2023年信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南信息安全等級(jí)保護(hù)

附件2

信息安全等級(jí)保護(hù)安全

建設(shè)整改工作指南

中華人民共和國公安部

二。。九年十月

,、廣

刖口

為便于信息安全等級(jí)保護(hù)安全建設(shè)整改工作相關(guān)單位全面了解和掌握安全

建設(shè)整改工作所依據(jù)的技術(shù)標(biāo)準(zhǔn)規(guī)范，以及安全建設(shè)整改工作的目標(biāo)、內(nèi)容和方

法，公安部編寫了《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》，供參考。

本指南包括總則、安全管理制度建設(shè)、安全技術(shù)措施建設(shè)三個(gè)部分，附錄是

信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡要說明。

由于時(shí)間倉促，經(jīng)驗(yàn)不足，不妥之處，敬請(qǐng)批評(píng)指正。

目錄

1總則...........................................

I/1!\

1.1工作目標(biāo)................................X/

(/1\

1.2工作內(nèi)容................................\7

|/2!\

1.3工作流程................................\/

(3\

1.4標(biāo)準(zhǔn)應(yīng)用................................7

|/5\

1.5安全保護(hù)能力目標(biāo)........................\7

I/6X

2安全管理制度建設(shè)..............................X7

(/7\

2.1落實(shí)信息安全責(zé)任制......................\7

1/7!\

2.2信息系統(tǒng)安全管理現(xiàn)狀分析................\/

(78!\

2.3確定安全管理策略，制定安全管理制度.....\/

|/8

2.4落實(shí)安全管理措施........................\

/8)\

2.4.1人員安全管理.....................k/

I/8

系統(tǒng)運(yùn)維管理.....................X

2.4.2(8\

2.4.2.1環(huán)境和資產(chǎn)安全管理.........7

|/9\

2.4.2.2設(shè)備和介質(zhì)安全管理.........\7

|/9!\

2.4.2.3日常運(yùn)行維護(hù)...............\/

|/9

2.4.2.4集中安全管理...............\

|/9!\

2.4.2.5事件處置與應(yīng)急響應(yīng).........\/

(/9)\

2.4.2.6災(zāi)難備份...................\/

10\

/!

2.4.2.7安全監(jiān)測...................0

1!\

2.4.2.8其他安全管理.............../

10\

/!

2.5系統(tǒng)建設(shè)管理...........................0

1!\

2.6安全自查與調(diào)整........................./

10\

/!

3安全技術(shù)措施建設(shè).............................1

1!\

3.1信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析.........../

11\

/!

3.1.1信息系統(tǒng)現(xiàn)狀分析................2

1!\

3.1.2信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析....2/

1!\

安全需求論證和確定............../

3.1.312\

/!

3.2信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計(jì)......12

3.2.1確定安全技術(shù)策略，設(shè)計(jì)總體技術(shù)方案

12\

/!

3.2.1.1確定安全技術(shù)策略..........12

3.2.1.2設(shè)計(jì)總體技術(shù)方案..........13

!\

3.2.2安全技術(shù)方窠詳細(xì)設(shè)計(jì).............13/

!\

3.2.2.1物理安全設(shè)計(jì)..............13/

!\

3.2.2.2通信網(wǎng)絡(luò)安全設(shè)計(jì)..........13/

!\

3.2.2.3區(qū)域邊界安全設(shè)計(jì)...........13/

!\

3.2.2.4主機(jī)系統(tǒng)安全設(shè)計(jì)...........14/

!\

3.2.2.5應(yīng)用系統(tǒng)安全設(shè)計(jì)..........14/

!\

3.2.2.6備份和恢復(fù)安全設(shè)計(jì)........14/

)\

3.2.3建設(shè)經(jīng)費(fèi)預(yù)算和工程實(shí)施計(jì)劃/

1總則

1.1工作目標(biāo)

信息系統(tǒng)運(yùn)營使用單位在做好信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案工作基礎(chǔ)上,

按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作。

通過落實(shí)安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)，落實(shí)等級(jí)保護(hù)制度的

各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱

患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國家安全、社會(huì)秩序和

公共利益。

1.2工作內(nèi)容

信息系統(tǒng)運(yùn)營使用單位在開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作中，應(yīng)按

照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)措施和管

理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。

要依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡稱《基本要求》），落實(shí)信息

安全責(zé)任制，建立并落實(shí)各類安全管理制度，開展人員安全管理、系統(tǒng)建設(shè)管理

和系統(tǒng)運(yùn)維管理等工作，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)

