1、信息安全等級(jí)保護(hù)安全建設(shè)整改工作培訓(xùn)材料公安部網(wǎng)絡(luò)安全保衛(wèi)局二00九年十二月、八前言為進(jìn)一步貫徹落實(shí)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作 的意見(jiàn) 和關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 、信息安全等級(jí)保 護(hù)管理辦法精神，有效解決信息系統(tǒng)安全保護(hù)中存在的管理制度不健全、 技術(shù)措施不符合標(biāo)準(zhǔn)要求、 安全責(zé)任不落實(shí)等突出問(wèn)題， 提高我國(guó)重要信 息系統(tǒng)的安全保護(hù)能力，在全國(guó)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作基礎(chǔ)上， 公安部印發(fā)了關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意 見(jiàn)（公信安 20091429 號(hào)），部署開(kāi)展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改 工作。為便于信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作相關(guān)單位全

2、面了解和掌 握信息安全等級(jí)保護(hù)安全建設(shè)整改工作所依據(jù)的政策和技術(shù)標(biāo)準(zhǔn)， 明確開(kāi) 展等級(jí)保護(hù)安全建設(shè)整改工作的目標(biāo)、 容和要求， 更好地指導(dǎo)各單位、 各 部門(mén)開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作， 加強(qiáng)宣傳和培訓(xùn)工作， 我 們編寫(xiě)了本培訓(xùn)材料，供參考使用。有關(guān)材料下載網(wǎng)址：公安部： 等級(jí)保護(hù)： 目錄一、當(dāng)前開(kāi)展信息安全等級(jí)工作面臨的形勢(shì)二、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的政策（一）總體政策（二）具體政策1、定級(jí)政策2、備案政策3、安全建設(shè)整改政策4、等級(jí)測(cè)評(píng)政策5、檢查監(jiān)督政策三、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的標(biāo)準(zhǔn)（一）基礎(chǔ)類(lèi)標(biāo)準(zhǔn)（二）安全要求類(lèi)標(biāo)準(zhǔn)（三）定級(jí)類(lèi)標(biāo)準(zhǔn)（四）方法指導(dǎo)類(lèi)

3、標(biāo)準(zhǔn)（五）現(xiàn)狀分析類(lèi)標(biāo)準(zhǔn)四、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)五、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作對(duì)象六、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作容及要求（一）信息安全等級(jí)保護(hù)安全管理制度建設(shè)（二）信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)七、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作流程八、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作方法九、信息安全等級(jí)保護(hù)安全建設(shè)整改中的幾項(xiàng)相關(guān)工作（一）信息安全等級(jí)測(cè)評(píng)（二）信息安全產(chǎn)品的選擇使用（三）信息系統(tǒng)安全建設(shè)整改方案的制定十、信息安全等級(jí)保護(hù)安全建設(shè)整改工作的檢查監(jiān)督十一、總體工作要求附件：國(guó)家信息安全等級(jí)保護(hù)安全建設(shè)指導(dǎo)專(zhuān)家委員會(huì)職責(zé)國(guó)家信息安全等級(jí)保護(hù)安全建設(shè)指導(dǎo)專(zhuān)家

4、委員會(huì)專(zhuān)家信息安全等級(jí)保護(hù)安全建設(shè)整改工作培訓(xùn)材料一、當(dāng)前開(kāi)展信息安全等級(jí)工作面臨的形勢(shì)近年來(lái)，在黨中央、國(guó)務(wù)院的高度重視下，通過(guò)各地區(qū)、各部門(mén)的共 同努力，信息安全工作取得明顯成效：信息安全責(zé)任進(jìn)一步明確，等級(jí)保 護(hù)、風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)信任體系、應(yīng)急與災(zāi)備等基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè) 取得明顯進(jìn)展，信息安全防護(hù)水平明顯提高。與此同時(shí)我們應(yīng)該看到，當(dāng) 前我國(guó)信息安全面臨的形勢(shì)仍然十分嚴(yán)峻， 維護(hù)國(guó)家信息安全的任務(wù)十分 艱巨、繁重。一是西強(qiáng)我弱的局面長(zhǎng)期存在，信息安全戰(zhàn)略威脅更加突出。近年來(lái)，我國(guó)重要信息系統(tǒng)的安全保護(hù)能力雖然有了很大提高，但同西方發(fā)達(dá)國(guó)家相比，還是處于西強(qiáng)我弱，總體比較被動(dòng)的局面。奧

5、巴馬執(zhí)政以來(lái)， 美國(guó)高度重視網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)空間視為繼陸、海、空、太空后的“第 五戰(zhàn)略空間”，制訂出臺(tái)了包括強(qiáng)化聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)，整合各方資源力量，成立作戰(zhàn)部隊(duì)，加強(qiáng)技術(shù)研發(fā)和網(wǎng)絡(luò)戰(zhàn)資源儲(chǔ)備， 全面 提升國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全防能力等一系列重要舉措。而美國(guó)推行國(guó)家網(wǎng)絡(luò)安全新戰(zhàn)略，正是將中國(guó)作為其頭號(hào)假想敵。如果未來(lái)發(fā)生“網(wǎng) 絡(luò)戰(zhàn)”，美國(guó)和西方國(guó)家首要攻擊目標(biāo)就是我國(guó)涉及國(guó)計(jì)民生的重要信息 系統(tǒng)。同時(shí)，信息安全領(lǐng)域的一些關(guān)鍵技術(shù)和關(guān)鍵產(chǎn)品大部分掌握在西 方信息化發(fā)達(dá)國(guó)家手中，從而使大量采用國(guó)外產(chǎn)品和服務(wù)的我國(guó)重要 信息系統(tǒng)受敵對(duì)勢(shì)力、敵對(duì)分子滲透、攻擊、控制的安全隱患進(jìn)一步

6、加大，構(gòu)成了對(duì)我關(guān)鍵基礎(chǔ)設(shè)施的戰(zhàn)略威脅。二是各類(lèi)網(wǎng)絡(luò)安全威脅不斷增多，網(wǎng)絡(luò)安全防難度加大。 今年以來(lái)， 截獲計(jì)算機(jī)病毒數(shù)量、 新增病毒種類(lèi)以及感染計(jì)算機(jī)臺(tái)數(shù)較去年同期均有 所增加， 計(jì)算機(jī)病毒通過(guò)網(wǎng)頁(yè)掛馬、 網(wǎng)絡(luò)共享、 電子和 U 盤(pán)等移動(dòng)存儲(chǔ)介 質(zhì)廣泛傳播。與第三方應(yīng)用軟件、瀏覽器服務(wù)有關(guān)安全漏洞也大幅上升， 其量是高危漏洞。大量木馬、后門(mén)病毒利用安全漏洞通過(guò)“掛馬”、“U盤(pán)擺渡”、偽造和欺騙等手段侵入重要信息系統(tǒng)，消耗系統(tǒng)資源，竊取個(gè) 人用戶(hù)信息甚至國(guó)家秘密和商業(yè)秘密， 給重要信息系統(tǒng)的安全運(yùn)行造成很 大危害。 此外，境外敵對(duì)勢(shì)力、 敵對(duì)分子和不法分子也利用重要信息系統(tǒng) 的安全漏洞和管理缺

