信息安全等级保护安全建设整改工作培训材料之一

1、信息安全等级保护安全建设整改工作培训材料公安部网络安全保卫局二00九年十二月、八前言为进一步贯彻落实国家信息化领导小组关于加强信息安全保障工作 的意见 和关于信息安全等级保护工作的实施意见 、信息安全等级保 护管理办法精神，有效解决信息系统安全保护中存在的管理制度不健全、 技术措施不符合标准要求、 安全责任不落实等突出问题， 提高我国重要信 息系统的安全保护能力，在全国信息系统安全等级保护定级工作基础上， 公安部印发了关于开展信息安全等级保护安全建设整改工作的指导意 见（公信安 20091429 号），部署开展信息系统等级保护安全建设整改 工作。为便于信息系统等级保护安全建设整改工作相关单位全

2、面了解和掌 握信息安全等级保护安全建设整改工作所依据的政策和技术标准， 明确开 展等级保护安全建设整改工作的目标、 容和要求， 更好地指导各单位、 各 部门开展信息安全等级保护安全建设整改工作， 加强宣传和培训工作， 我 们编写了本培训材料，供参考使用。有关材料下载网址：公安部： 等级保护： 目录一、当前开展信息安全等级工作面临的形势二、信息安全等级保护安全建设整改工作依据的政策（一）总体政策（二）具体政策1、定级政策2、备案政策3、安全建设整改政策4、等级测评政策5、检查监督政策三、信息安全等级保护安全建设整改工作依据的标准（一）基础类标准（二）安全要求类标准（三）定级类标准（四）方法指导类

3、标准（五）现状分析类标准四、信息安全等级保护安全建设整改的工作目标五、信息安全等级保护安全建设整改的工作对象六、信息安全等级保护安全建设整改的工作容及要求（一）信息安全等级保护安全管理制度建设（二）信息安全等级保护安全技术措施建设七、信息安全等级保护安全建设整改的工作流程八、信息安全等级保护安全建设整改的工作方法九、信息安全等级保护安全建设整改中的几项相关工作（一）信息安全等级测评（二）信息安全产品的选择使用（三）信息系统安全建设整改方案的制定十、信息安全等级保护安全建设整改工作的检查监督十一、总体工作要求附件：国家信息安全等级保护安全建设指导专家委员会职责国家信息安全等级保护安全建设指导专家

4、委员会专家信息安全等级保护安全建设整改工作培训材料一、当前开展信息安全等级工作面临的形势近年来，在党中央、国务院的高度重视下，通过各地区、各部门的共 同努力，信息安全工作取得明显成效：信息安全责任进一步明确，等级保 护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设 取得明显进展，信息安全防护水平明显提高。与此同时我们应该看到，当 前我国信息安全面临的形势仍然十分严峻， 维护国家信息安全的任务十分 艰巨、繁重。一是西强我弱的局面长期存在，信息安全战略威胁更加突出。近年来，我国重要信息系统的安全保护能力虽然有了很大提高，但同西方发达国家相比，还是处于西强我弱，总体比较被动的局面。奥

5、巴马执政以来， 美国高度重视网络安全问题，将网络空间视为继陆、海、空、太空后的“第 五战略空间”，制订出台了包括强化联邦政府对网络安全的统一领导，整合各方资源力量，成立作战部队，加强技术研发和网络战资源储备， 全面 提升国家关键信息基础设施的安全防能力等一系列重要举措。而美国推行国家网络安全新战略，正是将中国作为其头号假想敌。如果未来发生“网 络战”，美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息 系统。同时，信息安全领域的一些关键技术和关键产品大部分掌握在西 方信息化发达国家手中，从而使大量采用国外产品和服务的我国重要 信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步

6、加大，构成了对我关键基础设施的战略威胁。二是各类网络安全威胁不断增多，网络安全防难度加大。 今年以来， 截获计算机病毒数量、 新增病毒种类以及感染计算机台数较去年同期均有 所增加， 计算机病毒通过网页挂马、 网络共享、 电子和 U 盘等移动存储介 质广泛传播。与第三方应用软件、浏览器服务有关安全漏洞也大幅上升， 其量是高危漏洞。大量木马、后门病毒利用安全漏洞通过“挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统，消耗系统资源，窃取个 人用户信息甚至国家秘密和商业秘密， 给重要信息系统的安全运行造成很 大危害。 此外，境外敌对势力、 敌对分子和不法分子也利用重要信息系统 的安全漏洞和管理缺

