hù)工作信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的信息安全等級保護(hù)工作的體系化需求?等級保護(hù)工作的出發(fā)點在于對信息系統(tǒng)進(jìn)行定級和分級保護(hù)，圍繞著信息系統(tǒng)而實施一系列的保護(hù)活動?但一般情況下，信息系統(tǒng)運營、使用單位都會存在多個信息系統(tǒng)，這些信息系統(tǒng)可能處于不同級別?因此，更應(yīng)該采用體系化方法來統(tǒng)一規(guī)劃整個單位的信息安全工作信息安全等級保護(hù)工作的體系化需求?等級保護(hù)工作的出發(fā)點在信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的定級備案、建設(shè)改建、等級測評、自查、檢查等過程，體現(xiàn)了部分體系化要素，最明顯的就是采用了過程方法和PDCA的一些思想–定級備案、建設(shè)改建、等級測評等過程均基于過程的概念，通過使用相關(guān)的資源以及管理活動，將輸入轉(zhuǎn)化為輸出，例如定級工作的輸入是系統(tǒng)的相關(guān)建設(shè)管理文檔，而輸出是系統(tǒng)級別–不同過程之間相互關(guān)聯(lián)，例如定級備案過程的輸出：系統(tǒng)級別，是后續(xù)建設(shè)改建、測評、檢查等過程的輸入–每個過程都包含不同的子過程，例如定級過程包括系統(tǒng)分析、等級確定兩個子過程信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作信息安全等級保護(hù)工作的體系化需求?從整體來看等級保護(hù)的工作，也體現(xiàn)出了PDCA模型的一些特點–建設(shè)和整改包含系統(tǒng)的規(guī)劃和設(shè)計，即P（規(guī)劃）階段的內(nèi)容–規(guī)劃工作的具體實施，以及系統(tǒng)的運行屬于D（實施）階段的內(nèi)容–測評、自查和檢查等活動都可作為C（檢查）階段的工作內(nèi)容–對于發(fā)現(xiàn)的問題，需要及時整改，即A（處置）階段的工作內(nèi)容?此外，管理職責(zé)和資源管理也是非常重要的工作內(nèi)容，貫穿于各項活動之中，是其他工作順利開展的基礎(chǔ)信息安全等級保護(hù)工作的體系化需求?從整體來看等級保護(hù)的工信息安全等級保護(hù)工作的體系化需求?因此，信息安全等級保護(hù)工作應(yīng)該，也適合采用體系化方法來加以實施–構(gòu)建等級保護(hù)的體系化實施模型–在原有等級保護(hù)工作的基礎(chǔ)上，使過程方法和PDCA模型更加完善和清晰化–補(bǔ)充其他體系化要素，形成完整的信息安全等級保護(hù)體系化實施方法信息安全等級保護(hù)工作的體系化需求?因此，信息安全等級保護(hù)信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的體系化總體實施流程信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路局部調(diào)整實施指南-基本實施過程

系統(tǒng)定級 安全規(guī)劃設(shè)計

重大變更

安全實施/實現(xiàn)安全運行管理系統(tǒng)終止局部調(diào)整實施指南-基本實施過程安全運行管理定級建議定級建議“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，確保重點。”－“27號文”“等級保護(hù)不是要做成一個框框，而是要在有限資源的條件下，用適當(dāng)?shù)某杀精@得適度的安全?！钡燃壉Ｗo(hù)的基本含義“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必醫(yī)療衛(wèi)生等保實施流程規(guī)劃?第一步：“評估定級，定義安全需求”。

通過風(fēng)險評估、系統(tǒng)定級、等級評估等服務(wù)組件識別系統(tǒng)的安全風(fēng)險，確定系統(tǒng)的安全等級，并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。?第二步：“體系建設(shè)，實現(xiàn)按需防御”。

通過體系設(shè)計制定等級方案，進(jìn)行安全策略體系、安全組織體系、安全技術(shù)體系和安全運維體系建設(shè)，滿足評估定級階段形成的安全需求，實現(xiàn)按需防御。?第三步：“安全運維，確保持續(xù)安全”。

通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計、應(yīng)急響應(yīng)等服務(wù)組件，從事前、事中、事后三個方面進(jìn)行安全運行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。醫(yī)療衛(wèi)生等保實施流程規(guī)劃?第一步：“評估定級，定義安全需求

體系涵蓋內(nèi)容醫(yī)療衛(wèi)生行業(yè)等級保護(hù)體系方案詳細(xì)設(shè)計二級系統(tǒng)等級保護(hù)不同等級系統(tǒng)互聯(lián)互通三級系統(tǒng)等級保護(hù) 體系涵蓋內(nèi)容二級系統(tǒng)等級保護(hù)不同等級系統(tǒng)互聯(lián)互通三級系統(tǒng)等醫(yī)療衛(wèi)生行業(yè)等級保護(hù)解決方案

技術(shù)措施

管理措施 不同等級互聯(lián)二級(以醫(yī)院系統(tǒng)為例)

技術(shù)措施

管理措施 不同等級互聯(lián)三級(以公衛(wèi)系統(tǒng)為例)醫(yī)療衛(wèi)生行業(yè)等級保護(hù)解決方案 技術(shù)措施 技術(shù)措施體系設(shè)計(二級)結(jié)合安全方案詳細(xì)

