信息安全等级保护安全建设整改工作培训材料之一

1、信息安全全等级保保护安全全建设整整改工作作培训材料料公安部网网络安全全保卫局局二九九年十二二月前 言言为进一步步贯彻落落实国国家信息息化领导导小组关关于加强强信息安安全保障障工作的的意见和和关于于信息安安全等级级保护工工作的实实施意见见、信信息安全全等级保保护管理理办法精精神，有有效解决决信息系系统安全全保护中中存在的的管理制制度不健健全、技技术措施施不符合合标准要要求、安安全责任任不落实实等突出出问题，提提高我国国重要信信息系统统的安全全保护能能力，在在全国信信息系统统安全等等级保护护定级工工作基础础上，公公安部印印发了关于开开展信息息安全等级级保护安安全建设设整改工工作的指指导意见见（公公

2、信安20009114299号），部署开展信息系统等级保护安全建设整改工作。为便于信信息系统统等级保保护安全全建设整整改工作作相关单单位全面面了解和和掌握信信息安全全等级保保护安全全建设整整改工作作所依据据的政策策和技术术标准，明明确开展展等级保保护安全全建设整整改工作作的目标标、内容容和要求求，更好好地指导导各单位、各部门门开展信信息安全全等级保保护安全全建设整整改工作作，加强强宣传和和培训工工作，我我们编写写了本培训材材料，供供参考使使用。有关材料料下载网网址：公安部网网站： HYPERLINK 等级保护护网站： HYPERLINK t wwww.ddjbhh.neet目 录录一、当前前开展

3、信信息安全全等级工工作面临临的形势势二、信息息安全等等级保护护安全建建设整改改工作依依据的政政策（一）总总体政策策（二）具具体政策策1、定级级政策2、备案案政策3、安全全建设整整改政策策4、等级级测评政政策5、检查查监督政政策三、信息息安全等等级保护护安全建建设整改改工作依依据的标标准（一）基基础类标准（二）安安全要求求类标准准（三）定定级类标标准（四）方方法指导导类标准准（五）现现状分析析类标准准四、信息息安全等等级保护护安全建建设整改改的工作作目标五、信息息安全等等级保护护安全建建设整改改的工作作对象六、信息息安全等等级保护护安全建建设整改改的工作作内容及及要求（一）信信息安全全等级保保护

4、安全全管理制制度建设设（二）信信息安全全等级保保护安全全技术措措施建设设七、信息息安全等等级保护护安全建建设整改改的工作作流程八、信息息安全等等级保护护安全建建设整改改的工作作方法九、信息息安全等等级保护护安全建建设整改改中的几几项相关关工作（一）信信息安全全等级测测评（二）信信息安全全产品的的选择使使用（三）信信息系统统安全建建设整改改方案的的制定十、信息息安全等等级保护护安全建建设整改改工作的的检查监监督十一、总总体工作作要求附件：国国家信息息安全等等级保护护安全建建设指导导专家委委员会职职责国家信息息安全等等级保护护安全建建设指导导专家委委员会专专家名单单信息安全全等级保保护安全全建设整

5、整改工作作培训材料料一、当前前开展信信息安全全等级工工作面临临的形势势近年来，在党中央、国务院的高度重视下，通过各地区、各部门的共同努力，信息安全工作取得明显成效：信息安全责任进一步明确，等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展，信息安全防护水平明显提高。与此同时我们应该看到，当前我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务十分艰巨、繁重。一是西强强我弱的的局面长长期存在在，信息息安全战战略威胁胁更加突突出。近近年来，我我国重要要信息系系统的安安全保护护能力虽虽然有了了很大提提高，但但同西方方发达国国家相比比，还是是处于西西强我弱弱，总体

6、体比较被被动的局局面。奥巴马马执政以以来，美国高度度重视网网络安全全问题，将将网络空空间视为为继陆、海、空空、太空空后的“第五战战略空间间”，制制订出台台了包括括强化联联邦政府府对网络络安全的的统一领领导，整整合各方方资源力力量，成成立作战战部队，加加强技术术研发和和网络战战资源储储备，全全面提升升国家关关键信息息基础设设施的安安全防范范能力等等一系列列重要举举措。而而美国推推行国家家网络安安全新战战略，正正是将中中国作为为其头号号假想敌敌。如果果未来发发生“网络战战”，美国国和西方方国家首首要攻击击目标就就是我国国涉及国国计民生生的重要要信息系系统。同时，信信息安全全领域的的一些关关键技术术

7、和关键键产品大大部分掌掌握在西西方信息息化发达达国家手手中，从从而使大大量采用用国外产产品和服服务的我我国重要要信息系系统受敌敌对势力力、敌对对分子渗渗透、攻攻击、控控制的安安全隐患患进一步步加大，构构成了对对我关键键基础设设施的战战略威胁胁。二是各类类网络安安全威胁胁不断增增多，网网络安全全防范难难度加大大。今年年以来，截截获计算算机病毒毒数量、新增病病毒种类类以及感感染计算算机台数数较去年年同期均均有所增增加，计计算机病病毒通过过网页挂挂马、网网络共享享、电子子邮件和和U盘等等移动存存储介质质广泛传播播。与第三三方应用用软件、浏览器器服务有有关安全全漏洞也也大幅上上升，其中大大量是高高危漏