安全等安全保護(hù)技術(shù)措施，具體內(nèi)容如圖1所示。

信息系統(tǒng)安全等級(jí)保護(hù)基本要求

安全管理建設(shè)整改安全技術(shù)建設(shè)整改

安

?崗位設(shè)置人?人員錄用?機(jī)房位置選擇?身份鑒別

全

?人員配備員

管?人員離崗

安?防火防雷?訪叵控制

理

?授權(quán)和審批全?人員考核?防水防潮?安全審計(jì)

機(jī)

管

?溝通和合作

構(gòu)

理?教育和培訓(xùn)?防靜電?入侵防范

?審核和檢查?人員訪問管理?物理訪問控制?病毒防護(hù)

?防盜竊防破壞?資源控制

安

?管理制度?溫濕度控制?安全標(biāo)記

全?環(huán)境管理

管?制定和發(fā)布?電力供應(yīng)?剩余信息保護(hù)

理?資產(chǎn)管理

?評(píng)審和修訂?電磁防護(hù)

制?介質(zhì)管理

度

?設(shè)備管理

系?區(qū)域劃分?身份鑒別

統(tǒng)?監(jiān)控管理

運(yùn)邊界防護(hù)訪向控制

?定級(jí)備案?安全管理中心■■

維?訪問控制?安全審計(jì)

?安全方案設(shè)計(jì)管?網(wǎng)絡(luò)安全管理

理安全審計(jì)通信完整性

?產(chǎn)品采購使用?系統(tǒng)安全管理■?

系*入侵防范?通信保密性

統(tǒng)?自行軟件開發(fā)?變更管理

建病毒防護(hù)軟件容錯(cuò)

?外包軟件開發(fā)?備份恢復(fù)管理?■

設(shè)?通信保護(hù)?資源控制

管?工程實(shí)施?事件處置

理?安全標(biāo)記

?測試驗(yàn)收?應(yīng)急響應(yīng)數(shù)

?數(shù)據(jù)保密性

據(jù)剩余信息保護(hù)

?系統(tǒng)交付■

安?數(shù)據(jù)完整性?抗抵賴

?安全服務(wù)選擇全

?備份與恢復(fù)

?等級(jí)測評(píng)與

備

份

恢

復(fù)

圖1:信息系統(tǒng)安全建設(shè)整改主要內(nèi)容

需要說明的是：不同級(jí)別信息系統(tǒng)安全建設(shè)整改的具體內(nèi)容應(yīng)根據(jù)信息系統(tǒng)

定級(jí)時(shí)的業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)，以及信息系統(tǒng)安全保護(hù)現(xiàn)狀確

定。信息系統(tǒng)安全建設(shè)整改工作具體實(shí)施可以根據(jù)實(shí)際情況，將安全管理和安全

技術(shù)整改內(nèi)容一并實(shí)施，或分步實(shí)施。

1.3工作流程

信息系統(tǒng)安全建設(shè)整改工作分五步進(jìn)行。第一步：制定信息系統(tǒng)安全建設(shè)整

改工作規(guī)劃，對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署；第二步：開展信息系

統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求;

第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案；第四步：開展信

息系統(tǒng)安全建設(shè)整改工作，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制，建設(shè)安

全設(shè)施，落實(shí)安全措施；第五步：開展安全自查和等級(jí)測評(píng)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)

中存在安全隱患和威脅，進(jìn)一步開展安全建設(shè)整改工作。該流程如圖2所示。

信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署

信息系統(tǒng)安全保護(hù)現(xiàn)狀分析

確定安全策略，制定安全建設(shè)整改方案

信息系統(tǒng)安全管理建設(shè)

系

安

安

人

系

統(tǒng)

全

全

員

統(tǒng)

運(yùn)

安

建

管

管

維

全

設(shè)

理

理

管

管

管

機(jī)

制

理

理

理

構(gòu)

度

1.4標(biāo)準(zhǔn)應(yīng)用

信息系統(tǒng)安全建設(shè)整改工作應(yīng)依據(jù)《基本要求》，并在不同階段、針對(duì)不同

技術(shù)活動(dòng)參照相應(yīng)的標(biāo)準(zhǔn)規(guī)范進(jìn)行。等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)在信息系統(tǒng)安全建設(shè)整改

工作中的作用如圖3所示。

信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則

信

信

息

息

系

信

信

評(píng)

評(píng)

系

統(tǒng)

要

過

息

息

統(tǒng)

等

求

程

系

系

安

級(jí)

指

統(tǒng)

統(tǒng)

