信息安全等级保护安全建设整工作指南.doc

附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二九年十月前 言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了信息安全等级保护安全建设整改工作指南，供参考。本指南包括总则、安全管理制度建设、安全技术措施建设三个部分，附录是信息安全等级保护主要标准简要说明。由于时间仓促，经验不足，不妥之处，敬请批评指正。 目 录1 总则(1)1.1 工作目标(1)1.2 工作内容(1)1.3 工作流程(2)1.4 标准应用(3)1.5 安全保护能力目标(5)2 安全管理制度建设(6)2.1 落实信息安全责任制(7)2.2 信息系统安全管理现状分析(7)2.3 确定安全管理策略，制定安全管理制度(8)2.4 落实安全管理措施(8)2.4.1 人员安全管理(8)2.4.2 系统运维管理(8)2.4.2.1 环境和资产安全管理(8)2.4.2.2 设备和介质安全管理(9)2.4.2.3 日常运行维护(9)2.4.2.4 集中安全管理(9)2.4.2.5 事件处置与应急响应(9)2.4.2.6 灾难备份(9)2.4.2.7 安全监测 (10)2.4.2.8 其他安全管理 (10)2.5 系统建设管理 (10)2.6 安全自查与调整 (10)3 安全技术措施建设 (10)3.1 信息系统安全保护技术现状分析 (11)3.1.1 信息系统现状分析 (11)3.1.2 信息系统安全保护技术现状分析 (12)3.1.3 安全需求论证和确定 (12)3.2 信息系统安全技术建设整改方案设计 (12)3.2.1 确定安全技术策略，设计总体技术方案 (12)3.2.1.1 确定安全技术策略 (12)3.2.1.2 设计总体技术方案 (12)图3 安全技术体系设计实例数据安全设计3.2.2 安全技术方案详细设计 (13)3.2.2.1 物理安全设计 (13)3.2.2.2 通信网络安全设计 (13)3.2.2.3 区域边界安全设计 (13)3.2.2.4 主机系统安全设计 (13)3.2.2.5 应用系统安全设计 (14)3.2.2.6 备份和恢复安全设计 (14)3.2.3 建设经费预算和工程实施计划 (14)3.2.3.1 建设经费预算 (14)3.2.3.2 工程实施计划 (14)3.2.4 方案论证和备案 (15)3.3 安全建设整改工程实施和管理 (15)3.3.1 工程实施和管理 (15)3.3.2 工程监理和验收 (15)3.3.3 安全等级测评 (15)附录：信息安全等级保护主要标准简要说明 (17)1 总则1.1 工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。1.2 工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。要依据信息系统安全等级保护基本要求（以下简称基本要求），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，具体内容如图1所示。信息系统安全等级保护基本要求安全管理机构l 岗位设置l 人员配备l 授权和审批l 沟通和合作l 审核和检查安全管理制度l 管理制度l 制定和发布l 评审和修订人员安全管理l 人员录用l 人员离岗l 人员考核l 教育和培训l 人员访问管理系统建设管理l 定级备案l 安全方案设计l 产品采购使用l 自行软件开发l 外包软件开发l 工程实施l 测试验收l 系统交付l 安全服务选择l 等级测评系统运维管理l 环境管理l 资产管理l 介质管理l 设备管理l 监控管理l 安全管理中心l 网络安全管理l 系统安全管理l 变更管理l 备份恢复管理l 事件处置l 应急响应安全管理建设整改物理安全l 机房位置选择l 防火防雷l 防水防潮l 防静电l 物理访问控制l 防盗窃防破坏l 温湿度控制l 电力供应l 电磁防护网络安全l 区域划分l 边界防护l 访问控制l 安全审计l 入侵防范l 病毒防护l 通信保护数据安全与备份恢复l 数据保密性l 数据完整性l 备份与恢复主机安全l 身份鉴别l 访问控制l 安全审计l 入侵防范l 病毒防护l 资源控制l 安全标记l 剩余信息保护应用安全l 身份鉴别l 访问控制l 安全审计l 通信完整性l 通信保密性l 软件容错l 资源控制l 安全标记l 剩余信息保护l 抗抵赖安全技术建设整改图1：信息系统安全建设整改主要内容需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。1.3 工作流程信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如图2所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图2：信息系统安全建设整改工作基本流程1.4 标准应用信息系统安全建设整改工作应依据基本要求，并在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南图3：等级保护相关标准间的关系需要说明的是，（一）计算机信息系统安全保护等级划分准则及配套标准是基本要求的基础。计算机信息系统安全保护等级划分准则（GB17859，以下简称划分准则）是等级保护的基础性标准，信息系统通用安全技术要求等技术类标准、信息系统安全管理要求等管理类标准和操作系统安全技术要求等产品类标准是在划分准则基础上研究制定的。基本要求以技术类标准和管理类标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。（二）基本要求是信息系统安全建设整改的依据。信息系统安全建设整改应以落实基本要求为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考基本要求中较高级别保护要求或信息系统通用安全技术要求、信息系统安全管理要求等其他标准。行业主管部门可以依据基本要求，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于基本要求。（三）定级指南为定级工作提供指导。