設(shè)計思路 ，在醫(yī)療 衛(wèi)生行業(yè) ，以醫(yī)療 機(jī)構(gòu)信息 系統(tǒng)為例 ，二級等 級保護(hù)體 系我們采 用的模型 如圖所示54體系設(shè)計(二級)結(jié)合安全 設(shè)計思路體系設(shè)計(三級)結(jié)合安全方案詳細(xì)設(shè)計

思路，在醫(yī) 療衛(wèi)生行業(yè) ，以公共衛(wèi) 生信息系統(tǒng) 為例，三級 等級保護(hù)體 系我們采用 的模型如圖 所示（其中 灰色北京的 是三級比二 級增加的項 目）：55體系設(shè)計(三級)結(jié)合安全方 思路，在醫(yī)4321

醫(yī)療衛(wèi)生行業(yè)等級保護(hù)實施落地實施規(guī)劃與設(shè)計

技術(shù)設(shè)計 管理設(shè)計

實施與運行技術(shù)措施實現(xiàn)管理措施實現(xiàn)安全運行與維護(hù)

持續(xù)改進(jìn)

安全檢查二級檢查三級檢查

持續(xù)改進(jìn)持續(xù)改進(jìn)4321 醫(yī)療衛(wèi)生行業(yè)等級保護(hù)實施規(guī)劃與設(shè)計 實施與運行 持4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件、，、，信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件安全運行與維護(hù)?????

醫(yī)療衛(wèi)生行業(yè)提出的等級保護(hù)體系化建設(shè)流程中，在進(jìn)行安全保障體系設(shè)計以及安全建設(shè)之后將會按照PDCA模型進(jìn)入到周期性的安全運維階段，來保證和鞏固等級保護(hù)建設(shè)的成果。 根據(jù)建立的信息安全管理運維體系對信息安全系統(tǒng)進(jìn)行實時的維護(hù)管理，針對醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)安全軟、硬件實施全面的安全運維。具有條件的單位可以采用自行運維的方式，如在運維階段面臨技術(shù)水平、人員規(guī)模、運維經(jīng)驗的限制，可以采用安全運維服務(wù)外包的形式，針對于整個系統(tǒng)相關(guān)范圍的不同安全等級及實際應(yīng)用，所需要的安全運維服務(wù)模塊如下：安全掃描人工檢查安全加固日志分析補(bǔ)丁管理安全監(jiān)控?安全動態(tài)應(yīng)急響應(yīng)安全運行與維護(hù)? 醫(yī)療衛(wèi)生行業(yè)提出的等級保護(hù)體系化建設(shè)流程中4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路?等級保護(hù)測評檢查表?十堰衛(wèi)生行業(yè)信息安全檢查用表?等級保護(hù)測評檢查表?十堰衛(wèi)生行業(yè)信息安全檢查用表7171?等級保護(hù)測評檢查表?十堰市衛(wèi)生行業(yè)信息安全檢查用表?等級保護(hù)測評檢查表?十堰市衛(wèi)生行業(yè)信息安全檢查用表

1、訪問控制1.具有以下哪些控制人員進(jìn)出機(jī)房的措施：系統(tǒng)部署電子門禁機(jī)房出入口專人職守、控制鑒別并記錄出入機(jī)房人員1.具有以下哪些控制外部人員訪問機(jī)房的措施：

外來人員訪問機(jī)房經(jīng)過申請和審批 由內(nèi)部人員監(jiān)控外來人員在機(jī)房內(nèi)的活動 由內(nèi)部人員限制外來人員在機(jī)房內(nèi)的活動范圍2、防盜和防破壞1.主要設(shè)備是否放置在機(jī)房內(nèi)：是□否設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記：是□否1.機(jī)房是否安裝了防盜報警系統(tǒng)和監(jiān)控報警系統(tǒng)：是□否□否

報警設(shè)備是否與視頻監(jiān)控系統(tǒng)及出入口控制設(shè)備聯(lián)動：是3、防火1.是否制定消防管理制度：是□否2.是否制定消防預(yù)案：是□否3.是否對機(jī)房管理、維護(hù)人員進(jìn)行消防專項培訓(xùn)：是，培訓(xùn)機(jī)構(gòu)：______________□否4.機(jī)房是否部署火情自動檢測、報警、滅火系統(tǒng)：是□否具體設(shè)備：性惰氣體自動滅火設(shè)備式便攜滅火設(shè)備其他______________檢查表—物理安全 1.具有以下哪些控制人員進(jìn)出機(jī)房的措施：系統(tǒng)部署電子門禁機(jī)1.機(jī)房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層檢測漏水及報警系統(tǒng)，系統(tǒng)名稱：機(jī)房專用空調(diào)，空調(diào)品牌及名稱： 其他：

□主機(jī)房除濕裝置，濕裝置名稱： 機(jī)房溫濕度控制系統(tǒng)，品牌及名稱：5、防靜電、防雷1.機(jī)房主要設(shè)備是否采用以下防靜電措施：地防靜電接□防靜電地板其他1.機(jī)房是否有交流電源接地:□否