8、洞洞。大量量木马、后门病病毒利用用安全漏漏洞通过过“网站站挂马”、“U盘摆摆渡”、伪造和和欺骗等等手段侵侵入重要要信息系系统，消消耗系统统资源，窃窃取个人人用户信信息甚至至国家秘秘密和商商业秘密密，给重要要信息系系统的安安全运行行造成很很大危害害。此外，境境内外敌敌对势力力、敌对对分子和和不法分分子也利利用重要要信息系系统的安安全漏洞洞和管理理缺陷，对对我重要要信息系系统实施施网络探探测攻击击，破坏坏国家网网络基础础设施的的行为也也逐年增增多。三是信息息安全建建设缺乏乏规范，安安全防护护能力亟亟待提高高。一些些单位信信息安全全领导体体制和工工作机制制等责任任制未落落实，人人员安全全管理、系统运

9、运维管理理和系统统建设管管理制度度不健全全、不规规范。缺缺乏常态态化的系系统安全全保护状状况的测测评分析析，在安安全技术术策略的的选择、建设整整改方案案设计及及实施等等技术建建设方面面，既存存在一定定的盲目目性，也也缺乏完完整性和和系统性性，导致致信息安安全整体体防护能能力和水水平不高高，给信信息系统统正常运运行留下下安全隐隐患。为切实履履行中央央赋予公公安部的的职责，220077年，公公安部会会同有关关部门开开展了信信息安全全等级保保护定级级工作。经过各各部门、各行业业、各单单位的共共同努力力，定级级工作已已基本完完成。为为加快推推进信息息安全等等级保护护制度建建设，将将等级保保护工作作向纵

10、深深推进，定定级备案案工作完完成后，公公安部积积极组织织有关单单位和专专家，制制定并完完善了等等级保护护相关政政策和技技术标准准，为各各单位、各部门门深入开开展等级级保护安安全建设设整改工工作奠定定了必要要的基础础。一是是制定了了信息安安全等级级保护安安全建设设整改工工作的相相关政策策。经过过多年探探索和实实践，特特别是经经过北京京奥运网网络安全全保卫工工作的检检验，进进一步明明确了开开展等级级保护安安全建设设整改工工作的目目标、内内容、要要求和方方法，制制定并印印发了关关于开展展信息安安全等级级保护安安全建设设整改工工作的指指导意见见（公公信安22009914429号号）及信信息安全全等级保

11、保护安全全建设整整改工作作指南等等附件，至至此，针针对等级级保护定定级、备备案、安安全建设设整改、等级测测评、监监督检查查等主要要环节的的政策体体系已基基本形成成。二是制制定了信信息安全全等级保保护安全全建设整整改工作作的相关关标准。为配合合信息安安全等级级保护安安全建设设整改工工作顺利利开展，公公安部组组织国内内有关单单位和专专家经过过多年研研究，形形成了以以计算算机信息息系统安安全保护护等级划划分准则则（GGB1778599-19999）为为基础的的技术、管理和和产品三三大类标标准体系系，并在在此基础础上，形形成了体体现安全全建设整整改具体体内容和和要求的的信息息系统安安全等级级保护基基本

12、要求求（GGB/TT 2222399-20008）。该标准准与测评评要求等等状况分分析方面面的标准准和实施施指南、安全设设计技术术要求等等方法指指导方面面标准，共共同为安安全建设设整改工工作提供供技术标标准支撑撑。至此此，信息息安全等等级保护护标准体体系也已已基本形形成。三是等等级保护护测评体体系建设设已经开开展。等等级测评评工作是是信息安安全等级级保护整整体工作作的一个个重要组组成部分分。为推推动信息息安全等等级保护护测评机机构建设设，规范范测评机机构和人人员及其其测评活活动的管管理，保保障等级级保护工工作的顺顺利开展展，公安安部已于于今年年年初组织织开展等等级测评评体系建建设。先先后组织织

13、编写了了信息息安全等等级保护护测评要要求、信息息安全等等级保护护测评过过程指南南以及及信息息系统等等级保护护测评报报告模版版等标标准和规规范。为为检验标标准和规规范的可可行性和和必要性性，公安安部于今今年710月月份组织织开展了了等级测测评体系系建设试试点工作作，六个个省市公安安机关和和十多家家测评机机构参加加，积累累了对测测评机构构及人员员规范管管理的经经验和方方法。下下一步公公安部将将在全国国推广试试点工作作经验，加加强对测测评机构构的能力力审验和和安全审审查，加加强对测测评人员员的安全全审查和和培训，并并将通过过评估的测测评机构构向社会会公布，供供相关单单位选择择。此外外，电力力等一些些

14、行业及及一些信信息安全全企业已已经按照照等级保保护相关关政策和和标准，开开始进行行信息安安全等级级保护安安全建设设整改工工作，摸摸索了一一些经验验。总之，综综合开展展信息安安全等级级保护安安全建设设整改工工作面临临的形势势和前期期工作基基础，既既是形势势所迫，也也具备了了一定的的条件，既既有必要要性，也也有可行行性。因因此，各各单位要要全面准准确把握握当前我我国信息息安全工工作面临临的形势势，进一一步统一一思想，提提高认识识，增强强做好信信息安全全等级保保护安全全建设整整改工作作的责任任感和紧紧迫感，将等级级保护工工作落实实好。二、信息息安全等等级保护护安全建建设整改改工作依依据的政政策近几年

