《信息安全等级保护安全建设整改工作指南》.doc

附件2
信息安全等级保护安全
建设整改工作指南
中华人民共和国公安部
二〇〇九年十月
前言
为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了《信息安全等级保护安全建设整改工作指南》,供参考。
本指南包括总则、安全管理制度建设、安全技术措施建设三个部分,附录是信息安全等级保护主要标准简要说明。
由于时间仓促,经验不足,不妥之处,敬请批评指正。

目录
1 总则………………………………………………………………………………(1)
工作目标…………………………………………………………………(1)
工作内容…………………………………………………………………(1)
工作流程…………………………………………………………………(2)
标准应用…………………………………………………………………(3)
安全保护能力目标………………………………………………………(5)
2 安全管理制度建设………………………………………………………………(6)
落实信息安全责任制……………………………………………………(7)
信息系统安全管理现状分析……………………………………………(7)
确定安全管理策略,制定安全管理制度………………………………(8)
落实安全管理措施………………………………………………………(8)
人员安全管理……………………………………………………(8)
系统运维管理……………………………………………………(8)
环境和资产安全管理……………………………………(8)
设备和介质安全管理……………………………………(9)
日常运行维护……………………………………………(9)
集中安全管理……………………………………………(9)
事件处置与应急响应……………………………………(9)
灾难备份…………………………………………………(9)
安全监测………………………………………………(10)
其他安全管理…………………………………………(10)
系统建设管理…………………………………………………………(10)
安全自查与调整………………………………………………………(10)
3 安全技术措施建设……………………………………………………………(10)
信息系统安全保护技术现状分析……………………………………(11)
信息系统现状分析……………………………………………(11)
信息系统安全保护技术现状分析……………………………(12)
安全需求论证和确定…………………………………………(12)
信息系统安全技术建设整改方案设计………………………………(12)
确定安全技术策略,设计总体技术方案……………………(12)
确定安全技术策略……………………………………(12)
设计总体技术方案……………………………………(12)
图3 安全技术体系设计实例
数据安全设计
安全技术方案详细设计………………………………………(13)
物理安全设计…………………………………………(13)
通信网络安全设计……………………………………(13)
区域边界安全设计……………………………………(13)
主机系统安全设计……………………………………(13)
应用系统安全设计……………………………………(14)
备份和恢复安全设计…………………………………(14)
建设经费预算和工程实施计划…………………………(14)
建设经费预算…………………………………………(14)
工程实施计划…………………………………………(14)
方案论证和备案………………………………………………(15)
安全建设整改工程实施和管理………………………………………(15)
工程实施和管理………………………………………………(15)
工程监理和验收………………………………………………(15)
安全等级测评…………………………………………………(15)