信息系统安全等级保护定级指南为信息系统定级工作提供了技术支持。行业主管部门可以根据定级指南，结合行业特点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。（四）测评要求等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。信息系统安全等级保护测评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。信息系统安全等级保护测评过程指南对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。（五）实施指南等标准指导等级保护建设。信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供指导，是实现基本要求的方法之一。1.5 安全保护能力目标各级信息系统应通过安全建设整改分别达到以下安全保护能力目标：第一级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。2 安全管理制度建设按照国家有关规定，依据基本要求，参照信息系统安全管理要求等标准规范要求，开展信息系统等级保护安全管理制度建设工作。工作流程见图4。明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析挂项目实施方案详细设计确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测系统运维管理图4：信息系统安全管理建设整改工作流程2.1 落实信息安全责任制明确领导机构和责任部门，设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，落实安全管理责任制。建立安全教育和培训制度，对信息系统运维人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。具体依据基本要求中的“安全管理机构”内容，同时可以参照信息系统安全管理要求等。2.2 信息系统安全管理现状分析在开展信息系统安全管理建设整改之前，通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。可以依据基本要求等标准，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。2.3 确定安全管理策略，制定安全管理制度根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系。具体依据基本要求中的“安全管理制度”内容，同时可以参照信息系统安全管理要求等。2.4 落实安全管理措施2.4.1 人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据基本要求中的“人员安全管理”内容，同时可以参照信息系统安全管理要求等。2.4.2 系统运维管理2.4.2.1 环境和资产安全管理明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、设备、设施、数据和信息等）安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。2.4.2.2 设备和介质安全管理明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。2.4.2.3 日常运行维护明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管理制度和操作规程并落实执行。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。2.4.2.4 集中安全管理第三级（含）以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统等级保护安全设计技术要求和信息系统安全管理要求等。2.4.2.5 事件处置与应急响应按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级（含）以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息安全事件分类分级指南和信息安全事件管理指南等。2.4.2.6 灾难备份要对第三级（含）以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。具体依据基本要求中的“系统运维管理”内容和信息系统灾难恢复规范。2.4.2.7 安全监测开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。具体依据基本要求中的“系统运维管理”。2.4.2.8 其他安全管理对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分级管理。2.5 系统建设管理制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施。具体依据基本要求中的“系统建设管理”内容。2.6 安全自查与调整制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改。具体依据基本要求中的“安全管理机构”内容，同时可以参照信息系统安全管理要求等。信息系统安全管理建设整改工作完成后，安全管理方面的等级测评与安全技术方面的测评工作一并进行。3 安全技术措施建设按照国家有关规定，依据基本要求，参照信息系统通用安全技术要求、信息系统等级保护安全设计技术要求等标准规范要求，开展信息系统安全技术建设整改工作。工作流程见图5。信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收项目实施方案详细设计等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全。