《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》new

1、附件2信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南中華人民共和國(guó)公安部二九年十月前 言為便于信息安全等級(jí)保護(hù)安全建設(shè)整改工作相關(guān)單位全面了解和掌握安全建設(shè)整改工作所依據(jù)的技術(shù)標(biāo)準(zhǔn)規(guī)范，以及安全建設(shè)整改工作的目標(biāo)、內(nèi)容和方法，公安部編寫(xiě)了信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南，供參考。本指南包括總則、安全管理制度建設(shè)、安全技術(shù)措施建設(shè)三個(gè)部分，附錄是信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明。由于時(shí)間倉(cāng)促，經(jīng)驗(yàn)不足，不妥之處，敬請(qǐng)批評(píng)指正。 目 錄1 總則(1)1.1 工作目標(biāo)(1)1.2 工作內(nèi)容(1)1.3 工作流程(2)1.4 標(biāo)準(zhǔn)應(yīng)用(3)1.5 安全保護(hù)能力目標(biāo)(5)2 安全管理制度建設(shè)(6)2.1 落實(shí)

2、信息安全責(zé)任制(7)2.2 信息系統(tǒng)安全管理現(xiàn)狀分析(7)2.3 確定安全管理策略，制定安全管理制度(8)2.4 落實(shí)安全管理措施(8)2.4.1 人員安全管理(8)2.4.2 系統(tǒng)運(yùn)維管理(8)2.4.2.1 環(huán)境和資產(chǎn)安全管理(8)2.4.2.2 設(shè)備和介質(zhì)安全管理(9)2.4.2.3 日常運(yùn)行維護(hù)(9)2.4.2.4 集中安全管理(9)2.4.2.5 事件處置與應(yīng)急響應(yīng)(9)2.4.2.6 災(zāi)難備份(9)2.4.2.7 安全監(jiān)測(cè) (10)2.4.2.8 其他安全管理 (10)2.5 系統(tǒng)建設(shè)管理 (10)2.6 安全自查與調(diào)整 (10)3 安全技術(shù)措施建設(shè) (10)3.1 信息系統(tǒng)安全保

3、護(hù)技術(shù)現(xiàn)狀分析 (11)3.1.1 信息系統(tǒng)現(xiàn)狀分析 (11)3.1.2 信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析 (12)3.1.3 安全需求論證和確定 (12)3.2 信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計(jì) (12)3.2.1 確定安全技術(shù)策略，設(shè)計(jì)總體技術(shù)方案 (12)3.2.1.1 確定安全技術(shù)策略 (12)3.2.1.2 設(shè)計(jì)總體技術(shù)方案 (12)圖3 安全技術(shù)體系設(shè)計(jì)實(shí)例數(shù)據(jù)安全設(shè)計(jì)3.2.2 安全技術(shù)方案詳細(xì)設(shè)計(jì) (13)3.2.2.1 物理安全設(shè)計(jì) (13)3.2.2.2 通信網(wǎng)絡(luò)安全設(shè)計(jì) (13)3.2.2.3 區(qū)域邊界安全設(shè)計(jì) (13)3.2.2.4 主機(jī)系統(tǒng)安全設(shè)計(jì) (13)3.2.2.5

4、 應(yīng)用系統(tǒng)安全設(shè)計(jì) (14)3.2.2.6 備份和恢復(fù)安全設(shè)計(jì) (14)3.2.3 建設(shè)經(jīng)費(fèi)預(yù)算和工程實(shí)施計(jì)劃 (14)3.2.3.1 建設(shè)經(jīng)費(fèi)預(yù)算 (14)3.2.3.2 工程實(shí)施計(jì)劃 (14)3.2.4 方案論證和備案 (15)3.3 安全建設(shè)整改工程實(shí)施和管理 (15)3.3.1 工程實(shí)施和管理 (15)3.3.2 工程監(jiān)理和驗(yàn)收 (15)3.3.3 安全等級(jí)測(cè)評(píng) (15)附錄：信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明 (17)1 總則1.1 工作目標(biāo)信息系統(tǒng)運(yùn)營(yíng)使用單位在做好信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案工作基礎(chǔ)上，按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作。通過(guò)落實(shí)安

5、全責(zé)任制，開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。1.2 工作內(nèi)容信息系統(tǒng)運(yùn)營(yíng)使用單位在開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作中，應(yīng)按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。要依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（以下簡(jiǎn)稱基本要求），落實(shí)信息安全責(zé)任制，建立并落實(shí)各類安全管理制度，開(kāi)展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作，落實(shí)物理安

6、全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施，具體內(nèi)容如圖1所示。信息系統(tǒng)安全等級(jí)保護(hù)基本要求安全管理機(jī)構(gòu)l 崗位設(shè)置l 人員配備l 授權(quán)和審批l 溝通和合作l 審核和檢查安全管理制度l 管理制度l 制定和發(fā)布l 評(píng)審和修訂人員安全管理l 人員錄用l 人員離崗l 人員考核l 教育和培訓(xùn)l 人員訪問(wèn)管理系統(tǒng)建設(shè)管理l 定級(jí)備案l 安全方案設(shè)計(jì)l 產(chǎn)品采購(gòu)使用l 自行軟件開(kāi)發(fā)l 外包軟件開(kāi)發(fā)l 工程實(shí)施l 測(cè)試驗(yàn)收l(shuí) 系統(tǒng)交付l 安全服務(wù)選擇l 等級(jí)測(cè)評(píng)系統(tǒng)運(yùn)維管理l 環(huán)境管理l 資產(chǎn)管理l 介質(zhì)管理l 設(shè)備管理l 監(jiān)控管理l 安全管理中心l 網(wǎng)絡(luò)安全管理l 系統(tǒng)安全管理l 變更管

