信息安全等級(jí)保護(hù)安全建設(shè)整改工作培訓(xùn)材料之一

1、信息安全等級(jí)保護(hù)安全建設(shè)整改工作培訓(xùn)材料公安部網(wǎng)絡(luò)安全保衛(wèi)局二九年十二月前 言為進(jìn)一步貫徹落實(shí)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見和關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見、信息安全等級(jí)保護(hù)管理辦法精神，有效解決信息系統(tǒng)安全保護(hù)中存在的管理制度不健全、技術(shù)措施不符合標(biāo)準(zhǔn)要求、安全責(zé)任不落實(shí)等突出問(wèn)題，提高我國(guó)重要信息系統(tǒng)的安全保護(hù)能力，在全國(guó)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作基礎(chǔ)上，公安部印發(fā)了關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號(hào)），部署開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作。為便于信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作相關(guān)單位全面了解和掌握信息安全等級(jí)保護(hù)安全

2、建設(shè)整改工作所依據(jù)的政策和技術(shù)標(biāo)準(zhǔn)，明確開展等級(jí)保護(hù)安全建設(shè)整改工作的目標(biāo)、內(nèi)容和要求，更好地指導(dǎo)各單位、各部門開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作，加強(qiáng)宣傳和培訓(xùn)工作，我們編寫了本培訓(xùn)材料，供參考使用。有關(guān)材料下載網(wǎng)址：公安部網(wǎng)站：等級(jí)保護(hù)網(wǎng)站：目 錄一、當(dāng)前開展信息安全等級(jí)工作面臨的形勢(shì)二、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的政策（一）總體政策（二）具體政策1、定級(jí)政策2、備案政策3、安全建設(shè)整改政策4、等級(jí)測(cè)評(píng)政策5、檢查監(jiān)督政策三、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的標(biāo)準(zhǔn)（一）基礎(chǔ)類標(biāo)準(zhǔn)（二）安全要求類標(biāo)準(zhǔn)（三）定級(jí)類標(biāo)準(zhǔn)（四）方

3、法指導(dǎo)類標(biāo)準(zhǔn)（五）現(xiàn)狀分析類標(biāo)準(zhǔn)四、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)五、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作對(duì)象六、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作內(nèi)容及要求（一）信息安全等級(jí)保護(hù)安全管理制度建設(shè)（二）信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)七、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作流程八、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作方法九、信息安全等級(jí)保護(hù)安全建設(shè)整改中的幾項(xiàng)相關(guān)工作（一）信息安全等級(jí)測(cè)評(píng)（二）信息安全產(chǎn)品的選擇使用（三）信息系統(tǒng)安全建設(shè)整改方案的制定十、信息安全等級(jí)保護(hù)安全建設(shè)整改工作的檢查監(jiān)督十一、總體工作要求附件：國(guó)家信息安全等級(jí)保護(hù)安全建設(shè)指導(dǎo)專家委員會(huì)職責(zé)國(guó)家信息安全等級(jí)保護(hù)安全建

4、設(shè)指導(dǎo)專家委員會(huì)專家名單信息安全等級(jí)保護(hù)安全建設(shè)整改工作培訓(xùn)材料一、當(dāng)前開展信息安全等級(jí)工作面臨的形勢(shì)近年來(lái)，在黨中央、國(guó)務(wù)院的高度重視下，通過(guò)各地區(qū)、各部門的共同努力，信息安全工作取得明顯成效：信息安全責(zé)任進(jìn)一步明確，等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)信任體系、應(yīng)急與災(zāi)備等基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)取得明顯進(jìn)展，信息安全防護(hù)水平明顯提高。與此同時(shí)我們應(yīng)該看到，當(dāng)前我國(guó)信息安全面臨的形勢(shì)仍然十分嚴(yán)峻，維護(hù)國(guó)家信息安全的任務(wù)十分艱巨、繁重。一是西強(qiáng)我弱的局面長(zhǎng)期存在，信息安全戰(zhàn)略威脅更加突出。近年來(lái)，我國(guó)重要信息系統(tǒng)的安全保護(hù)能力雖然有了很大提高，但同西方發(fā)達(dá)國(guó)家相比，還是處于西強(qiáng)我弱，總體比較被動(dòng)的局面。

5、奧巴馬執(zhí)政以來(lái)，美國(guó)高度重視網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)空間視為繼陸、海、空、太空后的“第五戰(zhàn)略空間”，制訂出臺(tái)了包括強(qiáng)化聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)，整合各方資源力量，成立作戰(zhàn)部隊(duì)，加強(qiáng)技術(shù)研發(fā)和網(wǎng)絡(luò)戰(zhàn)資源儲(chǔ)備，全面提升國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全防范能力等一系列重要舉措。而美國(guó)推行國(guó)家網(wǎng)絡(luò)安全新戰(zhàn)略，正是將中國(guó)作為其頭號(hào)假想敵。如果未來(lái)發(fā)生“網(wǎng)絡(luò)戰(zhàn)”，美國(guó)和西方國(guó)家首要攻擊目標(biāo)就是我國(guó)涉及國(guó)計(jì)民生的重要信息系統(tǒng)。同時(shí)，信息安全領(lǐng)域的一些關(guān)鍵技術(shù)和關(guān)鍵產(chǎn)品大部分掌握在西方信息化發(fā)達(dá)國(guó)家手中，從而使大量采用國(guó)外產(chǎn)品和服務(wù)的我國(guó)重要信息系統(tǒng)受敵對(duì)勢(shì)力、敵對(duì)分子滲透、攻擊、控制的安全隱患進(jìn)一步加大，構(gòu)成了對(duì)

