信息安全等級保護安全建設(shè)整改工作培訓材料之一

1、信息安全等級保護安全建設(shè)整改工作培訓材料公安部網(wǎng)絡(luò)安全保衛(wèi)局二00九年十二月、八前言為進一步貫徹落實國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作 的意見 和關(guān)于信息安全等級保護工作的實施意見 、信息安全等級保 護管理辦法精神，有效解決信息系統(tǒng)安全保護中存在的管理制度不健全、 技術(shù)措施不符合標準要求、 安全責任不落實等突出問題， 提高我國重要信 息系統(tǒng)的安全保護能力，在全國信息系統(tǒng)安全等級保護定級工作基礎(chǔ)上， 公安部印發(fā)了關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意 見（公信安 20091429 號），部署開展信息系統(tǒng)等級保護安全建設(shè)整改 工作。為便于信息系統(tǒng)等級保護安全建設(shè)整改工作相關(guān)單位全

2、面了解和掌 握信息安全等級保護安全建設(shè)整改工作所依據(jù)的政策和技術(shù)標準， 明確開 展等級保護安全建設(shè)整改工作的目標、 容和要求， 更好地指導各單位、 各 部門開展信息安全等級保護安全建設(shè)整改工作， 加強宣傳和培訓工作， 我 們編寫了本培訓材料，供參考使用。有關(guān)材料下載網(wǎng)址：公安部： 等級保護： 目錄一、當前開展信息安全等級工作面臨的形勢二、信息安全等級保護安全建設(shè)整改工作依據(jù)的政策（一）總體政策（二）具體政策1、定級政策2、備案政策3、安全建設(shè)整改政策4、等級測評政策5、檢查監(jiān)督政策三、信息安全等級保護安全建設(shè)整改工作依據(jù)的標準（一）基礎(chǔ)類標準（二）安全要求類標準（三）定級類標準（四）方法指導類

3、標準（五）現(xiàn)狀分析類標準四、信息安全等級保護安全建設(shè)整改的工作目標五、信息安全等級保護安全建設(shè)整改的工作對象六、信息安全等級保護安全建設(shè)整改的工作容及要求（一）信息安全等級保護安全管理制度建設(shè)（二）信息安全等級保護安全技術(shù)措施建設(shè)七、信息安全等級保護安全建設(shè)整改的工作流程八、信息安全等級保護安全建設(shè)整改的工作方法九、信息安全等級保護安全建設(shè)整改中的幾項相關(guān)工作（一）信息安全等級測評（二）信息安全產(chǎn)品的選擇使用（三）信息系統(tǒng)安全建設(shè)整改方案的制定十、信息安全等級保護安全建設(shè)整改工作的檢查監(jiān)督十一、總體工作要求附件：國家信息安全等級保護安全建設(shè)指導專家委員會職責國家信息安全等級保護安全建設(shè)指導專家

4、委員會專家信息安全等級保護安全建設(shè)整改工作培訓材料一、當前開展信息安全等級工作面臨的形勢近年來，在黨中央、國務(wù)院的高度重視下，通過各地區(qū)、各部門的共 同努力，信息安全工作取得明顯成效：信息安全責任進一步明確，等級保 護、風險評估、網(wǎng)絡(luò)信任體系、應(yīng)急與災(zāi)備等基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè) 取得明顯進展，信息安全防護水平明顯提高。與此同時我們應(yīng)該看到，當 前我國信息安全面臨的形勢仍然十分嚴峻， 維護國家信息安全的任務(wù)十分 艱巨、繁重。一是西強我弱的局面長期存在，信息安全戰(zhàn)略威脅更加突出。近年來，我國重要信息系統(tǒng)的安全保護能力雖然有了很大提高，但同西方發(fā)達國家相比，還是處于西強我弱，總體比較被動的局面。奧

5、巴馬執(zhí)政以來， 美國高度重視網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)空間視為繼陸、海、空、太空后的“第 五戰(zhàn)略空間”，制訂出臺了包括強化聯(lián)邦政府對網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導，整合各方資源力量，成立作戰(zhàn)部隊，加強技術(shù)研發(fā)和網(wǎng)絡(luò)戰(zhàn)資源儲備， 全面 提升國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全防能力等一系列重要舉措。而美國推行國家網(wǎng)絡(luò)安全新戰(zhàn)略，正是將中國作為其頭號假想敵。如果未來發(fā)生“網(wǎng) 絡(luò)戰(zhàn)”，美國和西方國家首要攻擊目標就是我國涉及國計民生的重要信息 系統(tǒng)。同時，信息安全領(lǐng)域的一些關(guān)鍵技術(shù)和關(guān)鍵產(chǎn)品大部分掌握在西 方信息化發(fā)達國家手中，從而使大量采用國外產(chǎn)品和服務(wù)的我國重要 信息系統(tǒng)受敵對勢力、敵對分子滲透、攻擊、控制的安全隱患進一步

6、加大，構(gòu)成了對我關(guān)鍵基礎(chǔ)設(shè)施的戰(zhàn)略威脅。二是各類網(wǎng)絡(luò)安全威脅不斷增多，網(wǎng)絡(luò)安全防難度加大。 今年以來， 截獲計算機病毒數(shù)量、 新增病毒種類以及感染計算機臺數(shù)較去年同期均有 所增加， 計算機病毒通過網(wǎng)頁掛馬、 網(wǎng)絡(luò)共享、 電子和 U 盤等移動存儲介 質(zhì)廣泛傳播。與第三方應(yīng)用軟件、瀏覽器服務(wù)有關(guān)安全漏洞也大幅上升， 其量是高危漏洞。大量木馬、后門病毒利用安全漏洞通過“掛馬”、“U盤擺渡”、偽造和欺騙等手段侵入重要信息系統(tǒng)，消耗系統(tǒng)資源，竊取個 人用戶信息甚至國家秘密和商業(yè)秘密， 給重要信息系統(tǒng)的安全運行造成很 大危害。 此外，境外敵對勢力、 敵對分子和不法分子也利用重要信息系統(tǒng) 的安全漏洞和管理缺