7、理l 備份恢復(fù)管理l 事件處置l 應(yīng)急響應(yīng)安全管理建設(shè)整改物理安全l 機(jī)房位置選擇l 防火防雷l 防水防潮l 防靜電l 物理訪問(wèn)控制l 防盜竊防破壞l 溫濕度控制l 電力供應(yīng)l 電磁防護(hù)網(wǎng)絡(luò)安全l 區(qū)域劃分l 邊界防護(hù)l 訪問(wèn)控制l 安全審計(jì)l 入侵防范l 病毒防護(hù)l 通信保護(hù)數(shù)據(jù)安全與備份恢復(fù)l 數(shù)據(jù)保密性l 數(shù)據(jù)完整性l 備份與恢復(fù)主機(jī)安全l 身份鑒別l 訪問(wèn)控制l 安全審計(jì)l 入侵防范l 病毒防護(hù)l 資源控制l 安全標(biāo)記l 剩余信息保護(hù)應(yīng)用安全l 身份鑒別l 訪問(wèn)控制l 安全審計(jì)l 通信完整性l 通信保密性l 軟件容錯(cuò)l 資源控制l 安全標(biāo)記l 剩余信息保護(hù)l 抗抵賴安全技術(shù)建設(shè)整改圖1

8、：信息系統(tǒng)安全建設(shè)整改主要內(nèi)容需要說(shuō)明的是：不同級(jí)別信息系統(tǒng)安全建設(shè)整改的具體內(nèi)容應(yīng)根據(jù)信息系統(tǒng)定級(jí)時(shí)的業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)，以及信息系統(tǒng)安全保護(hù)現(xiàn)狀確定。信息系統(tǒng)安全建設(shè)整改工作具體實(shí)施可以根據(jù)實(shí)際情況，將安全管理和安全技術(shù)整改內(nèi)容一并實(shí)施，或分步實(shí)施。1.3 工作流程信息系統(tǒng)安全建設(shè)整改工作分五步進(jìn)行。第一步：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署；第二步：開(kāi)展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求；第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案；第四步：開(kāi)展信息系統(tǒng)安全建設(shè)整改工作，建立并落實(shí)安全

9、管理制度，落實(shí)安全責(zé)任制，建設(shè)安全設(shè)施，落實(shí)安全措施；第五步：開(kāi)展安全自查和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進(jìn)一步開(kāi)展安全建設(shè)整改工作。該流程如圖2所示。信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開(kāi)展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署確定安全策略，制定安全建設(shè)整改方案物 理 安 全網(wǎng) 絡(luò) 安 全主 機(jī) 安 全應(yīng) 用 安 全數(shù) 據(jù) 安 全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖2：信息系統(tǒng)安全建設(shè)整改工作基本流程1.4 標(biāo)準(zhǔn)應(yīng)用信息系統(tǒng)安全建設(shè)整改工作應(yīng)依據(jù)基本要求，并在不同階段、針對(duì)不同技術(shù)活動(dòng)參照相應(yīng)的

10、標(biāo)準(zhǔn)規(guī)范進(jìn)行。等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)在信息系統(tǒng)安全建設(shè)整改工作中的作用如圖3所示。信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則操作系統(tǒng)安全技術(shù)要求信息安全等級(jí)保護(hù)安全建設(shè)整改工作網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)

11、和終端設(shè)備隔離部件技術(shù)要求安全等級(jí)基線要求狀況分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南圖3：等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)間的關(guān)系需要說(shuō)明的是，（一）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則及配套標(biāo)準(zhǔn)是基本要求的基礎(chǔ)。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859，以下簡(jiǎn)稱劃分準(zhǔn)則）是等級(jí)保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn)，信息系統(tǒng)通用安全技術(shù)要求等技術(shù)類標(biāo)準(zhǔn)、信息系統(tǒng)安全管理要求等管理類標(biāo)準(zhǔn)和操作系統(tǒng)安全技術(shù)要求等產(chǎn)品類標(biāo)準(zhǔn)是在劃分準(zhǔn)則基礎(chǔ)上研究制定的?；疽笠约夹g(shù)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)發(fā)展水平，從技術(shù)和管理兩方面提出并確定了不同安全保護(hù)等級(jí)信息系統(tǒng)的最低保護(hù)要求，即基線要求。（二）基本要求是信息系統(tǒng)安全建

12、設(shè)整改的依據(jù)。信息系統(tǒng)安全建設(shè)整改應(yīng)以落實(shí)基本要求為主要目標(biāo)。信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)選擇基本要求中相應(yīng)級(jí)別的安全保護(hù)要求作為信息系統(tǒng)的基本安全需求。當(dāng)信息系統(tǒng)有更高安全需求時(shí)，可參考基本要求中較高級(jí)別保護(hù)要求或信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)安全管理要求等其他標(biāo)準(zhǔn)。行業(yè)主管部門(mén)可以依據(jù)基本要求，結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)實(shí)際出臺(tái)行業(yè)細(xì)則，行業(yè)細(xì)則的要求應(yīng)不低于基本要求。（三）定級(jí)指南為定級(jí)工作提供指導(dǎo)。信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南為信息系統(tǒng)定級(jí)工作提供了技術(shù)支持。行業(yè)主管部門(mén)可以根據(jù)定級(jí)指南，結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)實(shí)際情況，出臺(tái)本行業(yè)的定級(jí)細(xì)則，保證行業(yè)內(nèi)信息系統(tǒng)在不同地