7、陷， 对我重要信息系统实施网络探测攻击， 破坏国家 网络基础设施的行为也逐年增多。三是信息安全建设缺乏规，安全防护能力亟待提高。 一些单位信息 安全领导体制和工作机制等责任制未落实， 人员安全管理、 系统运维管理 和系统建设管理制度不健全、 不规。缺乏常态化的系统安全保护状况的测 评分析， 在安全技术策略的选择、 建设整改方案设计及实施等技术建设方 面，既存在一定的盲目性， 也缺乏完整性和系统性， 导致信息安全整体防 护能力和水平不高，给信息系统正常运行留下安全隐患。为切实履行中央赋予公安部的职责， 2007 年，公安部会同有关部门 开展了信息安全等级保护定级工作。 经过各部门、 各行业、 各

8、单位的共同 努力，定级工作已基本完成。 为加快推进信息安全等级保护制度建设， 将 等级保护工作向纵深推进， 定级备案工作完成后， 公安部积极组织有关单位和专家， 制定并完善了等级保护相关政策和技术标准， 为各单位、各部 门深入开展等级保护安全建设整改工作奠定了必要的基础。 一是制定了信 息安全等级保护安全建设整改工作的相关政策。 经过多年探索和实践， 特 别是经过奥运网络安全保卫工作的检验， 进一步明确了开展等级保护安全 建设整改工作的目标、容、要求和方法，制定并印发了关于开展信息安 全等级保护安全建设整改工作的指导意见 （公信安 20091429 号）及信 息安全等级保护安全建设整改工作指南

9、 等附件， 至此，针对等级保护定 级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已 基本形成。 二是制定了信息安全等级保护安全建设整改工作的相关标准。 为配合信息安全等级保护安全建设整改工作顺利开展， 公安部组织国有关 单位和专家经过多年研究， 形成了以 计算机信息系统安全保护等级划分 准则（GB17859-1999为基础的技术、管理和产品三大类标准体系，并 在此基础上， 形成了体现安全建设整改具体容和要求的 信息系统安全等 级保护基本要求（GB/T 22239-2008）。该标准与测评要求等状况分析方 面的标准和实施指南、 安全设计技术要求等方法指导方面标准， 共同为安 全建

10、设整改工作提供技术标准支撑。 至此，信息安全等级保护标准体系也 已基本形成。 三是等级保护测评体系建设已经开展。 等级测评工作是信息 安全等级保护整体工作的一个重要组成部分。 为推动信息安全等级保护测 评机构建设， 规测评机构和人员及其测评活动的管理， 保障等级保护工作 的顺利开展， 公安部已于今年年初组织开展等级测评体系建设。 先后组织 编写了信息安全等级保护测评要求 、信息安全等级保护测评过程指南 以及信息系统等级保护测评报告模版 等标准和规。 为检验标准和规的可行性和必要性，公安部于今年710月份组织开展了等级测评体系建设 试点工作，六个省市公安机关和十多家测评机构参加， 积累了对测评机

11、构 及人员规管理的经验和方法。下一步公安部将在全国推广试点工作经验， 加强对测评机构的能力审验和安全审查， 加强对测评人员的安全审查和培 训，并将通过评估的测评机构向社会公布，供相关单位选择。此外，电力 等一些行业及一些信息安全企业已经按照等级保护相关政策和标准，开始进行信息安全等级保护安全建设整改工作，摸索了一些经验。总之，综合开展信息安全等级保护安全建设整改工作面临的形势和前 期工作基础，既是形势所迫，也具备了一定的条件，既有必要性，也有可 行性。因此，各单位要全面准确把握当前我国信息安全工作面临的形势， 进一步统一思想，提高认识，增强做好信息安全等级保护安全建设整改工 作的责任感和紧迫感