全

保

南

安

安

等

護(hù)

全

全

級(jí)

安

等

等

保

全

級(jí)

級(jí)

護(hù)

設(shè)

保

保

實(shí)

計(jì)

護(hù)

護(hù)

施

技

測

測

指

術(shù)

南

要

求

信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則

信息系統(tǒng)安全等級(jí)保護(hù)基本要求

技術(shù)類管理類產(chǎn)品類

信息系統(tǒng)通用安全信息系統(tǒng)安全操作系統(tǒng)安全技術(shù)

技術(shù)要求管理要求要求

信息系統(tǒng)物理安全信息系統(tǒng)安全工程數(shù)據(jù)庫管理系統(tǒng)安全

技術(shù)要求管理要求技術(shù)要求

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)其他管理類標(biāo)準(zhǔn)網(wǎng)絡(luò)和終端設(shè)備隔離部

要求件技術(shù)要求

其他技術(shù)類標(biāo)準(zhǔn)其他產(chǎn)品類標(biāo)準(zhǔn)

—1T

計(jì)算雙信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859)

圖3：等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)間的關(guān)系

需要說明的是，（一）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)

是《基本要求》的基礎(chǔ)?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859,

以下簡稱《劃分準(zhǔn)則》）是等級(jí)保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn)，《信息系統(tǒng)通用安全技術(shù)要求》

等技術(shù)類標(biāo)準(zhǔn)、《信息系統(tǒng)安全管理要求》等管理類標(biāo)準(zhǔn)和《操作系統(tǒng)安全技術(shù)

要求》等產(chǎn)品類標(biāo)準(zhǔn)是在《劃分準(zhǔn)則》基礎(chǔ)上研究制定的?！痘疽蟆芬约夹g(shù)

類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)發(fā)展水平，從技術(shù)和管理兩方面提出

并確定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，即基線要求。（二）《基本

要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù)。信息系統(tǒng)安全建設(shè)整改應(yīng)以落實(shí)《基本

要求》為主要目標(biāo)。信息系統(tǒng)運(yùn)營使用單位應(yīng)根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)選擇《基

本要求》中相應(yīng)級(jí)別的安全保護(hù)要求作為信息系統(tǒng)的基本安全需求。當(dāng)信息系統(tǒng)

有更高安全需求時(shí)，可參考《基本要求》中較高級(jí)別保護(hù)要求或《信息系統(tǒng)通用

安全技術(shù)要求》、《信息系統(tǒng)安全管理要求》等其他標(biāo)準(zhǔn).行業(yè)主管部門可以依據(jù)

《基本要求》，結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)實(shí)際出臺(tái)行業(yè)細(xì)則，行業(yè)細(xì)則的要求應(yīng)

不低于《基本要求》。（三）《定級(jí)指南》為定級(jí)工作提供指導(dǎo)?！缎畔⑾到y(tǒng)安全等

級(jí)保護(hù)定級(jí)指南》為信息系統(tǒng)定級(jí)工作提供了技術(shù)支持。行業(yè)主管部門可以根據(jù)

《定級(jí)指南》，結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)實(shí)際情況，出臺(tái)本行業(yè)的定級(jí)細(xì)則，保

證行業(yè)內(nèi)信息系統(tǒng)在不同地區(qū)等級(jí)的一致性，以指導(dǎo)本行業(yè)信息系統(tǒng)定級(jí)工作的

開展。（四）《測評(píng)要求》等標(biāo)準(zhǔn)規(guī)范等級(jí)測評(píng)活動(dòng)。等級(jí)測評(píng)是評(píng)價(jià)信息系統(tǒng)安

全保護(hù)狀況的重要方法。《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》為等級(jí)測評(píng)機(jī)構(gòu)開

展等級(jí)測評(píng)活動(dòng)提供了測評(píng)方法和綜合評(píng)價(jià)方法。《信息系統(tǒng)安全等級(jí)保護(hù)則評(píng)

過程指南》對(duì)等級(jí)測評(píng)活動(dòng)提出規(guī)范性要求，以保證測評(píng)結(jié)論的準(zhǔn)確性和可靠性。

（五）《實(shí)施指南》等標(biāo)準(zhǔn)指導(dǎo)等級(jí)保護(hù)建設(shè)?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

是信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)實(shí)施的過程控制標(biāo)準(zhǔn)，用于指導(dǎo)信息系統(tǒng)運(yùn)營使用

單位了解和掌握信息安全等級(jí)保護(hù)工作的方法、主耍工作內(nèi)容以及不同的角色在

不同階段的作用?！缎畔⑾到y(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》對(duì)信息系統(tǒng)安全建設(shè)