7、陷， 對我重要信息系統(tǒng)實施網(wǎng)絡(luò)探測攻擊， 破壞國家 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的行為也逐年增多。三是信息安全建設(shè)缺乏規(guī)，安全防護能力亟待提高。 一些單位信息 安全領(lǐng)導體制和工作機制等責任制未落實， 人員安全管理、 系統(tǒng)運維管理 和系統(tǒng)建設(shè)管理制度不健全、 不規(guī)。缺乏常態(tài)化的系統(tǒng)安全保護狀況的測 評分析， 在安全技術(shù)策略的選擇、 建設(shè)整改方案設(shè)計及實施等技術(shù)建設(shè)方 面，既存在一定的盲目性， 也缺乏完整性和系統(tǒng)性， 導致信息安全整體防 護能力和水平不高，給信息系統(tǒng)正常運行留下安全隱患。為切實履行中央賦予公安部的職責， 2007 年，公安部會同有關(guān)部門 開展了信息安全等級保護定級工作。 經(jīng)過各部門、 各行業(yè)、 各

8、單位的共同 努力，定級工作已基本完成。 為加快推進信息安全等級保護制度建設(shè)， 將 等級保護工作向縱深推進， 定級備案工作完成后， 公安部積極組織有關(guān)單位和專家， 制定并完善了等級保護相關(guān)政策和技術(shù)標準， 為各單位、各部 門深入開展等級保護安全建設(shè)整改工作奠定了必要的基礎(chǔ)。 一是制定了信 息安全等級保護安全建設(shè)整改工作的相關(guān)政策。 經(jīng)過多年探索和實踐， 特 別是經(jīng)過奧運網(wǎng)絡(luò)安全保衛(wèi)工作的檢驗， 進一步明確了開展等級保護安全 建設(shè)整改工作的目標、容、要求和方法，制定并印發(fā)了關(guān)于開展信息安 全等級保護安全建設(shè)整改工作的指導意見 （公信安 20091429 號）及信 息安全等級保護安全建設(shè)整改工作指南

9、 等附件， 至此，針對等級保護定 級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查等主要環(huán)節(jié)的政策體系已 基本形成。 二是制定了信息安全等級保護安全建設(shè)整改工作的相關(guān)標準。 為配合信息安全等級保護安全建設(shè)整改工作順利開展， 公安部組織國有關(guān) 單位和專家經(jīng)過多年研究， 形成了以 計算機信息系統(tǒng)安全保護等級劃分 準則（GB17859-1999為基礎(chǔ)的技術(shù)、管理和產(chǎn)品三大類標準體系，并 在此基礎(chǔ)上， 形成了體現(xiàn)安全建設(shè)整改具體容和要求的 信息系統(tǒng)安全等 級保護基本要求（GB/T 22239-2008）。該標準與測評要求等狀況分析方 面的標準和實施指南、 安全設(shè)計技術(shù)要求等方法指導方面標準， 共同為安 全建

10、設(shè)整改工作提供技術(shù)標準支撐。 至此，信息安全等級保護標準體系也 已基本形成。 三是等級保護測評體系建設(shè)已經(jīng)開展。 等級測評工作是信息 安全等級保護整體工作的一個重要組成部分。 為推動信息安全等級保護測 評機構(gòu)建設(shè)， 規(guī)測評機構(gòu)和人員及其測評活動的管理， 保障等級保護工作 的順利開展， 公安部已于今年年初組織開展等級測評體系建設(shè)。 先后組織 編寫了信息安全等級保護測評要求 、信息安全等級保護測評過程指南 以及信息系統(tǒng)等級保護測評報告模版 等標準和規(guī)。 為檢驗標準和規(guī)的可行性和必要性，公安部于今年710月份組織開展了等級測評體系建設(shè) 試點工作，六個省市公安機關(guān)和十多家測評機構(gòu)參加， 積累了對測評機

11、構(gòu) 及人員規(guī)管理的經(jīng)驗和方法。下一步公安部將在全國推廣試點工作經(jīng)驗， 加強對測評機構(gòu)的能力審驗和安全審查， 加強對測評人員的安全審查和培 訓，并將通過評估的測評機構(gòu)向社會公布，供相關(guān)單位選擇。此外，電力 等一些行業(yè)及一些信息安全企業(yè)已經(jīng)按照等級保護相關(guān)政策和標準，開始進行信息安全等級保護安全建設(shè)整改工作，摸索了一些經(jīng)驗?？傊?，綜合開展信息安全等級保護安全建設(shè)整改工作面臨的形勢和前 期工作基礎(chǔ)，既是形勢所迫，也具備了一定的條件，既有必要性，也有可 行性。因此，各單位要全面準確把握當前我國信息安全工作面臨的形勢， 進一步統(tǒng)一思想，提高認識，增強做好信息安全等級保護安全建設(shè)整改工 作的責任感和緊迫感