是，接地方式：______________6、電力供應(yīng)1.是否對計算機(jī)系統(tǒng)供電系統(tǒng)進(jìn)行定期檢查和維護(hù)：是□否檢查維護(hù)的設(shè)備是否涵蓋以下設(shè)備：□穩(wěn)壓器□過電壓防護(hù)設(shè)備短期備用電源設(shè)備力電電纜線路備用供電系統(tǒng)其他______1.短期備用電源設(shè)備最長供電時間為：______________________備用供電系統(tǒng)（如備用發(fā)電機(jī)）是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電：□是□否規(guī)定時間為：

4、防水和防潮1.機(jī)房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析表1-1拓?fù)淞私夥治?詢問其是否繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。?詢問其是否與互聯(lián)網(wǎng)聯(lián)通。?檢查其是否根據(jù)業(yè)務(wù)應(yīng)用合理設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)。表1-2設(shè)備性能分析接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)設(shè)備性能及帶寬是否滿足業(yè)務(wù)需要；且是否有冗余設(shè)備。表1-3網(wǎng)段劃分及安全隔離各部門終端設(shè)備是否按照部門和業(yè)務(wù)重要性劃分網(wǎng)段并用Vlan隔離；重要服務(wù)器區(qū)域是否與接入?yún)^(qū)域采用可靠隔離表1-4日志及審計是否定期對日志進(jìn)行統(tǒng)一審計分析，并對日志進(jìn)行適當(dāng)保護(hù)避免受到未預(yù)期的修改。檢查表—網(wǎng)絡(luò)安全一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析?詢問其是否繪制與當(dāng)前運行情況相符一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析表1-5入侵防范?對重要核心服務(wù)器是否有入侵防范措施。?若部署入侵防范措施，問詢其部署位置、品牌型號、升級方式、事件定義及日志審計方式。?若沒有，是否對其進(jìn)行加固和定期打補(bǔ)丁；是否有惡意代碼防范措施。表1-6防病毒系統(tǒng)?系統(tǒng)內(nèi)部是否部署網(wǎng)絡(luò)版防病毒軟件，或者部署防毒墻。?若部署殺毒軟件，記錄其軟件品牌，部署范圍，及升級方式。?詢問病毒庫是否及時升級。?檢查殺毒日志。表1-7網(wǎng)站服務(wù)器系統(tǒng)內(nèi)是否部署Web服務(wù)器；若有，是否有動態(tài)頁面；是否部署網(wǎng)頁防篡改系統(tǒng)；網(wǎng)站是否托管；一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析表1-5入侵防范?對重要核心服務(wù)?路由器CDP服務(wù)關(guān)閉檢查禁止Finger服務(wù)?明文密碼是否加密設(shè)置特權(quán)密碼路由協(xié)議采用加密認(rèn)證??關(guān)閉代理ARP功能。（開啟容易造成泄密及網(wǎng)絡(luò)不穩(wěn)定）設(shè)置Vty超時參數(shù)（默認(rèn)10分鐘，應(yīng)小于5分鐘）?關(guān)閉HTTP服務(wù)若多用戶應(yīng)采用分權(quán)管理表2-5交換機(jī)安全配置?路由器CDP服務(wù)關(guān)閉檢查?禁止Finger服務(wù)Router(config)#noservicefinger?明文密碼是否加密設(shè)置特權(quán)密碼?設(shè)置Vty超時參數(shù)（默認(rèn)10分鐘，應(yīng)小于5分鐘）關(guān)閉HTTP服務(wù)?若多用戶采用分權(quán)管理手動關(guān)閉不使用的端口二、網(wǎng)絡(luò)設(shè)備配置信息查看表2-1限制管理員登陸地址是否對管理員登陸地址進(jìn)行限制表2-2口令策略設(shè)置口令是否有相應(yīng)制度約束，并定期更換。一般8位以上，包括數(shù)字、字符、大小寫字母等。表2-3遠(yuǎn)程登錄管理內(nèi)網(wǎng)遠(yuǎn)程管理是否采用SSH或HTTPS。不使用Telnet、Http。表2-4路由器安全配置?路由器CDP服務(wù)關(guān)閉檢查禁止Finger服務(wù)?明文密碼?遠(yuǎn)程管理采用加密傳輸協(xié)議

表3-3防火墻策略檢查

依據(jù)業(yè)務(wù)需求，應(yīng)制定防火墻不同接口間的訪問控制策略。

表3-4安全事件應(yīng)急

詢問是否曾經(jīng)發(fā)生過安全時間，怎樣應(yīng)對，是否有相應(yīng)流程文件。

三、防火墻配置信息查看表3-1安全特性是否開啟開啟那些防御網(wǎng)絡(luò)攻擊能力。如SYNflood，ICMPflood，UDPflood ，teardrop，pingofdeath,land等表3-2基本配置檢查?是否是多賬戶分權(quán)管理?密碼健壯度檢查?是否限制管理IP地址段?遠(yuǎn)程管理采用加密傳輸協(xié)議 表3-3防火墻策略檢查 裝情況。