的技術(shù)設(shè)計(jì)活動(dòng)提供指導(dǎo)，是實(shí)現(xiàn)《基本要求》的方法之一。

1.5安全保護(hù)能力目標(biāo)

各級(jí)信息系統(tǒng)應(yīng)通過安全建設(shè)整改分別達(dá)到以下安全保護(hù)能力目標(biāo)：

第一級(jí)信息系統(tǒng):經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御一般性攻擊的能力，

防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主

要功能的能力。

第二級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度

惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代

碼危害的能力；具有檢測常見的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；系統(tǒng)

遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。

第三級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具

有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)

算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；

具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后,

具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快

速恢復(fù)正常運(yùn)行狀態(tài)：具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力C

第四級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具

有抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的能力，抵抗嚴(yán)重的自然災(zāi)害的能力，防范

計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能

力；具有對(duì)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭

到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力：對(duì)于服務(wù)保障性要求高的系

統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安仝機(jī)制等進(jìn)行集中

控管的能力。

2安全管理制度建設(shè)

按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)安全管理要求》等

標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)等級(jí)保護(hù)安全管理制度建設(shè)工作。工作流程見圖40

圖4：信息系統(tǒng)安全管理建設(shè)整改工作流程

2.1落實(shí)信息安全責(zé)任制

明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門，設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，

落實(shí)責(zé)任部門。建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機(jī)

構(gòu)和崗位，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制。建立安全教育和

培訓(xùn)制度，對(duì)信息系統(tǒng)運(yùn)維人員、管理人員、使用人員等定期進(jìn)行培訓(xùn)和考核，

提高相關(guān)人員的安全意識(shí)和操作水平。具體依據(jù)《基本要求》中的“安全管理機(jī)

構(gòu)”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。

2.2信息系統(tǒng)安全管理現(xiàn)狀分析

在開展信息系統(tǒng)安全管理建設(shè)整改之前，通過開展信息系統(tǒng)安全管理現(xiàn)狀分

析，查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題，明確信息系統(tǒng)安全管理建

設(shè)整改的需求。

可以依據(jù)《基本要求》等標(biāo)準(zhǔn)，采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測評(píng)等方法，

分析判斷目前所采取的安全管理措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)

已發(fā)生的事件或事故，分析安全管理方面存在的問題，形成安全管理建設(shè)整改的

需求并論證。

2.3確定安全管理策略，制定安全管理制度

根據(jù)安全管理需求，確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管

理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期

檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。

具體依據(jù)《基本要求》中的“安全管理制度”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)安

全管理要求》等。

2.4落實(shí)安全管理措施

2.4.1人員安全管理

人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員

錄用、離崗、過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗

位技能培訓(xùn)和相關(guān)安仝技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行仝面、嚴(yán)格的安仝市查

和技能考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。具體

依據(jù)《基本要求》中的“人員安全管理”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)安全管

理要求》等。

2.4.2系統(tǒng)運(yùn)維管理

2.4.2.1環(huán)境和資產(chǎn)安全管理

明確環(huán)境（包括主機(jī)房、輔機(jī)房、辦公環(huán)境等）安全管理的責(zé)任部門或責(zé)任

人，加強(qiáng)對(duì)人員出入、來訪人員的控制，對(duì)有關(guān)物理訪問、物品進(jìn)出和環(huán)境安全

等方面作出規(guī)定。對(duì)重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。明確

資產(chǎn)（包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)和信息等）安全管理的責(zé)任部門或責(zé)任人,

對(duì)資產(chǎn)進(jìn)行分類、標(biāo)識(shí)，編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。

具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)安

全管理要求》等。

2.4.2.2設(shè)備和介質(zhì)安全管理

明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門或責(zé)任人，對(duì)信息系統(tǒng)的

各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行控制，對(duì)介質(zhì)的存放、

使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對(duì)涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)

督控制。具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照《信

息系統(tǒng)安全管理要求》等。

2.4.2.3日常運(yùn)行維護(hù)

明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門或責(zé)任人，對(duì)運(yùn)行管理中的日常操

作、賬號(hào)管理、安全配置、日志管理、補(bǔ)丁升級(jí)、口令更新等過程進(jìn)行控制和管

理，制訂相應(yīng)的管理制度和操作規(guī)程并落實(shí)執(zhí)行。具體依據(jù)《基本要求》中的“系

統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等.

