國家信息安全等級保護(hù)系列法律政策

國家信息安全等級保護(hù)法律政策

公安部網(wǎng)絡(luò)安全保衛(wèi)局

公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門

機構(gòu)和職責(zé)機構(gòu)：公安部：網(wǎng)絡(luò)安全保衛(wèi)局各省：網(wǎng)絡(luò)警察總隊地市：網(wǎng)絡(luò)警察支隊區(qū)縣：網(wǎng)絡(luò)警察大隊職責(zé)：制定網(wǎng)絡(luò)安全政策打擊網(wǎng)絡(luò)違法犯罪互聯(lián)網(wǎng)安全管理重要信息系統(tǒng)安全監(jiān)管網(wǎng)絡(luò)安全通報預(yù)警

目錄一、我國網(wǎng)絡(luò)安全面臨的新形勢二、我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保障方面存在的突出問題三、IT企業(yè)在國家網(wǎng)絡(luò)安全保障工作中如何充分發(fā)揮技術(shù)支撐作用四、國家有關(guān)信息安全等級保護(hù)的法律政策要求五、信息安全等級保護(hù)工作主要內(nèi)容一、我國網(wǎng)絡(luò)安全面臨的新形勢1、國家層面面臨的網(wǎng)絡(luò)安全威脅加快戰(zhàn)略布局，強奪網(wǎng)絡(luò)空間制高點強力推進(jìn)網(wǎng)軍建設(shè)，加快網(wǎng)絡(luò)戰(zhàn)備戰(zhàn)擴(kuò)大網(wǎng)上統(tǒng)一戰(zhàn)線，制定網(wǎng)絡(luò)空間國際規(guī)則制定主導(dǎo)權(quán)使用各種方法，利用網(wǎng)絡(luò)對我實施攻擊和竊密2、敵對勢力和黑客組織的嚴(yán)重威脅近年來敵對勢力、敵對組織利用互聯(lián)網(wǎng)對我政府網(wǎng)站、基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)進(jìn)行入侵攻擊、控制和竊密?！胺垂埠诳吐?lián)盟”攻擊我政府網(wǎng)站，篡改網(wǎng)頁張貼反動標(biāo)語。全球最大的黑客組織“匿名者”在全球擁有60萬成員，該組織號召力極強，具備實施大規(guī)模網(wǎng)絡(luò)攻擊的能力，多次對我政府網(wǎng)站發(fā)動攻擊。3、互聯(lián)網(wǎng)快速發(fā)展帶來的嚴(yán)重挑戰(zhàn)網(wǎng)絡(luò)社會的快速發(fā)展深刻影響著現(xiàn)實社會的政治、經(jīng)濟(jì)、文化等諸多方面?；ヂ?lián)網(wǎng)已成為敵對勢力、敵對分子圖謀顛覆我政權(quán)的主要抓手。網(wǎng)絡(luò)恐怖成為國家安全新的重大威脅。電子商務(wù)安全影響國家經(jīng)濟(jì)安全和社會穩(wěn)定。4、關(guān)鍵信息基礎(chǔ)設(shè)施安全隱患嚴(yán)重境外一些企業(yè)的產(chǎn)品和服務(wù)，已深度滲透至我國電信、金融、能源等關(guān)鍵信息基礎(chǔ)設(shè)施。我重要行業(yè)部門選用國外操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、核心路由器等關(guān)鍵信息產(chǎn)品，如果這些產(chǎn)品存在后門或植入了木馬，漏洞客觀上成為了竊密渠道和網(wǎng)絡(luò)攻擊的通道。5、新技術(shù)新應(yīng)用的加快發(fā)展給網(wǎng)絡(luò)安全帶來了更大的風(fēng)險和隱患下一代互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等加快應(yīng)用，實現(xiàn)“智能電網(wǎng)”、“智能油田”和“智慧城市”云計算的虛擬化、集約化的安全，物聯(lián)網(wǎng)感知層、傳輸層的安全，智能位置服務(wù)的位置隱私安全，大數(shù)據(jù)的海量數(shù)據(jù)安全，移動互聯(lián)網(wǎng)的智能端安全，成為了網(wǎng)絡(luò)安全新的挑戰(zhàn)。6、網(wǎng)絡(luò)違法犯罪活動呈快速增長利用和針對互聯(lián)網(wǎng)實施網(wǎng)絡(luò)竊密、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙、網(wǎng)上盜竊等違法犯罪活動，日益猖獗。不法分子利用各種手段竊取、販賣公民個人信息，從事各種違法犯罪活動，涉及金融、電信、交通、教育、醫(yī)療、國土、工商、物業(yè)、保險、快遞等行業(yè)。網(wǎng)上制造傳播謠言，進(jìn)行有組織敲詐，嚴(yán)重擾亂社會秩序。