项目实施方案详细设计应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施图5：信息系统安全技术建设整改工作流程3.1 信息系统安全保护技术现状分析了解掌握信息系统现状，分析信息系统的安全保护状况，明确信息系统安全技术建设整改需求，为安全建设整改技术方案设计提供依据。3.1.1 信息系统现状分析了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况，分析信息系统的边界、构成和相互关联情况，分析网络结构、内部区域、区域边界以及软、硬件资源等。具体可参照信息系统安全等级保护实施指南中“信息系统分析”的内容。3.1.2 信息系统安全保护技术现状分析在开展信息系统安全技术建设整改之前，应通过开展信息系统安全保护技术现状分析，查找信息系统安全保护技术建设整改需要解决的问题，明确信息系统安全保护技术建设整改的需求。可采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全技术方面存在的问题，形成安全技术建设整改的基本安全需求。在满足信息系统安全等级保护基本要求基础上，可以结合行业特点和信息系统安全保护的特殊要求，提出特殊安全需求。具体可参照基本要求、信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南等标准。3.1.3 安全需求论证和确定安全需求分析工作完成后，将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证。3.2 信息系统安全技术建设整改方案设计在安全需求分析的基础上，开展信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。3.2.1 确定安全技术策略，设计总体技术方案3.2.1.1 确定安全技术策略根据安全需求分析，确定安全技术策略，包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流控制策略等，用以指导系统安全技术体系结构设计。3.2.1.2 设计总体技术方案在进行信息系统安全建设整改技术方案设计时，应以基本要求为基本目标，可以针对安全现状分析发现的问题进行加固改造，缺什么补什么；也可以进行总体的安全技术设计，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求，最大程度发挥安全措施的保护能力。在进行安全技术设计时，可参考信息系统等级保护安全设计技术要求，从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。图3 安全技术体系设计实例数据安全设计3.2.2 安全技术方案详细设计3.2.2.1 物理安全设计从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据基本要求中的“物理安全”内容，同时可以参照信息系统物理安全技术要求等。3.2.2.2 通信网络安全设计对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络（租用线路）等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据基本要求中“网络安全”内容，同时可以参照网络基础安全技术要求等。3.2.2.3 区域边界安全设计对信息系统所涉及的区域网络边界进行安全设计，内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据基本要求中的“网络安全”内容，同时可以参照信息系统等级保护安全设计技术要求、网络基础安全技术要求等。3.2.2.4 主机系统安全设计对信息系统涉及到的服务器和工作站进行主机系统安全设计，内容包括操作系统或数据库管理系统的选择、安装和安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据基本要求中的“主机安全”内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术要求等。3.2.2.5 应用系统安全设计对信息系统涉及到的应用系统软件（含应用/中间件平台）进行安全设计，设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据基本要求中的“应用安全”内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术要求等。3.2.2.6 备份和恢复安全设计针对信息系统的业务数据安全和系统服务连续性进行安全设计，设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据基本要求中的“数据安全和备份恢复”内容，同时可以参照信息系统灾难恢复规范等。3.2.3 建设经费预算和工程实施计划3.2.3.1 建设经费预算根据信息系统的安全建设整改内容提出详细的经费预算，包括产品名称、型号、配置、数量、单价、总价和合计等，同时应包括集成费用、等级测评费用、服务费用和管理费用等。对于跨年度的安全建设整改或安全改建，提供分年度的经费预算。3.2.3.2 工程实施计划根据信息系统的安全建设整改内容提出详细的工程实施计划，包括建设内容、工程组织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安全建设整改或安全改建，要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解，比如分解成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等，分别制定中期和短期的实施计划，短期内主要解决目前急迫和关键的问题。3.2.4 方案论证和备案将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。组织专家对安全建设整改方案进行评审论证，形成评审意见。第三级（含）以上信息系统安全建设整改方案应报公安机关备案，并组织实施安全建设整改工程。