2.4.2.4集中安全管理

第三級(jí)（含）以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管

理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對(duì)設(shè)備安全配置、惡意代

碼、補(bǔ)丁升級(jí)、安全審計(jì)等進(jìn)行管理，對(duì)與安全有關(guān)的信息進(jìn)行匯集與分析，對(duì)

安全機(jī)制進(jìn)行集中管理。具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同

時(shí)可以參照《信息系統(tǒng)等級(jí)保護(hù)安仝設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安仝管理要求》

等。

2.4.2.5事件處置與應(yīng)急響應(yīng)

按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級(jí)。結(jié)合信息系統(tǒng)安全保護(hù)

等級(jí)，制定信息安全事件分級(jí)應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實(shí)應(yīng)急指揮

部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。落實(shí)安全事件報(bào)告制度,

第三級(jí)（含）以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時(shí)，運(yùn)營使用單

位按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。組織應(yīng)急技

術(shù)支撐力量和專家隊(duì)伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)《基本

要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照《信息安全事件分類分級(jí)指南》

和《信息安全事件管理指南》等。

2.4.2.6災(zāi)難備份

要對(duì)第三級(jí)（含）以上信息系統(tǒng)采取災(zāi)難備份措施，防止重大事故、事件發(fā)

生。識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備

份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)《基本

要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容和《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。

2.4.2.7安全監(jiān)測

開展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測，實(shí)現(xiàn)對(duì)物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、

用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和報(bào)警，及時(shí)發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、

誤用和誤操作等安全事件，以便及時(shí)對(duì)安全事件進(jìn)行響應(yīng)與處置。具體依據(jù)《基

本要求》中的“系統(tǒng)運(yùn)維管理”。

2.4.2.8其他安全管理

對(duì)系統(tǒng)運(yùn)行維護(hù)過程中的其它活動(dòng)，如系統(tǒng)變更、密碼使用等進(jìn)行控制和管

理.按國家密碼管理部門的規(guī)定，對(duì)信息系統(tǒng)中密碼算法和密鑰的使用進(jìn)行分級(jí)

管理。

2.5系統(tǒng)建設(shè)管理

制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使

用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部

門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施。具體依據(jù)《基

本要求》中的“系統(tǒng)建設(shè)管理”內(nèi)容。

2.6安全自查與調(diào)整

制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項(xiàng)制度、措施

的落實(shí)情況，并不斷完善。定期對(duì)信息系統(tǒng)安全狀況進(jìn)行自查，第三級(jí)信息系統(tǒng)

每年自查一次，第四級(jí)信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未

達(dá)到安全保護(hù)等級(jí)要求的，應(yīng)當(dāng)進(jìn)一步開展整改。具體依據(jù)《基本要求》中的“安

全管理機(jī)構(gòu)”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。信息系統(tǒng)安全

管理建設(shè)整改工作完成后，安全管理方面的等級(jí)測評(píng)與安全技術(shù)方面的測評(píng)工作

一并進(jìn)行。

3安全技術(shù)措施建設(shè)

按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)通用安全技術(shù)要求》、

《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)安全技

術(shù)建設(shè)整改工作。工作流程見圖5。

應(yīng)

區(qū)

主

通

備

用

域

機(jī)

信

物

份

系

邊

系

理

網(wǎng)

和

統(tǒng)

界

統(tǒng)

安

絡(luò)

恢

安

安

安

全

安

全

全

全

全fi

工程實(shí)施及驗(yàn)收

不符合標(biāo)準(zhǔn)要求

等級(jí)測評(píng)

圖5：信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程

3.1信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析

了解掌握信息系統(tǒng)現(xiàn)狀，分析信息系統(tǒng)的安全保護(hù)狀況，明確信息系統(tǒng)安全

技術(shù)建設(shè)整改需求，為安全建設(shè)整改技術(shù)方案設(shè)計(jì)提供依據(jù)。

3.1.1信息系統(tǒng)現(xiàn)狀分析

了解掌握信息系統(tǒng)的數(shù)量和等級(jí)、所處的網(wǎng)絡(luò)區(qū)域以及信息系統(tǒng)所承載的業(yè)

務(wù)應(yīng)用情況，分析信息系統(tǒng)的邊界、構(gòu)成和相互關(guān)聯(lián)情況，分析網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部

區(qū)域、區(qū)域邊界以及軟、硬件資源等。具體可參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施

指南》中“信息系統(tǒng)分析”的內(nèi)容。

3.1.2信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析

在開展信息系統(tǒng)安全技術(shù)建設(shè)整改之前，應(yīng)通過開展信息系統(tǒng)安全保護(hù)技術(shù)

