【文章內容簡介】 此標準制定出的《信息系統(tǒng)通用安全技術要求》等技術類標準和《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等管理類標準、《操作系統(tǒng)安全技術要求》等產品類標準，共同構成了等級保護基礎性標準，為相關標準的制定起到了基礎性作用。（二）安全要求類標準《基本要求》以及行業(yè)標準規(guī)范或細則構成了信息系統(tǒng)安全建設整改的安全需求。1．《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》）。該標準是在《計算機信息系統(tǒng)安全保護等級劃分準則》、技術類標準和管理類標準基礎上，總結幾年的實踐，結合當前信息技術發(fā)展的實際情況研究制定的，該標準提出了各級信息系統(tǒng)應當具備的安全保護能力，并從技術和管理兩方面提出了相應的措施。2．信息系統(tǒng)安全等級保護基本要求的行業(yè)細則。重點行業(yè)可以按照《基本要求》等國家標準，結合行業(yè)特點，在公安部等有關部門指導下，確定《基本要求》的具體指標，在不低于《基本要求》的情況下，結合系統(tǒng)安全保護的特殊需求，制定信息系統(tǒng)安全建設整改的行業(yè)標準規(guī)范或細則，并據(jù)此開展安全建設整改工作。（三）定級類標準《信息系統(tǒng)安全等級保護定級指南》和信息系統(tǒng)安全等級保護行業(yè)定級細則為確定信息系統(tǒng)安全保護等級提供支持。1．《信息系統(tǒng)安全等級保護定級指南》（GB/T222402008）。該標準規(guī)定了定級的依據(jù)、對象、流程和方法以及等級變更等內容，用于指導開展信息系統(tǒng)定級工作。2．信息系統(tǒng)安全等級保護行業(yè)定級細則。重點行業(yè)可以根據(jù)《信息系統(tǒng)安全等級保護定級指南》，結合行業(yè)特點，在公安部指導下，制定出臺行業(yè)信息系統(tǒng)定級標準規(guī)范或細則，并據(jù)此開展信息系統(tǒng)定級工作。（四）方法指導類標準《信息系統(tǒng)安全等級保護實施指南》和《信息系統(tǒng)等級保護安全設計技術要求》構成了指導信息系統(tǒng)安全建設整改的方法指導類標準。1．《信息系統(tǒng)安全等級保護實施指南》（信安字[2007]10號）。該標準闡述了等級保護實施的基本原則、參與角色和信息系統(tǒng)定級、總體安全規(guī)劃、安全設計與實施、安全運行與維護、信息系統(tǒng)終止等幾個主要工作階段中如何按照信息安全等級保護政策、標準要求實施等級保護工作。2．《信息系統(tǒng)等級保護安全設計技術要求》（信安秘字[2009]059號）。該標準提出了信息系統(tǒng)等級保護安全設計的技術要求，包括第一級至第五級信息系統(tǒng)安全保護環(huán)境的安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心等方面的設計技術要求，以及定級系統(tǒng)互聯(lián)的設計技術要求，明確了體現(xiàn)定級系統(tǒng)安全保護能力的整體控制機制，用于指導信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務機構等開展信息系統(tǒng)等級保護安全技術設計。（五）現(xiàn)狀分析類標準《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》構成了指導開展等級測評的標準規(guī)范。1．《信息系統(tǒng)安全等級保護測評要求》。該標準闡述了等級測評的原則、測評內容、測評強度、單元測評要求、整體測評要求、等級測評結論的產生方法等內容，用于規(guī)范和指導測評人員如何開展等級測評工作。2．《信息系統(tǒng)安全等級保護測評過程指南》。該標準闡述了信息系統(tǒng)等級測評的測評過程，明確了等級測評的工作任務、分析方法以及工作結果等，包括測評準備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動，用于規(guī)范測評機構的等級測評過程。上述標準在應用中需注意以下問題：一是《基本要求》是信息系統(tǒng)安全建設整改的基本目標，《信息系統(tǒng)等級保護安全設計技術要求》是實現(xiàn)該目標的方法和途徑之一?！痘疽蟆分胁话踩O計和工程實施等內容，因此，在系統(tǒng)安全建設整改中，可以參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設計技術要求》和《信息系統(tǒng)安全工程管理要求》進行。