二、我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保障方面存在的突出問題一是重要行業(yè)部門對網(wǎng)絡(luò)安全認(rèn)識不清，安全意識差，重視不夠。缺少全局性的政策文件、標(biāo)準(zhǔn)，缺乏對整個工作的指導(dǎo)二是缺乏頂層設(shè)計和規(guī)劃，缺乏統(tǒng)一領(lǐng)導(dǎo)。安全保護(hù)策略不科學(xué)三是管理體制機制不順。管理制度不健全，責(zé)任部門、責(zé)任人不落實，安全責(zé)任不落實，職責(zé)不清，分工不明四是缺乏在機構(gòu)設(shè)置、人員配備、機制、能力等方面的整體考慮和統(tǒng)籌五是主動發(fā)現(xiàn)能力差。缺少安全技術(shù)措施和管理措施，發(fā)現(xiàn)入侵攻擊、竊密和網(wǎng)絡(luò)系統(tǒng)安全隱患、問題能力差六是主動防護(hù)能力差。防攻擊、防竊密、防篡改等技術(shù)措施和管理措施不落實。七是應(yīng)急處置能力差。缺少信息系統(tǒng)應(yīng)急處置預(yù)案。缺乏組織應(yīng)急演練，預(yù)案不起任何作用。八是創(chuàng)新不夠。在策略、技術(shù)、產(chǎn)品等方面的改革創(chuàng)新需要加強。九是重點工作不落實。等級保護(hù)、安全監(jiān)測、通報預(yù)警、應(yīng)急演練、災(zāi)備、安全檢查等工作不深入。工作機制、標(biāo)準(zhǔn)、機構(gòu)、人員、經(jīng)費等基礎(chǔ)保障能力差十是沒有認(rèn)真落實網(wǎng)絡(luò)安全與信息化建設(shè)“同步規(guī)劃、同步設(shè)計、同步實施”的三同步要求。對信息系統(tǒng)缺乏全生命周期管理。在系統(tǒng)規(guī)劃、建設(shè)、運維等階段“重開發(fā)、重應(yīng)用、輕安全”。隱患排查不強，日志存儲、分析能力不強。三、IT企業(yè)在國家網(wǎng)絡(luò)安全保障工作中如何發(fā)揮好技術(shù)支撐作用一是充分了解和掌握習(xí)總書記和黨中央對網(wǎng)絡(luò)安全工作的重大決策部署2013年12月30日中央成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組。2014年2月27日召開第一次會議。習(xí)近平總書記指出：“沒有網(wǎng)絡(luò)安全，就沒有國家安全；沒有信息化，就沒有現(xiàn)代化”，“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施”。二是充分了解和掌握國家和網(wǎng)絡(luò)安全職能部門的政策《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)。全國人大《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》國發(fā)[2012]23號《國務(wù)院關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》國發(fā)[2013]7號公安部、發(fā)改委和財政部聯(lián)合印發(fā)的《關(guān)于加強國家級重要信息系統(tǒng)安全保障工作有關(guān)事項的通知》（公信安[2014]2182號）中央綜治辦印發(fā)《2014年綜治工作（平安建設(shè)）考核評價實施細(xì)則》（中綜辦[2014]16號），將“信息安全保障工作”納入對政府的考核。2014年8月國家發(fā)改委等八部委聯(lián)合印發(fā)了《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見》（發(fā)改高技[2014]1770號）文件2014年11月國家發(fā)改委印發(fā)了《促進(jìn)智慧城市健康發(fā)展部際協(xié)調(diào)工作制度及2014-2015工作方案》（發(fā)改辦高技[2014]2652號）文件。在全國“智慧城市”建設(shè)26個部委參加的協(xié)調(diào)機制中，明確規(guī)定由公安部開展“智慧城市”網(wǎng)絡(luò)安全建設(shè)、管理和評價工作。三是為重要行業(yè)部門落實重要安全管理和技術(shù)措施提供技術(shù)支撐變產(chǎn)品提供商為綜合服務(wù)提供商。開展安全咨詢、規(guī)劃設(shè)計，制定安全建設(shè)方案，安全建設(shè)整改實施，安全運維，安全監(jiān)理，安全監(jiān)測，應(yīng)急處置和安全檢查技術(shù)支持。落實網(wǎng)絡(luò)安全與信息化建設(shè)三同步要求?！巴揭?guī)劃、同步設(shè)計、同步實施”。開展云計算、物聯(lián)網(wǎng)、工控系統(tǒng)、移動互聯(lián)網(wǎng)的安全保護(hù)方法研究，標(biāo)準(zhǔn)研究。四是加強在策略、技術(shù)、產(chǎn)品等方面的改革和創(chuàng)新采取“人防、物防、技防、制防”管理策略，和“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”等保護(hù)策略，提高網(wǎng)絡(luò)安全防護(hù)的科學(xué)性和綜合防護(hù)能力。按照“攻不進(jìn)、拿不走、看不懂”的策略，落實一些“管用”措施：統(tǒng)一防護(hù)、整體防護(hù)。建設(shè)監(jiān)測系統(tǒng)，實時監(jiān)控。統(tǒng)一防護(hù)、整體防護(hù)。邊界控制強邏輯隔離利用密碼技術(shù)、設(shè)備對數(shù)據(jù)、傳輸加密。最后一道防線。操作系統(tǒng)加固。滲透性攻擊測試，檢驗系統(tǒng)防攻擊能力。定期修改口令，解決系統(tǒng)默認(rèn)口令、弱口令、通用口令問題。定期查找并修補漏洞虛擬機、沙箱技術(shù)。終端主動防御。黑、白名單技術(shù)（私有云服務(wù)）產(chǎn)品聯(lián)動（云端、邊界、終端）。大數(shù)據(jù)技術(shù)（關(guān)聯(lián)分析、日志存儲與分析，可發(fā)現(xiàn)、可追溯）。審計措施、設(shè)備要采用（可追蹤追溯）