檢查表—主機(jī)安全系統(tǒng)漏洞掃描。?檢查方式：利用工具掃描的方式。?配合人員：被檢查方的系統(tǒng)管理員?檢查項：掃描重要服務(wù)器是否存在系統(tǒng)漏洞撥號和非法外聯(lián)檢測。?檢查方式：采取工具檢測和現(xiàn)場查看方式?配合人員：被檢查方的系統(tǒng)管理員?檢查項：掃描終端設(shè)備，檢查是否有非法外聯(lián)的情況終端安全檢查?檢查方式：采取現(xiàn)場查看方式。?配合人員：被檢查方的終端管理員。?檢查項：隨即抽查計算機(jī)終端，查看防病毒和安全補(bǔ)丁安裝情況。 檢查表—主機(jī)安全檢查表—管理安全檢查表—管理安全信息安全等級保護(hù)制度的提出課件8282信息安全等級保護(hù)制度的提出課件等保測評驗收流程定級備案組織測評 評審會驗收報告

自主定級公安部門報備,公安部門審核定級是否準(zhǔn)確公安部3所公安部1所國家信息安全測評中心解放軍信息安全測評中心…….申請權(quán)威機(jī)構(gòu)對整個系統(tǒng)進(jìn)行評測測評機(jī)構(gòu)、3名以上權(quán)威專家召開評審會討論驗收專家簽字，形成驗收報告，系統(tǒng)符合等保要求，等保測評驗收流程定級組織測評 自主定級公安部3所申請權(quán)威4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路持續(xù)改進(jìn)?在安全檢查階段發(fā)現(xiàn)的任何問題，都應(yīng)查找不符合的原因，針對該原因，采取糾正措施，制定解決方案加以實施，以確保不符合的事項不會再次發(fā)生。?此外，為防止類似問題的發(fā)生，或其他可能會引起信息安全事件的問題出現(xiàn)，各單位應(yīng)該對潛在的問題進(jìn)行識別、分析，查找原因并采取預(yù)防措施，以減少信息安全事件的發(fā)生，使各項信息安全工作更好的符合國家等級保護(hù)的相關(guān)要求。持續(xù)改進(jìn)?在安全檢查階段發(fā)現(xiàn)的任何問題，都應(yīng)查找不符合的原?信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整

，而系統(tǒng)的安全保護(hù)等級并未改變，應(yīng)從 安全運行與維護(hù)階段進(jìn)入體系建設(shè)階段，

重新設(shè)計、調(diào)整和實施安全措施，確保滿 足等級保護(hù)的要求；但信息系統(tǒng)發(fā)生重大 變更導(dǎo)致系統(tǒng)安全保護(hù)等級變化時，應(yīng)從 安全運維階段進(jìn)入信息系統(tǒng)評估定級階段 ，重新開始一輪信息安全等級保護(hù)的實施 過程。?信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整謝謝觀看！謝謝觀看！醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)實施——體系化方法東風(fēng)總醫(yī)院馮淑凱醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)實施——體系化方法東風(fēng)總醫(yī)院馮淑主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體系化實施主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信息安全等級保護(hù)發(fā)展現(xiàn)狀?信息安全等級保護(hù)體系信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信信息安全等級保護(hù)制度的提出?計算機(jī)病毒、黑客攻擊、軟硬件故障等信息安全問題給各類組織造成了極大的風(fēng)險?信息安全問題不僅僅是組織自身的事情，也涉及到國家和社會安全?基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全尤為重要信息安全等級保護(hù)制度的提出?計算機(jī)病毒、黑客攻擊、軟硬件

信息安全等級保護(hù)制度的提出?1994年，國務(wù)院發(fā)布了《中華人民共和國計算機(jī)信息系統(tǒng) 安全保護(hù)條例》（147號令）

–條例第九條明確規(guī)定“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等 級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部 門制定”。?1999年9月13日，《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn) 則》（GB17859-1999）發(fā)布，是我國計算機(jī)信息系統(tǒng)安 全保護(hù)等級工作的基礎(chǔ)?

2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（27號）明確指出“實行信息安全等級保護(hù)” 信息安全等級保護(hù)制度的提出? 2003年，《國家信息信息安全等級保護(hù)制度的提出?2004年，公安部、保密局、密碼管理局、國信辦聯(lián)合印發(fā) 了《關(guān)于信息安全等級保護(hù)工作的實施意見》（66號文

件），明確了等級保護(hù)的原則、內(nèi)容、要求以及部門分工 和實施計劃?2007年，公安部、保密局、密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護(hù)管理辦法》，標(biāo)志著我國等級保護(hù)制度的初步形成信息安全等級保護(hù)制度的提出?2004年，公安部、保密局、信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信息安全等級保護(hù)發(fā)展現(xiàn)狀?信息安全等級保護(hù)體系信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信信息安全等級保護(hù)發(fā)展現(xiàn)狀?測評工作–公信安[2010]303號《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》，要求2010年底前完成測評體系建設(shè)，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設(shè)整改工作。信息安全等級保護(hù)發(fā)展現(xiàn)狀?測評工作–公信安[2010]3信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信息安全等級保護(hù)發(fā)展現(xiàn)狀?信息安全等級保護(hù)體系信息安全等級保護(hù)制度?信息安全等級保護(hù)制度的提出?信

信息安全等級保護(hù)標(biāo)準(zhǔn)體系?