現(xiàn)狀分析，查找信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改需要解決的問題，明確信息系統(tǒng)

安全保護(hù)技術(shù)建設(shè)整改的需求。

可采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測評(píng)等方法，分析判斷目前所采取的安全

技術(shù)措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析

安全技術(shù)方面存在的問題，形成安全技術(shù)建設(shè)整改的基本安全需求。在滿足信息

系統(tǒng)安全等級(jí)保護(hù)基本要求基礎(chǔ)上，可以結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)安全保護(hù)的特

殊要求，提出特殊安全需求。具體可參照《基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)

測評(píng)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》等標(biāo)準(zhǔn)。

3.1.3安全需求論證和確定

安全需求分析工作完成后，將信息系統(tǒng)的安全管理需求與安全技術(shù)需求綜合

形成安全需求報(bào)告。組織專家對(duì)安全需求進(jìn)行評(píng)審論證。

3.2信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計(jì)

在安全需求分析的基礎(chǔ)上，開展信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)，包括總體

設(shè)計(jì)和詳細(xì)設(shè)計(jì)，制定工程預(yù)算和工程實(shí)施計(jì)劃等，為后續(xù)安全建設(shè)整改工程實(shí)

施提供依據(jù)。

3.2.1確定安全技術(shù)策略，設(shè)計(jì)總體技術(shù)方案

3.2.1.1確定安全技術(shù)策略

根據(jù)安全需求分析，確定安全技術(shù)策略，包括業(yè)務(wù)系統(tǒng)分級(jí)策略、數(shù)據(jù)信息

分級(jí)策略、區(qū)域互連策略和信息流控制策略等，用以指導(dǎo)系統(tǒng)安全技術(shù)體系結(jié)構(gòu)

設(shè)計(jì)。

3.2.1.2設(shè)計(jì)總體技術(shù)方案

在進(jìn)行信息系統(tǒng)安全建設(shè)整改技術(shù)方案設(shè)計(jì)時(shí)，應(yīng)以《基本要求》為基本目

標(biāo)，可以針對(duì)安全現(xiàn)狀分析發(fā)現(xiàn)的問題進(jìn)行加固改造，缺什么補(bǔ)什么；也可以進(jìn)

行總體的安全技術(shù)設(shè)計(jì)，將不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全

保護(hù)體系，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面基

本要求，最大程度發(fā)揮安全措施的保護(hù)能力。在進(jìn)行安全技術(shù)設(shè)計(jì)時(shí)，可參考《信

息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通

信網(wǎng)絡(luò)和安全管理中心等方面落實(shí)安全保護(hù)技術(shù)要求。

3.2.2安全技術(shù)方案詳細(xì)設(shè)計(jì)

3.2.2.1物理安全設(shè)計(jì)

從安全技術(shù)設(shè)施和安全技術(shù)措施兩方面對(duì)信息系統(tǒng)所涉及到的主機(jī)房、輔助

機(jī)房和辦公環(huán)境等進(jìn)行物理安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包括防震、防雷、防火、防水、

防盜竊、防破壞、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面。物理安全設(shè)計(jì)是對(duì)

采用的安全技術(shù)設(shè)施或安全技術(shù)措施的物理部署、物理尺寸、功能指標(biāo)、性能指

標(biāo)等內(nèi)容提出具體設(shè)計(jì)參數(shù)。具體依據(jù)《基本要求》中的“物理安全”內(nèi)容，同

時(shí)可以參照《信息系統(tǒng)物理安全技術(shù)要求》等。

3.2.2.2通信網(wǎng)絡(luò)安全設(shè)計(jì)

對(duì)信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)，包括骨干網(wǎng)絡(luò)、城域網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)（租

用線路）等進(jìn)行安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包括通信過程數(shù)據(jù)完整性、數(shù)據(jù)保密性、保

證通信可靠性的設(shè)備和線路冗余、通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面。

通信網(wǎng)絡(luò)安全設(shè)計(jì)涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計(jì)，對(duì)

技術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置參數(shù)等提

出具體設(shè)計(jì)細(xì)節(jié)。具體依據(jù)《基本要求》中“網(wǎng)絡(luò)安全”內(nèi)容，同時(shí)可以參照《網(wǎng)

絡(luò)基礎(chǔ)安仝技術(shù)要求》等。

3.2.2.3區(qū)域邊界安全設(shè)計(jì)

對(duì)信息系統(tǒng)所涉及的區(qū)域網(wǎng)絡(luò)邊界進(jìn)行安全設(shè)計(jì)，內(nèi)容包括對(duì)區(qū)域網(wǎng)絡(luò)的邊

