【文章內(nèi)容簡介】 此標(biāo)準(zhǔn)制定出的《信息系統(tǒng)通用安全技術(shù)要求》等技術(shù)類標(biāo)準(zhǔn)和《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等管理類標(biāo)準(zhǔn)、《操作系統(tǒng)安全技術(shù)要求》等產(chǎn)品類標(biāo)準(zhǔn)，共同構(gòu)成了等級(jí)保護(hù)基礎(chǔ)性標(biāo)準(zhǔn)，為相關(guān)標(biāo)準(zhǔn)的制定起到了基礎(chǔ)性作用。（二）安全要求類標(biāo)準(zhǔn)《基本要求》以及行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則構(gòu)成了信息系統(tǒng)安全建設(shè)整改的安全需求。1．《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡稱《基本要求》）。該標(biāo)準(zhǔn)是在《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、技術(shù)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)基礎(chǔ)上，總結(jié)幾年的實(shí)踐，結(jié)合當(dāng)前信息技術(shù)發(fā)展的實(shí)際情況研究制定的，該標(biāo)準(zhǔn)提出了各級(jí)信息系統(tǒng)應(yīng)當(dāng)具備的安全保護(hù)能力，并從技術(shù)和管理兩方面提出了相應(yīng)的措施。2．信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則。重點(diǎn)行業(yè)可以按照《基本要求》等國家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，在公安部等有關(guān)部門指導(dǎo)下，確定《基本要求》的具體指標(biāo)，在不低于《基本要求》的情況下，結(jié)合系統(tǒng)安全保護(hù)的特殊需求，制定信息系統(tǒng)安全建設(shè)整改的行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則，并據(jù)此開展安全建設(shè)整改工作。（三）定級(jí)類標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則為確定信息系統(tǒng)安全保護(hù)等級(jí)提供支持。1．《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T222402008）。該標(biāo)準(zhǔn)規(guī)定了定級(jí)的依據(jù)、對(duì)象、流程和方法以及等級(jí)變更等內(nèi)容，用于指導(dǎo)開展信息系統(tǒng)定級(jí)工作。2．信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則。重點(diǎn)行業(yè)可以根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，結(jié)合行業(yè)特點(diǎn)，在公安部指導(dǎo)下，制定出臺(tái)行業(yè)信息系統(tǒng)定級(jí)標(biāo)準(zhǔn)規(guī)范或細(xì)則，并據(jù)此開展信息系統(tǒng)定級(jí)工作。（四）方法指導(dǎo)類標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》構(gòu)成了指導(dǎo)信息系統(tǒng)安全建設(shè)整改的方法指導(dǎo)類標(biāo)準(zhǔn)。1．《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（信安字[2007]10號(hào)）。該標(biāo)準(zhǔn)闡述了等級(jí)保護(hù)實(shí)施的基本原則、參與角色和信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行與維護(hù)、信息系統(tǒng)終止等幾個(gè)主要工作階段中如何按照信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn)要求實(shí)施等級(jí)保護(hù)工作。2．《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（信安秘字[2009]059號(hào)）。該標(biāo)準(zhǔn)提出了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)的技術(shù)要求，包括第一級(jí)至第五級(jí)信息系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求，以及定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)技術(shù)要求，明確了體現(xiàn)定級(jí)系統(tǒng)安全保護(hù)能力的整體控制機(jī)制，用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)等開展信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)。（五）現(xiàn)狀分析類標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》構(gòu)成了指導(dǎo)開展等級(jí)測評(píng)的標(biāo)準(zhǔn)規(guī)范。1．《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》。該標(biāo)準(zhǔn)闡述了等級(jí)測評(píng)的原則、測評(píng)內(nèi)容、測評(píng)強(qiáng)度、單元測評(píng)要求、整體測評(píng)要求、等級(jí)測評(píng)結(jié)論的產(chǎn)生方法等內(nèi)容，用于規(guī)范和指導(dǎo)測評(píng)人員如何開展等級(jí)測評(píng)工作。2．《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》。該標(biāo)準(zhǔn)闡述了信息系統(tǒng)等級(jí)測評(píng)的測評(píng)過程，明確了等級(jí)測評(píng)的工作任務(wù)、分析方法以及工作結(jié)果等，包括測評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)，用于規(guī)范測評(píng)機(jī)構(gòu)的等級(jí)測評(píng)過程。