《安全等級保護(hù)劃分準(zhǔn)則》GB17859-1999

–我國等級保護(hù)制度的基礎(chǔ)性標(biāo)準(zhǔn)，規(guī)定了計算機(jī)信息系統(tǒng)安全保 護(hù)能力的五個級別?????第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級–針對每個級別，詳細(xì)列出了等級劃分準(zhǔn)則 信息安全等級保護(hù)標(biāo)準(zhǔn)體系?第一級：用戶自主保護(hù)級–信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008–用于指導(dǎo)信息系統(tǒng)的建設(shè)單位和運營、使用單位如何對確定的信息系統(tǒng)進(jìn)行定級，為信息系統(tǒng)等級保護(hù)的實施提供基礎(chǔ)和依據(jù)–定級要素?受侵害的客體：a）公民、法人和其他組織的合法權(quán)益；b）社會秩序、公共利益；c）國家安全?對客體的侵害程度：a）造成一般損害；b）造成嚴(yán)重?fù)p害；c）造成特別嚴(yán)重?fù)p害。信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全保護(hù)等級定級指南

信息安全等級保護(hù)標(biāo)準(zhǔn)體系?

《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008

對客體的侵害程度受侵害的客體公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全一般損害 第一級 第二級 第三級嚴(yán)重?fù)p害

第二級 第三級

第四級特別嚴(yán)重?fù)p害

第二級 第四級 第五級 信息安全等級保護(hù)標(biāo)準(zhǔn)體系受侵害的客體一般損害嚴(yán)重?fù)p害特別嚴(yán)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全等級。業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之相關(guān)的受侵害客體和對客兩種安全的定義對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中：信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)；由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能；導(dǎo)致業(yè)務(wù)能力下降；引起法律糾紛；導(dǎo)致財產(chǎn)損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。兩種安全的定義對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害定級流程定級流程信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–針對每個等級的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，這些要求的實現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級的基本保護(hù)能力–用途?為信息系統(tǒng)的建設(shè)單位和運營、使用單位如何對確定等級的信息系統(tǒng)進(jìn)行保護(hù)提供技術(shù)指導(dǎo)?為信息系統(tǒng)主管部門、信息系統(tǒng)運營、使用單位或?qū)ｉT的等級測評機(jī)構(gòu)對信息系統(tǒng)安全保護(hù)等級的檢測評估提供依據(jù)?為監(jiān)管部門的監(jiān)督檢查提供依據(jù)信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–基本技術(shù)類要求?與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)–基本管理類要求?與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–基本技術(shù)類要求的三種類型?保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為S）；?保護(hù)系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為A）?通用安全保護(hù)類要求（簡記為G）信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–不同等級的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力?第一級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。?第二級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008–不同等級的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力?第三級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。?第四級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。信息安全等級保護(hù)標(biāo)準(zhǔn)體系?《信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)標(biāo)準(zhǔn)體系?其他已發(fā)布的重要信息安全等級保護(hù)國家標(biāo)準(zhǔn)–《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006–《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》GB/T20271-2006–《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》GB/T20282-2006信息安全等級保護(hù)標(biāo)準(zhǔn)體系?其他已發(fā)布的重要信息安全等級保主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體系化實施主要內(nèi)容?信息安全等級保護(hù)制度?信息安全等級保護(hù)的體信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的體系化總體實施流程信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安-從管理的定義說起體系化管理方法

?什么是管理？-從管理的定義說起體系化管理方法administeradministrationadministrator

managemanagement manager

18世紀(jì) 工業(yè)革命（1700'S）體系化管理方法

“管”

中國古代

春秋戰(zhàn)國

康熙19年 （1680）-從管理的定義說起

“理”

管理administer manage 18世紀(jì)體系化管理方體系化管理方法-從管理的定義說起?管理的定義

–ISO9000:2000質(zhì)量管理體系基礎(chǔ)和術(shù)語

?管理management：指揮和控制組織的協(xié)調(diào)的活動

–管理學(xué)

?管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、 物力、財力等資源，以期有效達(dá)成組織目標(biāo)的過程。

–管理是一種理論，也可以說是一種方法或工具，與具體業(yè) 務(wù)相結(jié)合的時候，便形成不同領(lǐng)域、不同門類的管理科學(xué)， 例如經(jīng)濟(jì)管理、質(zhì)量管理、信息安全管理等體系化管理方法-從管理的定義說起?管理的定義體系化管理方法-管理的體系化?質(zhì)量管理領(lǐng)域率先提出體系化方法

–質(zhì)量管理的體系化方法衍生于軍品的質(zhì)量保證要求

–1979年，ISO成立了質(zhì)量管理和質(zhì)量保證技術(shù)委員會負(fù)責(zé)制定質(zhì) 量管理和質(zhì)量保證標(biāo)準(zhǔn)，1987年發(fā)布了ISO9000《質(zhì)量管理和質(zhì) 量保證標(biāo)準(zhǔn)選擇和使用指南》、ISO9001《質(zhì)量體系設(shè)計開發(fā)、 生產(chǎn)、安裝和服務(wù)的質(zhì)量保證模式》以及ISO9002、ISO9003、