界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范

和網(wǎng)絡(luò)設(shè)備自身保護(hù)等方面。

區(qū)域邊界安全設(shè)計(jì)涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計(jì)，對(duì)

技術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置策略和參

數(shù)等提出具體設(shè)計(jì)細(xì)節(jié)。具體依據(jù)《基本要求》中的“網(wǎng)絡(luò)安全”內(nèi)容，同時(shí)可

以參照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。

3.2.2.4主機(jī)系統(tǒng)安全設(shè)計(jì)

對(duì)信息系統(tǒng)涉及到的服務(wù)器和工作站進(jìn)行主機(jī)系統(tǒng)安全設(shè)計(jì)，內(nèi)容包括操作

系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置,主機(jī)入侵防范、惡意代碼防范、

資源使用情況監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問控制、安全審計(jì)等

方面的配置內(nèi)容。具體依據(jù)《基本要求》中的“主機(jī)安全”內(nèi)容，同時(shí)可以參照

《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。

3.2.2.5應(yīng)用系統(tǒng)安全設(shè)計(jì)

對(duì)信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)軟件（含應(yīng)用/中間件平臺(tái)）進(jìn)行安全設(shè)計(jì)，

設(shè)計(jì)內(nèi)容包括身份鑒別、訪問控制、安全標(biāo)記、可信路徑、安全審計(jì)、剩余信息

保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等。具體依據(jù)《基

本要求》中的“應(yīng)用安全”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技

術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。

3.2.2.6備份和恢復(fù)安全設(shè)計(jì)

針對(duì)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)連續(xù)性進(jìn)行安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包

括數(shù)據(jù)備份系統(tǒng)、備用基礎(chǔ)設(shè)施以及相關(guān)技術(shù)設(shè)施.針對(duì)業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備

份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時(shí)間間隔、實(shí)現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的

速率以及相關(guān)通信設(shè)備的規(guī)格和要求；針對(duì)信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計(jì)可考

慮連續(xù)性保證方式（設(shè)備冗余、系統(tǒng)級(jí)冗余直至遠(yuǎn)程集群支持）與實(shí)現(xiàn)細(xì)節(jié)，包

括相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及

軟硬件的部署形式與參數(shù)配置等。具體依據(jù)《基本要求》中的“數(shù)據(jù)安全和備份

恢復(fù)”內(nèi)容，同時(shí)可以參照《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》等。

3.2.3建設(shè)經(jīng)費(fèi)預(yù)算和工程實(shí)施計(jì)劃

3.2.3.1建設(shè)經(jīng)費(fèi)預(yù)算

根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的經(jīng)費(fèi)預(yù)算，包括產(chǎn)品名稱、型

號(hào)、配置、數(shù)量、單價(jià)、總價(jià)和合計(jì)等，同時(shí)應(yīng)包括集成費(fèi)用、等級(jí)測評(píng)費(fèi)用、

服務(wù)費(fèi)用和管理費(fèi)用等。對(duì)于跨年度的安全建設(shè)整改或安全改建，提供分年度的

經(jīng)費(fèi)預(yù)算。

3.2.3.2工程實(shí)施計(jì)劃

根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的工程實(shí)施計(jì)劃，包括建設(shè)內(nèi)容、

工程組織、階段劃分、項(xiàng)目分解、時(shí)間計(jì)劃和進(jìn)度安排等。對(duì)于跨年度的安全建

設(shè)整改或安全改建，要對(duì)安全建設(shè)整改方案明確的主要安全建設(shè)整改內(nèi)容進(jìn)行適

當(dāng)?shù)捻?xiàng)目分解，比如分解成機(jī)房安全改造項(xiàng)目、網(wǎng)絡(luò)安全建設(shè)整改項(xiàng)目、系統(tǒng)平

臺(tái)和應(yīng)用平臺(tái)安全建設(shè)整改項(xiàng)目等，分別制定中期和短期的實(shí)施計(jì)劃，短期內(nèi)主

要解決目前急迫和關(guān)鍵的問題。

3.2.4方案論證和備案

將信息系統(tǒng)安全建設(shè)整改技術(shù)方案與安全管理體系規(guī)劃共同形成安全建設(shè)

整改方案。組織專家對(duì)安全建設(shè)整改方案進(jìn)行評(píng)審論證，形成評(píng)審意見。第三級(jí)

（含）以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案，并組織實(shí)施安全建設(shè)