7、陷， 對(duì)我重要信息系統(tǒng)實(shí)施網(wǎng)絡(luò)探測(cè)攻擊， 破壞國(guó)家 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的行為也逐年增多。三是信息安全建設(shè)缺乏規(guī)，安全防護(hù)能力亟待提高。 一些單位信息 安全領(lǐng)導(dǎo)體制和工作機(jī)制等責(zé)任制未落實(shí)， 人員安全管理、 系統(tǒng)運(yùn)維管理 和系統(tǒng)建設(shè)管理制度不健全、 不規(guī)。缺乏常態(tài)化的系統(tǒng)安全保護(hù)狀況的測(cè) 評(píng)分析， 在安全技術(shù)策略的選擇、 建設(shè)整改方案設(shè)計(jì)及實(shí)施等技術(shù)建設(shè)方 面，既存在一定的盲目性， 也缺乏完整性和系統(tǒng)性， 導(dǎo)致信息安全整體防 護(hù)能力和水平不高，給信息系統(tǒng)正常運(yùn)行留下安全隱患。為切實(shí)履行中央賦予公安部的職責(zé)， 2007 年，公安部會(huì)同有關(guān)部門(mén) 開(kāi)展了信息安全等級(jí)保護(hù)定級(jí)工作。 經(jīng)過(guò)各部門(mén)、 各行業(yè)、 各

8、單位的共同 努力，定級(jí)工作已基本完成。 為加快推進(jìn)信息安全等級(jí)保護(hù)制度建設(shè)， 將 等級(jí)保護(hù)工作向縱深推進(jìn)， 定級(jí)備案工作完成后， 公安部積極組織有關(guān)單位和專(zhuān)家， 制定并完善了等級(jí)保護(hù)相關(guān)政策和技術(shù)標(biāo)準(zhǔn)， 為各單位、各部 門(mén)深入開(kāi)展等級(jí)保護(hù)安全建設(shè)整改工作奠定了必要的基礎(chǔ)。 一是制定了信 息安全等級(jí)保護(hù)安全建設(shè)整改工作的相關(guān)政策。 經(jīng)過(guò)多年探索和實(shí)踐， 特 別是經(jīng)過(guò)奧運(yùn)網(wǎng)絡(luò)安全保衛(wèi)工作的檢驗(yàn)， 進(jìn)一步明確了開(kāi)展等級(jí)保護(hù)安全 建設(shè)整改工作的目標(biāo)、容、要求和方法，制定并印發(fā)了關(guān)于開(kāi)展信息安 全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn) （公信安 20091429 號(hào)）及信 息安全等級(jí)保護(hù)安全建設(shè)整改工作指南

9、 等附件， 至此，針對(duì)等級(jí)保護(hù)定 級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等主要環(huán)節(jié)的政策體系已 基本形成。 二是制定了信息安全等級(jí)保護(hù)安全建設(shè)整改工作的相關(guān)標(biāo)準(zhǔn)。 為配合信息安全等級(jí)保護(hù)安全建設(shè)整改工作順利開(kāi)展， 公安部組織國(guó)有關(guān) 單位和專(zhuān)家經(jīng)過(guò)多年研究， 形成了以 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分 準(zhǔn)則（GB17859-1999為基礎(chǔ)的技術(shù)、管理和產(chǎn)品三大類(lèi)標(biāo)準(zhǔn)體系，并 在此基礎(chǔ)上， 形成了體現(xiàn)安全建設(shè)整改具體容和要求的 信息系統(tǒng)安全等 級(jí)保護(hù)基本要求（GB/T 22239-2008）。該標(biāo)準(zhǔn)與測(cè)評(píng)要求等狀況分析方 面的標(biāo)準(zhǔn)和實(shí)施指南、 安全設(shè)計(jì)技術(shù)要求等方法指導(dǎo)方面標(biāo)準(zhǔn)， 共同為安 全建

10、設(shè)整改工作提供技術(shù)標(biāo)準(zhǔn)支撐。 至此，信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系也 已基本形成。 三是等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)已經(jīng)開(kāi)展。 等級(jí)測(cè)評(píng)工作是信息 安全等級(jí)保護(hù)整體工作的一個(gè)重要組成部分。 為推動(dòng)信息安全等級(jí)保護(hù)測(cè) 評(píng)機(jī)構(gòu)建設(shè)， 規(guī)測(cè)評(píng)機(jī)構(gòu)和人員及其測(cè)評(píng)活動(dòng)的管理， 保障等級(jí)保護(hù)工作 的順利開(kāi)展， 公安部已于今年年初組織開(kāi)展等級(jí)測(cè)評(píng)體系建設(shè)。 先后組織 編寫(xiě)了信息安全等級(jí)保護(hù)測(cè)評(píng)要求 、信息安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 以及信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版 等標(biāo)準(zhǔn)和規(guī)。 為檢驗(yàn)標(biāo)準(zhǔn)和規(guī)的可行性和必要性，公安部于今年710月份組織開(kāi)展了等級(jí)測(cè)評(píng)體系建設(shè) 試點(diǎn)工作，六個(gè)省市公安機(jī)關(guān)和十多家測(cè)評(píng)機(jī)構(gòu)參加， 積累了對(duì)測(cè)評(píng)機(jī)

11、構(gòu) 及人員規(guī)管理的經(jīng)驗(yàn)和方法。下一步公安部將在全國(guó)推廣試點(diǎn)工作經(jīng)驗(yàn)， 加強(qiáng)對(duì)測(cè)評(píng)機(jī)構(gòu)的能力審驗(yàn)和安全審查， 加強(qiáng)對(duì)測(cè)評(píng)人員的安全審查和培 訓(xùn)，并將通過(guò)評(píng)估的測(cè)評(píng)機(jī)構(gòu)向社會(huì)公布，供相關(guān)單位選擇。此外，電力 等一些行業(yè)及一些信息安全企業(yè)已經(jīng)按照等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，開(kāi)始進(jìn)行信息安全等級(jí)保護(hù)安全建設(shè)整改工作，摸索了一些經(jīng)驗(yàn)?？傊?，綜合開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作面臨的形勢(shì)和前 期工作基礎(chǔ)，既是形勢(shì)所迫，也具備了一定的條件，既有必要性，也有可 行性。因此，各單位要全面準(zhǔn)確把握當(dāng)前我國(guó)信息安全工作面臨的形勢(shì)， 進(jìn)一步統(tǒng)一思想，提高認(rèn)識(shí)，增強(qiáng)做好信息安全等級(jí)保護(hù)安全建設(shè)整改工 作的責(zé)任感和緊迫感

