分级保护整改方案

方案的制定能最大程度的减少活动过程中的盲目性，保证各项事宜的有序开展，那么方案改如何进行书写呢？以下是小编收集整理的《分级保护整改方案》的文章，希望能够很好的帮助到大家，谢谢大家对小编的支持和鼓励。

第1篇：分级保护整改方案

关于放射卫生量化分级管理工作整改方案

我院在院主管院长领导下深入领会天津市《关于放射卫生监督量化分级管理工作的通知》精神，结合我院实际情况，制定了我院放射卫生监督量化分级管理方案。

1、完善医院的放射卫生管理制度，组建了医院的防护管理组

织，由医院主管院长直接负责，设立了质量控制与安全防护专职管理人员，完善了放射防护管理档案。

2、对医院放射防护设施进行了完善，工作人员做到佩戴个人

剂量计上岗。

3、各项规章制度及操作规程在醒目位置张贴。

第2篇：等级保护与分级保护

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法(试行)》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

第一级：用户自主保护级完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合法性负责。

第三级：安全标记保护级除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制。

第四级：结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。因此，本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。

在等级保护的实际操作中，强调从五个部分进行保护，即：

物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等;

支撑系统：包括计算机系统、操作系统、数据库系统和通信系统; 网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理;

应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理;

管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。

由这五部分的安全控制机制构成系统整体安全控制机制。

二、涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务，提出要建立与《保密法》相配套的保密法规体系和执法体系，建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日，国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》，同时，《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施，国家已经基本形成了完善的保密法规体系。

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统有明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级：

秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求：

(1)信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门;

(2)信息系统中的机密级信息含量较高或数量较多; (3)信息系统使用单位对信息系统的依赖程度较高。绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

涉密信息系统分级保护的管理过程分为八个阶段，即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中，涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段，尤其要引起重视。

系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节，因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级"的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。在涉密信息系统定级时，可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响，以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时，在同一个系统里，还允许划分不同的安全域，在每个安全域可以分别定级，不同的级别采取不同的安全措施，更加科学地实施分级保护，在一定程度上可以解决保重点，保核心的问题，也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时，必须报主管部门审批。

涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析，并根据安全风险分析的结果，对部分保护要求进行适当的调整和改造，调整应以不降低涉密信息系统整体安全保护强度，确保国家秘密安全为原则。当保护要求不能满足实际安全需求时，应适当选择采用部分较高的保护要求，当保护要求明显高于实际安全需求时，可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证，综合考虑修改项和其他保护要求之间的相关性，综合分析，改造方案的实施以及后续测评要按照国家的标准执行，并且要求文档化。在设计完成之后要进行方案论证，由建设使用单位组织有关的专家和部门进行方案设计论证，确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理的要求;建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评，确定在技术层面是否达到了涉密信息系统分级保护的要求。

运行及维护过程的不可控性以及随意性，往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运行维护进行规范，从而确保涉密信息系统正常运行。通过安全检查和持续改进，不断跟踪涉密信息系统的变化，并依据变化进行调整，确保涉密信息系统满足相应分级的安全要求，并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别，所以在运行维护中应尽可能地实现流程固化，操作自动化，减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性，使安全策略作为安全运行的驱动力以及重要的制约规则，从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段，当局部调整等原因导致安全措施变化时，如果不影响系统的安全分级，应从安全运行及维护阶段进入安全工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时，应从安全运行及维护阶段进入系统定级阶段，重新开始一次分级保护实施过程。

随着我们国家民主与法制建设进程的不断推进，保密的范围和事项正在逐步减少，致使一些涉密人员保密意识和敌情观念淡化，对保密工作的必要性和重要性认识不足。虽然长期处于和平时期，但并不意味着无密可保。事实上，政府部门掌握着大量重要甚至核心的机密，已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域，一直是窃密与反窃密，渗透与反渗透的主战场。据国家有关部门统计，在全国泄密事件中，军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出，渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力，导致涉密信息系统泄密案件的比例逐年上升，安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求，加强涉密信息系统建设意义重大。

三、等级保护和分级保护之间的关系国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统，而不论它是否涉密。如：

(1) 国家事务处理信息系统(党政机关办公系统);

(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;

(3) 国防工业企业、科研等单位的信息系统;