15、，为为组织开开展信息息安全等等级保护护工作，公公安部根根据中中华人民民共和国国计算机机信息系系统安全全保护条条例（国国务院1147号号令）的的授权，会会同国家家保密局局、国家家密码管管理局和和原国务务院信息息办出台台了一些些文件，国家发改委会同公安部、国家保密局出台了相关文件，公安部对有些具体工作出台了一些指导意见和规范，这些文件初步构成了信息安全等级保护政策体系（如图1所示），为指导各地区、各部门开展等级保护工作提供了政策保障。关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号）中华人民共和国计算机信息系统安全保护条例 （国务院147号令）国家信息化领导小组关于加强信

16、息安全保障工作的意见（中办发200327号）信息安全等级保护工作关于信息安全等级保护工作的实施意见（公通字200466号）信息安全等级保护备案实施细则（公信安20071360号）关于开展信息系统等级保护安全建设整改工作的指导意见（公信安20091429号）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）关于印发信息系统安全等级测评报告模版（试行）的通知（公信安20091487号）公安机关信息安全等级保护检查工作规范（试行）（公信安2008736号）信息安全等级保护管理办法（公通字200743号）定级备案安全建设整改等级测评检查图1 信信息安全全等级保保护

17、法律律政策体体系为了方便便使用，我我们已将将信息安安全等级级保护政政策文件件汇编成成信息息安全等等级保护护政策汇汇编发发给有关关单位、部门。（一）总总体政策策总体方面面的文件件有两个个，这两两个文件件确定了了等级保保护制度度的总体体内容和和要求，对等级级保护工工作的开开展起到到宏观指指导作用用。1、关关于信息息安全等等级保护护工作的的实施意意见（公公通字20004666号）。该文件件是为贯贯彻落实实国务院院第1447号令令和中办办27号号文件、由四部部委共同同会签印印发、指指导相关关部门实实施信息息安全等等级保护护工作的的纲领性性文件，主主要内容容包括贯贯彻落实实信息安安全等级级保护制制度的基

18、基本原则则，等级级保护工工作的基基本内容容、工作作要求和和实施计计划，以以及各部部门工作作职责分分工等。2、信信息安全全等级保保护管理理办法（公公通字20007443号）。该文件件是在开开展信息息系统安安全等级级保护基基础调查查工作和和信息安安全等级级保护试试点工作作基础上上，由四四部委共共同会签签印发的的重要管管理规范范，主要内内容包括括信息安安全等级级保护制制度的基基本内容容、流程程及工作作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。（二）具具体政策策对应等级级保护工工作的具具体环节节（信息息系统定定

19、级、备备案、安安全建设设整改、等级测测评、安安全检查查），出台台了相应应的政策策规范：1定级级政策关于开开展全国国重要信信息系统统安全等等级保护护定级工工作的通通知（公公通字200078861号号）。220077年7月月20日日四部委委在北京京联合召召开了“全国重重要信息息系统安安全等级级保护定定级工作作电视电电话会议议”，会议根据据该通知知精神部部署在全全国范围围内开展展重要信信息系统统安全等等级保护护定级工工作，标标志着全全国信息息安全等等级保护护工作全全面开展展。该文文件由四四部委共共同会签签印发。2备案案政策信息安安全等级级保护备备案实施施细则（公公信安20007113600号）。该文

20、件件规定了了公安机机关受理理信息系系统运营营使用单单位信息息系统备备案工作作的内容容、流程程、审核核等内容容，并附附带有关关法律文文书，指指导各级级公安机机关受理理信息系系统备案案工作。该文件件由公安安部网络络安全保保卫局印印发。3安全全建设整整改政策策（1）关关于开展展信息系系统等级级保护安安全建设设整改工工作的指指导意见见（公公信安22009914429号号）。该该文件明明确了非非涉及国国家秘密密信息系系统开展展安全建建设整改改工作的的目标、内容、流程和和要求等等，文件件附件包包括信信息安全全等级保保护安全全建设整整改工作作指南和和信息息安全等等级保护护主要标标准简要要说明。该文件件由公安

21、安部印发发。（2）关关于加强强国家电电子政务务工程建建设项目目信息安安全风险险评估工工作的通通知（发发改高技技2000820771号）。该文件件要求非非涉密国国家电子子政务项项目开展展等级测测评和信信息安全全风险评评估要按按照信信息安全全等级保保护管理理办法进进行，明明确了项项目验收收条件：公安机机关颁发发的信息息系统安安全等级级保护备备案证明明、等级级测评报报告和风风险评估估报告。该文件件由发改改委、公公安部、国家保保密局共共同会签签印发。4等级级测评政政策关于印发发信息息系统安安全等级级测评报报告模版版（试行行）的的通知（公公信安20009114877号）。该文件件明确了了等级测测评的内内