二是由于信息系統(tǒng)定級時是根據(jù)業(yè)務信息安全等級和系統(tǒng)服務安全等級確定的系統(tǒng)安全等級，因此，在進行信息系統(tǒng)安全建設整改時，應根據(jù)業(yè)務信息安全等級和系統(tǒng)服務安全等級確定《基本要求》中相應的安全保護要求。各單位、各部門在進行信息系統(tǒng)安全建設整改方案設計時，要按照整體安全的原則，綜合考慮安全保護措施，建立系統(tǒng)綜合防護體系，提高系統(tǒng)的整體保護能力。三是《信息系統(tǒng)等級保護安全設計技術要求》依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》從“計算環(huán)境安全、區(qū)域邊界安全、通信網絡安全和安全管理中心”（一個中心三維防護）四方面給出了五個級別信息系統(tǒng)安全保護設計的技術要求，用于指導信息系統(tǒng)等級保護安全技術設計。該標準不包括信息系統(tǒng)物理安全、安全管理、安全運維等方面的安全要求，所以應與《基本要求》等標準配合使用。四、信息安全等級保護安全建設整改的工作目標信息安全等級保護安全建設整改的工作目標在《關于開展信息安全等級保護安全建設整改工作的指導意見》已經明確。可概況為：利用三年時間，開展三項重點工作，實現(xiàn)五方面目標。1．三年時間。由于一些重要行業(yè)信息系統(tǒng)較多，受資金、人員等條件限制，考慮實際情況，全國已定級信息系統(tǒng)安全建設整改工作總體上用三年時間完成。各行業(yè)主管（監(jiān)管）部門應按照時間要求，根據(jù)本行業(yè)信息系統(tǒng)數(shù)量和實際情況，合理部署總體工作進度。2．三項重點工作。通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評等三項重點工作，落實等級保護制度的各項要求。3．五方面目標。通過開展安全建設整改工作，達到以下五方面目標：一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護國家安全、社會秩序和公共利益。五、信息安全等級保護安全建設整改的工作對象目前，少數(shù)單位和部門尚未開展信息系統(tǒng)定級備案工作，存在漏定級、漏備案和定級不準等情況，所以，各行業(yè)主管（監(jiān)管）部門應在公安部指導下出臺行業(yè)信息系統(tǒng)定級指導意見和要求，先解決信息系統(tǒng)定級備案工作存在的突出問題，在此基礎上開展安全建設整改工作。開展安全建設整改工作的信息系統(tǒng)范圍如下：1．各單位、各部門要將已備案的第二級（含）以上信息系統(tǒng)納入安全建設整改的范圍。2．尚未開展定級備案的信息系統(tǒng)，要先定級備案，再開展安全建設整改。3．新建系統(tǒng)要同步開展安全建設工作。六、信息安全等級保護安全建設整改的工作內容及要求各單位、各部門在開展安全建設整改工作中，應堅持管理和技術并重的原則，依據(jù)《基本要求》，落實信息安全責任制，建立并落實各類安全管理制度，開展人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等工作，落實物理安全、網絡安全、主機安全、應用安全和數(shù)據(jù)安全等安全保護技術措施。（一）信息安全等級保護安全管理制度建設1．建設依據(jù)按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標準規(guī)范要求，建立健全并落實符合相應等級要求的安全管理制度。2．建設內容（1）落實信息安全責任制。成立信息安全工作領導機構，明確信息安全工作的主管領導。成立專門的信息安全管理部門或落實信息安全責任部門，確定安全崗位，落實專職人員或兼職人員。明確落實領導機構、責任部門和有關人員的信息安全責任。（2）落實人員安全管理制度。制定人員錄用、離崗、考核、教育培訓等管理制度，落實管理的具體措施。對安全崗位人員要進行安全審查，定期進行培訓、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實現(xiàn)安全崗位人員持證上崗。（3）落實系統(tǒng)建設管理制度。建立信息系統(tǒng)定級備案、方案設計、產品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理制度，明確工作內容、工作方法、工作流程和工作