6、我關(guān)鍵基礎(chǔ)設(shè)施的戰(zhàn)略威脅。二是各類網(wǎng)絡(luò)安全威脅不斷增多，網(wǎng)絡(luò)安全防范難度加大。今年以來(lái)，截獲計(jì)算機(jī)病毒數(shù)量、新增病毒種類以及感染計(jì)算機(jī)臺(tái)數(shù)較去年同期均有所增加，計(jì)算機(jī)病毒通過(guò)網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)共享、電子郵件和U盤等移動(dòng)存儲(chǔ)介質(zhì)廣泛傳播。與第三方應(yīng)用軟件、瀏覽器服務(wù)有關(guān)安全漏洞也大幅上升，其中大量是高危漏洞。大量木馬、后門病毒利用安全漏洞通過(guò)“網(wǎng)站掛馬”、“U盤擺渡”、偽造和欺騙等手段侵入重要信息系統(tǒng)，消耗系統(tǒng)資源，竊取個(gè)人用戶信息甚至國(guó)家秘密和商業(yè)秘密，給重要信息系統(tǒng)的安全運(yùn)行造成很大危害。此外，境內(nèi)外敵對(duì)勢(shì)力、敵對(duì)分子和不法分子也利用重要信息系統(tǒng)的安全漏洞和管理缺陷，對(duì)我重要信息系統(tǒng)實(shí)施網(wǎng)絡(luò)探測(cè)

7、攻擊，破壞國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的行為也逐年增多。三是信息安全建設(shè)缺乏規(guī)范，安全防護(hù)能力亟待提高。一些單位信息安全領(lǐng)導(dǎo)體制和工作機(jī)制等責(zé)任制未落實(shí)，人員安全管理、系統(tǒng)運(yùn)維管理和系統(tǒng)建設(shè)管理制度不健全、不規(guī)范。缺乏常態(tài)化的系統(tǒng)安全保護(hù)狀況的測(cè)評(píng)分析，在安全技術(shù)策略的選擇、建設(shè)整改方案設(shè)計(jì)及實(shí)施等技術(shù)建設(shè)方面，既存在一定的盲目性，也缺乏完整性和系統(tǒng)性，導(dǎo)致信息安全整體防護(hù)能力和水平不高，給信息系統(tǒng)正常運(yùn)行留下安全隱患。為切實(shí)履行中央賦予公安部的職責(zé)，2007年，公安部會(huì)同有關(guān)部門開展了信息安全等級(jí)保護(hù)定級(jí)工作。經(jīng)過(guò)各部門、各行業(yè)、各單位的共同努力，定級(jí)工作已基本完成。為加快推進(jìn)信息安全等級(jí)保護(hù)制度建設(shè)，

8、將等級(jí)保護(hù)工作向縱深推進(jìn)，定級(jí)備案工作完成后，公安部積極組織有關(guān)單位和專家，制定并完善了等級(jí)保護(hù)相關(guān)政策和技術(shù)標(biāo)準(zhǔn)，為各單位、各部門深入開展等級(jí)保護(hù)安全建設(shè)整改工作奠定了必要的基礎(chǔ)。一是制定了信息安全等級(jí)保護(hù)安全建設(shè)整改工作的相關(guān)政策。經(jīng)過(guò)多年探索和實(shí)踐，特別是經(jīng)過(guò)北京奧運(yùn)網(wǎng)絡(luò)安全保衛(wèi)工作的檢驗(yàn)，進(jìn)一步明確了開展等級(jí)保護(hù)安全建設(shè)整改工作的目標(biāo)、內(nèi)容、要求和方法，制定并印發(fā)了關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號(hào)）及信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南等附件，至此，針對(duì)等級(jí)保護(hù)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等主要環(huán)節(jié)的政策體系已基本形成。二是制

9、定了信息安全等級(jí)保護(hù)安全建設(shè)整改工作的相關(guān)標(biāo)準(zhǔn)。為配合信息安全等級(jí)保護(hù)安全建設(shè)整改工作順利開展，公安部組織國(guó)內(nèi)有關(guān)單位和專家經(jīng)過(guò)多年研究，形成了以計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）為基礎(chǔ)的技術(shù)、管理和產(chǎn)品三大類標(biāo)準(zhǔn)體系，并在此基礎(chǔ)上，形成了體現(xiàn)安全建設(shè)整改具體內(nèi)容和要求的信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）。該標(biāo)準(zhǔn)與測(cè)評(píng)要求等狀況分析方面的標(biāo)準(zhǔn)和實(shí)施指南、安全設(shè)計(jì)技術(shù)要求等方法指導(dǎo)方面標(biāo)準(zhǔn)，共同為安全建設(shè)整改工作提供技術(shù)標(biāo)準(zhǔn)支撐。至此，信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系也已基本形成。三是等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)已經(jīng)開展。等級(jí)測(cè)評(píng)工作是信息安全等級(jí)保護(hù)整體

10、工作的一個(gè)重要組成部分。為推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)建設(shè)，規(guī)范測(cè)評(píng)機(jī)構(gòu)和人員及其測(cè)評(píng)活動(dòng)的管理，保障等級(jí)保護(hù)工作的順利開展，公安部已于今年年初組織開展等級(jí)測(cè)評(píng)體系建設(shè)。先后組織編寫了信息安全等級(jí)保護(hù)測(cè)評(píng)要求、信息安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南以及信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版等標(biāo)準(zhǔn)和規(guī)范。為檢驗(yàn)標(biāo)準(zhǔn)和規(guī)范的可行性和必要性，公安部于今年710月份組織開展了等級(jí)測(cè)評(píng)體系建設(shè)試點(diǎn)工作，六個(gè)省市公安機(jī)關(guān)和十多家測(cè)評(píng)機(jī)構(gòu)參加，積累了對(duì)測(cè)評(píng)機(jī)構(gòu)及人員規(guī)范管理的經(jīng)驗(yàn)和方法。下一步公安部將在全國(guó)推廣試點(diǎn)工作經(jīng)驗(yàn)，加強(qiáng)對(duì)測(cè)評(píng)機(jī)構(gòu)的能力審驗(yàn)和安全審查，加強(qiáng)對(duì)測(cè)評(píng)人員的安全審查和培訓(xùn)，并將通過(guò)評(píng)估的測(cè)評(píng)機(jī)構(gòu)向社會(huì)公布，供