12、，將等級(jí)保護(hù)工作落實(shí)好。二、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的政策近幾年，為組織開(kāi)展信息安全等級(jí)保護(hù)工作， 公安部根據(jù)中華人民 國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院147號(hào)令）的授權(quán)，會(huì)同國(guó)家 局、國(guó)家密碼管理局和原國(guó)務(wù)院信息辦出臺(tái)了一些文件，國(guó)家發(fā)改委會(huì)同公安部、國(guó)家局出臺(tái)了相關(guān)文件，公安部對(duì)有些具體工作出臺(tái)了一些指導(dǎo) 意見(jiàn)和規(guī)，這些文件初步構(gòu)成了信息安全等級(jí)保護(hù)政策體系（如圖 1所 示），為指導(dǎo)各地區(qū)、各部門(mén)開(kāi)展等級(jí)保護(hù)工作提供了政策保障。圖 1 信息安全等級(jí)保護(hù)法律政策體系為了方便使用， 我們已將信息安全等級(jí)保護(hù)政策文件匯編成 信息安 全等級(jí)保護(hù)政策匯編發(fā)給有關(guān)單位、部門(mén)。（一）總體

13、政策總體方面的文件有兩個(gè)， 這兩個(gè)文件確定了等級(jí)保護(hù)制度的總體容和要求，對(duì)等級(jí)保護(hù)工作的開(kāi)展起到宏觀指導(dǎo)作用。1、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) （公通字 200466 號(hào)） 該文件是為貫徹落實(shí)國(guó)務(wù)院第 147號(hào)令和中辦 27 號(hào)文件、由四部委共同 會(huì)簽印發(fā)、 指導(dǎo)相關(guān)部門(mén)實(shí)施信息安全等級(jí)保護(hù)工作的綱領(lǐng)性文件， 主要 容包括貫徹落實(shí)信息安全等級(jí)保護(hù)制度的基本原則， 等級(jí)保護(hù)工作的基本 容、工作要求和實(shí)施計(jì)劃，以及各部門(mén)工作職責(zé)分工等。2、信息安全等級(jí)保護(hù)管理辦法 （公通字 200743 號(hào)）。該文件是 在開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作和信息安全等級(jí)保護(hù)試點(diǎn)工 作基礎(chǔ)上， 由四部委共同

14、會(huì)簽印發(fā)的重要管理規(guī)， 主要容包括信息安全等 級(jí)保護(hù)制度的基本容、流程及工作要求，信息系統(tǒng)定級(jí)、備案、安全建設(shè) 整改、等級(jí)測(cè)評(píng)的實(shí)施與管理， 信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)選擇等， 為開(kāi)展 信息安全等級(jí)保護(hù)工作提供了規(guī)保障。（二）具體政策對(duì)應(yīng)等級(jí)保護(hù)工作的具體環(huán)節(jié) （信息系統(tǒng)定級(jí)、 備案、安全建設(shè)整改、 等級(jí)測(cè)評(píng)、安全檢查） ，出臺(tái)了相應(yīng)的政策規(guī)：1定級(jí)政策關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 （公通 字2007861 號(hào)）。2007年7月 20日四部委在聯(lián)合召開(kāi)了 “全國(guó)重要信息 系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視會(huì)議” ，會(huì)議根據(jù)該通知精神部署在全國(guó) 圍開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作

15、， 標(biāo)志著全國(guó)信息安全等級(jí)保 護(hù)工作全面開(kāi)展。該文件由四部委共同會(huì)簽印發(fā)。2備案政策信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則 （公信安 20071360 號(hào)）。該文 件規(guī)定了公安機(jī)關(guān)受理信息系統(tǒng)運(yùn)營(yíng)使用單位信息系統(tǒng)備案工作的容、 流 程、審核等容， 并附帶有關(guān)法律文書(shū)， 指導(dǎo)各級(jí)公安機(jī)關(guān)受理信息系統(tǒng)備案工作。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。3安全建設(shè)整改政策（1）關(guān)于開(kāi)展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn) （公 信安 20091429 號(hào)）。該文件明確了非涉及國(guó)家秘密信息系統(tǒng)開(kāi)展安全建 設(shè)整改工作的目標(biāo)、容、流程和要求等，文件附件包括信息安全等級(jí)保 護(hù)安全建設(shè)整改工作指南和信息安全等級(jí)保護(hù)主要標(biāo)

16、準(zhǔn)簡(jiǎn)要說(shuō)明 。 該文件由公安部印發(fā)。（2）關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的 通知（發(fā)改高技 20082071 號(hào)）。該文件要求非涉密?chē)?guó)家電子政務(wù)項(xiàng)目 開(kāi)展等級(jí)測(cè)評(píng)和信息安全風(fēng)險(xiǎn)評(píng)估要按照信息安全等級(jí)保護(hù)管理辦法 進(jìn)行，明確了項(xiàng)目驗(yàn)收條件： 公安機(jī)關(guān)頒發(fā)的信息系統(tǒng)安全等級(jí)保護(hù)備案 證明、等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。該文件由發(fā)改委、公安部、國(guó)家局 共同會(huì)簽印發(fā)。4等級(jí)測(cè)評(píng)政策關(guān)于印發(fā)信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行） 的通知（公信 安20091487 號(hào)）。該文件明確了等級(jí)測(cè)評(píng)的容、方法和測(cè)評(píng)報(bào)告格式等 容，用以規(guī)等級(jí)測(cè)評(píng)活動(dòng)。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。5檢查監(jiān)督政

17、策公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī) （試行）（公信安 2008736 號(hào)）。該文件規(guī)定了公安機(jī)關(guān)開(kāi)展信息安全等級(jí)保護(hù)檢查工作的容、 程序、 方式以及相關(guān)法律文書(shū)等， 使檢查工作規(guī)化、 制度化。 該文件由公安部網(wǎng) 絡(luò)安全保衛(wèi)局印發(fā)。三、信息安全等級(jí)保護(hù)安全建設(shè)整改工作依據(jù)的標(biāo)準(zhǔn)為推動(dòng)我國(guó)信息安全等級(jí)保護(hù)工作的開(kāi)展， 十多年來(lái)， 在公安部領(lǐng)導(dǎo) 和支持下，在國(guó)有關(guān)專(zhuān)家、企業(yè)的共同努力下， 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù) 委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等 級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)， 形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn) 體系，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了標(biāo)準(zhǔn)保障。 信息安