(4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统; (5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统; (6)其他领域的重要信息系统。

国家实行信息安全等级保护制度，有利于建立长效机制，保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调;有利于突出重点，加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性，推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施，提高整体安全保护水平，保障信息系统安全正常运行，保障信息安全，进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转;有利于根据所保护的信息的重要程度，决定保护等级，防止“过保护”和“欠保护”的情况发生;有利于信息安全保护科学技术和产业化发展。

涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容，关系到国家的安全和利益，一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全，国家就会丧失信息主权和信息控制权，所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。

因为不同类别、不同层次的国家秘密信息，对于维护国家安全和利益具有不同的价值，所以需要不同的保护强度种措施。对不同密级的信息，应当合理平衡安全风险与成本，采取不同强度的保护措施，这就是分级保护的核心思想。对涉密信息系统的保护，既要反对只重应用不讲安全，防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发，防护措施“一刀切”，造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护，就是要使保护重点更加突出，保护方法更加科学，保护的投入产出比更加合理，从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。

由上可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别，所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全，以至于影响信息的合理利用，阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全，以至于窃密、泄密事件的发生，危害国家的安全和利益，同样影响信息化的健康发展。

第3篇：环境保护整改方案

为了进一步做好环境保护工作，贯彻落实日喀则市交通运输局《关于进一步做好环境保护工作的通知》精神，根据本项目存在环境保护问题，提出如下整改方案。

一、整治目标

通过开展环境保护专项会议，增强每位员工及工人环境保护工作的责任感，控制现场环境破坏及污染，达到“管发展必须管环保、抓生产必须抓环保、管行业必须管环保”的要求。

二、整改重点

1、环保资料及手续不齐全

2、施工现场破坏环境行为

3、生活区污染环境行为

三、整改时间

2018年6月13日-2018年7月5日

四、整改内容

1、弃土场等临时用地未及时在相关部门备案及项目环保资料不齐全

我单位已完成备案前期资料，上报给总监办审核，并委派专职环保员刘*跟进，积极配合领导准备所缺资料，尽快落实备案手续，同时完善了环保资料及环保组织机构。

2、现场砍伐树木凌乱现场砍伐的树木存在较严重的乱堆乱放现像，已组织人员、机械及车辆，对砍伐的树木进行整理，并堆放在指定场所。

3、现场乱弃乱倒现象

施工队未将挖方弃料堆放至指定地点，破坏了植被，现已对各施工作业队进行环保教育，禁止乱弃乱倒现象再次发生，发现一次重罚5万元。

4、土石方滑落对植被造成破坏

要求机械操作手尽量避免土石方向红线外洒落，禁止向红线外乱挖乱压现象发生，对已经破坏的植被进行恢复。

5、现场扬尘大

现场洒水车过少，未能及时洒水，造成晴天漫天扬尘大，增加洒水车，并提高晴天洒水车频率。

6、现场环保标志过少

增加环保警示和宣传牌，时刻提醒工人保护环境。

7、生活区垃圾乱扔和生活区污水乱排

在项目经理带头下，环保员对临时驻地进行全面排查，安排人员对不达标驻地进行整改，并对生活污水设三级沉淀池，达标后方可排入水中;增加垃圾桶，集中收集垃圾，并转运至指定地点。

第4篇：如何理解信息安全等级保护与分级保护

《电信交换》2009年

第2期

如何理解信息安全等级保护

与分级保护

徐苏

(电信科学技术第十研究所

陕西

西安

710061)

摘要：信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。国家安全信息等级保护，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

关键字：国家信息安全公众信息国家秘密信息等级保护分级保护在日常工作中和为用户提供服务的过程中，什么是信息系统等级保护?什么是涉密信息系统分级保护?这两者之间有什么关系?那些系统需要进行等级保护?涉密信息系统如何分级?这是时常困扰我们的问题。

一、信息系统等级保护

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、

徐苏：如何理解信息安全等级保护与分级保护

用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

第一级：用户自主保护级

完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级

本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合法性负责。

第三级：安全标记保护级

除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制。

第四级：结构化保护级

将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级

这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。因此，本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。

在等级保护的实际操作中，强调从五个部分进行保护，即：

支撑系统：包括计算机系统、操作系统、数据库系统和通信系统;

网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理;