22、容、方方法和测测评报告告格式等等内容，用以规范范等级测测评活动动。该文文件由公公安部网网络安全全保卫局局印发。5检查查监督政政策公安机机关信息息安全等等级保护护检查工工作规范范（试行行）（公公信安200087736号号）。该该文件规规定了公公安机关关开展信信息安全全等级保保护检查查工作的的内容、程序、方式以以及相关关法律文文书等，使使检查工工作规范范化、制制度化。该文件件由公安安部网络络安全保保卫局印印发。三、信息息安全等等级保护护安全建建设整改改工作依依据的标标准为推动我我国信息息安全等等级保护护工作的的开展，十十多年来来，在公公安部领领导和支支持下，在在国内有有关专家家、企业业的共同同努力

23、下下，全国国信息安安全标准准化技术术委员会会和公安安部信息息系统安安全标准准化技术术委员会会组织制制订了信信息安全全等级保保护工作作需要的的一系列列标准，形形成了比比较完整整的信息息安全等等级保护护标准体体系，为为开展信信息安全全等级保保护工作作提供了了标准保保障。信信息安全全等级保保护相关关标准具具体见信信息安全全等级保保护主要要标准简简要说明明。各单位、各部门门安全建设设整改工工作应依依据基基本要求求或行业标标准规范范，并在在不同阶阶段、针针对不同同技术活活动参照照相应的的标准规规范进行行，相关标标准与等等级保护护各工作作环节的的关系如如图2所所示。信息系统安全等级保护基本要求计算机信息系

24、统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级安全要求现状分析方法指导信息系统安全等级保护实施指南图2 等等级保护护相关标标准与

25、等等级保护护各工作作环节的的关系为了方便便使用，我我们已将将主要标标准汇编编成信信息安全全等级保保护标准准汇编发发给有关关单位、部门。标准体体系的构构成与作作用如下下：（一）基基础类标准计算机机信息系系统安全全保护等等级划分分准则是是强制性性国家标标准，是是等级保保护重要要的基础础性标准准。依据据在此标准准制定出出的信息息系统通通用安全全技术要要求等等技术类类标准和和信息息系统安安全管理理要求、信息息系统安安全工程程管理要要求等等管理类类标准、操操作系统统安全技技术要求求等产产品类标标准，共共同构成成了等级级保护基基础性标标准，为为相关标标准的制制定起到到了基础础性作用用。（二）安安全要求求类

26、标准基本要要求以以及行业业标准规规范或细细则构成成了信息息系统安安全建设设整改的的安全需需求。1信信息系统统安全等等级保护护基本要要求（以下简简称基本要要求）。该标准准是在计计算机信信息系统统安全保保护等级级划分准准则、技术类类标准和和管理类类标准基基础上，总结几年的实践，结合当前信息技术发展的实际情况研究制定的，该标准提出了各级信息系统应当具备的安全保护能力，并从技术和管理两方面提出了相应的措施。2信息息系统安安全等级级保护基基本要求求的行业业细则。重点行行业可以以按照基基本要求求等国国家标准准，结合合行业特特点，在在公安部部等有关关部门指指导下，确定基基本要求求的具具体指标标，在不低低于基

27、基本要求求的情情况下，结合系统安全保护的特殊需求，制定信息系统安全建设整改的行业标准规范或细则，并据此开展安全建设整改工作。（三）定定级类标标准信息系系统安全全等级保保护定级级指南和和信息系系统安全全等级保保护行业业定级细细则为确确定信息息系统安安全保护护等级提提供支持持。1信信息系统统安全等等级保护护定级指指南（GGB/TT222240-20008）。该标准准规定了了定级的的依据、对象、流程和和方法以以及等级级变更等等内容，用用于指导导开展信信息系统统定级工工作。2信息息系统安安全等级级保护行行业定级级细则。重点行行业可以以根据信信息系统统安全等等级保护护定级指指南，结结合行业业特点，在在公

28、安部部指导下下，制定出台台行业信息息系统定定级标准准规范或或细则，并并据此开开展信息息系统定定级工作作。（四）方方法指导导类标准准信息系系统安全全等级保保护实施施指南和和信息息系统等等级保护护安全设设计技术术要求构构成了指指导信息息系统安安全建设设整改的的方法指导导类标准准。1信信息系统统安全等等级保护护实施指指南（信信安字20007110号）。该标准准阐述了等等级保护护实施的的基本原原则、参参与角色色和信息息系统定定级、总总体安全全规划、安全设设计与实实施、安安全运行行与维护护、信息息系统终终止等几几个主要要工作阶阶段中如如何按照照信息安安全等级级保护政政策、标标准要求求实施等等级保护护工作

29、。2信信息系统统等级保保护安全全设计技技术要求求（信信安秘字字200090599号）。该标准提提出了信信息系统统等级保保护安全全设计的的技术要要求，包包括第一一级至第第五级信信息系统统安全保保护环境境的安全全计算环环境、安安全区域域边界、安全通通信网络络和安全全管理中中心等方方面的设设计技术术要求，以以及定级级系统互互联的设设计技术术要求，明明确了体体现定级级系统安安全保护护能力的的整体控控制机制制，用于于指导信信息系统统运营使使用单位位、信息息安全企企业、信信息安全全服务机机构等开开展信息息系统等等级保护护安全技技术设计计。（五）现现状分析析类标准准信息系系统安全全等级保保护测评评要求和和信