18、全等級(jí)保護(hù) 相關(guān)標(biāo)準(zhǔn)具體見(jiàn)信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明 。各單位、各部門(mén)安全建設(shè)整改工作應(yīng)依據(jù)基本要求或行業(yè)標(biāo)準(zhǔn) 規(guī)，并在不同階段、 針對(duì)不同技術(shù)活動(dòng)參照相應(yīng)的標(biāo)準(zhǔn)規(guī)進(jìn)行， 相關(guān)標(biāo)準(zhǔn) 與等級(jí)保護(hù)各工作環(huán)節(jié)的關(guān)系如圖 2 所示。信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求現(xiàn)狀分析安全等級(jí)信息安全等級(jí)保護(hù)安全建設(shè)整改工作方法指導(dǎo)安全要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)基本要求技術(shù)類(lèi)信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)安全管理要求產(chǎn)品類(lèi)操作

19、系統(tǒng)安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求信息系統(tǒng)安全工程管理要求數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求其他管理類(lèi)標(biāo)準(zhǔn)網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求其他技術(shù)類(lèi)標(biāo)準(zhǔn)其他產(chǎn)品類(lèi)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859圖2等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)與等級(jí)保護(hù)各工作環(huán)節(jié)的關(guān)系為了方便使用， 我們已將主要標(biāo)準(zhǔn)匯編成 信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)匯 編發(fā)給有關(guān)單位、部門(mén)。標(biāo)準(zhǔn)體系的構(gòu)成與作用如下：（一）基礎(chǔ)類(lèi)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 是強(qiáng)制性國(guó)家標(biāo)準(zhǔn)， 是等 級(jí)保護(hù)重要的基礎(chǔ)性標(biāo)準(zhǔn)。 依據(jù)在此標(biāo)準(zhǔn)制定出的 信息系統(tǒng)通用安全技 術(shù)要求 等技術(shù)類(lèi)標(biāo)準(zhǔn)和 信息系統(tǒng)安全管理要求 、信息系統(tǒng)安全工程

20、 管理要求等管理類(lèi)標(biāo)準(zhǔn)、 操作系統(tǒng)安全技術(shù)要求等產(chǎn)品類(lèi)標(biāo)準(zhǔn)，共 同構(gòu)成了等級(jí)保護(hù)基礎(chǔ)性標(biāo)準(zhǔn)，為相關(guān)標(biāo)準(zhǔn)的制定起到了基礎(chǔ)性作用。（二）安全要求類(lèi)標(biāo)準(zhǔn) 基本要求以及行業(yè)標(biāo)準(zhǔn)規(guī)或細(xì)則構(gòu)成了信息系統(tǒng)安全建設(shè)整改的 安全需求。1信息系統(tǒng)安全等級(jí)保護(hù)基本要求 （以下簡(jiǎn)稱(chēng)基本要求 ）。該 標(biāo)準(zhǔn)是在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 、技術(shù)類(lèi)標(biāo)準(zhǔn)和管理 類(lèi)標(biāo)準(zhǔn)基礎(chǔ)上，總結(jié)幾年的實(shí)踐， 結(jié)合當(dāng)前信息技術(shù)發(fā)展的實(shí)際情況研究 制定的，該標(biāo)準(zhǔn)提出了各級(jí)信息系統(tǒng)應(yīng)當(dāng)具備的安全保護(hù)能力， 并從技術(shù) 和管理兩方面提出了相應(yīng)的措施。2信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則。重點(diǎn)行業(yè)可以按照 基本要求等國(guó)家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，

21、在公安部等有關(guān)部門(mén)指導(dǎo)下， 確定基本要求的具體指標(biāo)，在不低于基本要求的情況下，結(jié)合系 統(tǒng)安全保護(hù)的特殊需求，制定信息系統(tǒng)安全建設(shè)整改的行業(yè)標(biāo)準(zhǔn)規(guī)或細(xì) 則，并據(jù)此開(kāi)展安全建設(shè)整改工作。（三）定級(jí)類(lèi)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 和信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定 級(jí)細(xì)則為確定信息系統(tǒng)安全保護(hù)等級(jí)提供支持。1. 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2008）。該標(biāo)準(zhǔn)規(guī) 定了定級(jí)的依據(jù)、 對(duì)象、流程和方法以及等級(jí)變更等容， 用于指導(dǎo)開(kāi)展信 息系統(tǒng)定級(jí)工作。2. 信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則。重點(diǎn)行業(yè)可以根據(jù)信息 系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 ，結(jié)合行業(yè)特點(diǎn)，在公安部指導(dǎo)下，制定出 臺(tái)行業(yè)信

22、息系統(tǒng)定級(jí)標(biāo)準(zhǔn)規(guī)或細(xì)則，并據(jù)此開(kāi)展信息系統(tǒng)定級(jí)工作。（四）方法指導(dǎo)類(lèi)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 和信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì) 技術(shù)要求構(gòu)成了指導(dǎo)信息系統(tǒng)安全建設(shè)整改的方法指導(dǎo)類(lèi)標(biāo)準(zhǔn)。1 . 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 （信安字200710 號(hào)）。該標(biāo)準(zhǔn) 闡述了等級(jí)保護(hù)實(shí)施的基本原則、 參與角色和信息系統(tǒng)定級(jí)、 總體安全規(guī) 劃、安全設(shè)計(jì)與實(shí)施、 安全運(yùn)行與維護(hù)、 信息系統(tǒng)終止等幾個(gè)主要工作階 段中如何按照信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn)要施等級(jí)保護(hù)工作。2.信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 （信安秘字2009059 號(hào)）。 該標(biāo)準(zhǔn)提出了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)的技術(shù)要求， 包括第一級(jí)至第五 級(jí)信

23、息系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò) 和安全管理中心等方面的設(shè)計(jì)技術(shù)要求， 以及定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)技術(shù)要 求，明確了體現(xiàn)定級(jí)系統(tǒng)安全保護(hù)能力的整體控制機(jī)制， 用于指導(dǎo)信息系 統(tǒng)運(yùn)營(yíng)使用單位、 信息安全企業(yè)、 信息安全服務(wù)機(jī)構(gòu)等開(kāi)展信息系統(tǒng)等級(jí) 保護(hù)安全技術(shù)設(shè)計(jì)。（五）現(xiàn)狀分析類(lèi)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 和信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng) 過(guò)程指南構(gòu)成了指導(dǎo)開(kāi)展等級(jí)測(cè)評(píng)的標(biāo)準(zhǔn)規(guī)。1信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 。該標(biāo)準(zhǔn)闡述了等級(jí)測(cè)評(píng)的原 則、測(cè)評(píng)容、測(cè)評(píng)強(qiáng)度、單元測(cè)評(píng)要求、整體測(cè)評(píng)要求、等級(jí)測(cè)評(píng)結(jié)論的 產(chǎn)生方法等容，用于規(guī)和指導(dǎo)測(cè)評(píng)人員如何開(kāi)展等級(jí)測(cè)評(píng)工作。2信息系統(tǒng)