应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控

徐苏：如何理解信息安全等级保护与分级保护

制，密码保护机制和信息存储管理;

由这五部分的安全控制机制构成系统整体安全控制机制。

二、涉密信息系统分级保护

1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务，提出要建立与《保密法》相配套的保密法规体系和执法体系，建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日，国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》，同时，《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施，国家已经基本形成了完善的保密法规体系。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级：

徐苏：如何理解信息安全等级保护与分级保护

(1)信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门;

(2)信息系统中的机密级信息含量较高或数量较多; (3)信息系统使用单位对信息系统的依赖程度较高。

绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

徐苏：如何理解信息安全等级保护与分级保护

该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评，确定在技术层面是否达到了涉密信息系统分级保护的要求。

三、等级保护和分级保护之间的关系

国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信 5

徐苏：如何理解信息安全等级保护与分级保护

息系统，而不论它是否涉密。如：

(1) 国家事务处理信息系统(党政机关办公系统);

(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;

(3) 国防工业企业、科研等单位的信息系统;

徐苏：如何理解信息安全等级保护与分级保护

从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。

第5篇：等级保护整改与安全建设方案

前言

等级保护保护整改与安全建设工作重要性

依据公通字[2007]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。

等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点，在确定不同系统重要程度的基础上，进行重点保护。整改工作要遵循国家等级保护相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切实结合用户信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节，保障企业的信息安全。

等级保护整改与安全建设过程

等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求，针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套规范的等保整改过程，协助客户进行风险评估和等级保护差距分析，制定完整的安全整改建议方案，并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作，协助客户完成信息系统等级保护整改和安全建设工作。等保整改与建设过程主要包括：等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。

(一) 等级保护差距分析 1. 等级保护风险评估 1) 评估目的

对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况，而差距分析则是按照等保的所有要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。可以说，风险评估的结果更能体现是客户信息系统技术层面的安全现状，比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。通过专业的等级评估服务，协助用户完成以下的目标： ● 了解信息系统的管理、网络和系统安全现状; ● 确定可能对资产造成危害的威胁; ● 确定威胁实施的可能性;

● 对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的;

● 对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏; ● 明确信息系统的已有安全措施的有效性; ● 明晰信息系统的安全管理需求。 2) 评估内容 ● 资产识别与赋值 ● 主机安全性评估 ● 数据库安全性评估 ● 安全设备评估

现场风险评估用到的主要评估方法包括： ● 漏洞扫描 ● 控制台审计 ● 技术访谈 3) 评估分析

根据现场收集的信息及对这些信息的分析，评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档，使客户充分了解信息系统存在的风险，作为等保差距分析的一项重要输入，并作为后续整改建设的重要依据。 2. 等保差距分析

通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护等级要求之间的差距，确定不符合安全项。 1) 准备差距分析表

项目组通过准备好的差距分析表，与客户确认现场沟通的对象(部门和人员)，准备相应的检查内容。

在整理差距分析表时，整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求，根据及风险评估的结果进行调整，去掉不适用项，增加不能满足客户信息系统需求的安全要求。

差距分析表包含以下内容：

● 安全技术差距分析：包括网络安全、主机安全、应用安全、数据安全及备份恢复;

● 安全管理差距分析：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;

● 系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;

● 物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

不同安全保护级别的系统所使用的差距分析表的内容也不同。 2) 现场差距分析

整改项目组依据差距分析表中的各项安全要求，对比信息系统现状和安全要求之间的差距，确定不符合项。

现场工作阶段，整改项目组可分为管理检查组和技术检查组两个小组。在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并通过分析所收集的资料和数据，以确认客户信息系统的建设是否符合该等级的安全要求，需要进行哪些方面的整改。 ● 查验文档资料 ● 人员访谈 ● 现场测试

3) 生成差距分析报告完成现场差距分析之后，整改项目组归纳整理、分析现场记录，找出目前信息系统与等级保护安全要求之间的差距，明确不符合项，生成《等级保护差距分析报告》。

(二) 等级保护整改建议方案 1. 整改目标沟通确认

通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商，会依据风险评估和差距分析的结果，明确等级保护整改工作的工作目标，提出等级保护整改建议方案。