11、相關(guān)單位選擇。此外，電力等一些行業(yè)及一些信息安全企業(yè)已經(jīng)按照等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，開始進(jìn)行信息安全等級(jí)保護(hù)安全建設(shè)整改工作，摸索了一些經(jīng)驗(yàn)?？傊?，綜合開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作面臨的形勢(shì)和前期工作基礎(chǔ)，既是形勢(shì)所迫，也具備了一定的條件，既有必要性，也有可行性。因此，各單位要全面準(zhǔn)確把握當(dāng)前我國(guó)信息安全工作面臨的形勢(shì)，進(jìn)一步統(tǒng)一思想，提高認(rèn)識(shí)，增強(qiáng)做好信息安全等級(jí)保護(hù)安全建設(shè)整改工作的責(zé)任感和緊迫感，將等級(jí)保護(hù)工作落實(shí)好。二、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的政策近幾年，為組織開展信息安全等級(jí)保護(hù)工作，公安部根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院147號(hào)令）的授權(quán)，

12、會(huì)同國(guó)家保密局、國(guó)家密碼管理局和原國(guó)務(wù)院信息辦出臺(tái)了一些文件，國(guó)家發(fā)改委會(huì)同公安部、國(guó)家保密局出臺(tái)了相關(guān)文件，公安部對(duì)有些具體工作出臺(tái)了一些指導(dǎo)意見和規(guī)范，這些文件初步構(gòu)成了信息安全等級(jí)保護(hù)政策體系（如圖1所示），為指導(dǎo)各地區(qū)、各部門開展等級(jí)保護(hù)工作提供了政策保障。關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公通字2007861號(hào)）中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國(guó)務(wù)院147號(hào)令）國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號(hào)）信息安全等級(jí)保護(hù)工作關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字200466號(hào)）信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安20071

13、360號(hào)）關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號(hào)）關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20082071號(hào)）關(guān)于印發(fā)信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）的通知（公信安20091487號(hào)）公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行）（公信安2008736號(hào)）信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）定級(jí)備案安全建設(shè)整改等級(jí)測(cè)評(píng)檢查圖1 信息安全等級(jí)保護(hù)法律政策體系為了方便使用，我們已將信息安全等級(jí)保護(hù)政策文件匯編成信息安全等級(jí)保護(hù)政策匯編發(fā)給有關(guān)單位、部門。（一）總體政策總體方面的文件有兩個(gè)，這兩個(gè)文件確定了等級(jí)保護(hù)制度的

14、總體內(nèi)容和要求，對(duì)等級(jí)保護(hù)工作的開展起到宏觀指導(dǎo)作用。1、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字200466號(hào)）。該文件是為貫徹落實(shí)國(guó)務(wù)院第147號(hào)令和中辦27號(hào)文件、由四部委共同會(huì)簽印發(fā)、指導(dǎo)相關(guān)部門實(shí)施信息安全等級(jí)保護(hù)工作的綱領(lǐng)性文件，主要內(nèi)容包括貫徹落實(shí)信息安全等級(jí)保護(hù)制度的基本原則，等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。2、信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）。該文件是在開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作和信息安全等級(jí)保護(hù)試點(diǎn)工作基礎(chǔ)上，由四部委共同會(huì)簽印發(fā)的重要管理規(guī)范，主要內(nèi)容包括信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，信息

15、系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)的實(shí)施與管理，信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)選擇等，為開展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。（二）具體政策對(duì)應(yīng)等級(jí)保護(hù)工作的具體環(huán)節(jié)（信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全檢查），出臺(tái)了相應(yīng)的政策規(guī)范：1定級(jí)政策關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公通字2007861號(hào)）。2007年7月20日四部委在北京聯(lián)合召開了“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”，會(huì)議根據(jù)該通知精神部署在全國(guó)范圍內(nèi)開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作，標(biāo)志著全國(guó)信息安全等級(jí)保護(hù)工作全面開展。該文件由四部委共同會(huì)簽印發(fā)。2備案政策信息安全等級(jí)保護(hù)備案實(shí)

16、施細(xì)則（公信安20071360號(hào)）。該文件規(guī)定了公安機(jī)關(guān)受理信息系統(tǒng)運(yùn)營(yíng)使用單位信息系統(tǒng)備案工作的內(nèi)容、流程、審核等內(nèi)容，并附帶有關(guān)法律文書，指導(dǎo)各級(jí)公安機(jī)關(guān)受理信息系統(tǒng)備案工作。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。3安全建設(shè)整改政策（1）關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號(hào)）。該文件明確了非涉及國(guó)家秘密信息系統(tǒng)開展安全建設(shè)整改工作的目標(biāo)、內(nèi)容、流程和要求等，文件附件包括信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南和信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明。該文件由公安部印發(fā)。（2）關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20082071號(hào)）。

17、該文件要求非涉密國(guó)家電子政務(wù)項(xiàng)目開展等級(jí)測(cè)評(píng)和信息安全風(fēng)險(xiǎn)評(píng)估要按照信息安全等級(jí)保護(hù)管理辦法進(jìn)行，明確了項(xiàng)目驗(yàn)收條件：公安機(jī)關(guān)頒發(fā)的信息系統(tǒng)安全等級(jí)保護(hù)備案證明、等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。該文件由發(fā)改委、公安部、國(guó)家保密局共同會(huì)簽印發(fā)。4等級(jí)測(cè)評(píng)政策關(guān)于印發(fā)信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）的通知（公信安20091487號(hào)）。該文件明確了等級(jí)測(cè)評(píng)的內(nèi)容、方法和測(cè)評(píng)報(bào)告格式等內(nèi)容，用以規(guī)范等級(jí)測(cè)評(píng)活動(dòng)。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。5檢查監(jiān)督政策公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行）（公信安2008736號(hào)）。該文件規(guī)定了公安機(jī)關(guān)開展信息安全等級(jí)保護(hù)檢查工作的內(nèi)容、程序、方式以及相