12、，將等級保護工作落實好。二、信息安全等級保護安全建設(shè)整改工作依據(jù)的政策近幾年，為組織開展信息安全等級保護工作， 公安部根據(jù)中華人民 國計算機信息系統(tǒng)安全保護條例（國務(wù)院147號令）的授權(quán)，會同國家 局、國家密碼管理局和原國務(wù)院信息辦出臺了一些文件，國家發(fā)改委會同公安部、國家局出臺了相關(guān)文件，公安部對有些具體工作出臺了一些指導 意見和規(guī)，這些文件初步構(gòu)成了信息安全等級保護政策體系（如圖 1所 示），為指導各地區(qū)、各部門開展等級保護工作提供了政策保障。圖 1 信息安全等級保護法律政策體系為了方便使用， 我們已將信息安全等級保護政策文件匯編成 信息安 全等級保護政策匯編發(fā)給有關(guān)單位、部門。（一）總體

13、政策總體方面的文件有兩個， 這兩個文件確定了等級保護制度的總體容和要求，對等級保護工作的開展起到宏觀指導作用。1、關(guān)于信息安全等級保護工作的實施意見 （公通字 200466 號） 該文件是為貫徹落實國務(wù)院第 147號令和中辦 27 號文件、由四部委共同 會簽印發(fā)、 指導相關(guān)部門實施信息安全等級保護工作的綱領(lǐng)性文件， 主要 容包括貫徹落實信息安全等級保護制度的基本原則， 等級保護工作的基本 容、工作要求和實施計劃，以及各部門工作職責分工等。2、信息安全等級保護管理辦法 （公通字 200743 號）。該文件是 在開展信息系統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作和信息安全等級保護試點工 作基礎(chǔ)上， 由四部委共同

14、會簽印發(fā)的重要管理規(guī)， 主要容包括信息安全等 級保護制度的基本容、流程及工作要求，信息系統(tǒng)定級、備案、安全建設(shè) 整改、等級測評的實施與管理， 信息安全產(chǎn)品和測評機構(gòu)選擇等， 為開展 信息安全等級保護工作提供了規(guī)保障。（二）具體政策對應(yīng)等級保護工作的具體環(huán)節(jié) （信息系統(tǒng)定級、 備案、安全建設(shè)整改、 等級測評、安全檢查） ，出臺了相應(yīng)的政策規(guī)：1定級政策關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 （公通 字2007861 號）。2007年7月 20日四部委在聯(lián)合召開了 “全國重要信息 系統(tǒng)安全等級保護定級工作電視會議” ，會議根據(jù)該通知精神部署在全國 圍開展重要信息系統(tǒng)安全等級保護定級工作

15、， 標志著全國信息安全等級保 護工作全面開展。該文件由四部委共同會簽印發(fā)。2備案政策信息安全等級保護備案實施細則 （公信安 20071360 號）。該文 件規(guī)定了公安機關(guān)受理信息系統(tǒng)運營使用單位信息系統(tǒng)備案工作的容、 流 程、審核等容， 并附帶有關(guān)法律文書， 指導各級公安機關(guān)受理信息系統(tǒng)備案工作。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。3安全建設(shè)整改政策（1）關(guān)于開展信息系統(tǒng)等級保護安全建設(shè)整改工作的指導意見 （公 信安 20091429 號）。該文件明確了非涉及國家秘密信息系統(tǒng)開展安全建 設(shè)整改工作的目標、容、流程和要求等，文件附件包括信息安全等級保 護安全建設(shè)整改工作指南和信息安全等級保護主要標

16、準簡要說明 。 該文件由公安部印發(fā)。（2）關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的 通知（發(fā)改高技 20082071 號）。該文件要求非涉密國家電子政務(wù)項目 開展等級測評和信息安全風險評估要按照信息安全等級保護管理辦法 進行，明確了項目驗收條件： 公安機關(guān)頒發(fā)的信息系統(tǒng)安全等級保護備案 證明、等級測評報告和風險評估報告。該文件由發(fā)改委、公安部、國家局 共同會簽印發(fā)。4等級測評政策關(guān)于印發(fā)信息系統(tǒng)安全等級測評報告模版（試行） 的通知（公信 安20091487 號）。該文件明確了等級測評的容、方法和測評報告格式等 容，用以規(guī)等級測評活動。該文件由公安部網(wǎng)絡(luò)安全保衛(wèi)局印發(fā)。5檢查監(jiān)督政

17、策公安機關(guān)信息安全等級保護檢查工作規(guī) （試行）（公信安 2008736 號）。該文件規(guī)定了公安機關(guān)開展信息安全等級保護檢查工作的容、 程序、 方式以及相關(guān)法律文書等， 使檢查工作規(guī)化、 制度化。 該文件由公安部網(wǎng) 絡(luò)安全保衛(wèi)局印發(fā)。三、信息安全等級保護安全建設(shè)整改工作依據(jù)的標準為推動我國信息安全等級保護工作的開展， 十多年來， 在公安部領(lǐng)導 和支持下，在國有關(guān)專家、企業(yè)的共同努力下， 全國信息安全標準化技術(shù) 委員會和公安部信息系統(tǒng)安全標準化技術(shù)委員會組織制訂了信息安全等 級保護工作需要的一系列標準， 形成了比較完整的信息安全等級保護標準 體系，為開展信息安全等級保護工作提供了標準保障。 信息安

18、全等級保護 相關(guān)標準具體見信息安全等級保護主要標準簡要說明 。各單位、各部門安全建設(shè)整改工作應(yīng)依據(jù)基本要求或行業(yè)標準 規(guī)，并在不同階段、 針對不同技術(shù)活動參照相應(yīng)的標準規(guī)進行， 相關(guān)標準 與等級保護各工作環(huán)節(jié)的關(guān)系如圖 2 所示。信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護行業(yè)定級細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求現(xiàn)狀分析安全等級信息安全等級保護安全建設(shè)整改工作方法指導安全要求信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護基本要求技術(shù)類信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)安全管理要求產(chǎn)品類操作