3.3 安全建设整改工程实施和管理3.3.1 工程实施和管理安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员，保证建设资金足额到位，选择符合要求的安全建设整改服务商，采购符合要求的信息安全产品，管理和控制安全功能开发、集成过程的质量等方面。按照信息系统安全工程管理要求中有关资格保障和组织保障等要求组织管理等级保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照信息系统安全工程管理要求中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求，实现相应等级的工程目标和要求。3.3.2 工程监理和验收为保证建设工程的安全和质量，第二级（含）以上信息系统安全建设整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是否满足设计要求，工程施工质量是否达到预期指标，工程档案资料是否齐全等方面。在通过安全测评或测试的基础上，组织相应信息安全专家进行工程验收。具体参照信息系统安全工程管理要求。3.3.3 安全等级测评信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。在公安部备案的信息系统，备案单位应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统，备案单位应选择本省（区、市）信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。附录：信息安全等级保护主要标准简要说明为推动我国信息安全等级保护工作的开展，十多年来，在公安部的领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作奠定了基础。为便于各有关单位全面、准确了解掌握信息安全等级保护有关标准，更好地指导等级保护工作，在总结近年来等级保护工作实践基础上，公安部组织专家和标准起草单位编写了信息安全等级保护主要标准简要说明，第一部分梳理了与等级保护工作相关的标准，第二部分从标准的主要用途、主要内容和使用说明三方面进行阐述，供有关单位和部门在工作中参考。1 信息安全等级保护相关标准体系信息安全等级保护相关标准大致可以分为四类：基础类、应用类、产品类和其他类。1.1基础类标准计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护基本要求（GB/T 22239-2008）。1.2 应用类标准1.2.1 信息系统定级信息系统安全保护等级定级指南（GB/T 22240-2008）1.2.2 等级保护实施信息系统安全等级保护实施指南（信安字200710号）1.2.3 信息系统安全建设信息系统通用安全技术要求（GB/T 20271-2006）信息系统等级保护安全设计技术要求（信安秘字2009059号）信息系统安全管理要求（GB/T 20269-2006）信息系统安全工程管理要求（GB/T 20282-2006）信息系统物理安全技术要求（GB/T 21052-2007）网络基础安全技术要求（GB/T 20270-2006）信息系统安全等级保护体系框架（GA/T 708-2007）信息系统安全等级保护基本模型（GA/T 709-2007）信息系统安全等级保护基本配置（GA/T 710-2007）1.2.4 等级测评信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）信息系统安全管理测评（GA/T 713-2007）1.3 产品类标准1.3.1 操作系统操作系统安全技术要求（GB/T 20272-2006）操作系统安全评估准则（GB/T 20008-2005）1.3.2 数据库数据库管理系统安全技术要求（GB/T 20273-2006）数据库管理系统安全评估准则（GB/T 20009-2005）1.3.3 网络网络端设备隔离部件技术要求（GB/T 20279-2006）网络端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品技术要求（GB/T 20278-2006）网络脆弱性扫描产品测试评价方法（GB/T 20280-2006）网络交换机安全技术要求（GA/T 684-2007）虚拟专用网安全技术要求（GA/T 686-2007）1.3.4 PKI公钥基础设施安全技术要求（GA/T 687-2007）PKI系统安全等级保护技术要求（GB/T 21053-2007）1.3.5 网关网关安全技术要求（GA/T 681-2007）1.3.6 服务器服务器安全技术要求（GB/T 21028-2007）1.3.7 入侵检测入侵检测系统技术要求和检测方法（GB/T 20275-2006）计算机网络入侵分级要求（GA/T 700-2007）1.3.8 防火墙防火墙安全技术要求（GA/T 683-2007）防火墙技术测评方法（报批稿）信息系统安全等级保护防火墙安全配置指南（报批稿）防火墙技术要求和测评方法（GB/T 20281-2006）包过滤防火墙评估准则（GB/T 20010-2005）1.3.9 路由器路由器安全技术要求（GB/T 18018-2007）路由器安全评估准则（GB/T 20011-2005）路由器安全测评要求（GA/T 682-2007）1.3.10 交换机网络交换机安全技术要求（GB/T 21050-2007）交换机安全测评要求（GA/T 685-2007）1.3.11 其他产品终端计算机系统安全等级技术要求（GA/T 671-2006）终端计算机系统测评方法（GA/T 671-2006）审计产品技术要求和测评方法（GB/T 20945-2006）虹膜特征识别技术要求（GB/T 20979-2007）虚拟专网安全技术要求（GA/T 686-2007）应用软件系统安全等级保护通用技术指南（GA/T 711-2007）应用软件系统安全等级保护通用测试指南（GA/T 712-2007）网络和终端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品测评方法（GB/T 20280-2006）1.4其他类标准1.4.1 风险评估信息安全风险评估规范（GB/T 