13、區(qū)等級(jí)的一致性，以指導(dǎo)本行業(yè)信息系統(tǒng)定級(jí)工作的開(kāi)展。（四）測(cè)評(píng)要求等標(biāo)準(zhǔn)規(guī)范等級(jí)測(cè)評(píng)活動(dòng)。等級(jí)測(cè)評(píng)是評(píng)價(jià)信息系統(tǒng)安全保護(hù)狀況的重要方法。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求為等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)活動(dòng)提供了測(cè)評(píng)方法和綜合評(píng)價(jià)方法。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南對(duì)等級(jí)測(cè)評(píng)活動(dòng)提出規(guī)范性要求，以保證測(cè)評(píng)結(jié)論的準(zhǔn)確性和可靠性。（五）實(shí)施指南等標(biāo)準(zhǔn)指導(dǎo)等級(jí)保護(hù)建設(shè)。信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南是信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)實(shí)施的過(guò)程控制標(biāo)準(zhǔn)，用于指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位了解和掌握信息安全等級(jí)保護(hù)工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用。信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求對(duì)信息系統(tǒng)安全建設(shè)的技術(shù)設(shè)計(jì)

14、活動(dòng)提供指導(dǎo)，是實(shí)現(xiàn)基本要求的方法之一。1.5 安全保護(hù)能力目標(biāo)各級(jí)信息系統(tǒng)應(yīng)通過(guò)安全建設(shè)整改分別達(dá)到以下安全保護(hù)能力目標(biāo)：第一級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改，信息系統(tǒng)具有抵御一般性攻擊的能力，防范常見(jiàn)計(jì)算機(jī)病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主要功能的能力。第二級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)常見(jiàn)的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。第三級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大

15、規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。第四級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的能力，抵抗嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤

16、安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。2 安全管理制度建設(shè)按照國(guó)家有關(guān)規(guī)定，依據(jù)基本要求，參照信息系統(tǒng)安全管理要求等標(biāo)準(zhǔn)規(guī)范要求，開(kāi)展信息系統(tǒng)等級(jí)保護(hù)安全管理制度建設(shè)工作。工作流程見(jiàn)圖4。明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門(mén)落實(shí)安全崗位和人員信息系統(tǒng)安全管理現(xiàn)狀分析掛項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)確定安全管理策略、制定安全管理制度安全自查和調(diào)整系統(tǒng)建設(shè)管理落實(shí)安全管理措施人員安全管理環(huán)境和資產(chǎn)管理設(shè)備和介質(zhì)管理日常運(yùn)行維護(hù)集中安全管理事件處置和應(yīng)急響應(yīng)災(zāi)難備份安全監(jiān)測(cè)系統(tǒng)運(yùn)維管

17、理圖4：信息系統(tǒng)安全管理建設(shè)整改工作流程2.1 落實(shí)信息安全責(zé)任制明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門(mén)，設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門(mén)。建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制。建立安全教育和培訓(xùn)制度，對(duì)信息系統(tǒng)運(yùn)維人員、管理人員、使用人員等定期進(jìn)行培訓(xùn)和考核，提高相關(guān)人員的安全意識(shí)和操作水平。具體依據(jù)基本要求中的“安全管理機(jī)構(gòu)”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。2.2 信息系統(tǒng)安全管理現(xiàn)狀分析在開(kāi)展信息系統(tǒng)安全管理建設(shè)整改之前，通過(guò)開(kāi)展信息系統(tǒng)安全管理現(xiàn)狀分析，查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問(wèn)題，

18、明確信息系統(tǒng)安全管理建設(shè)整改的需求?？梢砸罁?jù)基本要求等標(biāo)準(zhǔn)，采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法，分析判斷目前所采取的安全管理措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全管理方面存在的問(wèn)題，形成安全管理建設(shè)整改的需求并論證。2.3 確定安全管理策略，制定安全管理制度根據(jù)安全管理需求，確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。具體依據(jù)基本要求中的“安全管理制度”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。2.4 落實(shí)安全管理措

19、施2.4.1 人員安全管理人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過(guò)程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。具體依據(jù)基本要求中的“人員安全管理”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。2.4.2 系統(tǒng)運(yùn)維管理2.4.2.1 環(huán)境和資產(chǎn)安全管理明確環(huán)境（包括主機(jī)房、輔機(jī)房、辦公環(huán)境等）安全管理的責(zé)任部門(mén)或責(zé)任人，加強(qiáng)對(duì)人員出入、來(lái)訪人員的控制，對(duì)有關(guān)物理訪問(wèn)、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對(duì)重要區(qū)域設(shè)置

20、門(mén)禁控制手段，或使用視頻監(jiān)控等措施。明確資產(chǎn)（包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)和信息等）安全管理的責(zé)任部門(mén)或責(zé)任人，對(duì)資產(chǎn)進(jìn)行分類、標(biāo)識(shí)，編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。2.4.2.2 設(shè)備和介質(zhì)安全管理明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門(mén)或責(zé)任人，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備采購(gòu)、發(fā)放、領(lǐng)用、維護(hù)和維修等過(guò)程進(jìn)行控制，對(duì)介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對(duì)涉外維修、敏感數(shù)據(jù)銷毀等過(guò)程的監(jiān)督控制。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。2.4.2.

21、3 日常運(yùn)行維護(hù)明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門(mén)或責(zé)任人，對(duì)運(yùn)行管理中的日常操作、賬號(hào)管理、安全配置、日志管理、補(bǔ)丁升級(jí)、口令更新等過(guò)程進(jìn)行控制和管理，制訂相應(yīng)的管理制度和操作規(guī)程并落實(shí)執(zhí)行。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。2.4.2.4 集中安全管理第三級(jí)（含）以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對(duì)設(shè)備安全配置、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等進(jìn)行管理，對(duì)與安全有關(guān)的信息進(jìn)行匯集與分析，對(duì)安全機(jī)制進(jìn)行集中管理。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照信息系統(tǒng)等級(jí)保護(hù)