19、系統(tǒng)安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求信息系統(tǒng)安全工程管理要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求其他管理類標準網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求其他技術(shù)類標準其他產(chǎn)品類標準計算機信息系統(tǒng)安全保護等級劃分準則（GB17859圖2等級保護相關(guān)標準與等級保護各工作環(huán)節(jié)的關(guān)系為了方便使用， 我們已將主要標準匯編成 信息安全等級保護標準匯 編發(fā)給有關(guān)單位、部門。標準體系的構(gòu)成與作用如下：（一）基礎(chǔ)類標準計算機信息系統(tǒng)安全保護等級劃分準則 是強制性國家標準， 是等 級保護重要的基礎(chǔ)性標準。 依據(jù)在此標準制定出的 信息系統(tǒng)通用安全技 術(shù)要求 等技術(shù)類標準和 信息系統(tǒng)安全管理要求 、信息系統(tǒng)安全工程

20、 管理要求等管理類標準、 操作系統(tǒng)安全技術(shù)要求等產(chǎn)品類標準，共 同構(gòu)成了等級保護基礎(chǔ)性標準，為相關(guān)標準的制定起到了基礎(chǔ)性作用。（二）安全要求類標準 基本要求以及行業(yè)標準規(guī)或細則構(gòu)成了信息系統(tǒng)安全建設(shè)整改的 安全需求。1信息系統(tǒng)安全等級保護基本要求 （以下簡稱基本要求 ）。該 標準是在計算機信息系統(tǒng)安全保護等級劃分準則 、技術(shù)類標準和管理 類標準基礎(chǔ)上，總結(jié)幾年的實踐， 結(jié)合當前信息技術(shù)發(fā)展的實際情況研究 制定的，該標準提出了各級信息系統(tǒng)應(yīng)當具備的安全保護能力， 并從技術(shù) 和管理兩方面提出了相應(yīng)的措施。2信息系統(tǒng)安全等級保護基本要求的行業(yè)細則。重點行業(yè)可以按照 基本要求等國家標準，結(jié)合行業(yè)特點，

21、在公安部等有關(guān)部門指導下， 確定基本要求的具體指標，在不低于基本要求的情況下，結(jié)合系 統(tǒng)安全保護的特殊需求，制定信息系統(tǒng)安全建設(shè)整改的行業(yè)標準規(guī)或細 則，并據(jù)此開展安全建設(shè)整改工作。（三）定級類標準信息系統(tǒng)安全等級保護定級指南 和信息系統(tǒng)安全等級保護行業(yè)定 級細則為確定信息系統(tǒng)安全保護等級提供支持。1. 信息系統(tǒng)安全等級保護定級指南（GB/T22240-2008）。該標準規(guī) 定了定級的依據(jù)、 對象、流程和方法以及等級變更等容， 用于指導開展信 息系統(tǒng)定級工作。2. 信息系統(tǒng)安全等級保護行業(yè)定級細則。重點行業(yè)可以根據(jù)信息 系統(tǒng)安全等級保護定級指南 ，結(jié)合行業(yè)特點，在公安部指導下，制定出 臺行業(yè)信

22、息系統(tǒng)定級標準規(guī)或細則，并據(jù)此開展信息系統(tǒng)定級工作。（四）方法指導類標準信息系統(tǒng)安全等級保護實施指南 和信息系統(tǒng)等級保護安全設(shè)計 技術(shù)要求構(gòu)成了指導信息系統(tǒng)安全建設(shè)整改的方法指導類標準。1 . 信息系統(tǒng)安全等級保護實施指南 （信安字200710 號）。該標準 闡述了等級保護實施的基本原則、 參與角色和信息系統(tǒng)定級、 總體安全規(guī) 劃、安全設(shè)計與實施、 安全運行與維護、 信息系統(tǒng)終止等幾個主要工作階 段中如何按照信息安全等級保護政策、標準要施等級保護工作。2.信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 （信安秘字2009059 號）。 該標準提出了信息系統(tǒng)等級保護安全設(shè)計的技術(shù)要求， 包括第一級至第五 級信

23、息系統(tǒng)安全保護環(huán)境的安全計算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò) 和安全管理中心等方面的設(shè)計技術(shù)要求， 以及定級系統(tǒng)互聯(lián)的設(shè)計技術(shù)要 求，明確了體現(xiàn)定級系統(tǒng)安全保護能力的整體控制機制， 用于指導信息系 統(tǒng)運營使用單位、 信息安全企業(yè)、 信息安全服務(wù)機構(gòu)等開展信息系統(tǒng)等級 保護安全技術(shù)設(shè)計。（五）現(xiàn)狀分析類標準信息系統(tǒng)安全等級保護測評要求 和信息系統(tǒng)安全等級保護測評 過程指南構(gòu)成了指導開展等級測評的標準規(guī)。1信息系統(tǒng)安全等級保護測評要求 。該標準闡述了等級測評的原 則、測評容、測評強度、單元測評要求、整體測評要求、等級測評結(jié)論的 產(chǎn)生方法等容，用于規(guī)和指導測評人員如何開展等級測評工作。2信息系統(tǒng)