20984-2007）1.4.2 事件管理信息安全事件管理指南（GB/Z 20985-2007）信息安全事件分类分级指南（GB/Z 20986-2007）信息系统灾难恢复规范（GB/T 20988-2007）各类标准在等级保护各工作环节中的关系如图1所示：产品测评建设定级数据库管理系统安全技术要求网络和终端设备隔离部件技术要求其他产品类标准操作系统安全技术要求信息系统安全等级保护实施指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统安全管理要求信息系统通用安全技术要求信息系统物理安全技术要求信息系统安全工程管理要求网络基础安全技术要求基本要求的行业细则信息系统安全等级保护基本要求信息系统等级保护安全设计技术要求计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南行业信息系统安全等级保护定级细则图1：信息安全等级保护相关标准体系2 信息安全等级保护主要标准简要说明现将信息安全等级保护标准体系中比较重要的计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南、信息系统安全等级保护定级指南、信息系统安全管理要求、信息系统通用安全技术要求、信息系统等级保护安全设计技术要求、信息系统安全工程管理要求、信息系统安全等级保护测评要求、信息系统安全等级保护测评过程指南等十个标准作一简要说明。2.1 计算机信息系统安全保护等级划分准则（GB17859-1999）2.1.1 主要用途本标准对计算机信息系统的安全保护能力划分了五个等级，并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范，其主要用途包括：一是用于规范和指导计算机信息系统安全保护有关标准的制定；二是为安全产品的研究开发提供技术支持；三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。2.1.2 主要内容本标准界定了计算机信息系统的基本概念：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级：第一级用户自主保护级，第二级系统审计保护级，第三级安全标记保护级，第四级结构化保护级，第五级访问验证保护级。从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面，采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。2.1.3 使用说明本标准是等级保护的基础性标准，其提出的某些安全保护技术要求受限于当前技术水平尚难以实现，但其构造的安全保护体系应随着科学技术的发展逐步落实。2.2 信息系统安全等级保护基本要求（GB/T22239-2008）2.2.1 主要用途根据信息安全等级保护管理办法的规定，信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求，为此，针对不同等级的信息系统提出了相应的基本安全保护要求，各个级别信息系统的安全保护要求构成了信息系统安全等级保护基本要求（以下简称基本要求）。基本要求以计算机信息系统安全保护等级划分准则（GB17859-1999）为基础研究制定，提出了各级信息系统应当具备的安全保护能力，并从技术和管理两方面提出了相应的措施，为信息系统建设单位和运营使用单位在系统安全建设中提供参照。2.2.2 主要内容2.2.2.1 总体框架基本要求分为基本技术要求和基本管理要求两大类，其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面，管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等，以及物理环境和设施安全保护要求。管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构，加强人员管理、系统建设和运行维护的安全管理。提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求，提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。2.2.2.2 保护要求的分级方法由于信息系统分为五个安全保护等级，其安全保护能力逐级增高，相应的安全保护要求和措施逐级增强，体现在两个方面：一是随着信息系统安全级别提高，安全要求的项数增加；二是随着信息系统安全级别的提高，同一项安全要求的强度有所增加。例如，三级信息系统基本要求是在二级基本要求的基础上，在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时，对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加；在管理方面增加了监控管理和安全管理中心等两项要求，同时对安全管理制度评审、人员安全和系统建设过程管理提出了进一步要求。安全要求的项数和强度的不同，综合体现出不同等级信息系统安全要求的级差。2.2.2.3 保护措施分类技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同，技术类安全要求进一步细分为信息安全类要求（简记为S）、服务保证类要求（简记为A）和通用安全保护类要求（简记为G）。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；服务保证类要求是指保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用。管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。2.2.3 使用说明基本要求对第一级信息系统的基本要求仅供用户参考，按照自主保护的原则采取必要的安全技术和管理措施。用户在进行信息系统安全建设整改时，可以在基本要求基础上，根据行业和系统实际，提出特殊安全要求，开展安全建设整改。基本要求给出了各级信息系统每一保护方面需达到的要求，不是具体的安全