网络安全等级保护管理条例范文

导语：如何才能写好一篇网络安全等级保护管理条例，这就需要搜集整理更多的资料和文献，欢迎阅读由公文云整理的十篇范文，供你借鉴。

篇1

一、学校网络与信息安全工作情况

本次检查内容主要包含网络与信息系统安全的管理机构、规章制度、设施设备、网站和信息运行情况、人技防护、队伍建设等5个方面，同时从物理安全差距、网络安全差距、主机安全差距、应用安全差距、数据安全及恢复差距等5个方面对主机房和14个信息系统、1个网站进行等级保护安全技术差距分析，通过差距分析，明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。

从检查情况看，我校网络与信息安全总体运维情况良好，未出现任何一起重大网络安全与信息安全事件（事故）。近几年，学校领导重视学校网络信息安全工作，始终把网络信息安全作为信息化工作的重点内容；网络信息安全工作机构健全、责任明确，日常管理维护工作比较规范；管理制度较为完善，技术防护措施得当，信息安全风险得到有效降低；比较重视信息系统（网站）系统管理员和网络安全技术人员培训，应急预案与应急处置技术队伍有落实；加强对学生网络宣传引导教育，日常重视微信、微博、QQ群的管理，提倡争当“绿色网民”；工作经费有一定保障，网络安全工作经费纳入年度预算，在最近一年学校信息化经费投入中，网络建设与设备购置费用约占56、5%，数字资源与平台开发费用约占40、6%，培训费用约占0、6%，运行与维护费用约占1、04%，研究及其他费用约占1、23%，总计投入占学校同期教育总经费支出的比例约1、57%，基本保证了校园网信息系统（网站）持续安全稳定运行。

1、网络信息安全组织管理

20xx年学校成立网络与信息安全工作领导小组，校主要领导担任组长，网络与信息安全工作办公室设在党委工作部，领导小组全面负责学校网络信息安全工作，教育技术与信息中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作，对全校网络信息安全工作进行安全管理和监督责任。各部门承担本单位信息系统和网站信息内容的直接安全责任。20xx年，由于人动，及时调整网络安全和信息安全领导小组成员名单，依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，明确各部门负责人为部门网站的具体负责人，建立学校网络信息员队伍，同时，还组建网络文明志愿者队伍，对网络出现的热点问题，及时跟踪、跟帖、汇报。

2、信息系统（含网站）日常安全管理

学校建有“校园网络系统安全管理（暂行）条例”、“学生上网管理办法“、“校园网络安全保密管理条例（试行）”、“校园网管理制度”、“网络与信息安全处理预案”、“网上信息监控制度”等系列规章制度。各系统（网站）使用单位基本能按要求，落实责任人，较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常监控对象包括主要网络设备、安全设备、应用服务器等，其中网络中的边界防火墙、网络核心交换机和路由器、学校站服务器均纳入重点监控。日常维护操作较规范，多数单位做到了杜绝弱口令并定期更改，严密防护个人电脑，定期备份数据，定期查看安全日志等，随时掌握系统（网站）状态，保证正常运行。

3、信息系统（网站）技术防护

学校网络信息安全前期的防控主要是基于山石防火墙、深信服防火墙及行为管理软件，20xx年为加强校园网络安全管理，购置了“网页防篡改、教师行为管理、负载均衡”等相关安全设备，20xx年二月中旬完成校园信息系统（含网站）等级保护的定级和备案，并上报xxx市网安支队。同时，按二级等保要求，约投资110万元，完成“网络入侵防御系统、网络安全审计系统、运维审计-堡垒机系统、服务及测评及机房改造（物理安全）”等网络安全设备的采购工作，目前，方案已经通过专家论证。