24、安全等級保護測評過程指南 。該標準闡述了信息系統(tǒng) 等級測評的測評過程， 明確了等級測評的工作任務(wù)、 分析方法以及工作結(jié) 果等，包括測評準備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編 制活動，用于規(guī)測評機構(gòu)的等級測評過程。上述標準在應(yīng)用中需注意以下問題： 一是基本要求 是信息系統(tǒng)安 全建設(shè)整改的基本目標， 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求是實現(xiàn) 該目標的方法和途徑之一。 基本要求中不包含安全設(shè)計和工程實施等 容，因此，在系統(tǒng)安全建設(shè)整改中，可以參照信息系統(tǒng)安全等級保護實 施指南、信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 和信息系統(tǒng)安全工程 管理要求進行。二是 由于信息系統(tǒng)定級時是根據(jù)業(yè)務(wù)信息安全等級

25、和系 統(tǒng)服務(wù)安全等級確定的系統(tǒng)安全等級， 因此，在進行信息系統(tǒng)安全建設(shè)整 改時， 應(yīng)根據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級確定 基本要求 中 相應(yīng)的安全保護要求。 各單位、 各部門在進行信息系統(tǒng)安全建設(shè)整改方案 設(shè)計時， 要按照整體安全的原則， 綜合考慮安全保護措施， 建立系統(tǒng)綜合 防護體系， 提高系統(tǒng)的整體保護能力。 三是信息系統(tǒng)等級保護安全設(shè)計 技術(shù)要求依據(jù)計算機信息系統(tǒng)安全保護等級劃分準則從“計算環(huán)境 安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心” （一個中心三維防 護）四方面給出了五個級別信息系統(tǒng)安全保護設(shè)計的技術(shù)要求， 用于指導 信息系統(tǒng)等級保護安全技術(shù)設(shè)計。 該標準不包括信息系統(tǒng)

26、物理安全、 安全 管理、安全運維等方面的安全要求，所以應(yīng)與基本要求等標準配合使 用。四、信息安全等級保護安全建設(shè)整改的工作目標 信息安全等級保護安全建設(shè)整改的工作目標在 關(guān)于開展信息安全等 級保護安全建設(shè)整改工作的指導意見 已經(jīng)明確。 可概況為：利用三年時 間，開展三項重點工作，實現(xiàn)五方面目標。1三年時間。由于一些重要行業(yè)信息系統(tǒng)較多，受資金、人員等條 件限制， 考慮實際情況， 全國已定級信息系統(tǒng)安全建設(shè)整改工作總體上用 三年時間完成。各行業(yè)主管（監(jiān)管）部門應(yīng)按照時間要求，根據(jù)本行業(yè)信 息系統(tǒng)數(shù)量和實際情況，合理部署總體工作進度。2三項重點工作。通過組織開展信息安全等級保護安全管理制度建 設(shè)、

27、技術(shù)措施建設(shè)和等級測評等三項重點工作， 落實等級保護制度的各項 要求。3五方面目標。 通過開展安全建設(shè)整改工作， 達到以下五方面目標： 一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防能力明顯增 強，三是信息系統(tǒng)安全隱患和安全事故明顯減少， 四是有效保障信息化健 康發(fā)展，五是有效維護國家安全、社會秩序和公共利益。五、信息安全等級保護安全建設(shè)整改的工作對象 目前，少數(shù)單位和部門尚未開展信息系統(tǒng)定級備案工作， 存在漏定級、 漏備案和定級不準等情況，所以，各行業(yè)主管（監(jiān)管）部門應(yīng)在公安部指 導下出臺行業(yè)信息系統(tǒng)定級指導意見和要求， 先解決信息系統(tǒng)定級備案工 作存在的突出問題， 在此基礎(chǔ)上開展安全

28、建設(shè)整改工作。 開展安全建設(shè)整 改工作的信息系統(tǒng)圍如下：1各單位、各部門要將已備案的第二級（含）以上信息系統(tǒng)納入安 全建設(shè)整改的圍。2尚未開展定級備案的信息系統(tǒng)，要先定級備案，再開展安全建設(shè) 整改。3新建系統(tǒng)要同步開展安全建設(shè)工作。六、信息安全等級保護安全建設(shè)整改的工作容及要求 各單位、各部門在開展安全建設(shè)整改工作中， 應(yīng)堅持管理和技術(shù)并重 的原則，依據(jù)基本要求 ，落實信息安全責任制，建立并落實各類安全 管理制度， 開展人員安全管理、 系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等工作， 落 實物理安全、 網(wǎng)絡(luò)安全、主機安全、 應(yīng)用安全和數(shù)據(jù)安全等安全保護技術(shù) 措施。（一）信息安全等級保護安全管理制度建設(shè)1建設(shè)

29、依據(jù) 按照管理辦法、信息系統(tǒng)安全等級保護基本要求 ，參照信息 系統(tǒng)安全管理要求 、信息系統(tǒng)安全工程管理要求 等標準規(guī)要求， 建立 健全并落實符合相應(yīng)等級要求的安全管理制度。2建設(shè)容（1）落實信息安全責任制。成立信息安全工作領(lǐng)導機構(gòu)，明確信息安全工作的主管領(lǐng)導。 成立專門的信息安全管理部門或落實信息安全責任 部門，確定安全崗位，落實專職人員或兼職人員。明確落實領(lǐng)導機構(gòu)、責 任部門和有關(guān)人員的信息安全責任。（2）落實人員安全管理制度。制定人員錄用、離崗、考核、教育培 訓等管理制度，落實管理的具體措施。對安全崗位人員要進行安全審查， 定期進行培訓、 考核和安全教育， 提高安全崗位人員的專業(yè)水平， 逐