ISO9004等標(biāo)準(zhǔn)

–質(zhì)量管理的體系化模式取得廣泛應(yīng)用之后，體系化方法也逐漸在 其他領(lǐng)域運用，例如環(huán)境管理領(lǐng)域、職業(yè)健康安全管理領(lǐng)域等， 這種管理的體系化方法也逐漸發(fā)展為一個特殊的領(lǐng)域，即管理體 系體系化管理方法-管理的體系化?質(zhì)量管理領(lǐng)域率先提出體系化體系化管理方法-管理的體系化圖釋增值活動 信息流體系化管理方法-管理的體系化圖釋增值活動體系化管理方法-管理的體系化要素?在管理體系方法中，應(yīng)用了下列要素：

–過程方法

–PDCA模型

–管理職責(zé)

–資源管理

–

持續(xù)改進(jìn)等體系化管理方法-管理的體系化要素?在管理體系方法中，應(yīng)用體系化管理方法-過程方法?過程process

–一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動?過程方法processapproach

–

系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間 的相互作用，稱為過程方法。體系化管理方法-過程方法?過程process-過程方法記錄體系化管理方法

責(zé)任人 輸入 資源測量、改進(jìn)

輸出-過程方法記錄體系化管理方法測量、改進(jìn)體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法

AP CD體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法

–又稱戴明環(huán)，PDCA循環(huán)是能使任何一項活動有效進(jìn) 行的工作程序：????策劃實施檢查處置體系化管理方法-PDCA模型?PDCA模型：持續(xù)改進(jìn)的優(yōu)體系化管理方法-PDCA模型?PDCA的特點一

–按順序進(jìn)行，它靠組織的力量來推動，像車輪一樣向 前進(jìn)，周而復(fù)始，不斷循環(huán)PDA C體系化管理方法-PDCA模型?PDCA的特點一PA體系化管理方法-PDCA模型?PDCA的特點二

–組織中的每個部分，甚至個人，均可以PDCA循環(huán)， 大環(huán)套小環(huán)，一層一層地解決問題PDACAPCDAPCD體系化管理方法-PDCA模型?PDCA的特點二PAA體系化管理方法-PDCA模型?PDCA的特點三

–每通過一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)， 再進(jìn)行第二次PDCA循環(huán)PACDPACD體系化管理方法-PDCA模型?PDCA的特點三PAC體系化管理方法-管理職責(zé)?管理職責(zé)是指管理活動中，管理者應(yīng)該具備的職責(zé) 要求?有人認(rèn)為這應(yīng)該是一個很簡單的活動

–質(zhì)量管理中，當(dāng)質(zhì)量與進(jìn)度產(chǎn)生沖突時，往往是質(zhì)量讓進(jìn) 度！

–信息安全管理中，安全與方便性、安全與日常習(xí)慣發(fā)生矛 盾時，安全管理如何保證？?管理職責(zé)的重要性就在于此，作為管理者，在任何 時刻都應(yīng)毫無疑義的堅持管理的要求體系化管理方法-管理職責(zé)?管理職責(zé)是指管理活動中，管理者體系化管理方法-資源管理?在整個管理活動中，如何分配人員、能否保證資金、 如何配備物品，是影響實現(xiàn)管理目標(biāo)的關(guān)鍵要素?人員無疑是資源管理中最難控制的部分

–人員的評價：是否滿足崗位的要求

–人員的培訓(xùn)：確定需求、實施培訓(xùn)、培訓(xùn)效果評價

–人員的持續(xù)發(fā)展：確保人員能夠一直滿足崗位要求體系化管理方法-資源管理?在整個管理活動中，如何分配人員體系化管理方法-持續(xù)改進(jìn)?不斷對管理活動進(jìn)行檢查，發(fā)現(xiàn)問題及時采取改進(jìn) 措施，從而實現(xiàn)持續(xù)的改進(jìn)?檢查方式