四、國家有關(guān)信息安全等級保護(hù)的法律政策要求1.《中華人民共和國人民警察法》規(guī)定：人民警察履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護(hù)工作”的職責(zé)。2.國務(wù)院令第147號規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全保護(hù)工作”，“等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。3.2008年國務(wù)院“三定”方案，賦予公安部“監(jiān)督、檢查、指導(dǎo)信息安全等級保護(hù)工作”法定職責(zé)。五、信息安全等級保護(hù)工作主要內(nèi)容（一）信息安全等級保護(hù)工作的內(nèi)涵對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)、分等級監(jiān)管。對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理。對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。五個規(guī)定動作：信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查。（二）職責(zé)分工公安機關(guān)牽頭，制定政策標(biāo)準(zhǔn)，并進(jìn)行監(jiān)督、檢查、指導(dǎo)國家保密部門、密碼管理部門負(fù)責(zé)有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo)網(wǎng)信辦負(fù)責(zé)等級保護(hù)工作中部門間的協(xié)調(diào)其中，涉及國家秘密信息系統(tǒng)由國家保密部門負(fù)責(zé)；非涉及國家秘密信息系統(tǒng)由公安機關(guān)負(fù)責(zé)相關(guān)部門責(zé)任和義務(wù)監(jiān)管部門：制定管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織實施，監(jiān)督、檢查、指導(dǎo)。行業(yè)主管部門：督促、檢查、指導(dǎo)本行業(yè)、本部門開展等級保護(hù)工作。運營使用單位：開展信息系統(tǒng)定級、備案、建設(shè)整改、等級測評、自查等工作，落實等級保護(hù)制度的各項要求。安全服務(wù)機構(gòu)：開展技術(shù)支持、服務(wù)等工作，并接受監(jiān)管部門的監(jiān)督管理。信息安全等級保護(hù)工作體系框架圖1、公安機關(guān)組織開展等級保護(hù)工作的依據(jù)《中華人民共和國人民警察法》規(guī)定：人民警察履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護(hù)工作”的職責(zé)。國務(wù)院令第147號規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全保護(hù)工作”，“等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。2008年國務(wù)院三定方案。公安部新增職能：“監(jiān)督、檢查、指導(dǎo)信息安全等級保護(hù)工作”。（三）開展等級保護(hù)工作的基本要求各單位、各部門，按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求開展等級保護(hù)的定級、備案、整改、測評等工作。公安機關(guān)要及時開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測評等工作。對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責(zé)任。（四）信息安全等級保護(hù)政策體系