12、，将等级保护工作落实好。二、信息安全等级保护安全建设整改工作依据的政策近几年，为组织开展信息安全等级保护工作， 公安部根据中华人民 国计算机信息系统安全保护条例（国务院147号令）的授权，会同国家 局、国家密码管理局和原国务院信息办出台了一些文件，国家发改委会同公安部、国家局出台了相关文件，公安部对有些具体工作出台了一些指导 意见和规，这些文件初步构成了信息安全等级保护政策体系（如图 1所 示），为指导各地区、各部门开展等级保护工作提供了政策保障。图 1 信息安全等级保护法律政策体系为了方便使用， 我们已将信息安全等级保护政策文件汇编成 信息安 全等级保护政策汇编发给有关单位、部门。（一）总体

13、政策总体方面的文件有两个， 这两个文件确定了等级保护制度的总体容和要求，对等级保护工作的开展起到宏观指导作用。1、关于信息安全等级保护工作的实施意见 （公通字 200466 号） 该文件是为贯彻落实国务院第 147号令和中办 27 号文件、由四部委共同 会签印发、 指导相关部门实施信息安全等级保护工作的纲领性文件， 主要 容包括贯彻落实信息安全等级保护制度的基本原则， 等级保护工作的基本 容、工作要求和实施计划，以及各部门工作职责分工等。2、信息安全等级保护管理办法 （公通字 200743 号）。该文件是 在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工 作基础上， 由四部委共同

14、会签印发的重要管理规， 主要容包括信息安全等 级保护制度的基本容、流程及工作要求，信息系统定级、备案、安全建设 整改、等级测评的实施与管理， 信息安全产品和测评机构选择等， 为开展 信息安全等级保护工作提供了规保障。（二）具体政策对应等级保护工作的具体环节 （信息系统定级、 备案、安全建设整改、 等级测评、安全检查） ，出台了相应的政策规：1定级政策关于开展全国重要信息系统安全等级保护定级工作的通知 （公通 字2007861 号）。2007年7月 20日四部委在联合召开了 “全国重要信息 系统安全等级保护定级工作电视会议” ，会议根据该通知精神部署在全国 围开展重要信息系统安全等级保护定级工作

15、， 标志着全国信息安全等级保 护工作全面开展。该文件由四部委共同会签印发。2备案政策信息安全等级保护备案实施细则 （公信安 20071360 号）。该文 件规定了公安机关受理信息系统运营使用单位信息系统备案工作的容、 流 程、审核等容， 并附带有关法律文书， 指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。3安全建设整改政策（1）关于开展信息系统等级保护安全建设整改工作的指导意见 （公 信安 20091429 号）。该文件明确了非涉及国家秘密信息系统开展安全建 设整改工作的目标、容、流程和要求等，文件附件包括信息安全等级保 护安全建设整改工作指南和信息安全等级保护主要标

16、准简要说明 。 该文件由公安部印发。（2）关于加强国家电子政务工程建设项目信息安全风险评估工作的 通知（发改高技 20082071 号）。该文件要求非涉密国家电子政务项目 开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法 进行，明确了项目验收条件： 公安机关颁发的信息系统安全等级保护备案 证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家局 共同会签印发。4等级测评政策关于印发信息系统安全等级测评报告模版（试行） 的通知（公信 安20091487 号）。该文件明确了等级测评的容、方法和测评报告格式等 容，用以规等级测评活动。该文件由公安部网络安全保卫局印发。5检查监督政

17、策公安机关信息安全等级保护检查工作规 （试行）（公信安 2008736 号）。该文件规定了公安机关开展信息安全等级保护检查工作的容、 程序、 方式以及相关法律文书等， 使检查工作规化、 制度化。 该文件由公安部网 络安全保卫局印发。三、信息安全等级保护安全建设整改工作依据的标准为推动我国信息安全等级保护工作的开展， 十多年来， 在公安部领导 和支持下，在国有关专家、企业的共同努力下， 全国信息安全标准化技术 委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等 级保护工作需要的一系列标准， 形成了比较完整的信息安全等级保护标准 体系，为开展信息安全等级保护工作提供了标准保障。 信息安