22、安全設(shè)計(jì)技術(shù)要求和信息系統(tǒng)安全管理要求等。2.4.2.5 事件處置與應(yīng)急響應(yīng)按照國(guó)家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級(jí)。結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)，制定信息安全事件分級(jí)應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實(shí)應(yīng)急指揮部門(mén)、執(zhí)行部門(mén)和技術(shù)支撐部門(mén)，建立應(yīng)急協(xié)調(diào)機(jī)制。落實(shí)安全事件報(bào)告制度，第三級(jí)（含）以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時(shí)，運(yùn)營(yíng)使用單位按照相應(yīng)預(yù)案開(kāi)展應(yīng)急處置，并及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。組織應(yīng)急技術(shù)支撐力量和專家隊(duì)伍，按照應(yīng)急預(yù)案定期組織開(kāi)展應(yīng)急演練。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”內(nèi)容，同時(shí)可以參照信息安全事件分類分級(jí)指南和信息安全事件管理指南等。2.4.2.6 災(zāi)

23、難備份要對(duì)第三級(jí)（含）以上信息系統(tǒng)采取災(zāi)難備份措施，防止重大事故、事件發(fā)生。識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”內(nèi)容和信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范。2.4.2.7 安全監(jiān)測(cè)開(kāi)展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測(cè)，實(shí)現(xiàn)對(duì)物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測(cè)和報(bào)警，及時(shí)發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時(shí)對(duì)安全事件進(jìn)行響應(yīng)與處置。具體依據(jù)基本要求中的“系統(tǒng)運(yùn)維管理”。2.4.2.8 其他安全管理對(duì)系統(tǒng)運(yùn)行維護(hù)過(guò)程中的其它活動(dòng)，如系統(tǒng)變更、密碼使

24、用等進(jìn)行控制和管理。按國(guó)家密碼管理部門(mén)的規(guī)定，對(duì)信息系統(tǒng)中密碼算法和密鑰的使用進(jìn)行分級(jí)管理。2.5 系統(tǒng)建設(shè)管理制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、軟件開(kāi)發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門(mén)、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施。具體依據(jù)基本要求中的“系統(tǒng)建設(shè)管理”內(nèi)容。2.6 安全自查與調(diào)整制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善。定期對(duì)信息系統(tǒng)安全狀況進(jìn)行自查，第三級(jí)信息系統(tǒng)每年自查一次，第四級(jí)信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的

25、，應(yīng)當(dāng)進(jìn)一步開(kāi)展整改。具體依據(jù)基本要求中的“安全管理機(jī)構(gòu)”內(nèi)容，同時(shí)可以參照信息系統(tǒng)安全管理要求等。信息系統(tǒng)安全管理建設(shè)整改工作完成后，安全管理方面的等級(jí)測(cè)評(píng)與安全技術(shù)方面的測(cè)評(píng)工作一并進(jìn)行。3 安全技術(shù)措施建設(shè)按照國(guó)家有關(guān)規(guī)定，依據(jù)基本要求，參照信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等標(biāo)準(zhǔn)規(guī)范要求，開(kāi)展信息系統(tǒng)安全技術(shù)建設(shè)整改工作。工作流程見(jiàn)圖5。信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析開(kāi)展建設(shè)整改技術(shù)方案詳細(xì)設(shè)計(jì)工程實(shí)施及驗(yàn)收項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)等級(jí)測(cè)評(píng)不符合標(biāo)準(zhǔn)要求開(kāi)展建設(shè)整改技術(shù)方案論證和評(píng)審確定安全策略，開(kāi)展建設(shè)整改技術(shù)方案總體設(shè)計(jì)通信網(wǎng)絡(luò)安全物理安全。項(xiàng)目實(shí)施方案詳細(xì)設(shè)計(jì)應(yīng)

26、用系統(tǒng)安全區(qū)域邊界安全主機(jī)系統(tǒng)安全備份和恢復(fù)建設(shè)并落實(shí)安全技術(shù)措施圖5：信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程3.1 信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析了解掌握信息系統(tǒng)現(xiàn)狀，分析信息系統(tǒng)的安全保護(hù)狀況，明確信息系統(tǒng)安全技術(shù)建設(shè)整改需求，為安全建設(shè)整改技術(shù)方案設(shè)計(jì)提供依據(jù)。3.1.1 信息系統(tǒng)現(xiàn)狀分析了解掌握信息系統(tǒng)的數(shù)量和等級(jí)、所處的網(wǎng)絡(luò)區(qū)域以及信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用情況，分析信息系統(tǒng)的邊界、構(gòu)成和相互關(guān)聯(lián)情況，分析網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部區(qū)域、區(qū)域邊界以及軟、硬件資源等。具體可參照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南中“信息系統(tǒng)分析”的內(nèi)容。3.1.2 信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析在開(kāi)展信息系統(tǒng)安全技術(shù)建設(shè)整改之前，應(yīng)

27、通過(guò)開(kāi)展信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析，查找信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改需要解決的問(wèn)題，明確信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改的需求。可采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法，分析判斷目前所采取的安全技術(shù)措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全技術(shù)方面存在的問(wèn)題，形成安全技術(shù)建設(shè)整改的基本安全需求。在滿足信息系統(tǒng)安全等級(jí)保護(hù)基本要求基礎(chǔ)上，可以結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)安全保護(hù)的特殊要求，提出特殊安全需求。具體可參照基本要求、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求和信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南等標(biāo)準(zhǔn)。3.1.3 安全需求論證和確定安全需求分析工作完成后，將信息系統(tǒng)的安全管理需求與安