20xx年4月-6月及20xx年3月对网站系统进行安全测评，特别对系统层和应用层漏洞扫描，发现（教务管理系统、教学资源库）出现漏洞，及时整改，并将结果上报省教育厅、省网安大队、xxx市网安支队。同时，对各防火墙软件7个库进行升级，对服务器操作系统存在的漏洞及时补丁和修复，做好网站的备份工作等。

4、网络信息安全应急管理

20xx年学校制定了《xxx职业技术学校网络与信息安全处理预案》、《xxx职业技术学校网络安全和学生校内聚集事件应急处置预案》。教育技术与信息中心为应急技术支持单位，在重大节日及敏感时期，采用24小时值班制度，对网络安全问题即知即改，确保网络安全事件快速有效处置。

二、检查发现的主要问题

对照《通知》中的具体检查项目，我校在网络与信息安全技术和安全管理建设上还存在一定的问题：

1、由于学校信息化建设尚处于起步阶段，学院数据中心建设相对薄弱，未建成完善的数据中心共享体系，各应用系统的数据资源安全及灾备均由相关使用部门独自管理。同时，网络安全保障平台（校园网络安全及信息安全等级保护）尚在建设中。

2、部分系统（网站）日常管理维护不够规范，仍存在管理员弱口令、数据备份重视不够、信息保密意识较差等问题；学校子网页网管员为兼职，投入精力难以保证，而且未取得相应资格证书；由于经费问题，个别应用系统未能及时升级，容易发生安全事故。

3、目前尚未开展网络安全预案演练，还未真正组建一支校内外联合的网络安全专家队伍，未与社会企业签订应急支持协议和完成应急队伍建设规划。

三、整改措施

针对存在的问题，学校网络与信息安全工作领导小组专门进行了研究部署。

1、全面开展信息系统等级保护工作。按照相关《通知》要求，20xx年8月底全面完成网络安全保障平台建设，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方案，形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障信息系统整体的安全。

2、完善网络安全管理制度。根据等级保护要求,进行信息安全策略总纲设计、信息安全各项管理制度设计、信息安全技术规范设计等，保障信息系统整体安全。

篇2

中国【关键词】信息安全管理；保险企业；体系构建

中图分类号：TU714文献标识码： A

.引言

社会保险工作不仅是一项政策性强、涉及面广、信息流量大、计算复杂、准确性要求高的工作,而且要求处理的数据量相当大,数据及档案保存的时间相当长(因为要记载每一个参保职工每月的投保情况及其个人帐户的累计缴纳情况,包括逐月利息情况,直至其退休)。要把这项工作搞好,使之稳定、健康地发展,仍凭手工操作、搞人海战术显然行不通,而且是很不现实的。因此必须应用计算机来管理,充分发挥网络系统速度快、精确度高、自动化程度高、信息资源充分共享和数据批量处理的特点,以适应保险工作的需要。

1.保险企业信息安全管理的现状

计算机信息安全问题不是保险企业才存在的问题，是全球企业都存在的普遍问题，越发达的地区，信息安全存在的隐患越多。一方面，现在互联网的发展速度非常快，信息技术的日趋完善，出现了很多的恶意攻击工具，再加上信息系统本身的漏洞，让一些破坏分子更是有机可乘；从另外一个角度来看，企业自身对信息安全管理不重视，也是导致出现信息安全问题的首要原因之一。近年来，保险行业处于高速发展的时期，暴露出的问题也相对比较多，我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题：

1.1没有相关的法规来约束

与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多，但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行。因此，保险行业的信息安全标准和规范的缺少和无体系化，导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。

1.2没有引起足够的重视

很多保险企业的管理层对信息安全管理不太关注，不够重视，没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展，销售策略调整，组织结构和运营流程的优化等，对信息安全管理不太重视，不太相信信息安全问题能给企业会带来严重危机，直到发生了信息安全事件后之后才开始重视。因此，保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。