18、全等级保护 相关标准具体见信息安全等级保护主要标准简要说明 。各单位、各部门安全建设整改工作应依据基本要求或行业标准 规，并在不同阶段、 针对不同技术活动参照相应的标准规进行， 相关标准 与等级保护各工作环节的关系如图 2 所示。信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求现状分析安全等级信息安全等级保护安全建设整改工作方法指导安全要求信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求技术类信息系统通用安全技术要求信息系统安全管理要求产品类操作

19、系统安全技术要求信息系统物理安全技术要求信息系统安全工程管理要求数据库管理系统安全技术要求网络基础安全技术要求其他管理类标准网络和终端设备隔离部件技术要求其他技术类标准其他产品类标准计算机信息系统安全保护等级划分准则（GB17859图2等级保护相关标准与等级保护各工作环节的关系为了方便使用， 我们已将主要标准汇编成 信息安全等级保护标准汇 编发给有关单位、部门。标准体系的构成与作用如下：（一）基础类标准计算机信息系统安全保护等级划分准则 是强制性国家标准， 是等 级保护重要的基础性标准。 依据在此标准制定出的 信息系统通用安全技 术要求 等技术类标准和 信息系统安全管理要求 、信息系统安全工程

20、 管理要求等管理类标准、 操作系统安全技术要求等产品类标准，共 同构成了等级保护基础性标准，为相关标准的制定起到了基础性作用。（二）安全要求类标准 基本要求以及行业标准规或细则构成了信息系统安全建设整改的 安全需求。1信息系统安全等级保护基本要求 （以下简称基本要求 ）。该 标准是在计算机信息系统安全保护等级划分准则 、技术类标准和管理 类标准基础上，总结几年的实践， 结合当前信息技术发展的实际情况研究 制定的，该标准提出了各级信息系统应当具备的安全保护能力， 并从技术 和管理两方面提出了相应的措施。2信息系统安全等级保护基本要求的行业细则。重点行业可以按照 基本要求等国家标准，结合行业特点，

21、在公安部等有关部门指导下， 确定基本要求的具体指标，在不低于基本要求的情况下，结合系 统安全保护的特殊需求，制定信息系统安全建设整改的行业标准规或细 则，并据此开展安全建设整改工作。（三）定级类标准信息系统安全等级保护定级指南 和信息系统安全等级保护行业定 级细则为确定信息系统安全保护等级提供支持。1. 信息系统安全等级保护定级指南（GB/T22240-2008）。该标准规 定了定级的依据、 对象、流程和方法以及等级变更等容， 用于指导开展信 息系统定级工作。2. 信息系统安全等级保护行业定级细则。重点行业可以根据信息 系统安全等级保护定级指南 ，结合行业特点，在公安部指导下，制定出 台行业信

22、息系统定级标准规或细则，并据此开展信息系统定级工作。（四）方法指导类标准信息系统安全等级保护实施指南 和信息系统等级保护安全设计 技术要求构成了指导信息系统安全建设整改的方法指导类标准。1 . 信息系统安全等级保护实施指南 （信安字200710 号）。该标准 阐述了等级保护实施的基本原则、 参与角色和信息系统定级、 总体安全规 划、安全设计与实施、 安全运行与维护、 信息系统终止等几个主要工作阶 段中如何按照信息安全等级保护政策、标准要施等级保护工作。2.信息系统等级保护安全设计技术要求 （信安秘字2009059 号）。 该标准提出了信息系统等级保护安全设计的技术要求， 包括第一级至第五 级信

23、息系统安全保护环境的安全计算环境、 安全区域边界、 安全通信网络 和安全管理中心等方面的设计技术要求， 以及定级系统互联的设计技术要 求，明确了体现定级系统安全保护能力的整体控制机制， 用于指导信息系 统运营使用单位、 信息安全企业、 信息安全服务机构等开展信息系统等级 保护安全技术设计。（五）现状分析类标准信息系统安全等级保护测评要求 和信息系统安全等级保护测评 过程指南构成了指导开展等级测评的标准规。1信息系统安全等级保护测评要求 。该标准阐述了等级测评的原 则、测评容、测评强度、单元测评要求、整体测评要求、等级测评结论的 产生方法等容，用于规和指导测评人员如何开展等级测评工作。2信息系统