对暂时难以进行整改的部分内容，将在讨论后作为遗留问题，明确列在整改建议方案中。 2. 总体框架

根据等保安全要求，提出如下的安全整改建议，其中PMOT体系是信息安全保障总体框架模型。

图信息安全PMOT体系模型

根据建议方案的设计原则，协助客户制定总体安全保障体系架构，包括制定安全策略，结合等级保护基本要求和安全保护特殊要求，来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系，具体内容包括：

● 建立和完善安全策略：最高层次的安全策略文件，阐明安全工作的使命和意愿，定义信息安全工作的总体目标。

● 安全技术体系：安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。 ● 建立和完善安全管理体系：建立安全管理制度，建立信息安全组织，规范人员管理和系统建议管理。

● 安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监控和安全管理等。

展开后的等级保护整改与安全建设总体框架如下图所示，从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。

图4 等级保护整改与安全建设总体框架

3. 方案说明 ● 信息安全策略

信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个PMOT信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安全工作总体目标，对技术和管理各方面的安全工作具有通用指导性。 ● 安全技术体系

根据整改目标提出整改方案的安全技术保障体系，将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据，主要内容包括：网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。 ● 安全管理体系

为满足等保基本要求，应建立和完善安全管理体系，包括：完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。 ● 安全运维体系

为满足等保基本要求，应建立和完善安全运维体系，包括：环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。

(三) 等级保护整改实施

为了更好地协助客户落实等保的整改工作，可以作为集成商、咨询方、或者监理方，协助客户落实整改实施方案，或协助进行整改实施方案的评审、招投标、项目监理等工作，以完成系统整改和安全建设工作。

1. 制定整改实施方案

在确定整改实施的承建单位后，会提交相关的工程实施文档，包括参照整改建议方案而编制的项目实施技术规划等文档，其中涵盖安全建设阶段的各项实施细节，主要有： ● 项目产品配置清单 ● 实施设计方案

● 实施准备工作描述，实施工作步骤 ● 实施风险规避方案 ● 实施验证方案 ● 现场培训方案

工程实施文档应经客户方的项目负责人确认后，方可进行实施。 2. 整改建设实施

承担项目实施的工作，确保落实客户信息系统的安全保护技术措施，建立健全信息安全管理制度，全面贯彻落实信息安全等级保护制度。 3. 整改实施项目验收

整改实施工作完成后，提出验收申请和工程测试验收方案，由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。 4. 等级保护运维

在整改建设与实施工作完成之后，将协助用户完成安全运维策略的制定，协助用户培养专业人才，进行运行管理和控制、安全状态监控、安全事件处置和应急、安全检查和持续改进、等级保护测评和等级保护监督检查的工作。

第6篇：保护区党支部整改方案

文章来源

莲山课件 w w w.5Y k J.C om 8根据县委的统一部署和要求，积极开展深入学习实践科学发展观活动，在学习调研、提高认识的基础上，从查找影响和制约科学发展的突出问题、事关群众切身利益的突出问题、党性党纪党风方面存在的突出问题入手，通过召开专题座谈会、放发征求意见函、广泛征求意见建议，召开专题民主生活会，认真检查了贯彻落实科学发展观中存在的突出问题，提出了改进的总体思路，形成了分析检查报告。为保证保护区管理局深入学习实践科学发展观活动取得预期成效，特制定整改落实方案。

一、指导思想

以邓小平理论和“三个代表”重要思想为指导，认真贯彻落实科学发展观，围绕生态文明建设的要求，以“建设新时期国家级自然保护区”为目标，以开展“努力推进保护区事业科学发展”活动为切入点，以坚持取得实效为关键，按照远近结合、突出重点、分步实施的原则，结合分析检查报告和工作实际，深入开展重大问题调研，全面加强作风建设和反腐倡廉建设，加强督促检查，切实关心干部、群众生活，切实为群众办实事好事，努力转变不适应不符合科学发展观的思想观念，加快形成有利于提高推动科学发展和综合服务水平的体制机制，不断提高领导干部科学发展的能力水平，为促进××“人与自然和谐发展”做出新的贡献。