近幾年，公安部根據(jù)國務(wù)院147號令的授權(quán)，會同國家保密局、國家密碼管理局、發(fā)改委、原國務(wù)院信息辦出臺了一些文件，公安部對有些具體工作出臺了一些指導(dǎo)意見和規(guī)范，構(gòu)成了信息安全等級保護(hù)政策體系。匯集成《信息安全等級保護(hù)政策匯編》供有關(guān)單位、部門使用。等級保護(hù)工作配套政策體系

（五）信息安全等級保護(hù)標(biāo)準(zhǔn)體系

多年來，在有關(guān)部門支持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會組織制訂了信息安全等級保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級保護(hù)標(biāo)準(zhǔn)體系。匯集成《信息安全等級保護(hù)標(biāo)準(zhǔn)匯編》供有關(guān)單位、部門使用。

在安全建設(shè)整改工作中的作用

等級保護(hù)有關(guān)標(biāo)準(zhǔn)（六）信息安全等級保護(hù)工作具體內(nèi)容和要求

1、信息安全等級保護(hù)定級工作（1）信息系統(tǒng)定級原則：“自主定級、專家評審、主管部門審批、公安機關(guān)審核”。具體可按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公通字[2007]861號）要求執(zhí)行。

（2）定級工作流程：摸底調(diào)查、確定定級對象、對信息系統(tǒng)進(jìn)行重要性分析、確定信息系統(tǒng)安全保護(hù)等級、組織專家評審、主管部門審批、公安機關(guān)審核。（3）確定定級對象起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）。用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務(wù)系統(tǒng)。各類網(wǎng)站。（4）確定信息系統(tǒng)安全保護(hù)等級：根據(jù)信息系統(tǒng)重要性分析結(jié)論，按照《管理辦法》要求確定等級。第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。信息系統(tǒng)五個安全保護(hù)等級：第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。實際定級中可參考下面操作：第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級信息系統(tǒng)：適用于縣級單位中的信息系統(tǒng)；地市以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級信息系統(tǒng)：適用于地市以上機關(guān)、企事業(yè)單位內(nèi)部重要信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、電信骨干傳輸網(wǎng)、鐵路客票系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。定級工作需注意的問題：同類信息系統(tǒng)的安全保護(hù)等級不能隨著部、省、市行政級別的降低而降低。新建系統(tǒng)在規(guī)劃設(shè)計階段應(yīng)確定等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設(shè)計、同步實施安全保護(hù)技術(shù)措施和管理措施。