24、安全等级保护测评过程指南 。该标准阐述了信息系统 等级测评的测评过程， 明确了等级测评的工作任务、 分析方法以及工作结 果等，包括测评准备活动、方案编制活动、现场测评活动、分析与报告编 制活动，用于规测评机构的等级测评过程。上述标准在应用中需注意以下问题： 一是基本要求 是信息系统安 全建设整改的基本目标， 信息系统等级保护安全设计技术要求是实现 该目标的方法和途径之一。 基本要求中不包含安全设计和工程实施等 容，因此，在系统安全建设整改中，可以参照信息系统安全等级保护实 施指南、信息系统等级保护安全设计技术要求 和信息系统安全工程 管理要求进行。二是 由于信息系统定级时是根据业务信息安全等级

25、和系 统服务安全等级确定的系统安全等级， 因此，在进行信息系统安全建设整 改时， 应根据业务信息安全等级和系统服务安全等级确定 基本要求 中 相应的安全保护要求。 各单位、 各部门在进行信息系统安全建设整改方案 设计时， 要按照整体安全的原则， 综合考虑安全保护措施， 建立系统综合 防护体系， 提高系统的整体保护能力。 三是信息系统等级保护安全设计 技术要求依据计算机信息系统安全保护等级划分准则从“计算环境 安全、区域边界安全、通信网络安全和安全管理中心” （一个中心三维防 护）四方面给出了五个级别信息系统安全保护设计的技术要求， 用于指导 信息系统等级保护安全技术设计。 该标准不包括信息系统

26、物理安全、 安全 管理、安全运维等方面的安全要求，所以应与基本要求等标准配合使 用。四、信息安全等级保护安全建设整改的工作目标 信息安全等级保护安全建设整改的工作目标在 关于开展信息安全等 级保护安全建设整改工作的指导意见 已经明确。 可概况为：利用三年时 间，开展三项重点工作，实现五方面目标。1三年时间。由于一些重要行业信息系统较多，受资金、人员等条 件限制， 考虑实际情况， 全国已定级信息系统安全建设整改工作总体上用 三年时间完成。各行业主管（监管）部门应按照时间要求，根据本行业信 息系统数量和实际情况，合理部署总体工作进度。2三项重点工作。通过组织开展信息安全等级保护安全管理制度建 设、

27、技术措施建设和等级测评等三项重点工作， 落实等级保护制度的各项 要求。3五方面目标。 通过开展安全建设整改工作， 达到以下五方面目标： 一是信息系统安全管理水平明显提高，二是信息系统安全防能力明显增 强，三是信息系统安全隐患和安全事故明显减少， 四是有效保障信息化健 康发展，五是有效维护国家安全、社会秩序和公共利益。五、信息安全等级保护安全建设整改的工作对象 目前，少数单位和部门尚未开展信息系统定级备案工作， 存在漏定级、 漏备案和定级不准等情况，所以，各行业主管（监管）部门应在公安部指 导下出台行业信息系统定级指导意见和要求， 先解决信息系统定级备案工 作存在的突出问题， 在此基础上开展安全

28、建设整改工作。 开展安全建设整 改工作的信息系统围如下：1各单位、各部门要将已备案的第二级（含）以上信息系统纳入安 全建设整改的围。2尚未开展定级备案的信息系统，要先定级备案，再开展安全建设 整改。3新建系统要同步开展安全建设工作。六、信息安全等级保护安全建设整改的工作容及要求 各单位、各部门在开展安全建设整改工作中， 应坚持管理和技术并重 的原则，依据基本要求 ，落实信息安全责任制，建立并落实各类安全 管理制度， 开展人员安全管理、 系统建设管理和系统运维管理等工作， 落 实物理安全、 网络安全、主机安全、 应用安全和数据安全等安全保护技术 措施。（一）信息安全等级保护安全管理制度建设1建设

29、依据 按照管理办法、信息系统安全等级保护基本要求 ，参照信息 系统安全管理要求 、信息系统安全工程管理要求 等标准规要求， 建立 健全并落实符合相应等级要求的安全管理制度。2建设容（1）落实信息安全责任制。成立信息安全工作领导机构，明确信息安全工作的主管领导。 成立专门的信息安全管理部门或落实信息安全责任 部门，确定安全岗位，落实专职人员或兼职人员。明确落实领导机构、责 任部门和有关人员的信息安全责任。（2）落实人员安全管理制度。制定人员录用、离岗、考核、教育培 训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查， 定期进行培训、 考核和安全教育， 提高安全岗位人员的专业水平， 逐

