《信息安全等级保护安全建设整改工作指南》.docx

附件 2
信息安全等级保护安全
建设整改工作指南
中华人民共和国公安部
二◦◦九年十月
为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全
建设整改工作所依据的技术标准规范， 以及安全建设整改工作的目标、内容和方 法，公安部编写了《信息安全等级保护安全建设整改工作指南》 ，供参考。
本指南包括总则、安全管理制度建设、安全技术措施建设三个部分，附录是 信息安全等级保护主要标准简要说明。
由于时间仓促，经验不足，不妥之处，敬请批评指正。
目录
1总则 (1)
⑴
(1)
(2)
(3)
(5)
2安全管理制度建设 (6)
(7)
(7)
，制定安全管理制度 (8)
(8)
(8)
(8)
(8)
(9)
(9)
(9)
(9)
(9)
(10)
(10)
(10)
(10)
3安全技术措施建设 (10)
(11)
(11)
(12)
(12)
(12)
，设计总体技术方案 (12)
(12)
(12)
(13)
(13)
(13)
(13)
(13)
(14)
(14)
(14)
(14)
(14)
324方案论证和备案 (15)
(15)
(15)
(15)
(15)
附录：信息安全等级保护主要标准简要说明 (17)
1 总则
工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上， 按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。 通过落实安全责任制， 开展管理制度建设、 技术措施建设， 落实等级保护制度的 各项要求， 使信息系统安全管理水平明显提高， 安全保护能力明显增强， 安全隐 患和安全事故明显减少， 有效保障信息化健康发展， 维护国家安全、 社会秩序和 公共利益。
工作内容 信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中， 应按 照国家有关规定和标准规范要求， 坚持管理和技术并重的原则， 将技术措施和管 理措施有机结合， 建立信息系统综合防护体系， 提高信息系统整体安全保护能力。 要依据《信息系统安全等级保护基本要求》 （以下简称《基本要求》 ），落实信息 安全责任制， 建立并落实各类安全管理制度， 开展人员安全管理、 系统建设管理 和系统运维管理等工作， 落实物理安全、 网络安全、主机安全、 应用安全和数据 安全等安全保护技术措施，具体内容如图 1 所示
信息系统安全等级保护基本要求
安全管理建设整改
安全技术建设整改
安全管理机构
岗位设置 人员配备 授权和审批 沟通和合作 审核和检查
人员安全管理
人员录用
人员离岗
人员考核 教育和培训 人员访问管理
安全管理制度
管理制度 制定和发布 评审和修订
系统建设管理
定级备案 安全方案设计 产品采购使用 自行软件开发