30、息息系统安安全等级级保护测测评过程程指南构构成了指指导开展展等级测测评的标标准规范范。1信信息系统统安全等等级保护护测评要要求。该标准准阐述了了等级测测评的原原则、测测评内容容、测评评强度、单元测测评要求求、整体体测评要要求、等等级测评评结论的的产生方方法等内内容，用用于规范范和指导导测评人人员如何何开展等等级测评评工作。2信信息系统统安全等等级保护护测评过过程指南南。该该标准阐阐述了信信息系统统等级测测评的测测评过程程，明确确了等级级测评的的工作任任务、分分析方法法以及工工作结果果等，包包括测评评准备活活动、方方案编制制活动、现场测测评活动动、分析析与报告告编制活活动，用用于规范范测评机机构

31、的等等级测评评过程。上述标准准在应用用中需注注意以下下问题：一是基基本要求求是信信息系统统安全建建设整改改的基本本目标，信信息系统统等级保保护安全全设计技技术要求求是实实现该目目标的方方法和途途径之一一。基基本要求求中不不包含安安全设计计和工程程实施等等内容，因因此，在在系统安安全建设设整改中中，可以以参照信信息系统统安全等等级保护护实施指指南、信息息系统等等级保护护安全设设计技术术要求和和信息息系统安安全工程程管理要要求进进行。二二是由于于信息系统统定级时时是根据据业务信信息安全全等级和和系统服服务安全全等级确确定的系系统安全全等级，因因此，在在进行信信息系统统安全建建设整改改时，应应根据业

32、业务信息息安全等等级和系系统服务务安全等等级确定定基本本要求中中相应的的安全保保护要求求。各单单位、各各部门在在进行信信息系统统安全建建设整改改方案设设计时，要要按照整整体安全全的原则则，综合合考虑安安全保护护措施，建建立系统统综合防防护体系系，提高高系统的的整体保保护能力力。三是是信息息系统等等级保护护安全设设计技术术要求依依据计计算机信信息系统统安全保保护等级级划分准准则从从“计算环环境安全全、区域域边界安安全、通通信网络络安全和和安全管管理中心心”（一个个中心三三维防护护）四方方面给出出了五个个级别信信息系统统安全保保护设计计的技术术要求，用用于指导导信息系系统等级级保护安安全技术术设计

33、。该标准不不包括信信息系统统物理安安全、安安全管理理、安全全运维等等方面的的安全要要求，所所以应与与基本本要求等等标准配配合使用用。四、信息息安全等等级保护护安全建建设整改改的工作作目标信息安全全等级保保护安全全建设整整改的工工作目标标在关关于开展展信息安安全等级级保护安安全建设设整改工工作的指指导意见见已经经明确。可概况况为：利利用三年年时间，开开展三项项重点工工作，实实现五方方面目标标。1三年年时间。由于一一些重要要行业信信息系统统较多，受受资金、人员等等条件限限制，考考虑实际际情况，全全国已定定级信息息系统安安全建设设整改工工作总体体上用三三年时间间完成。各行行业主管管（监管管）部门门应

34、按照照时间要要求，根根据本行行业信息息系统数数量和实实际情况况，合理理部署总总体工作作进度。2三项项重点工工作。通通过组织织开展信信息安全全等级保保护安全全管理制制度建设设、技术术措施建建设和等等级测评评等三项项重点工工作，落落实等级级保护制制度的各各项要求求。3五方方面目标标。通过过开展安安全建设设整改工工作，达达到以下下五方面面目标：一是信信息系统统安全管管理水平平明显提提高，二二是信息息系统安安全防范范能力明明显增强强，三是是信息系系统安全全隐患和和安全事事故明显显减少，四是有效保障障信息化化健康发发展，五五是有效效维护国国家安全全、社会会秩序和和公共利利益。五、信息息安全等等级保护护安

35、全建建设整改改的工作作对象目前，少少数单位位和部门门尚未开开展信息息系统定定级备案案工作，存存在漏定定级、漏漏备案和和定级不不准等情情况，所所以，各各行业主主管（监监管）部部门应在在公安部部指导下下出台行行业信息息系统定定级指导导意见和和要求，先先解决信信息系统统定级备备案工作作存在的的突出问问题，在在此基础础上开展展安全建建设整改改工作。开展安安全建设设整改工工作的信信息系统统范围如如下：1各单单位、各各部门要要将已备备案的第第二级（含含）以上上信息系系统纳入入安全建建设整改改的范围围。2尚未未开展定定级备案案的信息息系统，要要先定级级备案，再再开展安安全建设设整改。3新建建系统要要同步开开

36、展安全全建设工工作。六、信息息安全等等级保护护安全建建设整改改的工作作内容及要要求各单位、各部门门在开展展安全建设设整改工工作中，应应坚持管管理和技技术并重重的原则则，依据据基本本要求，落落实信息息安全责责任制，建建立并落落实各类类安全管管理制度度，开展展人员安安全管理理、系统统建设管管理和系系统运维维管理等等工作，落落实物理理安全、网络安安全、主主机安全全、应用用安全和和数据安安全等安安全保护护技术措措施。（一）信信息安全全等级保保护安全全管理制制度建设设1建设设依据按照管管理办法法、信信息系统统安全等等级保护护基本要要求，参参照信信息系统统安全管管理要求求、信信息系统统安全工工程管理理要求