24、安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 。該標(biāo)準(zhǔn)闡述了信息系統(tǒng) 等級(jí)測(cè)評(píng)的測(cè)評(píng)過(guò)程， 明確了等級(jí)測(cè)評(píng)的工作任務(wù)、 分析方法以及工作結(jié) 果等，包括測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編 制活動(dòng)，用于規(guī)測(cè)評(píng)機(jī)構(gòu)的等級(jí)測(cè)評(píng)過(guò)程。上述標(biāo)準(zhǔn)在應(yīng)用中需注意以下問(wèn)題： 一是基本要求 是信息系統(tǒng)安 全建設(shè)整改的基本目標(biāo)， 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求是實(shí)現(xiàn) 該目標(biāo)的方法和途徑之一。 基本要求中不包含安全設(shè)計(jì)和工程實(shí)施等 容，因此，在系統(tǒng)安全建設(shè)整改中，可以參照信息系統(tǒng)安全等級(jí)保護(hù)實(shí) 施指南、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 和信息系統(tǒng)安全工程 管理要求進(jìn)行。二是 由于信息系統(tǒng)定級(jí)時(shí)是根據(jù)業(yè)務(wù)信息安全等級(jí)

25、和系 統(tǒng)服務(wù)安全等級(jí)確定的系統(tǒng)安全等級(jí)， 因此，在進(jìn)行信息系統(tǒng)安全建設(shè)整 改時(shí)， 應(yīng)根據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)確定 基本要求 中 相應(yīng)的安全保護(hù)要求。 各單位、 各部門(mén)在進(jìn)行信息系統(tǒng)安全建設(shè)整改方案 設(shè)計(jì)時(shí)， 要按照整體安全的原則， 綜合考慮安全保護(hù)措施， 建立系統(tǒng)綜合 防護(hù)體系， 提高系統(tǒng)的整體保護(hù)能力。 三是信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì) 技術(shù)要求依據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則從“計(jì)算環(huán)境 安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心” （一個(gè)中心三維防 護(hù)）四方面給出了五個(gè)級(jí)別信息系統(tǒng)安全保護(hù)設(shè)計(jì)的技術(shù)要求， 用于指導(dǎo) 信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)。 該標(biāo)準(zhǔn)不包括信息系統(tǒng)

26、物理安全、 安全 管理、安全運(yùn)維等方面的安全要求，所以應(yīng)與基本要求等標(biāo)準(zhǔn)配合使 用。四、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo) 信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)在 關(guān)于開(kāi)展信息安全等 級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn) 已經(jīng)明確。 可概況為：利用三年時(shí) 間，開(kāi)展三項(xiàng)重點(diǎn)工作，實(shí)現(xiàn)五方面目標(biāo)。1三年時(shí)間。由于一些重要行業(yè)信息系統(tǒng)較多，受資金、人員等條 件限制， 考慮實(shí)際情況， 全國(guó)已定級(jí)信息系統(tǒng)安全建設(shè)整改工作總體上用 三年時(shí)間完成。各行業(yè)主管（監(jiān)管）部門(mén)應(yīng)按照時(shí)間要求，根據(jù)本行業(yè)信 息系統(tǒng)數(shù)量和實(shí)際情況，合理部署總體工作進(jìn)度。2三項(xiàng)重點(diǎn)工作。通過(guò)組織開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建 設(shè)、

27、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)等三項(xiàng)重點(diǎn)工作， 落實(shí)等級(jí)保護(hù)制度的各項(xiàng) 要求。3五方面目標(biāo)。 通過(guò)開(kāi)展安全建設(shè)整改工作， 達(dá)到以下五方面目標(biāo)： 一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防能力明顯增 強(qiáng)，三是信息系統(tǒng)安全隱患和安全事故明顯減少， 四是有效保障信息化健 康發(fā)展，五是有效維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。五、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作對(duì)象 目前，少數(shù)單位和部門(mén)尚未開(kāi)展信息系統(tǒng)定級(jí)備案工作， 存在漏定級(jí)、 漏備案和定級(jí)不準(zhǔn)等情況，所以，各行業(yè)主管（監(jiān)管）部門(mén)應(yīng)在公安部指 導(dǎo)下出臺(tái)行業(yè)信息系統(tǒng)定級(jí)指導(dǎo)意見(jiàn)和要求， 先解決信息系統(tǒng)定級(jí)備案工 作存在的突出問(wèn)題， 在此基礎(chǔ)上開(kāi)展安全

28、建設(shè)整改工作。 開(kāi)展安全建設(shè)整 改工作的信息系統(tǒng)圍如下：1各單位、各部門(mén)要將已備案的第二級(jí)（含）以上信息系統(tǒng)納入安 全建設(shè)整改的圍。2尚未開(kāi)展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案，再開(kāi)展安全建設(shè) 整改。3新建系統(tǒng)要同步開(kāi)展安全建設(shè)工作。六、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作容及要求 各單位、各部門(mén)在開(kāi)展安全建設(shè)整改工作中， 應(yīng)堅(jiān)持管理和技術(shù)并重 的原則，依據(jù)基本要求 ，落實(shí)信息安全責(zé)任制，建立并落實(shí)各類(lèi)安全 管理制度， 開(kāi)展人員安全管理、 系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作， 落 實(shí)物理安全、 網(wǎng)絡(luò)安全、主機(jī)安全、 應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù) 措施。（一）信息安全等級(jí)保護(hù)安全管理制度建設(shè)1建設(shè)

29、依據(jù) 按照管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)基本要求 ，參照信息 系統(tǒng)安全管理要求 、信息系統(tǒng)安全工程管理要求 等標(biāo)準(zhǔn)規(guī)要求， 建立 健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度。2建設(shè)容（1）落實(shí)信息安全責(zé)任制。成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確信息安全工作的主管領(lǐng)導(dǎo)。 成立專(zhuān)門(mén)的信息安全管理部門(mén)或落實(shí)信息安全責(zé)任 部門(mén)，確定安全崗位，落實(shí)專(zhuān)職人員或兼職人員。明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé) 任部門(mén)和有關(guān)人員的信息安全責(zé)任。（2）落實(shí)人員安全管理制度。制定人員錄用、離崗、考核、教育培 訓(xùn)等管理制度，落實(shí)管理的具體措施。對(duì)安全崗位人員要進(jìn)行安全審查， 定期進(jìn)行培訓(xùn)、 考核和安全教育， 提高安全崗位人員的專(zhuān)業(yè)水平， 逐