18、關(guān)法律文書等，使檢查工作規(guī)范化、制度化。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。三、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的標(biāo)準(zhǔn)為推動(dòng)我國(guó)信息安全等級(jí)保護(hù)工作的開展，十多年來(lái)，在公安部領(lǐng)導(dǎo)和支持下，在國(guó)內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，為開展信息安全等級(jí)保護(hù)工作提供了標(biāo)準(zhǔn)保障。信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)具體見信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明。各單位、各部門安全建設(shè)整改工作應(yīng)依據(jù)基本要求或行業(yè)標(biāo)準(zhǔn)規(guī)范，并在不同階段、針對(duì)不同技術(shù)活動(dòng)參照相應(yīng)的標(biāo)準(zhǔn)規(guī)范進(jìn)行，相

19、關(guān)標(biāo)準(zhǔn)與等級(jí)保護(hù)各工作環(huán)節(jié)的關(guān)系如圖2所示。信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則操作系統(tǒng)安全技術(shù)要求信息安全等級(jí)保護(hù)安全建設(shè)整改工作網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全等

20、級(jí)安全要求現(xiàn)狀分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南圖2 等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)與等級(jí)保護(hù)各工作環(huán)節(jié)的關(guān)系為了方便使用，我們已將主要標(biāo)準(zhǔn)匯編成信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)匯編發(fā)給有關(guān)單位、部門。標(biāo)準(zhǔn)體系的構(gòu)成與作用如下：（一）基礎(chǔ)類標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則是強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，是等級(jí)保護(hù)重要的基礎(chǔ)性標(biāo)準(zhǔn)。依據(jù)在此標(biāo)準(zhǔn)制定出的信息系統(tǒng)通用安全技術(shù)要求等技術(shù)類標(biāo)準(zhǔn)和信息系統(tǒng)安全管理要求、信息系統(tǒng)安全工程管理要求等管理類標(biāo)準(zhǔn)、操作系統(tǒng)安全技術(shù)要求等產(chǎn)品類標(biāo)準(zhǔn)，共同構(gòu)成了等級(jí)保護(hù)基礎(chǔ)性標(biāo)準(zhǔn)，為相關(guān)標(biāo)準(zhǔn)的制定起到了基礎(chǔ)性作用。（二）安全要求類標(biāo)準(zhǔn)基本要求以及行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則構(gòu)成了信息系統(tǒng)安全建設(shè)整改的安

21、全需求。1信息系統(tǒng)安全等級(jí)保護(hù)基本要求（以下簡(jiǎn)稱基本要求）。該標(biāo)準(zhǔn)是在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則、技術(shù)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)基礎(chǔ)上，總結(jié)幾年的實(shí)踐，結(jié)合當(dāng)前信息技術(shù)發(fā)展的實(shí)際情況研究制定的，該標(biāo)準(zhǔn)提出了各級(jí)信息系統(tǒng)應(yīng)當(dāng)具備的安全保護(hù)能力，并從技術(shù)和管理兩方面提出了相應(yīng)的措施。2信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則。重點(diǎn)行業(yè)可以按照基本要求等國(guó)家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，在公安部等有關(guān)部門指導(dǎo)下，確定基本要求的具體指標(biāo)，在不低于基本要求的情況下，結(jié)合系統(tǒng)安全保護(hù)的特殊需求，制定信息系統(tǒng)安全建設(shè)整改的行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則，并據(jù)此開展安全建設(shè)整改工作。（三）定級(jí)類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南和信息

22、系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則為確定信息系統(tǒng)安全保護(hù)等級(jí)提供支持。1信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2008）。該標(biāo)準(zhǔn)規(guī)定了定級(jí)的依據(jù)、對(duì)象、流程和方法以及等級(jí)變更等內(nèi)容，用于指導(dǎo)開展信息系統(tǒng)定級(jí)工作。2信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則。重點(diǎn)行業(yè)可以根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南，結(jié)合行業(yè)特點(diǎn)，在公安部指導(dǎo)下，制定出臺(tái)行業(yè)信息系統(tǒng)定級(jí)標(biāo)準(zhǔn)規(guī)范或細(xì)則，并據(jù)此開展信息系統(tǒng)定級(jí)工作。（四）方法指導(dǎo)類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南和信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求構(gòu)成了指導(dǎo)信息系統(tǒng)安全建設(shè)整改的方法指導(dǎo)類標(biāo)準(zhǔn)。1信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（信安字200710號(hào)）。該標(biāo)準(zhǔn)闡述了等級(jí)

23、保護(hù)實(shí)施的基本原則、參與角色和信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行與維護(hù)、信息系統(tǒng)終止等幾個(gè)主要工作階段中如何按照信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn)要求實(shí)施等級(jí)保護(hù)工作。2信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（信安秘字2009059號(hào)）。該標(biāo)準(zhǔn)提出了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)的技術(shù)要求，包括第一級(jí)至第五級(jí)信息系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求，以及定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)技術(shù)要求，明確了體現(xiàn)定級(jí)系統(tǒng)安全保護(hù)能力的整體控制機(jī)制，用于指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)等開展信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)。（五）現(xiàn)狀分析類標(biāo)準(zhǔn)