–內(nèi)部審核

–管理評審等?改進(jìn)措施

–糾正措施：為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原 因所采取的措施

–預(yù)防措施：為消除潛在不符合或其他潛在不期望情況的原 因所采取的措施體系化管理方法-持續(xù)改進(jìn)?不斷對管理活動進(jìn)行檢查，發(fā)現(xiàn)問信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的體系化總體實施流程信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的特點–過程多：包括定級備案、建設(shè)改建、等級測評、自查、檢查等諸多過程–內(nèi)容繁雜：涉及到系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理制度、管理機(jī)構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等各個層面–涉及面廣：等級保護(hù)工作將覆蓋組織的多個部門，包括系統(tǒng)建設(shè)部門、運維部門、使用部門以及行政、人力、財務(wù)等部門?應(yīng)該采用體系化方法來實施等級保護(hù)工作信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的信息安全等級保護(hù)工作的體系化需求?等級保護(hù)工作的出發(fā)點在于對信息系統(tǒng)進(jìn)行定級和分級保護(hù)，圍繞著信息系統(tǒng)而實施一系列的保護(hù)活動?但一般情況下，信息系統(tǒng)運營、使用單位都會存在多個信息系統(tǒng)，這些信息系統(tǒng)可能處于不同級別?因此，更應(yīng)該采用體系化方法來統(tǒng)一規(guī)劃整個單位的信息安全工作信息安全等級保護(hù)工作的體系化需求?等級保護(hù)工作的出發(fā)點在信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的定級備案、建設(shè)改建、等級測評、自查、檢查等過程，體現(xiàn)了部分體系化要素，最明顯的就是采用了過程方法和PDCA的一些思想–定級備案、建設(shè)改建、等級測評等過程均基于過程的概念，通過使用相關(guān)的資源以及管理活動，將輸入轉(zhuǎn)化為輸出，例如定級工作的輸入是系統(tǒng)的相關(guān)建設(shè)管理文檔，而輸出是系統(tǒng)級別–不同過程之間相互關(guān)聯(lián)，例如定級備案過程的輸出：系統(tǒng)級別，是后續(xù)建設(shè)改建、測評、檢查等過程的輸入–每個過程都包含不同的子過程，例如定級過程包括系統(tǒng)分析、等級確定兩個子過程信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作信息安全等級保護(hù)工作的體系化需求?從整體來看等級保護(hù)的工作，也體現(xiàn)出了PDCA模型的一些特點–建設(shè)和整改包含系統(tǒng)的規(guī)劃和設(shè)計，即P（規(guī)劃）階段的內(nèi)容–規(guī)劃工作的具體實施，以及系統(tǒng)的運行屬于D（實施）階段的內(nèi)容–測評、自查和檢查等活動都可作為C（檢查）階段的工作內(nèi)容–對于發(fā)現(xiàn)的問題，需要及時整改，即A（處置）階段的工作內(nèi)容?此外，管理職責(zé)和資源管理也是非常重要的工作內(nèi)容，貫穿于各項活動之中，是其他工作順利開展的基礎(chǔ)信息安全等級保護(hù)工作的體系化需求?從整體來看等級保護(hù)的工信息安全等級保護(hù)工作的體系化需求?因此，信息安全等級保護(hù)工作應(yīng)該，也適合采用體系化方法來加以實施–構(gòu)建等級保護(hù)的體系化實施模型–在原有等級保護(hù)工作的基礎(chǔ)上，使過程方法和PDCA模型更加完善和清晰化–補(bǔ)充其他體系化要素，形成完整的信息安全等級保護(hù)體系化實施方法信息安全等級保護(hù)工作的體系化需求?因此，信息安全等級保護(hù)信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安全等級保護(hù)工作的體系化需求?信息安全等級保護(hù)工作的體系化總體實施流程信息安全等級保護(hù)的體系化實施?體系化管理方法?信息安4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路局部調(diào)整實施指南-基本實施過程

系統(tǒng)定級 安全規(guī)劃設(shè)計

重大變更

安全實施/實現(xiàn)安全運行管理系統(tǒng)終止局部調(diào)整實施指南-基本實施過程安全運行管理定級建議定級建議“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，確保重點?！保?7號文”“等級保護(hù)不是要做成一個框框，而是要在有限資源的條件下，用適當(dāng)?shù)某杀精@得適度的安全?！钡燃壉Ｗo(hù)的基本含義“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必醫(yī)療衛(wèi)生等保實施流程規(guī)劃?第一步：“評估定級，定義安全需求”。

通過風(fēng)險評估、系統(tǒng)定級、等級評估等服務(wù)組件識別系統(tǒng)的安全風(fēng)險，確定系統(tǒng)的安全等級，并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。?第二步：“體系建設(shè)，實現(xiàn)按需防御”。

通過體系設(shè)計制定等級方案，進(jìn)行安全策略體系、安全組織體系、安全技術(shù)體系和安全運維體系建設(shè)，滿足評估定級階段形成的安全需求，實現(xiàn)按需防御。?第三步：“安全運維，確保持續(xù)安全”。

通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計、應(yīng)急響應(yīng)等服務(wù)組件，從事前、事中、事后三個方面進(jìn)行安全運行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。醫(yī)療衛(wèi)生等保實施流程規(guī)劃?第一步：“評估定級，定義安全需求

體系涵蓋內(nèi)容醫(yī)療衛(wèi)生行業(yè)等級保護(hù)體系方案詳細(xì)設(shè)計二級系統(tǒng)等級保護(hù)不同等級系統(tǒng)互聯(lián)互通三級系統(tǒng)等級保護(hù) 體系涵蓋內(nèi)容二級系統(tǒng)等級保護(hù)不同等級系統(tǒng)互聯(lián)互通三級系統(tǒng)等醫(yī)療衛(wèi)生行業(yè)等級保護(hù)解決方案

技術(shù)措施

管理措施 不同等級互聯(lián)二級(以醫(yī)院系統(tǒng)為例)

技術(shù)措施

管理措施 不同等級互聯(lián)三級(以公衛(wèi)系統(tǒng)為例)醫(yī)療衛(wèi)生行業(yè)等級保護(hù)解決方案 技術(shù)措施 技術(shù)措施體系設(shè)計(二級)結(jié)合安全方案詳細(xì)