整改工程。

3.3安全建設(shè)整改工程實(shí)施和管理

3.3.1工程實(shí)施和管理

安全建設(shè)整改工程實(shí)施的組織管理工作包括落實(shí)安全建設(shè)整改的責(zé)任部門

和人員，保證建設(shè)資金足額到位，選擇符合要求的安全建設(shè)整改服務(wù)商，采購符

合要求的信息安全產(chǎn)品，管理和控制安全功能開發(fā)、集成過程的質(zhì)量等方面C

按照《信息系統(tǒng)安全工程管理要求》中有關(guān)資格保障和組織保障等要求組織

管理等級(jí)保護(hù)安全建設(shè)整改工程。實(shí)施流程管理、進(jìn)度規(guī)劃控制和工程質(zhì)量控制

可參照《信息系統(tǒng)安全工程管理要求》中第8、9、10章提出的工程實(shí)施、項(xiàng)目

實(shí)施和安全工程流程控制要求，實(shí)現(xiàn)相應(yīng)等級(jí)的工程目標(biāo)和要求。

3.3.2工程監(jiān)理和驗(yàn)收

為保證建設(shè)工程的安仝和質(zhì)量，第二級(jí)（含）以上信息系統(tǒng)安仝建設(shè)整改工

程可以實(shí)施監(jiān)理。監(jiān)理內(nèi)容包括對(duì)工程實(shí)施前期安全性、采購?fù)獍踩?、工?/p>

實(shí)施過程安全性、系統(tǒng)環(huán)境安全性等方面的核查。

工程驗(yàn)收的內(nèi)容包括全面檢驗(yàn)工程項(xiàng)目所實(shí)現(xiàn)的安全功能、設(shè)備部署、安全

配置等是否滿足設(shè)計(jì)要求，工程施工質(zhì)量是否達(dá)到預(yù)期指標(biāo)，工程檔案資料是否

齊全等方面。在通過安全測評(píng)或測試的基礎(chǔ)上，組織相應(yīng)信息安全專家進(jìn)行工程

驗(yàn)收。具體參照《信息系統(tǒng)安全工程管理要求》。

3.3.3安全等級(jí)測評(píng)

信息系統(tǒng)安全建設(shè)整改完成后要進(jìn)行等級(jí)測評(píng)，在工程預(yù)算中應(yīng)當(dāng)包括等級(jí)

測評(píng)費(fèi)用。對(duì)第三級(jí)（含）以上信息系統(tǒng)每年要進(jìn)行等級(jí)測評(píng)，并對(duì)測評(píng)費(fèi)用做

出預(yù)算。

在公安部備案的信息系統(tǒng)，備案單位應(yīng)選擇國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)

小組辦公室推薦的等級(jí)測評(píng)機(jī)構(gòu)實(shí)施等級(jí)測評(píng)；在?。▍^(qū)、市）、地市級(jí)公安機(jī)

關(guān)備案的信息系統(tǒng)，備案單位應(yīng)選擇本?。▍^(qū)、市）信息安全等級(jí)保護(hù)工作協(xié)調(diào)

小組辦公室或國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測評(píng)機(jī)構(gòu)

實(shí)施等級(jí)測評(píng)。

附錄:

信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡要說明

為推動(dòng)我國信息安全等級(jí)保護(hù)工作的開展，十多年來，在公安部的領(lǐng)導(dǎo)和支

持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和

公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)保護(hù)工作需要

的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，為開展信息安全

等級(jí)保護(hù)工作奠定了基礎(chǔ)。

為便于各有關(guān)單位全面、準(zhǔn)確了解掌握信息安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)，更好地

指導(dǎo)等級(jí)保護(hù)工作，在總結(jié)近年來等級(jí)保護(hù)工作實(shí)踐基礎(chǔ)上，公安部組織專家和

標(biāo)準(zhǔn)起草單位編寫了信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡要說明，第一部分梳理了與等

級(jí)保護(hù)工作相關(guān)的標(biāo)準(zhǔn)，第二部分從標(biāo)準(zhǔn)的主要用途、主要內(nèi)容和使用說明三方

面進(jìn)行闡述，供有關(guān)單位和部門在工作中參考。

1信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)體系

信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)大致可以分為四類：基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和

其他類。

1.1基礎(chǔ)類標(biāo)準(zhǔn)

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)o

1.2應(yīng)用類標(biāo)準(zhǔn)

L2.I信息系統(tǒng)定級(jí)

《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T22240-2008)

1.2.2等級(jí)保護(hù)實(shí)施

《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(信安字[2007]10