30、步实 现安全岗位人员持证上岗。（3）落实系统建设管理制度。建立信息系统定级备案、方案设计、 产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、 安全服务等管理制度，明确工作容、工作方法、工作流程和工作要求。（4）落实系统运维管理制度。建立机房环境安全、存储介质安全、 设备设施安全、 安全监控、网络安全、系统安全、恶意代码防、 密码保护、 备份与恢复、 事件处置等管理制度， 制定应急预案并定期开展演练， 采取 相应的管理技术措施和手段，确保系统运维管理制度的有效落实。3、建设要求（1）在具体实施过程中，可逐项建立管理制度，也可以进行整合， 形成完善的安全管理体系。 要根据具体情况，

31、 结合系统管理实际， 不断健 全完善管理制度。 同时，将管理制度与管理技术措施有机结合， 确保安全 管理制度得到有效落实。（2）建立并落实监督检查机制。备案单位定期对各项制度的落实情 况进行自查， 行业主管部门组织开展督导检查， 公安机关会同主管部门开 展监督检查。（二）信息安全等级保护安全技术措施建设1、建设依据按照管理办法、信息系统安全等级保护基本要求 ，参照信息 系统安全等级保护实施指南 、信息系统通用安全技术要求 、信息系统 安全工程管理要求 、信息系统等级保护安全设计技术要求 等标准规要 求，建设信息系统安全保护技术措施。2、建设容结合行业特点和安全需求， 制定符合相应等级要求的信息

32、系统安全技 术建设整改方案， 开展信息安全等级保护安全技术措施建设， 落实相应的 物理安全、 网络安全、 主机安全、应用安全和数据安全等安全保护技术措 施。在信息系统安全技术建设整改中，可以采取“一个中心、三维防护” （即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全） 的防护策略， 实现相应级别信息系统的安全保护技术要求， 建立并完善信 息系统综合防护体系，提高信息系统的安全防护能力和水平。3、建设要求备案单位要开展信息系统安全保护现状分析， 确定信息系统安全技术 建设整改需求， 制定信息系统安全技术建设整改方案， 组织实施信息系统 安全建设整改工程， 开展安全自查和等级测评，

33、及时发现信息系统中存在 安全隐患和威胁，进一步开展安全建设整改工作。七、信息安全等级保护安全建设整改的工作流程 安全建设整改工作可以分五步进行。第一步：落实负责安全建设整改工作的责任部门， 由责任部门牵头制 定本单位和本行业信息系统安全建设整改工作规划， 对安全建设整改工作 进行总体部署。第二步：开展信息系统安全保护现状分析， 从管理和技术两个方面确 定信息系统安全建设整改需求。可以依据基本要求等标准，采取对照 检查、风险评估、等级测评等方法， 分析判断目前所采取的安全保护措施 与等级保护标准要求之间的差距， 分析系统已发生的事件或事故， 分析安 全保护方面存在的问题，形成安全建设整改的需求并

34、论证。第三步： 确定安全保护策略， 制定信息系统安全建设整改方案。 在安 全需求分析的基础上， 进行信息系统安全建设整改方案设计， 包括总体设 计和详细设计， 制定工程预算和工程实施计划等， 为后续安全建设整改工 程实施提供依据。安全建设整改方案须经专家评审论证，第三级（含）以 上信息系统安全建设整改方案应报公安机关备案， 公安机关监督检查备案 单位安全建设整改方案的实施。第四步：按照信息系统安全建设整改方案，实施安全建设整改工程， 建立并落实安全管理制度， 落实安全责任制， 建设安全设施， 落实安全措 施。在实施安全建设整改工程中， 需要加强投资风险控制、 实施流程管理、 进度规划控制、工程