24、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求和信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南構(gòu)成了指導(dǎo)開展等級(jí)測(cè)評(píng)的標(biāo)準(zhǔn)規(guī)范。1信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求。該標(biāo)準(zhǔn)闡述了等級(jí)測(cè)評(píng)的原則、測(cè)評(píng)內(nèi)容、測(cè)評(píng)強(qiáng)度、單元測(cè)評(píng)要求、整體測(cè)評(píng)要求、等級(jí)測(cè)評(píng)結(jié)論的產(chǎn)生方法等內(nèi)容，用于規(guī)范和指導(dǎo)測(cè)評(píng)人員如何開展等級(jí)測(cè)評(píng)工作。2信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南。該標(biāo)準(zhǔn)闡述了信息系統(tǒng)等級(jí)測(cè)評(píng)的測(cè)評(píng)過(guò)程，明確了等級(jí)測(cè)評(píng)的工作任務(wù)、分析方法以及工作結(jié)果等，包括測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)，用于規(guī)范測(cè)評(píng)機(jī)構(gòu)的等級(jí)測(cè)評(píng)過(guò)程。上述標(biāo)準(zhǔn)在應(yīng)用中需注意以下問(wèn)題：一是基本要求是信息系統(tǒng)安全建設(shè)整改的基本目標(biāo)，信息系統(tǒng)等級(jí)保護(hù)安全

25、設(shè)計(jì)技術(shù)要求是實(shí)現(xiàn)該目標(biāo)的方法和途徑之一?；疽笾胁话踩O(shè)計(jì)和工程實(shí)施等內(nèi)容，因此，在系統(tǒng)安全建設(shè)整改中，可以參照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求和信息系統(tǒng)安全工程管理要求進(jìn)行。二是由于信息系統(tǒng)定級(jí)時(shí)是根據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)確定的系統(tǒng)安全等級(jí)，因此，在進(jìn)行信息系統(tǒng)安全建設(shè)整改時(shí)，應(yīng)根據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)確定基本要求中相應(yīng)的安全保護(hù)要求。各單位、各部門在進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)時(shí)，要按照整體安全的原則，綜合考慮安全保護(hù)措施，建立系統(tǒng)綜合防護(hù)體系，提高系統(tǒng)的整體保護(hù)能力。三是信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求依據(jù)計(jì)算機(jī)信息系

26、統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則從“計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心”（一個(gè)中心三維防護(hù)）四方面給出了五個(gè)級(jí)別信息系統(tǒng)安全保護(hù)設(shè)計(jì)的技術(shù)要求，用于指導(dǎo)信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)。該標(biāo)準(zhǔn)不包括信息系統(tǒng)物理安全、安全管理、安全運(yùn)維等方面的安全要求，所以應(yīng)與基本要求等標(biāo)準(zhǔn)配合使用。四、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)在關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見已經(jīng)明確?？筛艣r為：利用三年時(shí)間，開展三項(xiàng)重點(diǎn)工作，實(shí)現(xiàn)五方面目標(biāo)。1三年時(shí)間。由于一些重要行業(yè)信息系統(tǒng)較多，受資金、人員等條件限制，考慮實(shí)際情況，全國(guó)已定級(jí)信息系統(tǒng)安全建設(shè)整改

27、工作總體上用三年時(shí)間完成。各行業(yè)主管（監(jiān)管）部門應(yīng)按照時(shí)間要求，根據(jù)本行業(yè)信息系統(tǒng)數(shù)量和實(shí)際情況，合理部署總體工作進(jìn)度。2三項(xiàng)重點(diǎn)工作。通過(guò)組織開展信息安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)等三項(xiàng)重點(diǎn)工作，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求。3五方面目標(biāo)。通過(guò)開展安全建設(shè)整改工作，達(dá)到以下五方面目標(biāo)：一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強(qiáng)，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。五、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作對(duì)象目前，少數(shù)單位和部門尚未開展信息系統(tǒng)定級(jí)備案工作，存在漏定級(jí)、漏備案和定

28、級(jí)不準(zhǔn)等情況，所以，各行業(yè)主管（監(jiān)管）部門應(yīng)在公安部指導(dǎo)下出臺(tái)行業(yè)信息系統(tǒng)定級(jí)指導(dǎo)意見和要求，先解決信息系統(tǒng)定級(jí)備案工作存在的突出問(wèn)題，在此基礎(chǔ)上開展安全建設(shè)整改工作。開展安全建設(shè)整改工作的信息系統(tǒng)范圍如下：1各單位、各部門要將已備案的第二級(jí)（含）以上信息系統(tǒng)納入安全建設(shè)整改的范圍。2尚未開展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案，再開展安全建設(shè)整改。3新建系統(tǒng)要同步開展安全建設(shè)工作。六、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作內(nèi)容及要求各單位、各部門在開展安全建設(shè)整改工作中，應(yīng)堅(jiān)持管理和技術(shù)并重的原則，依據(jù)基本要求，落實(shí)信息安全責(zé)任制，建立并落實(shí)各類安全管理制度，開展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維

29、管理等工作，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。（一）信息安全等級(jí)保護(hù)安全管理制度建設(shè)1建設(shè)依據(jù)按照管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)基本要求，參照信息系統(tǒng)安全管理要求、信息系統(tǒng)安全工程管理要求等標(biāo)準(zhǔn)規(guī)范要求，建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度。2建設(shè)內(nèi)容（1）落實(shí)信息安全責(zé)任制。成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確信息安全工作的主管領(lǐng)導(dǎo)。成立專門的信息安全管理部門或落實(shí)信息安全責(zé)任部門，確定安全崗位，落實(shí)專職人員或兼職人員。明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門和有關(guān)人員的信息安全責(zé)任。（2）落實(shí)人員安全管理制度。制定人員錄用、離崗、考核、教育培訓(xùn)等管理制度，落實(shí)管理

30、的具體措施。對(duì)安全崗位人員要進(jìn)行安全審查，定期進(jìn)行培訓(xùn)、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實(shí)現(xiàn)安全崗位人員持證上崗。（3）落實(shí)系統(tǒng)建設(shè)管理制度。建立信息系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理制度，明確工作內(nèi)容、工作方法、工作流程和工作要求。（4）落實(shí)系統(tǒng)運(yùn)維管理制度。建立機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置等管理制度，制定應(yīng)急預(yù)案并定期開展演練，采取相應(yīng)的管理技術(shù)措施和手段，確保系統(tǒng)運(yùn)維管理制度的有效落實(shí)。3、建設(shè)要求（1）在具體實(shí)施