28、全技術(shù)需求綜合形成安全需求報(bào)告。組織專家對(duì)安全需求進(jìn)行評(píng)審論證。3.2 信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計(jì)在安全需求分析的基礎(chǔ)上，開(kāi)展信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)，包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)，制定工程預(yù)算和工程實(shí)施計(jì)劃等，為后續(xù)安全建設(shè)整改工程實(shí)施提供依據(jù)。3.2.1 確定安全技術(shù)策略，設(shè)計(jì)總體技術(shù)方案3.2.1.1 確定安全技術(shù)策略根據(jù)安全需求分析，確定安全技術(shù)策略，包括業(yè)務(wù)系統(tǒng)分級(jí)策略、數(shù)據(jù)信息分級(jí)策略、區(qū)域互連策略和信息流控制策略等，用以指導(dǎo)系統(tǒng)安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)。3.2.1.2 設(shè)計(jì)總體技術(shù)方案在進(jìn)行信息系統(tǒng)安全建設(shè)整改技術(shù)方案設(shè)計(jì)時(shí)，應(yīng)以基本要求為基本目標(biāo)，可以針對(duì)安全現(xiàn)狀分析發(fā)現(xiàn)的問(wèn)題

29、進(jìn)行加固改造，缺什么補(bǔ)什么；也可以進(jìn)行總體的安全技術(shù)設(shè)計(jì)，將不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全保護(hù)體系，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面基本要求，最大程度發(fā)揮安全措施的保護(hù)能力。在進(jìn)行安全技術(shù)設(shè)計(jì)時(shí)，可參考信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求，從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實(shí)安全保護(hù)技術(shù)要求。圖3 安全技術(shù)體系設(shè)計(jì)實(shí)例數(shù)據(jù)安全設(shè)計(jì)3.2.2 安全技術(shù)方案詳細(xì)設(shè)計(jì)3.2.2.1 物理安全設(shè)計(jì)從安全技術(shù)設(shè)施和安全技術(shù)措施兩方面對(duì)信息系統(tǒng)所涉及到的主機(jī)房、輔助機(jī)房和辦公環(huán)境等進(jìn)行物理安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包括防震、防雷、防火、防水、防盜

30、竊、防破壞、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面。物理安全設(shè)計(jì)是對(duì)采用的安全技術(shù)設(shè)施或安全技術(shù)措施的物理部署、物理尺寸、功能指標(biāo)、性能指標(biāo)等內(nèi)容提出具體設(shè)計(jì)參數(shù)。具體依據(jù)基本要求中的“物理安全”內(nèi)容，同時(shí)可以參照信息系統(tǒng)物理安全技術(shù)要求等。3.2.2.2 通信網(wǎng)絡(luò)安全設(shè)計(jì)對(duì)信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)，包括骨干網(wǎng)絡(luò)、城域網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)（租用線路）等進(jìn)行安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包括通信過(guò)程數(shù)據(jù)完整性、數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面。通信網(wǎng)絡(luò)安全設(shè)計(jì)涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計(jì)，對(duì)技術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置參數(shù)等

31、提出具體設(shè)計(jì)細(xì)節(jié)。具體依據(jù)基本要求中“網(wǎng)絡(luò)安全”內(nèi)容，同時(shí)可以參照網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求等。3.2.2.3 區(qū)域邊界安全設(shè)計(jì)對(duì)信息系統(tǒng)所涉及的區(qū)域網(wǎng)絡(luò)邊界進(jìn)行安全設(shè)計(jì)，內(nèi)容包括對(duì)區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范和網(wǎng)絡(luò)設(shè)備自身保護(hù)等方面。區(qū)域邊界安全設(shè)計(jì)涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計(jì)，對(duì)技術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置策略和參數(shù)等提出具體設(shè)計(jì)細(xì)節(jié)。具體依據(jù)基本要求中的“網(wǎng)絡(luò)安全”內(nèi)容，同時(shí)可以參照信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求等。3.2.2.4 主機(jī)系統(tǒng)安全設(shè)計(jì)對(duì)信息系統(tǒng)涉及到的

32、服務(wù)器和工作站進(jìn)行主機(jī)系統(tǒng)安全設(shè)計(jì)，內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫(kù)管理系統(tǒng)的選擇、安裝和安全配置，主機(jī)入侵防范、惡意代碼防范、資源使用情況監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問(wèn)控制、安全審計(jì)等方面的配置內(nèi)容。具體依據(jù)基本要求中的“主機(jī)安全”內(nèi)容，同時(shí)可以參照信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求、信息系統(tǒng)通用安全技術(shù)要求等。3.2.2.5 應(yīng)用系統(tǒng)安全設(shè)計(jì)對(duì)信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)軟件（含應(yīng)用/中間件平臺(tái)）進(jìn)行安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包括身份鑒別、訪問(wèn)控制、安全標(biāo)記、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等。具體依據(jù)基本要求中的“應(yīng)用安全”內(nèi)容，同時(shí)可以參照信息

33、系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求、信息系統(tǒng)通用安全技術(shù)要求等。3.2.2.6 備份和恢復(fù)安全設(shè)計(jì)針對(duì)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)連續(xù)性進(jìn)行安全設(shè)計(jì)，設(shè)計(jì)內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、備用基礎(chǔ)設(shè)施以及相關(guān)技術(shù)設(shè)施。針對(duì)業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時(shí)間間隔、實(shí)現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求；針對(duì)信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計(jì)可考慮連續(xù)性保證方式（設(shè)備冗余、系統(tǒng)級(jí)冗余直至遠(yuǎn)程集群支持）與實(shí)現(xiàn)細(xì)節(jié)，包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。具體依據(jù)基本要求中的“數(shù)據(jù)安全和備份恢復(fù)”內(nèi)容，同時(shí)可以參照