35、质量控制和信息管理。第五步：开展安全自查和等级测评， 及时发现信息系统中存在的安全 隐患和问题， 并通过风险分析， 确定应解决的主要问题， 进一步开展安全 整改工作。安全建设整改工作的具体步骤见图 3所示。1 f安全建设整改工作定与各单位、定各部设在方息系统建设中开展的安全建设工作有联系又有区别信息安全等级保安全建设整改工作具有鲜明的特息系，安主要体现在以下四个是继设展。安全建设整改工作丿是在全有工作E的继各单位、全准规开展安制 全建信息系统安统二建是引I运入标管理强部门管理工作全保扌护工理 络各单位、建立作基础4用、门是按是对原家有关标调将技术扌措施和管理施有合，着重信息系统综合防£

36、;全保护能丿J。三是外部监督。传统的信息系统安全保护工安全大多是自主评自愿行为，而信息安全等级保护安全建设整改工作是有政府职能部门监督的行为。全国公安机关对各单位、各部门等级保护工作的开展进行监督、检查。四是政策牵引 公安机关会同国家部门、密码工作部门和信息化部门出台了一系列政策文 件和工作指南，为各单位、各部门开展等级保护工作提供了一定的保障机 制。具体工作方法是：（一）安全建设整改工作应以基本要求为基本目标，可以针对安 全现状分析发现的问题进行加固改造， 缺什么补什么；也可以进行总体安 全建设整改设计，将不同区域、不同层面的安全保护措施形成有机的安全 保护体系，落实基本要求，最大程度发挥安

37、全措施的保护能力。（二）突出重点。建设过程中要突出重点，可以先对第三、四级信息 系统开展安全建设整改，再对第二级系统开展整改；也可以对各等级系统 同步规划实施，确保按期完成任务。（三）试点示。重点行业、部门可以根据需要和实际情况，选择有代 表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、 示，在总结经验的基础上全面推开。（四）安全建设整改工作具体实施可以根据实际情况，将安全管理制度建设和安全技术措施建设容一并实施，或分步实施。（五）重点行业可以按照基本要求等国家标准，结合行业特点，在公安部等有关部门指导下，确定基本要求的具体指标，在不低于基 本要求的情况下，结合系统安全保护的

38、特殊需求，制定行业标准规或细 则，并据此开展安全建设整改工作。（六）将安全建设整改工作与业务工作、信息化建设工作有机结合，利用信息安全等级保护综合工作平台，使等级保护工作常态化九、信息安全等级保护安全建设整改中的几项相关工作（一）信息安全等级测评 等级测评是测评机构依据国家信息安全等级保护制度规定， 受有关单 位委托， 按照有关管理规和技术标准， 对非涉及国家秘密信息系统安全等 级保护状况进行检测评估的活动。 等级测评工作是信息安全等级保护整体 工作的一个重要组成部分， 信息系统运营使用单位通过开展等级测评， 一 是可以掌握信息系统安全状况、 排查系统安全隐患和薄弱环节、 明确信息 系统安全建

39、设整改需求； 二是衡量信息系统的安全保护管理措施和技术措 施是否符合等级保护基本要求，是否具备了相应的安全保护能力。1测评机构的选择 为了加强信息安全等级保护等级测评机构建设和管理， 规等级测评活 动，保障等级测评工作的顺利开展， 专门机构要对测评机构和测评人员进 行安全审查和能力审验。 开展等级测评的机构须获得专门机构颁发的有关 明文件。开展等级测评的人员须获得专门机构颁发的等级测评师证书 （等 级测评师分为初级、中级和高级三种） 。审核通过的测评机构由专门机构 向社会公布，并由备案单位选择。2等级测评工作 各单位、各部门在开展信息系统安全建设整改之前， 可以通过等级测 评进行信息系统安全现

40、状分析， 排查信息系统安全隐患和薄弱环节， 明确 信息系统安全建设整改的需求， 制定安全建设整改方案， 有针对性地进行 安全建设整改。信息系统安全建设整改后，按照管理办法的要求进行 等级测评， 检验安全建设整改成效， 查找与等级保护标准要求的差距。 经 测评未达到安全保护要求的， 要根据测评报告中的改进建议， 制定整改方 案并进一步进行整改。 对第三级 （含）以上信息系统要定期开展等级测评 工作，对于重要部门的第二级信息系统， 可以参照上述要求开展等级测评 工作。各单位、各部门要对测评机构和测评人员的测评活动进行监督管理， 与测评机构签订工作协议和协议，查验测评机构和测评人员的相关材料， 落实