30、步實 現(xiàn)安全崗位人員持證上崗。（3）落實系統(tǒng)建設(shè)管理制度。建立信息系統(tǒng)定級備案、方案設(shè)計、 產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、 安全服務(wù)等管理制度，明確工作容、工作方法、工作流程和工作要求。（4）落實系統(tǒng)運維管理制度。建立機房環(huán)境安全、存儲介質(zhì)安全、 設(shè)備設(shè)施安全、 安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防、 密碼保護、 備份與恢復、 事件處置等管理制度， 制定應(yīng)急預案并定期開展演練， 采取 相應(yīng)的管理技術(shù)措施和手段，確保系統(tǒng)運維管理制度的有效落實。3、建設(shè)要求（1）在具體實施過程中，可逐項建立管理制度，也可以進行整合， 形成完善的安全管理體系。 要根據(jù)具體情況，

31、 結(jié)合系統(tǒng)管理實際， 不斷健 全完善管理制度。 同時，將管理制度與管理技術(shù)措施有機結(jié)合， 確保安全 管理制度得到有效落實。（2）建立并落實監(jiān)督檢查機制。備案單位定期對各項制度的落實情 況進行自查， 行業(yè)主管部門組織開展督導檢查， 公安機關(guān)會同主管部門開 展監(jiān)督檢查。（二）信息安全等級保護安全技術(shù)措施建設(shè)1、建設(shè)依據(jù)按照管理辦法、信息系統(tǒng)安全等級保護基本要求 ，參照信息 系統(tǒng)安全等級保護實施指南 、信息系統(tǒng)通用安全技術(shù)要求 、信息系統(tǒng) 安全工程管理要求 、信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 等標準規(guī)要 求，建設(shè)信息系統(tǒng)安全保護技術(shù)措施。2、建設(shè)容結(jié)合行業(yè)特點和安全需求， 制定符合相應(yīng)等級要求的信息

32、系統(tǒng)安全技 術(shù)建設(shè)整改方案， 開展信息安全等級保護安全技術(shù)措施建設(shè)， 落實相應(yīng)的 物理安全、 網(wǎng)絡(luò)安全、 主機安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護技術(shù)措 施。在信息系統(tǒng)安全技術(shù)建設(shè)整改中，可以采取“一個中心、三維防護” （即一個安全管理中心和計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全） 的防護策略， 實現(xiàn)相應(yīng)級別信息系統(tǒng)的安全保護技術(shù)要求， 建立并完善信 息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。3、建設(shè)要求備案單位要開展信息系統(tǒng)安全保護現(xiàn)狀分析， 確定信息系統(tǒng)安全技術(shù) 建設(shè)整改需求， 制定信息系統(tǒng)安全技術(shù)建設(shè)整改方案， 組織實施信息系統(tǒng) 安全建設(shè)整改工程， 開展安全自查和等級測評，

33、及時發(fā)現(xiàn)信息系統(tǒng)中存在 安全隱患和威脅，進一步開展安全建設(shè)整改工作。七、信息安全等級保護安全建設(shè)整改的工作流程 安全建設(shè)整改工作可以分五步進行。第一步：落實負責安全建設(shè)整改工作的責任部門， 由責任部門牽頭制 定本單位和本行業(yè)信息系統(tǒng)安全建設(shè)整改工作規(guī)劃， 對安全建設(shè)整改工作 進行總體部署。第二步：開展信息系統(tǒng)安全保護現(xiàn)狀分析， 從管理和技術(shù)兩個方面確 定信息系統(tǒng)安全建設(shè)整改需求?？梢砸罁?jù)基本要求等標準，采取對照 檢查、風險評估、等級測評等方法， 分析判斷目前所采取的安全保護措施 與等級保護標準要求之間的差距， 分析系統(tǒng)已發(fā)生的事件或事故， 分析安 全保護方面存在的問題，形成安全建設(shè)整改的需求并

34、論證。第三步： 確定安全保護策略， 制定信息系統(tǒng)安全建設(shè)整改方案。 在安 全需求分析的基礎(chǔ)上， 進行信息系統(tǒng)安全建設(shè)整改方案設(shè)計， 包括總體設(shè) 計和詳細設(shè)計， 制定工程預算和工程實施計劃等， 為后續(xù)安全建設(shè)整改工 程實施提供依據(jù)。安全建設(shè)整改方案須經(jīng)專家評審論證，第三級（含）以 上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報公安機關(guān)備案， 公安機關(guān)監(jiān)督檢查備案 單位安全建設(shè)整改方案的實施。第四步：按照信息系統(tǒng)安全建設(shè)整改方案，實施安全建設(shè)整改工程， 建立并落實安全管理制度， 落實安全責任制， 建設(shè)安全設(shè)施， 落實安全措 施。在實施安全建設(shè)整改工程中， 需要加強投資風險控制、 實施流程管理、 進度規(guī)劃控制、工程

35、質(zhì)量控制和信息管理。第五步：開展安全自查和等級測評， 及時發(fā)現(xiàn)信息系統(tǒng)中存在的安全 隱患和問題， 并通過風險分析， 確定應(yīng)解決的主要問題， 進一步開展安全 整改工作。安全建設(shè)整改工作的具體步驟見圖 3所示。1 f安全建設(shè)整改工作定與各單位、定各部設(shè)在方息系統(tǒng)建設(shè)中開展的安全建設(shè)工作有聯(lián)系又有區(qū)別信息安全等級保安全建設(shè)整改工作具有鮮明的特息系，安主要體現(xiàn)在以下四個是繼設(shè)展。安全建設(shè)整改工作丿是在全有工作E的繼各單位、全準規(guī)開展安制 全建信息系統(tǒng)安統(tǒng)二建是引I運入標管理強部門管理工作全保扌護工理 絡(luò)各單位、建立作基礎(chǔ)4用、門是按是對原家有關(guān)標調(diào)將技術(shù)扌措施和管理施有合，著重信息系統(tǒng)綜合防£

