《信息安全等级保护安全建设整改工作指南》

附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二〇〇九年十月前言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了《信息安全等级保护安全建设整改工作指南》，供参考。本指南包括总则、安全管理制度建设、安全技术措施建设三个部分，附录是信息安全等级保护主要标准简要说明。由于时间仓促，经验不足，不妥之处，敬请批评指正。目录1总则………………………………………………………………………………(1)1.1工作目标…………………………………………………………………(1)1.2工作内容…………………………………………………………………(1)1.3工作流程…………………………………………………………………(2)1.4标准应用…………………………………………………………………(3)1.5安全保护能力目标………………………………………………………(5)2安全管理制度建设………………………………………………………………(6)2.1落实信息安全责任制……………………………………………………(7)2.2信息系统安全管理现状分析……………………………………………(7)2.3确定安全管理策略，制定安全管理制度………………………………(8)2.4落实安全管理措施………………………………………………………(8)2.4.1人员安全管理……………………………………………………(8)2.4.2系统运维管理……………………………………………………(8)2.4.2.1环境和资产安全管理……………………………………(8)2.4.2.2设备和介质安全管理……………………………………(9)2.4.2.3日常运行维护……………………………………………(9)2.4.2.4集中安全管理……………………………………………(9)2.4.2.5事件处置与应急响应……………………………………(9)2.4.2.6灾难备份…………………………………………………(9)2.4.2.7安全监测………………………………………………(10)2.4.2.8其他安全管理…………………………………………(10)2.5系统建设管理…………………………………………………………(10)2.6安全自查与调整………………………………………………………(10)3安全技术措施建设……………………………………………………………(10)3.1信息系统安全保护技术现状分析……………………………………(11)3.1.1信息系统现状分析……………………………………………(11)3.1.2信息系统安全保护技术现状分析……………………………(12)3.1.3安全需求论证和确定…………………………………………(12)3.2信息系统安全技术建设整改方案设计………………………………(12)3.2.1确定安全技术策略，设计总体技术方案……………………(12)3.2.1.1确定安全技术策略……………………………………(12)3.2.1.2设计总体技术方案……………………………………(12)3.2.2安全技术方案详细设计………………………………………(13)3.2.2.1物理安全设计…………………………………………(13)3.2.2.2通信网络安全设计……………………………………(13)3.2.2.3区域边界安全设计……………………………………(13)3.2.2.4主机系统安全设计……………………………………(13)3.2.2.5应用系统安全设计……………………………………(14)3.2.2.6备份和恢复安全设计…………………………………(14)3.2.3建设经费预算和工程实施计划…………………………(14)3.2.3.1建设经费预算…………………………………………(14)数据安全设计3.2.3.2工程实施计划…………………………………………(14)3.2.4方案论证和备案………………………………………………(15)3.3安全建设整改工程实施和管理………………………………………(15)3.3.1工程实施和管理………………………………………………(15)3.3.2工程监理和验收………………………………………………(15)3.3.3安全等级测评…………………………………………………(15)附录：信息安全等级保护主要标准简要说明……………………………(17)1总则1.1工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。1.2工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。要依据《信息系统安全等级保护基本要求》（以下简称《基本要求》），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，具体内容如图1所示。图1：信息系统安全建设整改主要内容信息系统安全等级保护基本要求安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查安全管理制度管理制度制定和发布评审和修订人员安全管理人员录用人员离岗人员考核教育和培训人员访问管理系统建设管理定级备案安全方案设计产品采购使用自行软件开发外包软件开发工程实施测试验收系统交付安全服务选择等级测评系统运维管理环境管理资产管理介质管理设备管理监控管理安全管理中心网络安全管理系统安全管理变更管理备份恢复管理事件处置应急响应安全管理建设整改物理安全机房位置选择防火防雷防水防潮防静电物理访问控制防盗窃防破坏温湿度控制电力供应电磁防护网络安全区域划分边界防护访问控制安全审计入侵防范病毒防护通信保护数据安全与备份恢复数据保密性数据完整性备份与恢复主机安全身份鉴别访问控制安全审计入侵防范病毒防护资源控制安全标记剩余信息保护应用安全身份鉴别访问控制安全审计通信完整性通信保密性软件容错资源控制安全标记剩余信息保护抗抵赖安全技术建设整改需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。1.3工作流程信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如图2所示。图2：信息系统安全建设整改工作基本流程1.4标准应用信息系统安全建设整改工作应依据《基本要求》，并在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则信息安全等级安全等级状况分析信息系统安全等级保护实施指南图3：等级保护相关标准间的关系需要说明的是，（一）《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》（GB17859，以下简称《划分准则》）是等级保护的基础性标准，《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以技术类标准和管理类标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。（二）《基本要求》是信息系统安全建设整改的依据。信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据《基本要求》，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于《基本要求》。（三）《定级指南》为定级工作提供指导。《信息系统安全等级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据《定级指南》，结合行业特点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。（四）《测评要求》等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。（五）《实施指南》等标准指导等级保护建设。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导，是实现《基本要求》的方法之一。1.5安全保护能力目标各级信息系统应通过安全建设整改分别达到以下安全保护能力目标：第一级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，