41、测评过程监管措施，防对信息系统可能造成新的安全风险。各单位、 各部门要监督检查测评机构是否依据 信息系统安全等级保护测评要求 、 信息系统安全等级保护测评过程指南 等国家标准开展等级测评， 是否 按照公安部统一制订的信息系统安全等级测评报告模版 （公信安 20091487 号）格式出具测评报告。按照行业标准规开展安全建设整改的信息系统， 可以以国家标准为依 据开展等级测评， 也可以行业标准规为依据开展等级测评。 各单位、 各部 门对信息系统开展等级测评后， 每年应将等级测评报告向受理备案的公安 机关备案。信息系统运营使用单位应当根据信息系统规模和测评机构所投 入的成本， 合理支付测评服务费用。

42、 测评费用可以参考国家信息化项目人 工计费标准或根据被测设备数量与测评项预算测评费用。（二）信息安全产品的选择使用为落实关于信息安全等级保护工作的实施意见 中提出的“对信息 系统中使用的信息安全产品实行按等级管理”的要求， 公安部发布了 关 于调整更新计算机信息系统安全专用产品检测执行标准规的公告 （公信 安20091157 号），对已有分级标准的 29 类信息安全产品开展分级检测 工作。对于检测并审核通过的产品，产品销售许可证书标注产品分级信息， 便于用户根据信息系统安全需求选择相应等级的产品。管理办法规定第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的

43、重要基础， 信息安全产品 的使用和管理是国家信息安全等级保护制度的重要组成部分，尤其是进入到基础信息网络和重要信息系统中的信息安全产品将直接影响信息系统 安全，甚至危及国家安全、社会稳定。因此，各单位、各部门应在满足使 用要求的前提下，优先选择国产品。国家信息安全监管部门对进入第三级 以上信息系统中使用的信息安全产品进行管理。（三）信息系统安全建设整改方案的制定信息系统安全建设整改方案主要包括以下容： 项目背景；政策和技术 标准依据；安全需求分析；安全建设整改技术方案设计；安全建设整改管 理体系设计；信息系统安全产品选型及技术指标； 安全建设整改后信息系 统残余风险分析；安全建设整改项目实施计

44、划；项目预算。十、信息安全等级保护安全建设整改工作的检查监督备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期对等级保护制度各项要求的落实情况进行自查和监督检查。（一）备案单位的定期自查备案单位应按照管理办法的相关要求，对等级保护工作落实情况 进行自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实 情况等，及时发现安全隐患和存在的突出问题， 有针对性地采取技术和管 理措施。备案单位应当配合公安机关的监督检查工作， 如实提供有关资料及文件。当第三级（含）以上信息系统发生事件、案件时，备案单位应当 及时向受理备案的公安机关报告。（二）行业主管部门的督导检查行业主管部门要建

45、立督导检查制度， 组织制定本行业、 本部门的信息 安全等级保护检查工作规， 定期组织对本行业、 本部门等级保护工作开展 情况进行检查， 督促落实信息安全等级保护制度， 达到重点督促， 以点带 面的目的。（三）公安机关的监督检查 部、省、市三级公安机关网络安全保卫部门要按照“谁受理备案、谁 负责检查”的原则，依据公安机关信息安全等级保护检查工作规 （试行） （公信安 2008736 号），定期对备案单位等级保护工作开展和实施情况进 行监督检查。 对于有主管部门的， 公安机关要积极会同主管部门开展， 充 分发挥主管部门的作用，建立监督检查的配合机制。公安机关应按照“严格依法，热情服务”的要求开展检查工作，遵守 检查纪律，规检查程序， 主动、热情地为信息系统运营使用单位提供服务 和指导。 对备案单位重要信息系统发生的事件、 案件及时进行调查和立案 侦查，并指导其开展应急处置工作， 为备案单位重要信息系统安全提供有 力支持。十一、总体工作要求（一）高度重视，加强领导。 等级保护安全建设整改工作任务艰巨， 责任重大。各