信息安全等级保护安全建设整改工作培训材料模板.docx

信息安全等级保护安全建设整改工作培训材料模板.docx

《信息安全等级保护安全建设整改工作培训材料模板.docx》由会员分享，可在线阅读，更多相关《信息安全等级保护安全建设整改工作培训材料模板.docx（15页珍藏版）》请在冰豆网上搜索。

信息安全等级保护安全建设整改工作培训材料模板

信息安全等级保护安全建设整改工作

培训材料

公安部网络安全保卫局

二〇〇九年十二月

前言

为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》精神，有效解决信息系统安全保护中存在的管理制度不健全、技术措施不符合标准要求、安全责任不落实等突出问题，提高我国重要信息系统的安全保护能力，在全国信息系统安全等级保护定级工作基础上，公安部印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号），部署开展信息系统等级保护安全建设整改工作。

为便于信息系统等级保护安全建设整改工作相关单位全面了解和掌握信息安全等级保护安全建设整改工作所依据的政策和技术标准，明确开展等级保护安全建设整改工作的目标、内容和要求，更好地指导各单位、各部门开展信息安全等级保护安全建设整改工作，加强宣传和培训工作，我们编写了本培训材料，供参考使用。

有关材料下载网址：

公安部网站：

【网址】

等级保护网站：

【网址】

一、当前开展信息安全等级工作面临的形势

二、信息安全等级保护安全建设整改工作依据的政策

（一）总体政策

（二）具体政策

1、定级政策

2、备案政策

3、安全建设整改政策

4、等级测评政策

5、检查监督政策

三、信息安全等级保护安全建设整改工作依据的标准

（一）基础类标准

（二）安全要求类标准

（三）定级类标准

（四）方法指导类标准

（五）现状分析类标准

四、信息安全等级保护安全建设整改的工作目标

五、信息安全等级保护安全建设整改的工作对象

六、信息安全等级保护安全建设整改的工作内容及要求

（一）信息安全等级保护安全管理制度建设

（二）信息安全等级保护安全技术措施建设

七、信息安全等级保护安全建设整改的工作流程

八、信息安全等级保护安全建设整改的工作方法

九、信息安全等级保护安全建设整改中的几项相关工作

（一）信息安全等级测评

（二）信息安全产品的选择使用

（三）信息系统安全建设整改方案的制定

十、信息安全等级保护安全建设整改工作的检查监督

十一、总体工作要求

附件：

国家信息安全等级保护安全建设指导专家委员会职责

国家信息安全等级保护安全建设指导专家委员会专家名单

信息安全等级保护安全建设整改工作

培训材料

一、当前开展信息安全等级工作面临的形势

近年来，在党中央、国务院的高度重视下，通过各地区、各部门的共同努力，信息安全工作取得明显成效：

信息安全责任进一步明确，等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展，信息安全防护水平明显提高。

与此同时我们应该看到，当前我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务十分艰巨、繁重。

一是西强我弱的局面长期存在，信息安全战略威胁更加突出。

近年来，我国重要信息系统的安全保护能力虽然有了很大提高，但同西方发达国家相比，还是处于西强我弱，总体比较被动的局面。

奥巴马执政以来，美国高度重视网络安全问题，将网络空间视为继陆、海、空、太空后的“第五战略空间”，制订出台了包括强化联邦政府对网络安全的统一领导，整合各方资源力量，成立作战部队，加强技术研发和网络战资源储备，全面提升国家关键信息基础设施的安全防范能力等一系列重要举措。

而美国推行国家网络安全新战略，正是将中国作为其头号假想敌。

如果未来发生“网络战”，美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统。

同时，信息安全领域的一些关键技术和关键产品大部分掌握在西方信息化发达国家手中，从而使大量采用国外产品和服务的我国重要信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步加大，构成了对我关键基础设施的战略威胁。

二是各类网络安全威胁不断增多，网络安全防范难度加大。

今年以来，截获计算机病毒数量、新增病毒种类以及感染计算机台数较去年同期均有所增加，计算机病毒通过网页挂马、网络共享、电子邮件和U盘等移动存储介质广泛传播。

与第三方应用软件、浏览器服务有关安全漏洞也大幅上升，其中大量是高危漏洞。

大量木马、后门病毒利用安全漏洞通过“网站挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统，消耗系统资源，窃取个人用户信息甚至国家秘密和商业秘密，给重要信息系统的安全运行造成很大危害。