1.3对存在的风险评估不够

很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够，没有充分考虑到信息化所带来的安全风险，通常只是考虑到信息技术问题，对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分，都会带来严重的后果，一旦信息系统出现严重缺陷或漏洞的时，系统受到破坏，正常的业务操作无法进行，严重的可能会导致企业内部机密、客户个人信息的泄露或者重要数据被盗、被篡改等。所以，保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。

1.4没有制定相应的安全管理条例，无明确责任划分

保险企业相关的信息技术安全之所以存在一系列的问题，和企业没有制定相应的安全管理制度，没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约，出了信息安全问题以后的责任划分不清晰，长此以往，信息安全问题的监管就会出很大的漏洞，也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题，而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分，每个部门都应该有信息安全的负责人，出了问题要做到有人承担，如果不这样的话就会影响到信息安全管理体系的构建，成为企业信息安全管理的绊脚石。

所以，针对以上种种问题和现状，保险企业必须要形成一个良好的信息安全管理体系，这样才能从根本上解决问题，发挥信息化建设的作用，保障企业的计算机信息安全。

2.社会保险计算机网络建设的重点

“计算机就是网络,网络就是计算机”。我们要一改过去的做法,社会保险自动化建设将由过去的封闭单一型向开发型过渡；从以社会保险内部业务管理为重点转向以公共信息服务和提高社会化管理程度为重点；由过去的单机操作向网络过渡,最终全面实现网络管理。

一个社会保险机构成功与否,取决于以下三个因素:一是在政策支持下的经费投入决定了硬件设备的规模，这是系统的外部条件。二是一套功能齐全、着眼点高、符合开发系统标准的应用软件，这是网络系统的灵魂。三是内容丰富、符合国际标准、具有本地特色和一定参保覆盖面的信息数据库，这是网络自动化的基础。这三个因素既是社会保险机构网络建设的关键因素,又是建设的重点。

3.保险企业计算机信息安全管理的体系构建

3.1掌握安全管理标准，构建安全管理基本框架

要熟悉掌握信息安全管理标准，对信息技术的安全管理标准要进行不断深入的理解，不能仅仅考虑到信息技术，而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果，推出了信息安全标准，成立了信息安全标准化组织，搭建了信息安全标准体系框架。在我国，虽然信息安全的研究起步比较晚，但是也在不断的完善中，已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准，主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级，根据这五级标准，也分别提出了关于建立安全管理体系的相关措施。所以，保险企业应该参考这些标准，构建适合自身行业、企业信息的安全管理基本框架，这对于企业的健康稳健发展是非常有意义的。

3.2实现科学的信息安全管理

保险企业要实现科学的信息安全管理，不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法，如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等，建立科学的可实施的计算机系统安全策略，采取规范的安全防范措施，选用可靠稳定的安全产品，设计完善的安全评估标准和等级，实施有效的审核措施等来实现对信息的安全管理。

3.3进行有效的安全风险评估

保险企业在搭建信息化平台的时候，必须要进行安全风险的评估，没有风险的评估是很难实现信息安全管理的。同时，还需要在对信息安全风险的评估中制定出风险的应对方案，便于应对突发问题，从最大程度上保证信息的安全。

3.4合理配置安全产品

对于评估出来的风险，保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞，这些漏洞很容易受病毒的攻击，那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性，不能什么安全产品都去配置，要通过最优化的安全产品配置达到企业信息的安全管理。

结语

随着社会保险制度改革的不断深人,社会保险业务管理工作日趋繁琐,其业务量、数据量大幅度增加,对信息处理的及时性和准确性要求也越来越高。社会保险管理信息系统的建设，要紧密结合各级社会保险机构的业务需求,遵循信息工程的理论和方法进行,其总的指导方针是:统一规划,统一标准,城市建网,网络互联,分级使用,分步实施。促进社会保险改革和发展,完善社会保障制度的需要。

【参考文献】

[1]许雅娟.网络攻击分类研究[J].硅谷，2011（06）.

[2]宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济，2006（11）.

[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化，2010（03）.