31、過(guò)程中，可逐項(xiàng)建立管理制度，也可以進(jìn)行整合，形成完善的安全管理體系。要根據(jù)具體情況，結(jié)合系統(tǒng)管理實(shí)際，不斷健全完善管理制度。同時(shí)，將管理制度與管理技術(shù)措施有機(jī)結(jié)合，確保安全管理制度得到有效落實(shí)。（2）建立并落實(shí)監(jiān)督檢查機(jī)制。備案單位定期對(duì)各項(xiàng)制度的落實(shí)情況進(jìn)行自查，行業(yè)主管部門組織開展督導(dǎo)檢查，公安機(jī)關(guān)會(huì)同主管部門開展監(jiān)督檢查。（二）信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)1、建設(shè)依據(jù)按照管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)基本要求，參照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)安全工程管理要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等標(biāo)準(zhǔn)規(guī)范要求，建設(shè)信息系統(tǒng)安全保護(hù)技術(shù)措施。2、建設(shè)內(nèi)容

32、結(jié)合行業(yè)特點(diǎn)和安全需求，制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)，落實(shí)相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。在信息系統(tǒng)安全技術(shù)建設(shè)整改中，可以采取“一個(gè)中心、三維防護(hù)”（即一個(gè)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全）的防護(hù)策略，實(shí)現(xiàn)相應(yīng)級(jí)別信息系統(tǒng)的安全保護(hù)技術(shù)要求，建立并完善信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)的安全防護(hù)能力和水平。3、建設(shè)要求備案單位要開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，確定信息系統(tǒng)安全技術(shù)建設(shè)整改需求，制定信息系統(tǒng)安全技術(shù)建設(shè)整改方案，組織實(shí)施信息系統(tǒng)安全建設(shè)整改工程，開展安全自查

33、和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進(jìn)一步開展安全建設(shè)整改工作。七、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作流程安全建設(shè)整改工作可以分五步進(jìn)行。第一步：落實(shí)負(fù)責(zé)安全建設(shè)整改工作的責(zé)任部門，由責(zé)任部門牽頭制定本單位和本行業(yè)信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對(duì)安全建設(shè)整改工作進(jìn)行總體部署。第二步：開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求。可以依據(jù)基本要求等標(biāo)準(zhǔn)，采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法，分析判斷目前所采取的安全保護(hù)措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全保護(hù)方面存在的問(wèn)題，形成安全建設(shè)整改的需求并論證。第三步：確

34、定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案。在安全需求分析的基礎(chǔ)上，進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)，包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)，制定工程預(yù)算和工程實(shí)施計(jì)劃等，為后續(xù)安全建設(shè)整改工程實(shí)施提供依據(jù)。安全建設(shè)整改方案須經(jīng)專家評(píng)審論證，第三級(jí)（含）以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案，公安機(jī)關(guān)監(jiān)督檢查備案單位安全建設(shè)整改方案的實(shí)施。第四步：按照信息系統(tǒng)安全建設(shè)整改方案，實(shí)施安全建設(shè)整改工程，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制，建設(shè)安全設(shè)施，落實(shí)安全措施。在實(shí)施安全建設(shè)整改工程中，需要加強(qiáng)投資風(fēng)險(xiǎn)控制、實(shí)施流程管理、進(jìn)度規(guī)劃控制、工程質(zhì)量控制和信息保密管理。第五步：開展安全自查和等級(jí)測(cè)評(píng)，及

35、時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患和問(wèn)題，并通過(guò)風(fēng)險(xiǎn)分析，確定應(yīng)解決的主要問(wèn)題，進(jìn)一步開展安全整改工作。安全建設(shè)整改工作的具體步驟見圖3所示。信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署確定安全策略，制定安全建設(shè)整改方案物 理 安 全網(wǎng) 絡(luò) 安 全主 機(jī) 安 全應(yīng) 用 安 全數(shù) 據(jù) 安 全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖3 信息系統(tǒng)安全建設(shè)整改工作基本流程八、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作方法安全建設(shè)整改工作與各單位、各部門在信息系統(tǒng)建設(shè)中開展的安全建設(shè)工作有聯(lián)系又有區(qū)別，但信

36、息安全等級(jí)保護(hù)工作中的安全建設(shè)整改工作具有鮮明的特點(diǎn)，主要體現(xiàn)在以下四個(gè)方面：一是繼承發(fā)展。安全建設(shè)整改工作是在各單位、各部門信息系統(tǒng)安全保護(hù)工作基礎(chǔ)上開展的，是對(duì)原有工作的繼承和發(fā)展。二是引入標(biāo)準(zhǔn)。各單位、各部門是按照國(guó)家有關(guān)標(biāo)準(zhǔn)規(guī)范開展安全建設(shè)整改工作，強(qiáng)調(diào)將技術(shù)措施和管理措施有機(jī)結(jié)合，著重建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。三是外部監(jiān)督。傳統(tǒng)的信息系統(tǒng)安全保護(hù)工作大多是自主、自愿行為，而信息安全等級(jí)保護(hù)安全建設(shè)整改工作是有政府職能部門監(jiān)督的行為。全國(guó)公安機(jī)關(guān)對(duì)各單位、各部門等級(jí)保護(hù)工作的開展進(jìn)行監(jiān)督、檢查。四是政策牽引。公安機(jī)關(guān)會(huì)同國(guó)家保密部門、密碼工作部門和信息化部