37、等等标准规规范要求求，建立立健全并并落实符符合相应应等级要要求的安安全管理理制度。2建设设内容（1）落落实信息息安全责责任制。成立信信息安全全工作领领导机构构，明确确信息安安全工作作的主管管领导。成立专专门的信信息安全全管理部部门或落落实信息息安全责责任部门门，确定定安全岗岗位，落落实专职职人员或兼兼职人员员。明确确落实领领导机构构、责任任部门和和有关人员员的信息息安全责责任。（2）落落实人员员安全管管理制度度。制定定人员录录用、离离岗、考考核、教教育培训训等管理理制度，落落实管理理的具体体措施。对安全全岗位人人员要进进行安全全审查，定定期进行行培训、考核和和安全保保密教育育，提高高安全岗岗位

38、人员员的专业业水平，逐逐步实现现安全岗岗位人员员持证上上岗。（3）落落实系统统建设管管理制度度。建立立信息系系统定级级备案、方案设设计、产产品采购购使用、密码使使用、软软件开发发、工程程实施、验收交交付、等等级测评评、安全全服务等等管理制制度，明明确工作作内容、工作方方法、工工作流程程和工作作要求。（4）落落实系统统运维管管理制度度。建立立机房环环境安全全、存储储介质安安全、设设备设施施安全、安全监监控、网网络安全全、系统统安全、恶意代代码防范范、密码码保护、备份与与恢复、事件处处置等管理理制度，制制定应急急预案并并定期开开展演练练，采取取相应的的管理技技术措施施和手段段，确保保系统运运维管理

39、理制度的的有效落落实。3、建设设要求（1）在在具体实实施过程程中，可可逐项建建立管理理制度，也也可以进进行整合合，形成成完善的的安全管管理体系系。要根根据具体体情况，结结合系统统管理实实际，不不断健全全完善管管理制度度。同时时，将管管理制度度与管理理技术措措施有机机结合，确确保安全全管理制制度得到到有效落落实。（2）建建立并落落实监督督检查机机制。备备案单位位定期对对各项制制度的落落实情况况进行自自查，行行业主管管部门组组织开展展督导检检查，公公安机关关会同主主管部门门开展监监督检查查。（二）信信息安全全等级保保护安全全技术措措施建设设1、建设设依据按照管管理办法法、信息息系统安安全等级级保护

40、基基本要求求，参照信息系系统安全全等级保保护实施施指南、信息息系统通通用安全全技术要要求、信息息系统安安全工程程管理要要求、信息息系统等等级保护护安全设设计技术术要求等标准规范要求，建设信息系统安全保护技术措施。2、建设设内容结合行业业特点和和安全需需求，制制定符合合相应等等级要求求的信息息系统安安全技术术建设整整改方案案，开展展信息安安全等级级保护安安全技术术措施建建设，落落实相应应的物理理安全、网络安安全、主主机安全全、应用用安全和和数据安安全等安安全保护护技术措措施。在在信息系系统安全全技术建建设整改改中，可可以采取取“一个中中心、三三维防护护”（即一一个安全全管理中中心和计计算环境境安

41、全、区域边边界安全全和通信信网络安安全）的的防护策策略，实实现相应应级别信信息系统统的安全全保护技技术要求求，建立立并完善善信息系系统综合合防护体体系，提提高信息息系统的的安全防防护能力力和水平平。3、建设设要求备案单位位要开展展信息系系统安全全保护现现状分析析，确定定信息系系统安全全技术建设设整改需需求，制定信信息系统统安全技技术建设设整改方方案，组组织实施施信息系系统安全全建设整整改工程程，开展展安全自自查和等等级测评评，及时时发现信信息系统统中存在在安全隐隐患和威威胁，进进一步开开展安全全建设整整改工作作。七、信息息安全等等级保护护安全建建设整改改的工作作流程安全建设设整改工工作可以以分

42、五步步进行。第一步：落实负负责安全全建设整整改工作作的责任任部门，由由责任部部门牵头头制定本单单位和本本行业信信息系统统安全建建设整改改工作规规划，对对安全建建设整改改工作进进行总体体部署。第二步：开展信信息系统统安全保保护现状状分析，从从管理和和技术两两个方面面确定信信息系统统安全建建设整改改需求。可以依依据基基本要求求等标标准，采采取对照照检查、风险评评估、等等级测评评等方法法，分析析判断目目前所采采取的安安全保护护措施与与等级保保护标准准要求之之间的差差距，分分析系统统已发生生的事件件或事故故，分析析安全保保护方面面存在的的问题，形形成安全全建设整整改的需需求并论论证。第三步：确定安安全

43、保护护策略，制制定信息息系统安安全建设设整改方方案。在安全全需求分分析的基基础上，进行信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。安全建设整改方案须经专家评审论证，第三级（含）以上信息系统安全建设整改方案应报公安机关备案，公安机关监督检查备案单位安全建设整改方案的实施。第四步：按照信信息系统统安全建建设整改改方案，实施安安全建设设整改工工程，建建立并落落实安全全管理制制度，落落实安全全责任制制，建设设安全设设施，落落实安全全措施。在实施施安全建建设整改改工程中中，需要要加强投投资风险险控制、实施流流程管理理、进度度规划

