信息安全等级保护安全建设整改工作指南.docx

信息安全等级保护安全建设整改工作指南-信息安全等级保护
附件2信息安全等级保护安全
建设整改工作指南
中华人民共和国公安部
二0。九年十月
、八刖言
为便丁信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整理事件处置
应急响应
管理制度
制定和发布
评审和修订
定级备案
安全方案设计
产品采购使用自行软件开发外包软件开发
工程实施
测试验收
系统交付
安全服务选择
等级测评
图1:信息系统安全建设整改主要内容
需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。

信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信
息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如图2所示。
隹自玄纬宕全有垣号瑟冲
I1~>L_J>/J、口一
1
!
11、”口三
!
确定安全卸
幻制定安
信息系统安全管信息系统安
系统运维
系统建设
人员安全
安全管理
安全管理
数据安
应用安
主机安
网络安
物理安
开展信息系统安
图2:信息系统安全建设整改工作基本流程

信息系统安全建设整改工作应依据《基本要求》，并在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。
信息系统安全等级保护定级指南
信息系统安全等级保护
信息系统安
产品类操作系统安数据库管理网络和终端其他产品类
信息系统安全等级保护基本要求
互r
I1
I__a<a:®aa——信息系统；信息系统I|信息系统：信息系统IIIII1网络基础：其他管理类I
k其他技术°,■计算机信息系统安全保护等级划分准则
图3:等级保护相关标准间的关系
需要说明的是，（一）《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》（GB17859以下简称《划分准则》）是等级保护的基础性标准，《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以技术类标准和管理类标准为基础，根据现有技术发展水平，从技术和管理两方
面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。（二）《基本要求》是信息系统安全建设整改的依据。信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据《基本要求》，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低丁《基本要求》。（三）《定级指南》为定级工作提供指导。
《信息系统安全等级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据《定级指南》，结合行业特点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。（四）《测评要求》等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。（五）《实施指南》等标准指导等级保护建设。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准，用丁指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导，是实现《基本要求》的方法之一。

各级信息系统应通过安全建设整改分别达