30、步實(shí) 現(xiàn)安全崗位人員持證上崗。（3）落實(shí)系統(tǒng)建設(shè)管理制度。建立信息系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、 產(chǎn)品采購(gòu)使用、密碼使用、軟件開(kāi)發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、 安全服務(wù)等管理制度，明確工作容、工作方法、工作流程和工作要求。（4）落實(shí)系統(tǒng)運(yùn)維管理制度。建立機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、 設(shè)備設(shè)施安全、 安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防、 密碼保護(hù)、 備份與恢復(fù)、 事件處置等管理制度， 制定應(yīng)急預(yù)案并定期開(kāi)展演練， 采取 相應(yīng)的管理技術(shù)措施和手段，確保系統(tǒng)運(yùn)維管理制度的有效落實(shí)。3、建設(shè)要求（1）在具體實(shí)施過(guò)程中，可逐項(xiàng)建立管理制度，也可以進(jìn)行整合， 形成完善的安全管理體系。 要根據(jù)具體情況，

31、 結(jié)合系統(tǒng)管理實(shí)際， 不斷健 全完善管理制度。 同時(shí)，將管理制度與管理技術(shù)措施有機(jī)結(jié)合， 確保安全 管理制度得到有效落實(shí)。（2）建立并落實(shí)監(jiān)督檢查機(jī)制。備案單位定期對(duì)各項(xiàng)制度的落實(shí)情 況進(jìn)行自查， 行業(yè)主管部門(mén)組織開(kāi)展督導(dǎo)檢查， 公安機(jī)關(guān)會(huì)同主管部門(mén)開(kāi) 展監(jiān)督檢查。（二）信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)1、建設(shè)依據(jù)按照管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)基本要求 ，參照信息 系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 、信息系統(tǒng)通用安全技術(shù)要求 、信息系統(tǒng) 安全工程管理要求 、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 等標(biāo)準(zhǔn)規(guī)要 求，建設(shè)信息系統(tǒng)安全保護(hù)技術(shù)措施。2、建設(shè)容結(jié)合行業(yè)特點(diǎn)和安全需求， 制定符合相應(yīng)等級(jí)要求的信息

32、系統(tǒng)安全技 術(shù)建設(shè)整改方案， 開(kāi)展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)， 落實(shí)相應(yīng)的 物理安全、 網(wǎng)絡(luò)安全、 主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措 施。在信息系統(tǒng)安全技術(shù)建設(shè)整改中，可以采取“一個(gè)中心、三維防護(hù)” （即一個(gè)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全） 的防護(hù)策略， 實(shí)現(xiàn)相應(yīng)級(jí)別信息系統(tǒng)的安全保護(hù)技術(shù)要求， 建立并完善信 息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)的安全防護(hù)能力和水平。3、建設(shè)要求備案單位要開(kāi)展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析， 確定信息系統(tǒng)安全技術(shù) 建設(shè)整改需求， 制定信息系統(tǒng)安全技術(shù)建設(shè)整改方案， 組織實(shí)施信息系統(tǒng) 安全建設(shè)整改工程， 開(kāi)展安全自查和等級(jí)測(cè)評(píng)，

33、及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在 安全隱患和威脅，進(jìn)一步開(kāi)展安全建設(shè)整改工作。七、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作流程 安全建設(shè)整改工作可以分五步進(jìn)行。第一步：落實(shí)負(fù)責(zé)安全建設(shè)整改工作的責(zé)任部門(mén)， 由責(zé)任部門(mén)牽頭制 定本單位和本行業(yè)信息系統(tǒng)安全建設(shè)整改工作規(guī)劃， 對(duì)安全建設(shè)整改工作 進(jìn)行總體部署。第二步：開(kāi)展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析， 從管理和技術(shù)兩個(gè)方面確 定信息系統(tǒng)安全建設(shè)整改需求?？梢砸罁?jù)基本要求等標(biāo)準(zhǔn)，采取對(duì)照 檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法， 分析判斷目前所采取的安全保護(hù)措施 與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距， 分析系統(tǒng)已發(fā)生的事件或事故， 分析安 全保護(hù)方面存在的問(wèn)題，形成安全建設(shè)整改的需求并

34、論證。第三步： 確定安全保護(hù)策略， 制定信息系統(tǒng)安全建設(shè)整改方案。 在安 全需求分析的基礎(chǔ)上， 進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)， 包括總體設(shè) 計(jì)和詳細(xì)設(shè)計(jì)， 制定工程預(yù)算和工程實(shí)施計(jì)劃等， 為后續(xù)安全建設(shè)整改工 程實(shí)施提供依據(jù)。安全建設(shè)整改方案須經(jīng)專(zhuān)家評(píng)審論證，第三級(jí)（含）以 上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案， 公安機(jī)關(guān)監(jiān)督檢查備案 單位安全建設(shè)整改方案的實(shí)施。第四步：按照信息系統(tǒng)安全建設(shè)整改方案，實(shí)施安全建設(shè)整改工程， 建立并落實(shí)安全管理制度， 落實(shí)安全責(zé)任制， 建設(shè)安全設(shè)施， 落實(shí)安全措 施。在實(shí)施安全建設(shè)整改工程中， 需要加強(qiáng)投資風(fēng)險(xiǎn)控制、 實(shí)施流程管理、 進(jìn)度規(guī)劃控制、工程

35、質(zhì)量控制和信息管理。第五步：開(kāi)展安全自查和等級(jí)測(cè)評(píng)， 及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在的安全 隱患和問(wèn)題， 并通過(guò)風(fēng)險(xiǎn)分析， 確定應(yīng)解決的主要問(wèn)題， 進(jìn)一步開(kāi)展安全 整改工作。安全建設(shè)整改工作的具體步驟見(jiàn)圖 3所示。1 f安全建設(shè)整改工作定與各單位、定各部設(shè)在方息系統(tǒng)建設(shè)中開(kāi)展的安全建設(shè)工作有聯(lián)系又有區(qū)別信息安全等級(jí)保安全建設(shè)整改工作具有鮮明的特息系，安主要體現(xiàn)在以下四個(gè)是繼設(shè)展。安全建設(shè)整改工作丿是在全有工作E的繼各單位、全準(zhǔn)規(guī)開(kāi)展安制 全建信息系統(tǒng)安統(tǒng)二建是引I運(yùn)入標(biāo)管理強(qiáng)部門(mén)管理工作全保扌護(hù)工理 絡(luò)各單位、建立作基礎(chǔ)4用、門(mén)是按是對(duì)原家有關(guān)標(biāo)調(diào)將技術(shù)扌措施和管理施有合，著重信息系統(tǒng)綜合防£