（5）組織專家評審在初步確定信息系統(tǒng)安全保護(hù)等級后，為了保證定級合理、準(zhǔn)確，可以聘請公安部和各地公安機關(guān)組織成立的專家組進(jìn)行評審，并出具專家評審意見。

（6）主管部門審批有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對安全保護(hù)等級進(jìn)行審核批準(zhǔn)?？绲赜蚵?lián)網(wǎng)運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保定級的一致性。2、信息系統(tǒng)備案工作

備案工作包括：信息系統(tǒng)備案、受理、審核和備案信息管理。具體按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》要求開展。（1）備案流程第二級以上信息系統(tǒng)，由信息系統(tǒng)運營使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門辦理備案手續(xù)，填寫《信息系統(tǒng)安全等級保護(hù)備案表》。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部備案；其他信息系統(tǒng)向北京市公安局備案。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。各部委統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級主管部門定級的，也要到當(dāng)?shù)毓簿W(wǎng)絡(luò)安全保衛(wèi)部門備案。3、信息安全等級保護(hù)測評工作

（1）測評工作性質(zhì)：測評機構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。是信息安全等級保護(hù)工作的重要環(huán)節(jié)。（2）測評的目的：查找重要信息系統(tǒng)安全隱患、漏洞、薄弱環(huán)節(jié)和安全問題，對照國家標(biāo)準(zhǔn)查找信息系統(tǒng)安全保護(hù)情況與基本要求的差距，為開展安全建設(shè)提供依據(jù)。（3）等級測評工作的組織：備案單位選擇《全國信息安全等級保護(hù)測評機構(gòu)推薦目錄》中推薦的測評機構(gòu)，對第三級以上信息系統(tǒng)每年開展一次等級測評。（4）測評機構(gòu)的選擇：凡列入《全國信息安全等級保護(hù)測評機構(gòu)推薦目錄》中測評機構(gòu)，開展測評活動不受行業(yè)、地區(qū)限制，各地、各行業(yè)不得以各種理由排斥。（5）關(guān)于測評費用問題。由于測評工作屬于信息化服務(wù)和信息安全服務(wù)，所以，備案單位可按照有關(guān)部門出臺的服務(wù)收費標(biāo)準(zhǔn)合理支付測評費用。

（2)工作范圍已備案的第二級（含）以上信息系統(tǒng)納入安全建設(shè)整改的范圍。尚未開展定級備案的信息系統(tǒng)，要先定級備案，定級不準(zhǔn)的要先糾正，再開展安全建設(shè)整改。新建系統(tǒng)要同步開展安全建設(shè)工作。（3）工作方法管理制度建設(shè)和技術(shù)措施建設(shè)并重。安全建設(shè)整改總體規(guī)劃、實施。加固改造，缺什么補什么。（4）工作內(nèi)容以《信息系統(tǒng)安全等級保護(hù)基本要求》為目標(biāo)，從管理和技術(shù)兩方面進(jìn)行安全建設(shè)整改。等級保護(hù)安全管理建設(shè)整改一是落實信息安全責(zé)任制。二是落實人員安全管理制度。三是落實系統(tǒng)建設(shè)管理制度。四是落實系統(tǒng)運維管理制度。

等級保護(hù)安全技術(shù)措施建設(shè)整改結(jié)合行業(yè)特點和安全需求，制定符合相應(yīng)等級要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開展安全技術(shù)措施建設(shè)，落實相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施?？梢圆扇　耙粋€中心三維防護(hù)（即一個安全管理中心和計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全）”策略，實現(xiàn)相應(yīng)級別信息系統(tǒng)的安全保護(hù)技術(shù)要求。（5）安全建設(shè)方案主要內(nèi)容項目背景政策和技術(shù)標(biāo)準(zhǔn)依據(jù)安全需求分析安全建設(shè)整改技術(shù)方案設(shè)計安全建設(shè)整改管理體系設(shè)計信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)安全建設(shè)整改后信息系統(tǒng)殘余風(fēng)險分析安全建設(shè)整改