此外，境内外敌对势力、敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷，对我重要信息系统实施网络探测攻击，破坏国家网络基础设施的行为也逐年增多。

三是信息安全建设缺乏规范，安全防护能力亟待提高。

一些单位信息安全领导体制和工作机制等责任制未落实，人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。

缺乏常态化的系统安全保护状况的测评分析，在安全技术策略的选择、建设整改方案设计及实施等技术建设方面，既存在一定的盲目性，也缺乏完整性和系统性，导致信息安全整体防护能力和水平不高，给信息系统正常运行留下安全隐患。

为切实履行中央赋予公安部的职责，2007年，公安部会同有关部门开展了信息安全等级保护定级工作。

经过各部门、各行业、各单位的共同努力，定级工作已基本完成。

为加快推进信息安全等级保护制度建设，将等级保护工作向纵深推进，定级备案工作完成后，公安部积极组织有关单位和专家，制定并完善了等级保护相关政策和技术标准，为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础。

一是制定了信息安全等级保护安全建设整改工作的相关政策。

经过多年探索和实践，特别是经过北京奥运网络安全保卫工作的检验，进一步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法，制定并印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）及《信息安全等级保护安全建设整改工作指南》等附件，至此，针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成。

二是制定了信息安全等级保护安全建设整改工作的相关标准。

为配合信息安全等级保护安全建设整改工作顺利开展，公安部组织国内有关单位和专家经过多年研究，形成了以《计算机信息系统安全保护等级划分准则》（GB17859-1999）为基础的技术、管理和产品三大类标准体系，并在此基础上，形成了体现安全建设整改具体内容和要求的《信息系统安全等级保护基本要求》（GB/T22239-2008）。

该标准与测评要求等状况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准，共同为安全建设整改工作提供技术标准支撑。

至此，信息安全等级保护标准体系也已基本形成。

三是等级保护测评体系建设已经开展。

等级测评工作是信息安全等级保护整体工作的一个重要组成部分。

为推动信息安全等级保护测评机构建设，规范测评机构和人员及其测评活动的管理，保障等级保护工作的顺利开展，公安部已于今年年初组织开展等级测评体系建设。

先后组织编写了《信息安全等级保护测评要求》、《信息安全等级保护测评过程指南》以及《信息系统等级保护测评报告模版》等标准和规范。

为检验标准和规范的可行性和必要性，公安部于今年7—10月份组织开展了等级测评体系建设试点工作，六个省市公安机关和十多家测评机构参加，积累了对测评机构及人员规范管理的经验和方法。

下一步公安部将在全国推广试点工作经验，加强对测评机构的能力审验和安全审查，加强对测评人员的安全审查和培训，并将通过评估的测评机构向社会公布，供相关单位选择。

此外，电力等一些行业及一些信息安全企业已经按照等级保护相关政策和标准，开始进行信息安全等级保护安全建设整改工作，摸索了一些经验。

总之，综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础，既是形势所迫，也具备了一定的条件，既有必要性，也有可行性。

因此，各单位要全面准确把握当前我国信息安全工作面临的形势，进一步统一思想，提高认识，增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感，将等级保护工作落实好。

二、信息安全等级保护安全建设整改工作依据的政策

近几年，为组织开展信息安全等级保护工作，公安部根据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）的授权，会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件，国家发改委会同公安部、国家保密局出台了相关文件，公安部对有些具体工作出台了一些指导意见和规范，这些文件初步构成了信息安全等级保护政策体系（如图1所示），为指导各地区、各部门开展等级保护工作提供了政策保障。

图1信息安全等级保护法律政策体系

为了方便使用，我们已将信息安全等级保护政策文件汇编成《信息安全等级保护政策汇编》发给有关单位、部门。

（一）总体政策

总体方面的文件有两个，这两个文件确定了等级保护制度的总体内容和要求，对等级保护工作的开展起到宏观指导作用。

1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）。

该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件，主要内容包括贯彻落实信息安全等级保护制度的基本原则，等级保护工作的基本内容、工作要求和实施计划，以及各部门工作职责分工等。