二、基本要求

按照“党员干部受教育、保护发展上水平、人民群众得实惠”的总体要求，坚持先急后缓、先易后难的原则，紧密结合保护区工作实际，对梳理出的影响和制约保护区科学发展的突出问题以及党员干部党性党风党纪群众反映强烈的重点问题进行全面分析和归类，深刻剖析问题产生的根源，逐条制定整改措施。对具备条件解决的问题立即着手解决，对暂不具备条件解决的问题，积极创造条件，明确时限，分步实施，有效解决。整改方案要做到“四明确一承诺”，要注重可操作性和可评价性，内容要充分体现服务意识、突出服务特色。

三、整改内容

按照《云南无量山国家级自然保护区××管理局领导班子关于贯彻落实科学发展观情况的分析检查报告》查摆出来的影响和制约保护区科学发展以及党员干部党性党风党纪方面群众反映强烈的5个突出问题，制定详细的整改措施、整改责任和整改时限。

(一)近期整改的问题

1、管理局领导班子理论学习抓的不够

①整改措施：制定理论学习等制度并坚持落实。

一是建立管理局理论定期集中学习讨论会议制度，在管理局领导班子和管理局机关广泛开展相关政策、精神和业务知识等中心理论讨论学习，以期决策制定出保护区各项学习计划和发展计划;各基层管理站所建立相应的中心理论集中学习讨论制度，克服困难坚持实行;保护区管理局原有的各项学习制度按规定施行。

二是全面坚持落实好保护区管理局党支部的各项学习制度，提高党员同志的政策理论水平，增强党支部的整体素质。

三是进一步加大干部培养力度，继续适时选派干部职工参加各类业务培训学习，同时采取请进来、走出去的方式，组织干部职工到其他示范保护区考察学习，开阔视野，借鉴他们先进的工作模式和经验，不断提高干部职工的业务知识水平和综合素质，促进干部快速成长。四是积极争取改善基层站所的学习条件和环境。

②整改责任

主管领导：*、*;责任单位：管理局办公室;配合单位：宣教股;具体落实人：*、*。

③整改时限：2009年12月底前

2、领导之间、领导与职工之间思想交流不够

①整改措施

一是深入贯彻落实党的十七届三中全会精神，以发展为第一要务，强化班子协作，增强集体凝聚力。

二是进一步加强领导班子建设，发扬民主、团结干事、凝心聚力，积极探索自然保护区管理新机制，以使保护区建设管理工作取得好实效。

三是拓宽领导班子成员之间的交流与沟通渠道，敞开心扉地广泛交换意见，真正营造一种和谐气氛，建立同志间的相互尊重、相互信任、相互理解的工作协作关系，以实现工作效能最大化。

②整改责任：主管领导：*、*;责任单位：管理局办公室;配合单位：各股、所、站;具体落实人：*、*、常学科、罗新洪、徐家武、李成清、刘云。

③整改时限：2009年12月底前。

(二)中期整改的问题

1、对干部的教育和管理力度不够

①整改措施

一是加强内部管理，进一步健全各项管理制度，建立严格的岗位责任制。

二是加强制度的检查、落实，切实解决有章不循、单位纪律松弛的问题。

三是加强工作监督力度，进一步完善队伍建设与管理，逐步建立健全科学合理的效能考评考核制度，奖勤罚懒，奖优罚劣，真正体现干多干少不一样，干好干坏更不一样。

四是充分发挥干部职工的主观能动性和工作积极性，努力增强保护区干部职工的责任意识、大局意识、发展意识。

②整改责任：主管领导：*、*;责任单位：管理局办公室;配合单位：宣教股;具体落实人：*、*。

③整改时限：2010年12月底前。

2、工作中创新意识不够

①整改措施：

一是发挥自然保护区资源优势，推进××县生态旅游的发展。依托灵宝山国家森林公园及凤凰山“百鸟朝凤”的鸟类环志工作，编制××县生态旅游规划，以旅游业的发展带动周边社区产业的发展。

二是认真组织实施无量山国家级自然保护区二期工程建设，二期项目的实施，将促进无量山国家级自然保护区管理工作朝着科学化、规范化方向发展，为保护亚热带中山湿性常绿阔叶林及黑长臂猿、灰叶猴、云南红豆杉、中华桫椤等珍稀野生动植物奠定坚实的基础。

三是坚持以人为本，着力解决改善职工工作生活环境。借助无量山国家级自然保护区二期项目的实施，加强基层站所的基础设施建设，健全完善管理机构，加强机构能力建设，改善基层职工工作条件，提高保护区的管理水平，保护区建设管理走向制度化、科学化的轨道。