36、;全保護(hù)能丿J。三是外部監(jiān)督。傳統(tǒng)的信息系統(tǒng)安全保護(hù)工安全大多是自主評(píng)自愿行為，而信息安全等級(jí)保護(hù)安全建設(shè)整改工作是有政府職能部門(mén)監(jiān)督的行為。全國(guó)公安機(jī)關(guān)對(duì)各單位、各部門(mén)等級(jí)保護(hù)工作的開(kāi)展進(jìn)行監(jiān)督、檢查。四是政策牽引 公安機(jī)關(guān)會(huì)同國(guó)家部門(mén)、密碼工作部門(mén)和信息化部門(mén)出臺(tái)了一系列政策文 件和工作指南，為各單位、各部門(mén)開(kāi)展等級(jí)保護(hù)工作提供了一定的保障機(jī) 制。具體工作方法是：（一）安全建設(shè)整改工作應(yīng)以基本要求為基本目標(biāo)，可以針對(duì)安 全現(xiàn)狀分析發(fā)現(xiàn)的問(wèn)題進(jìn)行加固改造， 缺什么補(bǔ)什么；也可以進(jìn)行總體安 全建設(shè)整改設(shè)計(jì)，將不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全 保護(hù)體系，落實(shí)基本要求，最大程度發(fā)揮安

37、全措施的保護(hù)能力。（二）突出重點(diǎn)。建設(shè)過(guò)程中要突出重點(diǎn)，可以先對(duì)第三、四級(jí)信息 系統(tǒng)開(kāi)展安全建設(shè)整改，再對(duì)第二級(jí)系統(tǒng)開(kāi)展整改；也可以對(duì)各等級(jí)系統(tǒng) 同步規(guī)劃實(shí)施，確保按期完成任務(wù)。（三）試點(diǎn)示。重點(diǎn)行業(yè)、部門(mén)可以根據(jù)需要和實(shí)際情況，選擇有代 表性的第二、三、四級(jí)信息系統(tǒng)先進(jìn)行安全建設(shè)整改和等級(jí)測(cè)評(píng)工作試點(diǎn)、 示，在總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上全面推開(kāi)。（四）安全建設(shè)整改工作具體實(shí)施可以根據(jù)實(shí)際情況，將安全管理制度建設(shè)和安全技術(shù)措施建設(shè)容一并實(shí)施，或分步實(shí)施。（五）重點(diǎn)行業(yè)可以按照基本要求等國(guó)家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，在公安部等有關(guān)部門(mén)指導(dǎo)下，確定基本要求的具體指標(biāo)，在不低于基 本要求的情況下，結(jié)合系統(tǒng)安全保護(hù)的

38、特殊需求，制定行業(yè)標(biāo)準(zhǔn)規(guī)或細(xì) 則，并據(jù)此開(kāi)展安全建設(shè)整改工作。（六）將安全建設(shè)整改工作與業(yè)務(wù)工作、信息化建設(shè)工作有機(jī)結(jié)合，利用信息安全等級(jí)保護(hù)綜合工作平臺(tái)，使等級(jí)保護(hù)工作常態(tài)化九、信息安全等級(jí)保護(hù)安全建設(shè)整改中的幾項(xiàng)相關(guān)工作（一）信息安全等級(jí)測(cè)評(píng) 等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定， 受有關(guān)單 位委托， 按照有關(guān)管理規(guī)和技術(shù)標(biāo)準(zhǔn)， 對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等 級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。 等級(jí)測(cè)評(píng)工作是信息安全等級(jí)保護(hù)整體 工作的一個(gè)重要組成部分， 信息系統(tǒng)運(yùn)營(yíng)使用單位通過(guò)開(kāi)展等級(jí)測(cè)評(píng)， 一 是可以掌握信息系統(tǒng)安全狀況、 排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、 明確信息 系統(tǒng)安全建

39、設(shè)整改需求； 二是衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措 施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能力。1測(cè)評(píng)機(jī)構(gòu)的選擇 為了加強(qiáng)信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)和管理， 規(guī)等級(jí)測(cè)評(píng)活 動(dòng)，保障等級(jí)測(cè)評(píng)工作的順利開(kāi)展， 專(zhuān)門(mén)機(jī)構(gòu)要對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員進(jìn) 行安全審查和能力審驗(yàn)。 開(kāi)展等級(jí)測(cè)評(píng)的機(jī)構(gòu)須獲得專(zhuān)門(mén)機(jī)構(gòu)頒發(fā)的有關(guān) 明文件。開(kāi)展等級(jí)測(cè)評(píng)的人員須獲得專(zhuān)門(mén)機(jī)構(gòu)頒發(fā)的等級(jí)測(cè)評(píng)師證書(shū) （等 級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)三種） 。審核通過(guò)的測(cè)評(píng)機(jī)構(gòu)由專(zhuān)門(mén)機(jī)構(gòu) 向社會(huì)公布，并由備案單位選擇。2等級(jí)測(cè)評(píng)工作 各單位、各部門(mén)在開(kāi)展信息系統(tǒng)安全建設(shè)整改之前， 可以通過(guò)等級(jí)測(cè) 評(píng)進(jìn)行信息系統(tǒng)安全現(xiàn)

40、狀分析， 排查信息系統(tǒng)安全隱患和薄弱環(huán)節(jié)， 明確 信息系統(tǒng)安全建設(shè)整改的需求， 制定安全建設(shè)整改方案， 有針對(duì)性地進(jìn)行 安全建設(shè)整改。信息系統(tǒng)安全建設(shè)整改后，按照管理辦法的要求進(jìn)行 等級(jí)測(cè)評(píng)， 檢驗(yàn)安全建設(shè)整改成效， 查找與等級(jí)保護(hù)標(biāo)準(zhǔn)要求的差距。 經(jīng) 測(cè)評(píng)未達(dá)到安全保護(hù)要求的， 要根據(jù)測(cè)評(píng)報(bào)告中的改進(jìn)建議， 制定整改方 案并進(jìn)一步進(jìn)行整改。 對(duì)第三級(jí) （含）以上信息系統(tǒng)要定期開(kāi)展等級(jí)測(cè)評(píng) 工作，對(duì)于重要部門(mén)的第二級(jí)信息系統(tǒng)， 可以參照上述要求開(kāi)展等級(jí)測(cè)評(píng) 工作。各單位、各部門(mén)要對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的測(cè)評(píng)活動(dòng)進(jìn)行監(jiān)督管理， 與測(cè)評(píng)機(jī)構(gòu)簽訂工作協(xié)議和協(xié)議，查驗(yàn)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的相關(guān)材料， 落實(shí)