34、信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范等。3.2.3 建設(shè)經(jīng)費(fèi)預(yù)算和工程實(shí)施計(jì)劃3.2.3.1 建設(shè)經(jīng)費(fèi)預(yù)算根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的經(jīng)費(fèi)預(yù)算，包括產(chǎn)品名稱、型號(hào)、配置、數(shù)量、單價(jià)、總價(jià)和合計(jì)等，同時(shí)應(yīng)包括集成費(fèi)用、等級(jí)測(cè)評(píng)費(fèi)用、服務(wù)費(fèi)用和管理費(fèi)用等。對(duì)于跨年度的安全建設(shè)整改或安全改建，提供分年度的經(jīng)費(fèi)預(yù)算。3.2.3.2 工程實(shí)施計(jì)劃根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的工程實(shí)施計(jì)劃，包括建設(shè)內(nèi)容、工程組織、階段劃分、項(xiàng)目分解、時(shí)間計(jì)劃和進(jìn)度安排等。對(duì)于跨年度的安全建設(shè)整改或安全改建，要對(duì)安全建設(shè)整改方案明確的主要安全建設(shè)整改內(nèi)容進(jìn)行適當(dāng)?shù)捻?xiàng)目分解，比如分解成機(jī)房安全改造項(xiàng)目、網(wǎng)絡(luò)安全建設(shè)整改

35、項(xiàng)目、系統(tǒng)平臺(tái)和應(yīng)用平臺(tái)安全建設(shè)整改項(xiàng)目等，分別制定中期和短期的實(shí)施計(jì)劃，短期內(nèi)主要解決目前急迫和關(guān)鍵的問(wèn)題。3.2.4 方案論證和備案將信息系統(tǒng)安全建設(shè)整改技術(shù)方案與安全管理體系規(guī)劃共同形成安全建設(shè)整改方案。組織專家對(duì)安全建設(shè)整改方案進(jìn)行評(píng)審論證，形成評(píng)審意見(jiàn)。第三級(jí)（含）以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案，并組織實(shí)施安全建設(shè)整改工程。3.3 安全建設(shè)整改工程實(shí)施和管理3.3.1 工程實(shí)施和管理安全建設(shè)整改工程實(shí)施的組織管理工作包括落實(shí)安全建設(shè)整改的責(zé)任部門(mén)和人員，保證建設(shè)資金足額到位，選擇符合要求的安全建設(shè)整改服務(wù)商，采購(gòu)符合要求的信息安全產(chǎn)品，管理和控制安全功能開(kāi)發(fā)、集成過(guò)程的

36、質(zhì)量等方面。按照信息系統(tǒng)安全工程管理要求中有關(guān)資格保障和組織保障等要求組織管理等級(jí)保護(hù)安全建設(shè)整改工程。實(shí)施流程管理、進(jìn)度規(guī)劃控制和工程質(zhì)量控制可參照信息系統(tǒng)安全工程管理要求中第8、9、10章提出的工程實(shí)施、項(xiàng)目實(shí)施和安全工程流程控制要求，實(shí)現(xiàn)相應(yīng)等級(jí)的工程目標(biāo)和要求。3.3.2 工程監(jiān)理和驗(yàn)收為保證建設(shè)工程的安全和質(zhì)量，第二級(jí)（含）以上信息系統(tǒng)安全建設(shè)整改工程可以實(shí)施監(jiān)理。監(jiān)理內(nèi)容包括對(duì)工程實(shí)施前期安全性、采購(gòu)?fù)獍踩?、工程?shí)施過(guò)程安全性、系統(tǒng)環(huán)境安全性等方面的核查。工程驗(yàn)收的內(nèi)容包括全面檢驗(yàn)工程項(xiàng)目所實(shí)現(xiàn)的安全功能、設(shè)備部署、安全配置等是否滿足設(shè)計(jì)要求，工程施工質(zhì)量是否達(dá)到預(yù)期指標(biāo)，工程

37、檔案資料是否齊全等方面。在通過(guò)安全測(cè)評(píng)或測(cè)試的基礎(chǔ)上，組織相應(yīng)信息安全專家進(jìn)行工程驗(yàn)收。具體參照信息系統(tǒng)安全工程管理要求。3.3.3 安全等級(jí)測(cè)評(píng)信息系統(tǒng)安全建設(shè)整改完成后要進(jìn)行等級(jí)測(cè)評(píng)，在工程預(yù)算中應(yīng)當(dāng)包括等級(jí)測(cè)評(píng)費(fèi)用。對(duì)第三級(jí)（含）以上信息系統(tǒng)每年要進(jìn)行等級(jí)測(cè)評(píng)，并對(duì)測(cè)評(píng)費(fèi)用做出預(yù)算。在公安部備案的信息系統(tǒng)，備案單位應(yīng)選擇國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)；在省（區(qū)、市）、地市級(jí)公安機(jī)關(guān)備案的信息系統(tǒng)，備案單位應(yīng)選擇本?。▍^(qū)、市）信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室或國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)。附錄：信息安全等級(jí)保護(hù)

38、主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明為推動(dòng)我國(guó)信息安全等級(jí)保護(hù)工作的開(kāi)展，十多年來(lái)，在公安部的領(lǐng)導(dǎo)和支持下，在國(guó)內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，為開(kāi)展信息安全等級(jí)保護(hù)工作奠定了基礎(chǔ)。為便于各有關(guān)單位全面、準(zhǔn)確了解掌握信息安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)，更好地指導(dǎo)等級(jí)保護(hù)工作，在總結(jié)近年來(lái)等級(jí)保護(hù)工作實(shí)踐基礎(chǔ)上，公安部組織專家和標(biāo)準(zhǔn)起草單位編寫(xiě)了信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明，第一部分梳理了與等級(jí)保護(hù)工作相關(guān)的標(biāo)準(zhǔn)，第二部分從標(biāo)準(zhǔn)的主要用途、主要內(nèi)容和使用說(shuō)明三方面進(jìn)行闡述