上述標(biāo)準(zhǔn)在應(yīng)用中需注意以下問題：一是《基本要求》是信息系統(tǒng)安全建設(shè)整改的基本目標(biāo)，《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》是實(shí)現(xiàn)該目標(biāo)的方法和途徑之一。《基本要求》中不包含安全設(shè)計(jì)和工程實(shí)施等內(nèi)容，因此，在系統(tǒng)安全建設(shè)整改中，可以參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安全工程管理要求》進(jìn)行。二是由于信息系統(tǒng)定級(jí)時(shí)是根據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)確定的系統(tǒng)安全等級(jí)，因此，在進(jìn)行信息系統(tǒng)安全建設(shè)整改時(shí)，應(yīng)根據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)確定《基本要求》中相應(yīng)的安全保護(hù)要求。各單位、各部門在進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)時(shí)，要按照整體安全的原則，綜合考慮安全保護(hù)措施，建立系統(tǒng)綜合防護(hù)體系，提高系統(tǒng)的整體保護(hù)能力。三是《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》從“計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心”（一個(gè)中心三維防護(hù)）四方面給出了五個(gè)級(jí)別信息系統(tǒng)安全保護(hù)設(shè)計(jì)的技術(shù)要求，用于指導(dǎo)信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)。該標(biāo)準(zhǔn)不包括信息系統(tǒng)物理安全、安全管理、安全運(yùn)維等方面的安全要求，所以應(yīng)與《基本要求》等標(biāo)準(zhǔn)配合使用。四、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)信息安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)在《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》已經(jīng)明確。可概況為：利用三年時(shí)間，開展三項(xiàng)重點(diǎn)工作，實(shí)現(xiàn)五方面目標(biāo)。1．三年時(shí)間。由于一些重要行業(yè)信息系統(tǒng)較多，受資金、人員等條件限制，考慮實(shí)際情況，全國已定級(jí)信息系統(tǒng)安全建設(shè)整改工作總體上用三年時(shí)間完成。各行業(yè)主管（監(jiān)管）部門應(yīng)按照時(shí)間要求，根據(jù)本行業(yè)信息系統(tǒng)數(shù)量和實(shí)際情況，合理部署總體工作進(jìn)度。2．三項(xiàng)重點(diǎn)工作。通過組織開展信息安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測評(píng)等三項(xiàng)重點(diǎn)工作，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求。3．五方面目標(biāo)。通過開展安全建設(shè)整改工作，達(dá)到以下五方面目標(biāo)：一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強(qiáng)，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護(hù)國家安全、社會(huì)秩序和公共利益。五、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作對(duì)象目前，少數(shù)單位和部門尚未開展信息系統(tǒng)定級(jí)備案工作，存在漏定級(jí)、漏備案和定級(jí)不準(zhǔn)等情況，所以，各行業(yè)主管（監(jiān)管）部門應(yīng)在公安部指導(dǎo)下出臺(tái)行業(yè)信息系統(tǒng)定級(jí)指導(dǎo)意見和要求，先解決信息系統(tǒng)定級(jí)備案工作存在的突出問題，在此基礎(chǔ)上開展安全建設(shè)整改工作。開展安全建設(shè)整改工作的信息系統(tǒng)范圍如下：1．各單位、各部門要將已備案的第二級(jí)（含）以上信息系統(tǒng)納入安全建設(shè)整改的范圍。2．尚未開展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案，再開展安全建設(shè)整改。3．新建系統(tǒng)要同步開展安全建設(shè)工作。六、信息安全等級(jí)保護(hù)安全建設(shè)整改的工作內(nèi)容及要求各單位、各部門在開展安全建設(shè)整改工作中，應(yīng)堅(jiān)持管理和技術(shù)并重的原則，依據(jù)《基本要求》，落實(shí)信息安全責(zé)任制，建立并落實(shí)各類安全管理制度，開展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。（一）信息安全等級(jí)保護(hù)安全管理制度建設(shè)1．建設(shè)依據(jù)按照《管理辦法》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度。2．建設(shè)內(nèi)容（1）落實(shí)信息安全責(zé)任制。成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確信息安全工作的主管領(lǐng)導(dǎo)。成立專門的信息安全管理部門或落實(shí)信息安全責(zé)任部門，確定安全崗位，落實(shí)專職人員或兼職人員。明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門和有關(guān)人員的信息安全責(zé)任。（2）落實(shí)人員安全管理制度。制定人員錄用、離崗、考核、教育培訓(xùn)等管理制度，落實(shí)管理的具體措施。對(duì)安全崗位人員要進(jìn)行安全審查，定期進(jìn)行培訓(xùn)、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實(shí)現(xiàn)安全崗位人員持證上崗。（3）落實(shí)系統(tǒng)建設(shè)管理制度。建立信息系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測評(píng)、安全服務(wù)等管理制度，明確工作內(nèi)容、工作方法、工作流程和工作