37、門出臺(tái)了一系列政策文件和工作指南，為各單位、各部門開展等級(jí)保護(hù)工作提供了一定的保障機(jī)制。具體工作方法是：（一）安全建設(shè)整改工作應(yīng)以基本要求為基本目標(biāo)，可以針對(duì)安全現(xiàn)狀分析發(fā)現(xiàn)的問(wèn)題進(jìn)行加固改造，缺什么補(bǔ)什么；也可以進(jìn)行總體安全建設(shè)整改設(shè)計(jì)，將不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全保護(hù)體系，落實(shí)基本要求，最大程度發(fā)揮安全措施的保護(hù)能力。（二）突出重點(diǎn)。建設(shè)過(guò)程中要突出重點(diǎn)，可以先對(duì)第三、四級(jí)信息系統(tǒng)開展安全建設(shè)整改，再對(duì)第二級(jí)系統(tǒng)開展整改；也可以對(duì)各等級(jí)系統(tǒng)同步規(guī)劃實(shí)施，確保按期完成任務(wù)。（三）試點(diǎn)示范。重點(diǎn)行業(yè)、部門可以根據(jù)需要和實(shí)際情況，選擇有代表性的第二、三、四級(jí)信息系統(tǒng)先進(jìn)行安全

38、建設(shè)整改和等級(jí)測(cè)評(píng)工作試點(diǎn)、示范，在總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上全面推開。（四）安全建設(shè)整改工作具體實(shí)施可以根據(jù)實(shí)際情況，將安全管理制度建設(shè)和安全技術(shù)措施建設(shè)內(nèi)容一并實(shí)施，或分步實(shí)施。（五）重點(diǎn)行業(yè)可以按照基本要求等國(guó)家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，在公安部等有關(guān)部門指導(dǎo)下，確定基本要求的具體指標(biāo)，在不低于基本要求的情況下，結(jié)合系統(tǒng)安全保護(hù)的特殊需求，制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則，并據(jù)此開展安全建設(shè)整改工作。（六）將安全建設(shè)整改工作與業(yè)務(wù)工作、信息化建設(shè)工作有機(jī)結(jié)合，利用信息安全等級(jí)保護(hù)綜合工作平臺(tái)，使等級(jí)保護(hù)工作常態(tài)化。九、信息安全等級(jí)保護(hù)安全建設(shè)整改中的幾項(xiàng)相關(guān)工作（一）信息安全等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息

39、安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。等級(jí)測(cè)評(píng)工作是信息安全等級(jí)保護(hù)整體工作的一個(gè)重要組成部分，信息系統(tǒng)運(yùn)營(yíng)使用單位通過(guò)開展等級(jí)測(cè)評(píng)，一是可以掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能力。1測(cè)評(píng)機(jī)構(gòu)的選擇為了加強(qiáng)信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)和管理，規(guī)范等級(jí)測(cè)評(píng)活動(dòng)，保障等級(jí)測(cè)評(píng)工作的順利開展，專門機(jī)構(gòu)要對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員進(jìn)行安全審查和能力審驗(yàn)。開展等級(jí)測(cè)評(píng)的機(jī)構(gòu)須獲得專

40、門機(jī)構(gòu)頒發(fā)的有關(guān)資格證明文件。開展等級(jí)測(cè)評(píng)的人員須獲得專門機(jī)構(gòu)頒發(fā)的等級(jí)測(cè)評(píng)師證書（等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)三種）。審核通過(guò)的測(cè)評(píng)機(jī)構(gòu)由專門機(jī)構(gòu)向社會(huì)公布，并由備案單位選擇。2等級(jí)測(cè)評(píng)工作各單位、各部門在開展信息系統(tǒng)安全建設(shè)整改之前，可以通過(guò)等級(jí)測(cè)評(píng)進(jìn)行信息系統(tǒng)安全現(xiàn)狀分析，排查信息系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確信息系統(tǒng)安全建設(shè)整改的需求，制定安全建設(shè)整改方案，有針對(duì)性地進(jìn)行安全建設(shè)整改。信息系統(tǒng)安全建設(shè)整改后，按照管理辦法的要求進(jìn)行等級(jí)測(cè)評(píng)，檢驗(yàn)安全建設(shè)整改成效，查找與等級(jí)保護(hù)標(biāo)準(zhǔn)要求的差距。經(jīng)測(cè)評(píng)未達(dá)到安全保護(hù)要求的，要根據(jù)測(cè)評(píng)報(bào)告中的改進(jìn)建議，制定整改方案并進(jìn)一步進(jìn)行整改。對(duì)第三級(jí)（

41、含）以上信息系統(tǒng)要定期開展等級(jí)測(cè)評(píng)工作，對(duì)于重要部門的第二級(jí)信息系統(tǒng)，可以參照上述要求開展等級(jí)測(cè)評(píng)工作。各單位、各部門要對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的測(cè)評(píng)活動(dòng)進(jìn)行監(jiān)督管理，與測(cè)評(píng)機(jī)構(gòu)簽訂工作協(xié)議和保密協(xié)議，查驗(yàn)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的相關(guān)材料，落實(shí)測(cè)評(píng)過(guò)程監(jiān)管措施，防范對(duì)信息系統(tǒng)可能造成新的安全風(fēng)險(xiǎn)。各單位、各部門要監(jiān)督檢查測(cè)評(píng)機(jī)構(gòu)是否依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南等國(guó)家標(biāo)準(zhǔn)開展等級(jí)測(cè)評(píng)，是否按照公安部統(tǒng)一制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（公信安20091487號(hào)）格式出具測(cè)評(píng)報(bào)告。按照行業(yè)標(biāo)準(zhǔn)規(guī)范開展安全建設(shè)整改的信息系統(tǒng)，可以以國(guó)家標(biāo)準(zhǔn)為依據(jù)開展等級(jí)測(cè)評(píng)，也可以行