39、，供有關(guān)單位和部門(mén)在工作中參考。1 信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)體系信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)大致可以分為四類：基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類。1.1基礎(chǔ)類標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）。1.2 應(yīng)用類標(biāo)準(zhǔn)1.2.1 信息系統(tǒng)定級(jí)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB/T 22240-2008）1.2.2 等級(jí)保護(hù)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（信安字200710號(hào)）1.2.3 信息系統(tǒng)安全建設(shè)信息系統(tǒng)通用安全技術(shù)要求（GB/T 20271-2006）信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（信安秘字200905

40、9號(hào)）信息系統(tǒng)安全管理要求（GB/T 20269-2006）信息系統(tǒng)安全工程管理要求（GB/T 20282-2006）信息系統(tǒng)物理安全技術(shù)要求（GB/T 21052-2007）網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T 20270-2006）信息系統(tǒng)安全等級(jí)保護(hù)體系框架（GA/T 708-2007）信息系統(tǒng)安全等級(jí)保護(hù)基本模型（GA/T 709-2007）信息系統(tǒng)安全等級(jí)保護(hù)基本配置（GA/T 710-2007）1.2.4 等級(jí)測(cè)評(píng)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（報(bào)批稿）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（報(bào)批稿）信息系統(tǒng)安全管理測(cè)評(píng)（GA/T 713-2007）1.3 產(chǎn)品類標(biāo)準(zhǔn)1.3.1 操作系統(tǒng)操作系統(tǒng)

41、安全技術(shù)要求（GB/T 20272-2006）操作系統(tǒng)安全評(píng)估準(zhǔn)則（GB/T 20008-2005）1.3.2 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T 20273-2006）數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則（GB/T 20009-2005）1.3.3 網(wǎng)絡(luò)網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求（GB/T 20279-2006）網(wǎng)絡(luò)端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法（GB/T 20277-2006）網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求（GB/T 20278-2006）網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法（GB/T 20280-2006）網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求（GA/T 684-2007）虛擬專用網(wǎng)安全技術(shù)要求（GA/T 686-20

42、07）1.3.4 PKI公鑰基礎(chǔ)設(shè)施安全技術(shù)要求（GA/T 687-2007）PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求（GB/T 21053-2007）1.3.5 網(wǎng)關(guān)網(wǎng)關(guān)安全技術(shù)要求（GA/T 681-2007）1.3.6 服務(wù)器服務(wù)器安全技術(shù)要求（GB/T 21028-2007）1.3.7 入侵檢測(cè)入侵檢測(cè)系統(tǒng)技術(shù)要求和檢測(cè)方法（GB/T 20275-2006）計(jì)算機(jī)網(wǎng)絡(luò)入侵分級(jí)要求（GA/T 700-2007）1.3.8 防火墻防火墻安全技術(shù)要求（GA/T 683-2007）防火墻技術(shù)測(cè)評(píng)方法（報(bào)批稿）信息系統(tǒng)安全等級(jí)保護(hù)防火墻安全配置指南（報(bào)批稿）防火墻技術(shù)要求和測(cè)評(píng)方法（GB/T 20281-

43、2006）包過(guò)濾防火墻評(píng)估準(zhǔn)則（GB/T 20010-2005）1.3.9 路由器路由器安全技術(shù)要求（GB/T 18018-2007）路由器安全評(píng)估準(zhǔn)則（GB/T 20011-2005）路由器安全測(cè)評(píng)要求（GA/T 682-2007）1.3.10 交換機(jī)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求（GB/T 21050-2007）交換機(jī)安全測(cè)評(píng)要求（GA/T 685-2007）1.3.11 其他產(chǎn)品終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T 671-2006）終端計(jì)算機(jī)系統(tǒng)測(cè)評(píng)方法（GA/T 671-2006）審計(jì)產(chǎn)品技術(shù)要求和測(cè)評(píng)方法（GB/T 20945-2006）虹膜特征識(shí)別技術(shù)要求（GB/T 20979-20

44、07）虛擬專網(wǎng)安全技術(shù)要求（GA/T 686-2007）應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南（GA/T 711-2007）應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南（GA/T 712-2007）網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法（GB/T 20277-2006）網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)評(píng)方法（GB/T 20280-2006）1.4其他類標(biāo)準(zhǔn)1.4.1 風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）1.4.2 事件管理信息安全事件管理指南（GB/Z 20985-2007）信息安全事件分類分級(jí)指南（GB/Z 20986-2007）信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007）各類標(biāo)準(zhǔn)

45、在等級(jí)保護(hù)各工作環(huán)節(jié)中的關(guān)系如圖1所示：產(chǎn)品測(cè)評(píng)建設(shè)定級(jí)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全管理要求信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求信息系統(tǒng)安全工程管理要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)細(xì)則圖1：信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)體系2 信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明現(xiàn)將信息安全

46、等級(jí)保護(hù)標(biāo)準(zhǔn)體系中比較重要的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則、信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南、信息系統(tǒng)安全管理要求、信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求、信息系統(tǒng)安全工程管理要求、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南等十個(gè)標(biāo)準(zhǔn)作一簡(jiǎn)要說(shuō)明。2.1 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）2.1.1 主要用途本標(biāo)準(zhǔn)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分了五個(gè)等級(jí)，并明確了各個(gè)保護(hù)級(jí)別的技術(shù)保護(hù)措施要求。本標(biāo)準(zhǔn)是國(guó)家強(qiáng)制性技術(shù)規(guī)范，其主要用途包括：一是用于規(guī)范和指導(dǎo)計(jì)算機(jī)信

47、息系統(tǒng)安全保護(hù)有關(guān)標(biāo)準(zhǔn)的制定；二是為安全產(chǎn)品的研究開(kāi)發(fā)提供技術(shù)支持；三是為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門(mén)的監(jiān)督檢查提供依據(jù)。2.1.2 主要內(nèi)容本標(biāo)準(zhǔn)界定了計(jì)算機(jī)信息系統(tǒng)的基本概念：計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的、按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息系統(tǒng)安全保護(hù)能力五級(jí)劃分。信息系統(tǒng)按照安全保護(hù)能力劃分為五個(gè)等級(jí)：第一級(jí)用戶自主保護(hù)級(jí)，第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)，第三級(jí)安全標(biāo)記保護(hù)級(jí)，第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)，第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)。從自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、標(biāo)記、身份鑒別、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽信道