36、;全保護能丿J。三是外部監(jiān)督。傳統(tǒng)的信息系統(tǒng)安全保護工安全大多是自主評自愿行為，而信息安全等級保護安全建設(shè)整改工作是有政府職能部門監(jiān)督的行為。全國公安機關(guān)對各單位、各部門等級保護工作的開展進行監(jiān)督、檢查。四是政策牽引 公安機關(guān)會同國家部門、密碼工作部門和信息化部門出臺了一系列政策文 件和工作指南，為各單位、各部門開展等級保護工作提供了一定的保障機 制。具體工作方法是：（一）安全建設(shè)整改工作應(yīng)以基本要求為基本目標，可以針對安 全現(xiàn)狀分析發(fā)現(xiàn)的問題進行加固改造， 缺什么補什么；也可以進行總體安 全建設(shè)整改設(shè)計，將不同區(qū)域、不同層面的安全保護措施形成有機的安全 保護體系，落實基本要求，最大程度發(fā)揮安

37、全措施的保護能力。（二）突出重點。建設(shè)過程中要突出重點，可以先對第三、四級信息 系統(tǒng)開展安全建設(shè)整改，再對第二級系統(tǒng)開展整改；也可以對各等級系統(tǒng) 同步規(guī)劃實施，確保按期完成任務(wù)。（三）試點示。重點行業(yè)、部門可以根據(jù)需要和實際情況，選擇有代 表性的第二、三、四級信息系統(tǒng)先進行安全建設(shè)整改和等級測評工作試點、 示，在總結(jié)經(jīng)驗的基礎(chǔ)上全面推開。（四）安全建設(shè)整改工作具體實施可以根據(jù)實際情況，將安全管理制度建設(shè)和安全技術(shù)措施建設(shè)容一并實施，或分步實施。（五）重點行業(yè)可以按照基本要求等國家標準，結(jié)合行業(yè)特點，在公安部等有關(guān)部門指導下，確定基本要求的具體指標，在不低于基 本要求的情況下，結(jié)合系統(tǒng)安全保護的

38、特殊需求，制定行業(yè)標準規(guī)或細 則，并據(jù)此開展安全建設(shè)整改工作。（六）將安全建設(shè)整改工作與業(yè)務(wù)工作、信息化建設(shè)工作有機結(jié)合，利用信息安全等級保護綜合工作平臺，使等級保護工作常態(tài)化九、信息安全等級保護安全建設(shè)整改中的幾項相關(guān)工作（一）信息安全等級測評 等級測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定， 受有關(guān)單 位委托， 按照有關(guān)管理規(guī)和技術(shù)標準， 對非涉及國家秘密信息系統(tǒng)安全等 級保護狀況進行檢測評估的活動。 等級測評工作是信息安全等級保護整體 工作的一個重要組成部分， 信息系統(tǒng)運營使用單位通過開展等級測評， 一 是可以掌握信息系統(tǒng)安全狀況、 排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、 明確信息 系統(tǒng)安全建

39、設(shè)整改需求； 二是衡量信息系統(tǒng)的安全保護管理措施和技術(shù)措 施是否符合等級保護基本要求，是否具備了相應(yīng)的安全保護能力。1測評機構(gòu)的選擇 為了加強信息安全等級保護等級測評機構(gòu)建設(shè)和管理， 規(guī)等級測評活 動，保障等級測評工作的順利開展， 專門機構(gòu)要對測評機構(gòu)和測評人員進 行安全審查和能力審驗。 開展等級測評的機構(gòu)須獲得專門機構(gòu)頒發(fā)的有關(guān) 明文件。開展等級測評的人員須獲得專門機構(gòu)頒發(fā)的等級測評師證書 （等 級測評師分為初級、中級和高級三種） 。審核通過的測評機構(gòu)由專門機構(gòu) 向社會公布，并由備案單位選擇。2等級測評工作 各單位、各部門在開展信息系統(tǒng)安全建設(shè)整改之前， 可以通過等級測 評進行信息系統(tǒng)安全現(xiàn)

40、狀分析， 排查信息系統(tǒng)安全隱患和薄弱環(huán)節(jié)， 明確 信息系統(tǒng)安全建設(shè)整改的需求， 制定安全建設(shè)整改方案， 有針對性地進行 安全建設(shè)整改。信息系統(tǒng)安全建設(shè)整改后，按照管理辦法的要求進行 等級測評， 檢驗安全建設(shè)整改成效， 查找與等級保護標準要求的差距。 經(jīng) 測評未達到安全保護要求的， 要根據(jù)測評報告中的改進建議， 制定整改方 案并進一步進行整改。 對第三級 （含）以上信息系統(tǒng)要定期開展等級測評 工作，對于重要部門的第二級信息系統(tǒng)， 可以參照上述要求開展等級測評 工作。各單位、各部門要對測評機構(gòu)和測評人員的測評活動進行監(jiān)督管理， 與測評機構(gòu)簽訂工作協(xié)議和協(xié)議，查驗測評機構(gòu)和測評人員的相關(guān)材料， 落實