41、測(cè)評(píng)過(guò)程監(jiān)管措施，防對(duì)信息系統(tǒng)可能造成新的安全風(fēng)險(xiǎn)。各單位、 各部門(mén)要監(jiān)督檢查測(cè)評(píng)機(jī)構(gòu)是否依據(jù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 、 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 等國(guó)家標(biāo)準(zhǔn)開(kāi)展等級(jí)測(cè)評(píng)， 是否 按照公安部統(tǒng)一制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版 （公信安 20091487 號(hào)）格式出具測(cè)評(píng)報(bào)告。按照行業(yè)標(biāo)準(zhǔn)規(guī)開(kāi)展安全建設(shè)整改的信息系統(tǒng)， 可以以國(guó)家標(biāo)準(zhǔn)為依 據(jù)開(kāi)展等級(jí)測(cè)評(píng)， 也可以行業(yè)標(biāo)準(zhǔn)規(guī)為依據(jù)開(kāi)展等級(jí)測(cè)評(píng)。 各單位、 各部 門(mén)對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)后， 每年應(yīng)將等級(jí)測(cè)評(píng)報(bào)告向受理備案的公安 機(jī)關(guān)備案。信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)根據(jù)信息系統(tǒng)規(guī)模和測(cè)評(píng)機(jī)構(gòu)所投 入的成本， 合理支付測(cè)評(píng)服務(wù)費(fèi)用。

42、 測(cè)評(píng)費(fèi)用可以參考國(guó)家信息化項(xiàng)目人 工計(jì)費(fèi)標(biāo)準(zhǔn)或根據(jù)被測(cè)設(shè)備數(shù)量與測(cè)評(píng)項(xiàng)預(yù)算測(cè)評(píng)費(fèi)用。（二）信息安全產(chǎn)品的選擇使用為落實(shí)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 中提出的“對(duì)信息 系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理”的要求， 公安部發(fā)布了 關(guān) 于調(diào)整更新計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)執(zhí)行標(biāo)準(zhǔn)規(guī)的公告 （公信 安20091157 號(hào)），對(duì)已有分級(jí)標(biāo)準(zhǔn)的 29 類(lèi)信息安全產(chǎn)品開(kāi)展分級(jí)檢測(cè) 工作。對(duì)于檢測(cè)并審核通過(guò)的產(chǎn)品，產(chǎn)品銷(xiāo)售許可證書(shū)標(biāo)注產(chǎn)品分級(jí)信息， 便于用戶(hù)根據(jù)信息系統(tǒng)安全需求選擇相應(yīng)等級(jí)的產(chǎn)品。管理辦法規(guī)定第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用我國(guó)自主研發(fā)的信息安全產(chǎn)品。信息安全產(chǎn)品是信息系統(tǒng)安全的

43、重要基礎(chǔ)， 信息安全產(chǎn)品 的使用和管理是國(guó)家信息安全等級(jí)保護(hù)制度的重要組成部分，尤其是進(jìn)入到基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中的信息安全產(chǎn)品將直接影響信息系統(tǒng) 安全，甚至危及國(guó)家安全、社會(huì)穩(wěn)定。因此，各單位、各部門(mén)應(yīng)在滿(mǎn)足使 用要求的前提下，優(yōu)先選擇國(guó)產(chǎn)品。國(guó)家信息安全監(jiān)管部門(mén)對(duì)進(jìn)入第三級(jí) 以上信息系統(tǒng)中使用的信息安全產(chǎn)品進(jìn)行管理。（三）信息系統(tǒng)安全建設(shè)整改方案的制定信息系統(tǒng)安全建設(shè)整改方案主要包括以下容： 項(xiàng)目背景；政策和技術(shù) 標(biāo)準(zhǔn)依據(jù)；安全需求分析；安全建設(shè)整改技術(shù)方案設(shè)計(jì)；安全建設(shè)整改管 理體系設(shè)計(jì)；信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)； 安全建設(shè)整改后信息系 統(tǒng)殘余風(fēng)險(xiǎn)分析；安全建設(shè)整改項(xiàng)目實(shí)施計(jì)

44、劃；項(xiàng)目預(yù)算。十、信息安全等級(jí)保護(hù)安全建設(shè)整改工作的檢查監(jiān)督備案單位、行業(yè)主管部門(mén)、公安機(jī)關(guān)要分別建立并落實(shí)監(jiān)督檢查機(jī)制，定期對(duì)等級(jí)保護(hù)制度各項(xiàng)要求的落實(shí)情況進(jìn)行自查和監(jiān)督檢查。（一）備案單位的定期自查備案單位應(yīng)按照管理辦法的相關(guān)要求，對(duì)等級(jí)保護(hù)工作落實(shí)情況 進(jìn)行自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實(shí) 情況等，及時(shí)發(fā)現(xiàn)安全隱患和存在的突出問(wèn)題， 有針對(duì)性地采取技術(shù)和管 理措施。備案單位應(yīng)當(dāng)配合公安機(jī)關(guān)的監(jiān)督檢查工作， 如實(shí)提供有關(guān)資料及文件。當(dāng)?shù)谌?jí)（含）以上信息系統(tǒng)發(fā)生事件、案件時(shí)，備案單位應(yīng)當(dāng) 及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。（二）行業(yè)主管部門(mén)的督導(dǎo)檢查行業(yè)主管部門(mén)要建

45、立督導(dǎo)檢查制度， 組織制定本行業(yè)、 本部門(mén)的信息 安全等級(jí)保護(hù)檢查工作規(guī)， 定期組織對(duì)本行業(yè)、 本部門(mén)等級(jí)保護(hù)工作開(kāi)展 情況進(jìn)行檢查， 督促落實(shí)信息安全等級(jí)保護(hù)制度， 達(dá)到重點(diǎn)督促， 以點(diǎn)帶 面的目的。（三）公安機(jī)關(guān)的監(jiān)督檢查 部、省、市三級(jí)公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)要按照“誰(shuí)受理備案、誰(shuí) 負(fù)責(zé)檢查”的原則，依據(jù)公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī) （試行） （公信安 2008736 號(hào)），定期對(duì)備案單位等級(jí)保護(hù)工作開(kāi)展和實(shí)施情況進(jìn) 行監(jiān)督檢查。 對(duì)于有主管部門(mén)的， 公安機(jī)關(guān)要積極會(huì)同主管部門(mén)開(kāi)展， 充 分發(fā)揮主管部門(mén)的作用，建立監(jiān)督檢查的配合機(jī)制。公安機(jī)關(guān)應(yīng)按照“嚴(yán)格依法，熱情服務(wù)”的要求開(kāi)展檢查工作，遵守 檢查紀(jì)律，規(guī)檢查程序， 主動(dòng)、熱情地為信息系統(tǒng)運(yùn)營(yíng)使用單位提供服務(wù) 和指導(dǎo)。 對(duì)備案單位重要信息系統(tǒng)發(fā)生的事件、 案件及時(shí)進(jìn)行調(diào)查和立案 偵查，并指導(dǎo)其開(kāi)展應(yīng)急處置工作， 為備案單位重要信息系統(tǒng)安全提供有 力支持。十一、總體工作要求（一）高度重視，加強(qiáng)領(lǐng)導(dǎo)。 等級(jí)保護(hù)安全建設(shè)整改工作任務(wù)艱巨， 責(zé)任重大。各