44、控控制、工工程质量量控制和和信息保保密管理理。第五步：开展安安全自查查和等级级测评，及及时发现现信息系系统中存存在的安全隐隐患和问问题，并通过过风险分分析，确确定应解解决的主主要问题题，进一一步开展展安全整整改工作作。安全建设设整改工工作的具具体步骤骤见图33所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图3 信信息系统统安全建建设整改改工作

45、基基本流程程八、信息息安全等等级保护护安全建建设整改改的工作作方法安全建设设整改工工作与各各单位、各部门门在信息息系统建建设中开开展的安安全建设设工作有有联系又又有区别别，但信信息安全全等级保保护工作作中的安安全建设设整改工工作具有有鲜明的的特点，主主要体现现在以下下四个方方面：一一是继承承发展。安全建建设整改改工作是是在各单单位、各各部门信信息系统统安全保保护工作作基础上上开展的的，是对对原有工工作的继继承和发发展。二二是引入入标准。各单位位、各部部门是按按照国家家有关标标准规范范开展安安全建设设整改工工作，强强调将技技术措施施和管理理措施有有机结合合，着重重建立信信息系统统综合防防护体系系

46、，提高高信息系系统整体体安全保保护能力力。三是是外部监监督。传传统的信信息系统统安全保保护工作作大多是是自主、自愿行行为，而而信息安安全等级级保护安安全建设设整改工工作是有有政府职职能部门门监督的的行为。全国公公安机关关对各单单位、各各部门等等级保护护工作的的开展进进行监督督、检查查。四是是政策牵牵引。公公安机关关会同国国家保密密部门、密码工工作部门门和信息息化部门门出台了了一系列列政策文文件和工工作指南南，为各各单位、各部门门开展等等级保护护工作提提供了一一定的保保障机制制。具体体工作方方法是：（一）安安全建设设整改工工作应以以基本本要求为为基本目目标，可可以针对对安全现现状分析析发现的的问

47、题进进行加固固改造，缺缺什么补补什么；也可以以进行总总体安全全建设整整改设计计，将不不同区域域、不同同层面的的安全保保护措施施形成有有机的安安全保护护体系，落落实基基本要求求，最最大程度度发挥安安全措施施的保护护能力。（二）突突出重点点。建设设过程中中要突出出重点，可可以先对对第三、四级信信息系统统开展安安全建设设整改，再再对第二二级系统统开展整整改；也也可以对对各等级级系统同同步规划划实施，确确保按期期完成任任务。（三）试试点示范范。重点行行业、部部门可以以根据需需要和实实际情况况，选择择有代表表性的第第二、三三、四级级信息系系统先进进行安全全建设整整改和等等级测评评工作试试点、示示范，在在

48、总结经经验的基基础上全全面推开开。（四）安安全建设设整改工工作具体体实施可可以根据据实际情情况，将将安全管管理制度度建设和和安全技技术措施施建设内内容一并并实施，或或分步实实施。（五）重重点行业业可以按按照基基本要求求等国国家标准准，结合合行业特特点，在在公安部部等有关关部门指指导下，确定基基本要求求的具具体指标标，在不低低于基基本要求求的情情况下，结合系统安全保护的特殊需求，制定行业标准规范或细则，并据此开展安全建设整改工作。（六）将将安全建建设整改改工作与与业务工工作、信信息化建建设工作作有机结结合，利利用信息息安全等等级保护护综合工工作平台台，使等等级保护护工作常常态化。九、信息息安全等

49、等级保护护安全建建设整改改中的几几项相关关工作（一）信信息安全全等级测测评等级测评评是测评评机构依依据国家家信息安安全等级级保护制制度规定定，受有有关单位位委托，按按照有关关管理规规范和技技术标准准，对非非涉及国国家秘密密信息系系统安全全等级保保护状况况进行检检测评估估的活动动。等级级测评工工作是信信息安全全等级保保护整体体工作的的一个重重要组成成部分，信息系统运营使用单位通过开展等级测评，一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。1测评评机构的的选

50、择为了加强强信息安安全等级级保护等等级测评评机构建建设和管管理，规规范等级级测评活活动，保保障等级级测评工工作的顺顺利开展展，专门门机构要要对测评评机构和和测评人人员进行行安全审审查和能能力审验验。开展展等级测测评的机机构须获获得专门门机构颁颁发的有有关资格格证明文文件。开开展等级级测评的的人员须须获得专专门机构构颁发的的等级测测评师证证书（等等级测评评师分为为初级、中级和和高级三三种）。审核通通过的测测评机构构由专门门机构向向社会公公布，并并由备案案单位选选择。2等级级测评工工作各单位、各部门门在开展展信息系系统安全全建设整整改之前前，可以以通过等等级测评评进行信息息系统安安全现状状分析，排

51、查信息系统安全隐患和薄弱环节，明确信息系统安全建设整改的需求，制定安全建设整改方案，有针对性地进行安全建设整改。信息系统安全建设整改后，按照管理办法的要求进行等级测评，检验安全建设整改成效，查找与等级保护标准要求的差距。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。对第三级（含）以上信息系统要定期开展等级测评工作，对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。各单位、各部门门要对测测评机构构和测评评人员的的测评活活动进行行监督管管理，与与测评机机构签订订工作协协议和保保密协议议，查验验测评机机构和测测评人员员的相关关材料，落落实测评评过