四是坚持可持续发展，切实加强自然保护区管理工作。自然保护区管理工作首先是保护，其次是发展，而且发展是可持续的发展，是科学的发展。保护区管理局要加强与旅游部门合作，共同开发灵宝山旅游资源。正确处理开发与保护的关系，在保护中开发，在开发中保护，逐步使资源优势变成经济优势。加强与各部门的联系，密切配合，走科学发展之路子。

五是坚持统筹兼顾，保护好自然保护区内的资源。切实增强宗旨观念，坚决依靠群众、服务群众。进一步加大对保护区周边群众生产生活的关心支持力度，做到周边群众和保护区的和谐发展。加强对保护区内各类资源的保护，利用资源优势，引进科研项目，促进保护区快速发展。

六是妥善处理保护区辖区内的热点、难点问题，确保林区社会治安稳定

针对保护区内开发石板材等的热点、难点问题，建立健全矛盾纠纷排查调处制度，巩固和深化平安林区创建活动，继续开展领导干部下访活动，切实把矛盾和问题解决在基层、化解在萌芽状态。加强林业行政执法学习培训工作，严厉打击破坏自然保护区森林资源的违法行为，严格落实保护区内的安全生产工作，依法管理好灵宝山国家森林公园，坚决遏制重特大安全事故的发展。

七是创新体制、机制，对现有人力资源进行整合，对站所人员合理配置;建立健全站、所部门之间的配合协作机制;组建保护区林政执法大队。

②整改责任：主管领导：*、*;责任单位：科研所、项目股;配合单位：办公室、宣教股;具体落实人：*。

③整改时限：2010年12月底前

(三)长期整改的问题

1、机构设置有待加强

①整改措施：

一是结合保护区现实实际，积极向上争取相应机构和人员编制。

二是理顺保护区管理机构和财政供养体系，努力实现保护区公益事业行政管理一体化和省级财政供养保障体系。

②整改责任：主管领导：*、*;责任单位：管理局办公室;配合单位：宣教股;具体落实人：*、*。

③整改时限：长期

2、队伍建设有待加强

①整改措施：

一是强化对干部职工及林管员的素质教育和业务培训，切实提高保护区管理队伍的整体素质，增强保护区建设管理能力。

二是管理使用好林管员队伍，以取得资源管理等工作的直接有效性。

②整改责任：主管领导：*、*;责任单位：管理局办公室;配合单位：宣教股及各站所;具体落实人：*、*、常学科、*。

③整改时限：长期

四、保障措施

抓好整改工作，解决突出问题，是学习实践活动的关键阶段。为了确保整改方案落到实处、收到实效，领导班子成员和广大党员干部都要以强烈的政治责任感和事业心，认真做好整改工作。

(一)加强整改落实的组织领导

保护区领导班子对整改落实工作负总责。局学习实践活动领导小组组长、支部书记*同志为整改落实第一责任人，其他支委成员分工负责，各股(室)、所、站负责人要亲自抓，确保学习实践活动圆满完成。

(二)强化对整改落实的督促检查

各股所站要将方案中的各项工作纳入重要议事日程，摆在突出位置，坚持主要领导“亲自抓、负总责”，形成一级抓一级，层层抓落实的工作机制，确保责任到位、措施到位、投入到位，保证整改目标任务顺利实现。对解决问题效果不好、多数群众不满意的，要重新整改，对造成重大、严重后果的要追究直接责任人的相关责任。

(三)完善对整改落实的监督机制

在保护区管理局公众信息网站上公布整改落实情况，接受党员、干部和群众监督。认真开展群众满意度测评，根据测评情况，进一步征求意见，完善整改措施。对涉及长远、一时难以解决的，要在一定范围内说明情况;对多数群众不满意的要及时补课，重新整改。

文章来源

莲山课件 w w w.5Y k J.C om 8

分级保护整改方案

第1篇：分级保护整改方案

第2篇：等级保护与分级保护

第3篇：环境保护整改方案

第4篇：如何理解信息安全等级保护与分级保护

第5篇：等级保护整改与安全建设方案

第6篇：保护区党支部整改方案

热门文章

相关推荐