信息安全等级保护安全建设整改工作指南.doc

信息安全等级保护安全建设整改工作指南
总则
工作目标
信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。
工作内容
信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。要依据《信息系统安全等级保护基本要求》(以下简称《基本要求》),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,具体内容如图1所示。
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
信息系统安全等级保护基本要求
l  岗位设置
l  人员配备
l  授权和审批
l  沟通和合作
l  审核和检查
l  管理制度
l  制定和发布
l  评审和修订
l  人员录用
l  人员离岗
l  人员考核
l  教育和培训
l  人员访问管理
l  定级备案
l  安全方案设计
l  产品采购使用
l  自行软件开发
l  外包软件开发
l  工程实施
l  测试验收
l  系统交付
l  安全服务选择
l  等级测评
l  环境管理
l  资产管理
l  介质管理
l  设备管理
l  监控管理
l  安全管理中心
l  网络安全管理
l  系统安全管理
l  变更管理
l  备份恢复管理
l  事件处置
l  应急响应
安全管理建设整改
l  机房位置选择
l  防火防雷
l  防水防潮
l  防静电
l  物理访问控制
l  防盗窃防破坏
l  温湿度控制
l  电力供应
l  电磁防护
l  区域划分
l  边界防护
l  访问控制
l  安全审计
l  入侵防范
l  病毒防护
l  通信保护
l  数据保密性
l  数据完整性
l  备份与恢复
l  身份鉴别
l  访问控制
l  安全审计
l  入侵防范
l  病毒防护
l  资源控制
l  安全标记
l  剩余信息保护
l  身份鉴别
l  访问控制
l  安全审计
l  通信完整性
l  通信保密性
l  软件容错
l  资源控制
l  安全标记
l  剩余信息保护
l  抗抵赖
安全技术建设整改
图1:信息系统安全建设整改主要内容
 
需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一并实施,或分步实施。
工作流程
信息系统安全建设整改工作分五步进行。第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如图2所示。
 
信息系统安全管理建设
 
信息系统安全技术建设
 
开展信息系统安全自查和等级测评
信息系统安全保护现状分析
信息系统安全建设整改工作规划和工作部署
确定安全策略,制定安全建设整改方案
图2:信息系统安全建设整改工作基本流程
 
标准应用
信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。
 
 
信息系统安全等级保护基本要求
计算机信息系统安全保护等级划分准则(GB17859)
信息系统通用安全
技术要求
信息系统物理安全
技术要求
技术类
其他技术类标准
信息系统安全
管理要求
信息系统安全工程
管