48、分析、可信路徑、可信恢復(fù)等十個(gè)方面，采取逐級(jí)增強(qiáng)的方式提出了計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)技術(shù)要求。2.1.3 使用說(shuō)明本標(biāo)準(zhǔn)是等級(jí)保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn)，其提出的某些安全保護(hù)技術(shù)要求受限于當(dāng)前技術(shù)水平尚難以實(shí)現(xiàn)，但其構(gòu)造的安全保護(hù)體系應(yīng)隨著科學(xué)技術(shù)的發(fā)展逐步落實(shí)。2.2 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）2.2.1 主要用途根據(jù)信息安全等級(jí)保護(hù)管理辦法的規(guī)定，信息系統(tǒng)按照重要性和被破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益的危害性分為五個(gè)安全保護(hù)等級(jí)。不同安全保護(hù)等級(jí)的信息系統(tǒng)有著不同的安全需求，為此，針對(duì)不同等級(jí)的信息系統(tǒng)提出了相應(yīng)的基本安全保護(hù)要求，各個(gè)級(jí)別信息系統(tǒng)的安全保護(hù)要求

49、構(gòu)成了信息系統(tǒng)安全等級(jí)保護(hù)基本要求（以下簡(jiǎn)稱基本要求）?；疽笠杂?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）為基礎(chǔ)研究制定，提出了各級(jí)信息系統(tǒng)應(yīng)當(dāng)具備的安全保護(hù)能力，并從技術(shù)和管理兩方面提出了相應(yīng)的措施，為信息系統(tǒng)建設(shè)單位和運(yùn)營(yíng)使用單位在系統(tǒng)安全建設(shè)中提供參照。2.2.2 主要內(nèi)容2.2.2.1 總體框架基本要求分為基本技術(shù)要求和基本管理要求兩大類，其中技術(shù)要求又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)五個(gè)方面，管理要求又分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)行維護(hù)管理五個(gè)方面。技術(shù)要求主要包括身份鑒別、自主訪問(wèn)控制、強(qiáng)制

50、訪問(wèn)控制、安全審計(jì)、完整性和保密性保護(hù)、邊界防護(hù)、惡意代碼防范、密碼技術(shù)應(yīng)用等，以及物理環(huán)境和設(shè)施安全保護(hù)要求。管理要求主要包括確定安全策略，落實(shí)信息安全責(zé)任制，建立安全組織機(jī)構(gòu)，加強(qiáng)人員管理、系統(tǒng)建設(shè)和運(yùn)行維護(hù)的安全管理。提出了機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運(yùn)行維護(hù)管理、系統(tǒng)安全風(fēng)險(xiǎn)管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、安全監(jiān)測(cè)、備份與恢復(fù)管理、應(yīng)急處置管理、密碼管理、安全審計(jì)管理等基本安全管理制度要求，提出了建立崗位和人員管理制度、安全教育培訓(xùn)制度、安全建設(shè)整改的監(jiān)理制度、自行檢查制度等要求。2.2.2.2 保護(hù)要求的分級(jí)方法由于信息系統(tǒng)分為五個(gè)安全保護(hù)等級(jí)，其安全保護(hù)能力

51、逐級(jí)增高，相應(yīng)的安全保護(hù)要求和措施逐級(jí)增強(qiáng)，體現(xiàn)在兩個(gè)方面：一是隨著信息系統(tǒng)安全級(jí)別提高，安全要求的項(xiàng)數(shù)增加；二是隨著信息系統(tǒng)安全級(jí)別的提高，同一項(xiàng)安全要求的強(qiáng)度有所增加。例如，三級(jí)信息系統(tǒng)基本要求是在二級(jí)基本要求的基礎(chǔ)上，在技術(shù)方面增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴等三項(xiàng)要求。同時(shí)，對(duì)身份鑒別、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)完整性及保密性方面的要求在強(qiáng)度上有所增加；在管理方面增加了監(jiān)控管理和安全管理中心等兩項(xiàng)要求，同時(shí)對(duì)安全管理制度評(píng)審、人員安全和系統(tǒng)建設(shè)過(guò)程管理提出了進(jìn)一步要求。安全要求的項(xiàng)數(shù)和強(qiáng)度的不同，綜合體現(xiàn)出不同等級(jí)信息系統(tǒng)安全要求的級(jí)差。2.2.2.3 保護(hù)措施分類技術(shù)類安全

52、要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確配置其安全功能來(lái)實(shí)現(xiàn)。根據(jù)保護(hù)側(cè)重點(diǎn)的不同，技術(shù)類安全要求進(jìn)一步細(xì)分為信息安全類要求（簡(jiǎn)記為S）、服務(wù)保證類要求（簡(jiǎn)記為A）和通用安全保護(hù)類要求（簡(jiǎn)記為G）。信息安全類要求是指保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改；服務(wù)保證類要求是指保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。2.2.3 使用說(shuō)明基本要求對(duì)第一級(jí)信息系統(tǒng)的基本要求僅供用戶參考，按照自主保護(hù)的原則采取必要的安全技術(shù)和管理措施。用戶在進(jìn)行信息系統(tǒng)安全建設(shè)整改時(shí)，可以在基本要求基礎(chǔ)上，根據(jù)行業(yè)和系統(tǒng)實(shí)際，提出特殊安全要求，開(kāi)展安全建設(shè)整改。基本要求給出了各級(jí)信息系統(tǒng)每一保護(hù)方面需達(dá)到的要求，不是具體的安全