設(shè)計思路 ，在醫(yī)療 衛(wèi)生行業(yè) ，以醫(yī)療 機(jī)構(gòu)信息 系統(tǒng)為例 ，二級等 級保護(hù)體 系我們采 用的模型 如圖所示54體系設(shè)計(二級)結(jié)合安全 設(shè)計思路體系設(shè)計(三級)結(jié)合安全方案詳細(xì)設(shè)計

思路，在醫(yī) 療衛(wèi)生行業(yè) ，以公共衛(wèi) 生信息系統(tǒng) 為例，三級 等級保護(hù)體 系我們采用 的模型如圖 所示（其中 灰色北京的 是三級比二 級增加的項 目）：55體系設(shè)計(三級)結(jié)合安全方 思路，在醫(yī)4321

醫(yī)療衛(wèi)生行業(yè)等級保護(hù)實施落地實施規(guī)劃與設(shè)計

技術(shù)設(shè)計 管理設(shè)計

實施與運行技術(shù)措施實現(xiàn)管理措施實現(xiàn)安全運行與維護(hù)

持續(xù)改進(jìn)

安全檢查二級檢查三級檢查

持續(xù)改進(jìn)持續(xù)改進(jìn)4321 醫(yī)療衛(wèi)生行業(yè)等級保護(hù)實施規(guī)劃與設(shè)計 實施與運行 持4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件、，、，信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件信息安全等級保護(hù)制度的提出課件安全運行與維護(hù)?????

醫(yī)療衛(wèi)生行業(yè)提出的等級保護(hù)體系化建設(shè)流程中，在進(jìn)行安全保障體系設(shè)計以及安全建設(shè)之后將會按照PDCA模型進(jìn)入到周期性的安全運維階段，來保證和鞏固等級保護(hù)建設(shè)的成果。 根據(jù)建立的信息安全管理運維體系對信息安全系統(tǒng)進(jìn)行實時的維護(hù)管理，針對醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)安全軟、硬件實施全面的安全運維。具有條件的單位可以采用自行運維的方式，如在運維階段面臨技術(shù)水平、人員規(guī)模、運維經(jīng)驗的限制，可以采用安全運維服務(wù)外包的形式，針對于整個系統(tǒng)相關(guān)范圍的不同安全等級及實際應(yīng)用，所需要的安全運維服務(wù)模塊如下：安全掃描人工檢查安全加固日志分析補(bǔ)丁管理安全監(jiān)控?安全動態(tài)應(yīng)急響應(yīng)安全運行與維護(hù)? 醫(yī)療衛(wèi)生行業(yè)提出的等級保護(hù)體系化建設(shè)流程中4、等級保護(hù)持續(xù)改進(jìn)3、等保自查與測評1、實施指南建設(shè)思路2、等保二、三級系統(tǒng)建設(shè)4、等級保護(hù)持續(xù)改進(jìn)1、實施指南建設(shè)思路?等級保護(hù)測評檢查表?十堰衛(wèi)生行業(yè)信息安全檢查用表?等級保護(hù)測評檢查表?十堰衛(wèi)生行業(yè)信息安全檢查用表7171?等級保護(hù)測評檢查表?十堰市衛(wèi)生行業(yè)信息安全檢查用表?等級保護(hù)測評檢查表?十堰市衛(wèi)生行業(yè)信息安全檢查用表

1、訪問控制1.具有以下哪些控制人員進(jìn)出機(jī)房的措施：系統(tǒng)部署電子門禁機(jī)房出入口專人職守、控制鑒別并記錄出入機(jī)房人員1.具有以下哪些控制外部人員訪問機(jī)房的措施：

外來人員訪問機(jī)房經(jīng)過申請和審批 由內(nèi)部人員監(jiān)控外來人員在機(jī)房內(nèi)的活動 由內(nèi)部人員限制外來人員在機(jī)房內(nèi)的活動范圍2、防盜和防破壞1.主要設(shè)備是否放置在機(jī)房內(nèi)：是□否設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記：是□否1.機(jī)房是否安裝了防盜報警系統(tǒng)和監(jiān)控報警系統(tǒng)：是□否□否

報警設(shè)備是否與視頻監(jiān)控系統(tǒng)及出入口控制設(shè)備聯(lián)動：是3、防火1.是否制定消防管理制度：是□否2.是否制定消防預(yù)案：是□否3.是否對機(jī)房管理、維護(hù)人員進(jìn)行消防專項培訓(xùn)：是，培訓(xùn)機(jī)構(gòu)：______________□否4.機(jī)房是否部署火情自動檢測、報警、滅火系統(tǒng)：是□否具體設(shè)備：性惰氣體自動滅火設(shè)備式便攜滅火設(shè)備其他______________檢查表—物理安全 1.具有以下哪些控制人員進(jìn)出機(jī)房的措施：系統(tǒng)部署電子門禁機(jī)1.機(jī)房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層檢測漏水及報警系統(tǒng)，系統(tǒng)名稱：機(jī)房專用空調(diào)，空調(diào)品牌及名稱： 其他：

□主機(jī)房除濕裝置，濕裝置名稱： 機(jī)房溫濕度控制系統(tǒng)，品牌及名稱：5、防靜電、防雷1.機(jī)房主要設(shè)備是否采用