郭处长稿件(201年5期).docVIP

加快落实信息安全等级保护整改工作 公安部网络安全保卫局 郭启全 一、信息安全等级保护工作依据的政策文件和标准 （一）等级保护政策体系 近几年，为组织开展信息安全等级保护工作，公安部根据《中华人民共和国计算机信息系统安全保护条例》的授权，会同国家保密局、国家密码管理局、原国务院信息办和发改委出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，这些文件初步构成了信息等级保护 2、《信息安全等级保护管理办法》公通字[2007]43号） 3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号） 4、《信息安全等级保护备案实施细则》（公信安[2007]1360号） 5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号） 6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号） 7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。 8、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号） 9、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号） （二）等级保护标准体系 为推动我国信息安全等级保护工作的开展，十多年来，在国内有关专家、企业的支持下，公安部、全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。等级保护标准体系如图1所示。 图1 等级保护标准体系 二、开展信息安全等级保护安全建设整改工作 全国信息系统定级备案工作基本完成，在此基础上，各单位、各部门应按照《关于开展信息系统等级保护安全建设整改工作的指导意见》（公[2009]1429号安全建设整改工作成通过开展信息等级保护管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求工作信息系统安全管理水平明显提高，信息系统安全防范能力明显增强，信息系统安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益工作建设整改建设整改国家有关标准规范管理和技术建设整改将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。信息安全建设整改按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全符合相应等级要求的安全管理制度一是信息安全责任制二是人员安全管理制度三是系统建设管理制度四是系统运维管理制度开展信息等级保护技术措施建设按照管理办法》《信息系统安全等级保护基本要求》参照信息系统安全等级保护实施指南《信息系统通用安全技术要求》、《信息系统安全工程管理要求》《信息系统等级保护安全设计技术要求》标准规范要求技术措施结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息等级保护技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施信息系统安全技术建设整改建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。安全建设整改应以《基本要求》为基本目标，可以针对安全现状分析发现的问题进行加固改造，缺什么补什么；也可以进行总体安全，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，落实《基本要求》，最大程度发挥安全措施的保护能力。。试点示范重点行业、部门可以根据需要和实际情况，选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范，在总结经验的基础上全面推开。安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术内容一并实施，或分步实施。重点行业可以按照等国家标准，结合行业特点，在指导下确定《基本要求》的具体指标在不低于《基本要求》的情况下，结合系统安全保护的特殊需求，制定行业标准规范或细则安全建设整改工作一安全建设整改工作制定信息系统安全建设整改工作规划，对安全建设整改工作进行总体部署二开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求可以依据《基本要求》等标准，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全方面存在的问题，形成安全建设整改的需求并论证。三确定安全保护策略，制定信息系统安全建设整改方案在安全需求分析的基础上，信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。安全建设整改