2、《信息安全等级保护管理办法》（公通字[2007]43号）。

该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。

（二）具体政策

对应等级保护工作的具体环节（信息系统定级、备案、安全建设整改、等级测评、安全检查），出台了相应的政策规范：

1．定级政策

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）。

2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作全面开展。

该文件由四部委共同会签印发。

2．备案政策

《信息安全等级保护备案实施细则》（公信安[2007]1360号）。

该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，并附带有关法律文书，指导各级公安机关受理信息系统备案工作。

该文件由公安部网络安全保卫局印发。

3．安全建设整改政策

（1）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。

该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等，文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》。

该文件由公安部印发。

（2）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）。

该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：

公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。

该文件由发改委、公安部、国家保密局共同会签印发。

4．等级测评政策

关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）。

该文件明确了等级测评的内容、方法和测评报告格式等内容，用以规范等级测评活动。

该文件由公安部网络安全保卫局印发。

5．检查监督政策

《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）。

该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等，使检查工作规范化、制度化。

该文件由公安部网络安全保卫局印发。

三、信息安全等级保护安全建设整改工作依据的标准

为推动我国信息安全等级保护工作的开展，十多年来，在公安部领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。

信息安全等级保护相关标准具体见《信息安全等级保护主要标准简要说明》。

各单位、各部门安全建设整改工作应依据《基本要求》或行业标准规范，并在不同阶段、针对不同技术活动参照相应的标准规范进行，相关标准与等级保护各工作环节的关系如图2所示。

图2等级保护相关标准与等级保护各工作环节的关系

为了方便使用，我们已将主要标准汇编成《信息安全等级保护标准汇编》发给有关单位、部门。

标准体系的构成与作用如下：

（一）基础类标准

《计算机信息系统安全保护等级划分准则》是强制性国家标准，是等级保护重要的基础性标准。

依据在此标准制定出的《信息系统通用安全技术要求》等技术类标准和《信息系统安全管理要求》、《信息系统安全工程管理要求》等管理类标准、《操作系统安全技术要求》等产品类标准，共同构成了等级保护基础性标准，为相关标准的制定起到了基础性作用。

（二）安全要求类标准

《基本要求》以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。

1．《信息系统安全等级保护基本要求》（以下简称《基本要求》）。

该标准是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上，总结几年的实践，结合当前信息技术发展的实际情况研究制定的，该标准提出了各级信息系统应当具备的安全保护能力，并从技术和管理两方面提出了相应的措施。

2．信息系统安全等级保护基本要求的行业细则。

重点行业可以按照《基本要求》等国家标准，结合行业特点，在公安部等有关部门指导下，确定《基本要求》的具体指标，在不低于《基本要求》的情况下，结合系统安全保护的特殊需求，制定信息系统安全建设整改的行业标准规范或细则，并据此开展安全建设整改工作。

（三）定级类标准

《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。

1．《信息系统安全等级保护定级指南》（GB/T22240-2008）。

该标准规定了定级的依据、对象、流程和方法以及等级变更等内容，用于指导开展信息系统定级工作。

2．信息系统安全等级保护行业定级细则。

重点行业可以根据《信息系统安全等级保护定级指南》，结合行业特点，在公安部指导下，制定出台行业信息系统定级标准规范或细则，并据此开展信息系统定级工作。

（四）方法指导类标准

《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准。

1．《信息系统安全等级保护实施指南》（信安字[2007]10号）。

该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。

2．《信息系统等级保护安全设计技术要求》（信安秘字[2009]059号）。

该标准提出了信息系统等级保护安全设计的技术要求，包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求，以及定级系统互联的设计技术要求，明确了体现定级系统安全保护能力的整体控制机制，用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。

（五）现状分析类标准

《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。

1．《信息系统安全等级保护测评要求》。

该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容，用于规范和指导测评人员如何开展等级测评工作。

2．《信息系统安全等级保护测评过程指南》。

该标准阐述了信息系统等级测评的测评过程，明确了等级测评的工作任务、分析方法以及工作结果等，包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，用于规范测评机构的等级测评过程。

上述标准在应用中需注意以下问题：

一是《基本要求》是信息系统安全建设整改的基本目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。

《基本要求》中不包含安全设计和工程实施等内容，因此，在系统安全建设整改中，可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。

二是由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级，因此，在进行信息系统安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。