42、業(yè)標(biāo)準(zhǔn)規(guī)范為依據(jù)開展等級(jí)測(cè)評(píng)。各單位、各部門對(duì)信息系統(tǒng)開展等級(jí)測(cè)評(píng)后，每年應(yīng)將等級(jí)測(cè)評(píng)報(bào)告向受理備案的公安機(jī)關(guān)備案。信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)根據(jù)信息系統(tǒng)規(guī)模和測(cè)評(píng)機(jī)構(gòu)所投入的成本，合理支付測(cè)評(píng)服務(wù)費(fèi)用。測(cè)評(píng)費(fèi)用可以參考國(guó)家信息化項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)或根據(jù)被測(cè)設(shè)備數(shù)量與測(cè)評(píng)項(xiàng)預(yù)算測(cè)評(píng)費(fèi)用。（二）信息安全產(chǎn)品的選擇使用為落實(shí)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見中提出的“對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理”的要求，公安部發(fā)布了關(guān)于調(diào)整更新計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)執(zhí)行標(biāo)準(zhǔn)規(guī)范的公告（公信安20091157號(hào)），對(duì)已有分級(jí)標(biāo)準(zhǔn)的29類信息安全產(chǎn)品開展分級(jí)檢測(cè)工作。對(duì)于檢測(cè)并審核通過(guò)的產(chǎn)品，產(chǎn)品

43、銷售許可證書標(biāo)注產(chǎn)品分級(jí)信息，便于用戶根據(jù)信息系統(tǒng)安全需求選擇相應(yīng)等級(jí)的產(chǎn)品。管理辦法規(guī)定第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用我國(guó)自主研發(fā)的信息安全產(chǎn)品。信息安全產(chǎn)品是信息系統(tǒng)安全的重要基礎(chǔ)，信息安全產(chǎn)品的使用和管理是國(guó)家信息安全等級(jí)保護(hù)制度的重要組成部分，尤其是進(jìn)入到基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中的信息安全產(chǎn)品將直接影響信息系統(tǒng)安全，甚至危及國(guó)家安全、社會(huì)穩(wěn)定。因此，各單位、各部門應(yīng)在滿足使用要求的前提下，優(yōu)先選擇國(guó)產(chǎn)品。國(guó)家信息安全監(jiān)管部門對(duì)進(jìn)入第三級(jí)以上信息系統(tǒng)中使用的信息安全產(chǎn)品進(jìn)行管理。（三）信息系統(tǒng)安全建設(shè)整改方案的制定信息系統(tǒng)安全建設(shè)整改方案主要包括以下內(nèi)容：項(xiàng)目背景；政策和技術(shù)標(biāo)準(zhǔn)依據(jù)

44、；安全需求分析；安全建設(shè)整改技術(shù)方案設(shè)計(jì)；安全建設(shè)整改管理體系設(shè)計(jì)；信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)；安全建設(shè)整改后信息系統(tǒng)殘余風(fēng)險(xiǎn)分析；安全建設(shè)整改項(xiàng)目實(shí)施計(jì)劃；項(xiàng)目預(yù)算。十、信息安全等級(jí)保護(hù)安全建設(shè)整改工作的檢查監(jiān)督備案單位、行業(yè)主管部門、公安機(jī)關(guān)要分別建立并落實(shí)監(jiān)督檢查機(jī)制，定期對(duì)等級(jí)保護(hù)制度各項(xiàng)要求的落實(shí)情況進(jìn)行自查和監(jiān)督檢查。（一）備案單位的定期自查備案單位應(yīng)按照管理辦法的相關(guān)要求，對(duì)等級(jí)保護(hù)工作落實(shí)情況進(jìn)行自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實(shí)情況等，及時(shí)發(fā)現(xiàn)安全隱患和存在的突出問(wèn)題，有針對(duì)性地采取技術(shù)和管理措施。備案單位應(yīng)當(dāng)配合公安機(jī)關(guān)的監(jiān)督檢查工作，如實(shí)提供

45、有關(guān)資料及文件。當(dāng)?shù)谌?jí)（含）以上信息系統(tǒng)發(fā)生事件、案件時(shí)，備案單位應(yīng)當(dāng)及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。（二）行業(yè)主管部門的督導(dǎo)檢查行業(yè)主管部門要建立督導(dǎo)檢查制度，組織制定本行業(yè)、本部門的信息安全等級(jí)保護(hù)檢查工作規(guī)范，定期組織對(duì)本行業(yè)、本部門等級(jí)保護(hù)工作開展情況進(jìn)行檢查，督促落實(shí)信息安全等級(jí)保護(hù)制度，達(dá)到重點(diǎn)督促，以點(diǎn)帶面的目的。（三）公安機(jī)關(guān)的監(jiān)督檢查部、省、市三級(jí)公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門要按照“誰(shuí)受理備案、誰(shuí)負(fù)責(zé)檢查”的原則，依據(jù)公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行）（公信安2008736號(hào)），定期對(duì)備案單位等級(jí)保護(hù)工作開展和實(shí)施情況進(jìn)行監(jiān)督檢查。對(duì)于有主管部門的，公安機(jī)關(guān)要積極會(huì)同主管部門開展，充分發(fā)揮主管部門的作用，建立監(jiān)督檢查的配合機(jī)制。公安機(jī)關(guān)應(yīng)按照“嚴(yán)格依法，熱情服務(wù)”的要求開展檢查工作，遵守檢查紀(jì)律，規(guī)范檢查程序，主動(dòng)、熱情地為信息系統(tǒng)運(yùn)營(yíng)使用單位提供服務(wù)和指導(dǎo)。對(duì)備案單位重要信息系統(tǒng)發(fā)生的事件、案件及時(shí)進(jìn)行調(diào)查和立案?jìng)刹?，并指?dǎo)其開展應(yīng)急處置工作，為備案單位重要信息系統(tǒng)安全提供有力支持。十一、總體工作要求（一）高度重視，加強(qiáng)領(lǐng)導(dǎo)。等級(jí)保護(hù)安全建設(shè)整改工作任務(wù)艱巨，責(zé)任重大。各單位、各部門一定要高度重視，要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，切實(shí)加強(qiáng)對(duì)等級(jí)保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，落實(shí)責(zé)任部門、責(zé)任人員和安全建設(shè)整改經(jīng)費(fèi)，完善工作機(jī)制