41、測評過程監(jiān)管措施，防對信息系統(tǒng)可能造成新的安全風險。各單位、 各部門要監(jiān)督檢查測評機構(gòu)是否依據(jù) 信息系統(tǒng)安全等級保護測評要求 、 信息系統(tǒng)安全等級保護測評過程指南 等國家標準開展等級測評， 是否 按照公安部統(tǒng)一制訂的信息系統(tǒng)安全等級測評報告模版 （公信安 20091487 號）格式出具測評報告。按照行業(yè)標準規(guī)開展安全建設(shè)整改的信息系統(tǒng)， 可以以國家標準為依 據(jù)開展等級測評， 也可以行業(yè)標準規(guī)為依據(jù)開展等級測評。 各單位、 各部 門對信息系統(tǒng)開展等級測評后， 每年應(yīng)將等級測評報告向受理備案的公安 機關(guān)備案。信息系統(tǒng)運營使用單位應(yīng)當根據(jù)信息系統(tǒng)規(guī)模和測評機構(gòu)所投 入的成本， 合理支付測評服務(wù)費用。

42、 測評費用可以參考國家信息化項目人 工計費標準或根據(jù)被測設(shè)備數(shù)量與測評項預算測評費用。（二）信息安全產(chǎn)品的選擇使用為落實關(guān)于信息安全等級保護工作的實施意見 中提出的“對信息 系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理”的要求， 公安部發(fā)布了 關(guān) 于調(diào)整更新計算機信息系統(tǒng)安全專用產(chǎn)品檢測執(zhí)行標準規(guī)的公告 （公信 安20091157 號），對已有分級標準的 29 類信息安全產(chǎn)品開展分級檢測 工作。對于檢測并審核通過的產(chǎn)品，產(chǎn)品銷售許可證書標注產(chǎn)品分級信息， 便于用戶根據(jù)信息系統(tǒng)安全需求選擇相應(yīng)等級的產(chǎn)品。管理辦法規(guī)定第三級以上信息系統(tǒng)應(yīng)當選擇使用我國自主研發(fā)的信息安全產(chǎn)品。信息安全產(chǎn)品是信息系統(tǒng)安全的

43、重要基礎(chǔ)， 信息安全產(chǎn)品 的使用和管理是國家信息安全等級保護制度的重要組成部分，尤其是進入到基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中的信息安全產(chǎn)品將直接影響信息系統(tǒng) 安全，甚至危及國家安全、社會穩(wěn)定。因此，各單位、各部門應(yīng)在滿足使 用要求的前提下，優(yōu)先選擇國產(chǎn)品。國家信息安全監(jiān)管部門對進入第三級 以上信息系統(tǒng)中使用的信息安全產(chǎn)品進行管理。（三）信息系統(tǒng)安全建設(shè)整改方案的制定信息系統(tǒng)安全建設(shè)整改方案主要包括以下容： 項目背景；政策和技術(shù) 標準依據(jù)；安全需求分析；安全建設(shè)整改技術(shù)方案設(shè)計；安全建設(shè)整改管 理體系設(shè)計；信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標； 安全建設(shè)整改后信息系 統(tǒng)殘余風險分析；安全建設(shè)整改項目實施計

44、劃；項目預算。十、信息安全等級保護安全建設(shè)整改工作的檢查監(jiān)督備案單位、行業(yè)主管部門、公安機關(guān)要分別建立并落實監(jiān)督檢查機制，定期對等級保護制度各項要求的落實情況進行自查和監(jiān)督檢查。（一）備案單位的定期自查備案單位應(yīng)按照管理辦法的相關(guān)要求，對等級保護工作落實情況 進行自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護措施的落實 情況等，及時發(fā)現(xiàn)安全隱患和存在的突出問題， 有針對性地采取技術(shù)和管 理措施。備案單位應(yīng)當配合公安機關(guān)的監(jiān)督檢查工作， 如實提供有關(guān)資料及文件。當?shù)谌墸ê┮陨闲畔⑾到y(tǒng)發(fā)生事件、案件時，備案單位應(yīng)當 及時向受理備案的公安機關(guān)報告。（二）行業(yè)主管部門的督導檢查行業(yè)主管部門要建

45、立督導檢查制度， 組織制定本行業(yè)、 本部門的信息 安全等級保護檢查工作規(guī)， 定期組織對本行業(yè)、 本部門等級保護工作開展 情況進行檢查， 督促落實信息安全等級保護制度， 達到重點督促， 以點帶 面的目的。（三）公安機關(guān)的監(jiān)督檢查 部、省、市三級公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門要按照“誰受理備案、誰 負責檢查”的原則，依據(jù)公安機關(guān)信息安全等級保護檢查工作規(guī) （試行） （公信安 2008736 號），定期對備案單位等級保護工作開展和實施情況進 行監(jiān)督檢查。 對于有主管部門的， 公安機關(guān)要積極會同主管部門開展， 充 分發(fā)揮主管部門的作用，建立監(jiān)督檢查的配合機制。公安機關(guān)應(yīng)按照“嚴格依法，熱情服務(wù)”的要求開展檢查工作，遵守 檢查紀律，規(guī)檢查程序， 主動、熱情地為信息系統(tǒng)運營使用單位提供服務(wù) 和指導。 對備案單位重要信息系統(tǒng)發(fā)生的事件、 案件及時進行調(diào)查和立案 偵查，并指導其開展應(yīng)急處置工作， 為備案單位重要信息系統(tǒng)安全提供有 力支持。十一、總體工作要求（一）高度重視，加強領(lǐng)導。 等級保護安全建設(shè)整改工作任務(wù)艱巨， 責任重大。各