各单位、各部门在进行信息系统安全建设整改方案设计时，要按照整体安全的原则，综合考虑安全保护措施，建立系统综合防护体系，提高系统的整体保护能力。

三是《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”（一个中心三维防护）四方面给出了五个级别信息系统安全保护设计的技术要求，用于指导信息系统等级保护安全技术设计。

该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求，所以应与《基本要求》等标准配合使用。

四、信息安全等级保护安全建设整改的工作目标

信息安全等级保护安全建设整改的工作目标在《关于开展信息安全等级保护安全建设整改工作的指导意见》已经明确。

可概况为：

利用三年时间，开展三项重点工作，实现五方面目标。

1．三年时间。

由于一些重要行业信息系统较多，受资金、人员等条件限制，考虑实际情况，全国已定级信息系统安全建设整改工作总体上用三年时间完成。

各行业主管（监管）部门应按照时间要求，根据本行业信息系统数量和实际情况，合理部署总体工作进度。

2．三项重点工作。

通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求。

3．五方面目标。

通过开展安全建设整改工作，达到以下五方面目标：

一是信息系统安全管理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家安全、社会秩序和公共利益。

五、信息安全等级保护安全建设整改的工作对象

目前，少数单位和部门尚未开展信息系统定级备案工作，存在漏定级、漏备案和定级不准等情况，所以，各行业主管（监管）部门应在公安部指导下出台行业信息系统定级指导意见和要求，先解决信息系统定级备案工作存在的突出问题，在此基础上开展安全建设整改工作。

开展安全建设整改工作的信息系统范围如下：

1．各单位、各部门要将已备案的第二级（含）以上信息系统纳入安全建设整改的范围。

2．尚未开展定级备案的信息系统，要先定级备案，再开展安全建设整改。

3．新建系统要同步开展安全建设工作。

六、信息安全等级保护安全建设整改的工作内容及要求

各单位、各部门在开展安全建设整改工作中，应坚持管理和技术并重的原则，依据《基本要求》，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

（一）信息安全等级保护安全管理制度建设

1．建设依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。

2．建设内容

（1）落实信息安全责任制。

成立信息安全工作领导机构，明确信息安全工作的主管领导。

成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。

明确落实领导机构、责任部门和有关人员的信息安全责任。

（2）落实人员安全管理制度。

制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。

对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。

（3）落实系统建设管理制度。

建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。

（4）落实系统运维管理制度。

建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度的有效落实。

3、建设要求

（1）在具体实施过程中，可逐项建立管理制度，也可以进行整合，形成完善的安全管理体系。

要根据具体情况，结合系统管理实际，不断健全完善管理制度。

同时，将管理制度与管理技术措施有机结合，确保安全管理制度得到有效落实。

（2）建立并落实监督检查机制。

备案单位定期对各项制度的落实情况进行自查，行业主管部门组织开展督导检查，公安机关会同主管部门开展监督检查。

（二）信息安全等级保护安全技术措施建设

1、建设依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，建设信息系统安全保护技术措施。

2、建设内容

结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

在信息系统安全技术建设整改中，可以采取“一个中心、三维防护”（即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全）的防护策略，实现相应级别信息系统的安全保护技术要求，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。

3、建设要求

备案单位要开展信息系统安全保护现状分析，确定信息系统安全技术建设整改需求，制定信息系统安全技术建设整改方案，组织实施信息系统安全建设整改工程，开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。

七、信息安全等级保护安全建设整改的工作流程

安全建设整改工作可以分五步进行。

第一步：

落实负责安全建设整改工作的责任部门，由责任部门牵头制定本单位和本行业信息系统安全建设整改工作规划，对安全建设整改工作进行总体部署。

第二步：

开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求。

可以依据《基本要求》等标准，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全保护方面存在的问题，形成安全建设整改的需求并论证。

第三步：

确定安全保护策略，制定信息系统安全建设整改方案。

在安全需求分析的基础上，进行信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。

安全建设整改方案须经专家评审论证，第三级（含）以上信息系统安全建设整改方案应报公安机关备案，公安机关监督检查备案单位安全建设整改方案的实施。

第四步：

按照信息系统安全建设整改方案，实施安全建设整改工程，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施。

在实施安全建设整改工程中，需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理。

第五步：

开展安全自查