52、程监监管措施施，防范范对信息息系统可可能造成成新的安安全风险险。各单单位、各各部门要要监督检检查测评评机构是是否依据据信息息系统安安全等级级保护测测评要求求、信信息系统统安全等等级保护护测评过过程指南南等国国家标准准开展等等级测评评，是否否按照公公安部统统一制订订的信信息系统统安全等等级测评评报告模模版（公公信安20009114877号）格格式出具具测评报报告。按照行业业标准规范范开展安安全建设设整改的的信息系系统，可可以以国国家标准准为依据据开展等等级测评评，也可可以行业业标准规规范为依依据开展展等级测测评。各各单位、各部门门对信息息系统开开展等级级测评后后，每年年应将等等级测评评报告向向受

53、理备备案的公公安机关关备案。信息系系统运营营使用单单位应当当根据信信息系统统规模和和测评机机构所投投入的成成本，合理支付付测评服服务费用用。测评评费用可可以参考考国家信信息化项项目人工工计费标标准或根根据被测测设备数数量与测测评项预预算测评评费用。（二）信信息安全全产品的的选择使使用为落实关关于信息息安全等等级保护护工作的的实施意意见中中提出的的“对信息息系统中中使用的的信息安安全产品品实行按按等级管管理”的要求求，公安安部发布布了关关于调整整更新计计算机信信息系统统安全专专用产品品检测执执行标准准规范的的公告（公公信安20009111577号），对对已有分分级标准准的299类信息息安全产产品

54、开展展分级检检测工作作。对于于检测并并审核通通过的产产品，产产品销售售许可证证书标注注产品分分级信息息，便于于用户根根据信息息系统安安全需求求选择相相应等级级的产品品。管理办办法规规定第三三级以上上信息系系统应当当选择使使用我国国自主研研发的信信息安全全产品。信息安安全产品品是信息息系统安安全的重重要基础础，信息息安全产产品的使使用和管管理是国国家信息息安全等等级保护护制度的的重要组组成部分分，尤其其是进入入到基础础信息网网络和重重要信息息系统中中的信息息安全产产品将直直接影响响信息系系统安全全，甚至危及及国家安安全、社社会稳定定。因此此，各单单位、各各部门应应在满足足使用要要求的前前提下，优

55、优先选择择国产品品。国家家信息安安全监管管部门对对进入第第三级以以上信息息系统中中使用的的信息安安全产品品进行管管理。（三）信信息系统统安全建建设整改改方案的的制定信息系统统安全建建设整改改方案主主要包括括以下内内容：项项目背景景；政策策和技术术标准依依据；安安全需求求分析；安全建建设整改改技术方方案设计计；安全全建设整整改管理理体系设设计；信信息系统统安全产产品选型型及技术术指标；安全建建设整改改后信息息系统残残余风险险分析；安全建建设整改改项目实实施计划划；项目目预算。十、信息息安全等等级保护护安全建建设整改改工作的的检查监监督备案单位位、行业业主管部部门、公公安机关关要分别别建立并并落实

56、监监督检查查机制，定期对对等级保保护制度度各项要要求的落落实情况况进行自自查和监监督检查查。（一）备备案单位位的定期期自查备案单位位应按照照管理理办法的的相关要要求，对对等级保保护工作作落实情情况进行行自查，掌掌握信息息系统安安全状况况、安全全管理制制度及技技术保护护措施的的落实情情况等，及及时发现现安全隐隐患和存存在的突突出问题题，有针针对性地地采取技技术和管管理措施施。备案案单位应应当配合合公安机机关的监监督检查查工作，如如实提供供有关资资料及文文件。当当第三级级（含）以以上信息息系统发发生事件件、案件件时，备备案单位位应当及及时向受受理备案案的公安安机关报报告。（二）行行业主管管部门的的

57、督导检检查行业主管管部门要要建立督督导检查查制度，组织制定本行业、本部门的信息安全等级保护检查工作规范，定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。（三）公公安机关关的监督督检查部、省、市三级级公安机机关网络络安全保保卫部门门要按照照“谁受理理备案、谁负责责检查”的原则则，依据据公安安机关信信息安全全等级保保护检查查工作规规范（试试行）（公信安2008736号），定期对备案单位等级保护工作开展和实施情况进行监督检查。对于有主管部门的，公安机关要积极会同主管部门开展，充分发挥主管部门的作用，建立监督检查的配合机制。公安机关关应

58、按照照“严格依依法，热热情服务务”的要求求开展检检查工作作，遵守守检查纪纪律，规规范检查查程序，主主动、热热情地为为信息系系统运营营使用单单位提供供服务和和指导。对备案案单位重重要信息息系统发发生的事事件、案案件及时时进行调调查和立立案侦查查，并指指导其开开展应急急处置工工作，为为备案单单位重要要信息系系统安全全提供有有力支持持。十一、总总体工作作要求（一）高高度重视视，加强强领导。等级保保护安全全建设整整改工作作任务艰艰巨，责责任重大大。各单单位、各各部门一一定要高高度重视视，要按照“谁主管管、谁负责责”的原则则，切实实加强对对等级保保护安全全建设整整改工作作的组织织领导，落实责责任部门门、责任任人员和和安全建建设整改改经费，完善工工作机制制。各行行业主管管（监管管）部门门是本行行业