第三章 《信息安全等级保护安全建设整改工作指南》.docVIP

附件2 信息安全等级保护安全 建设整改工作指南 中华人民共和国公安部 二〇〇九年十月 前 言 为信息安全等级保护安全建设整改指南安全管理建设安全技术建设 目 录 1 总则………………………………………………………………………………(1) 1.1 工作目标…………………………………………………………………(1) 1.2 工作内容…………………………………………………………………工作流程…………………………………………………………………标准应用…………………………………………………………………安全保护能力………………………………………………………(5) 2 安全管理建设………………………………………………………………落实信息安全责任制……………………………………………………信息系统安全管理现状分析……………………………………………确定安全管理策略，制定安全管理制度……………………………… 2.4 落实安全管理措施………………………………………………………人员安全管理…………………………………………………… 2.4.2 系统运维管理…………………………………………………… 2.4.2.1 环境和资产安全管理……………………………………2 设备和介质安全管理……………………………………日常运行维护……………………………………………4 集中安全管理……………………………………………5 事件处置与应急响应……………………………………6 灾难备份…………………………………………………7 安全监测 ………………………………………………8 其他…………………………………………(10) 2.5 系统建设管理 …………………………………………………………安全自查与调整 ………………………………………………………安全技术建设 …………………………………………………………… 3.1 信息系统安全保护技术现状分析 ……………………………………信息系统现状分析 ……………………………………………信息系统安全保护技术现状分析 …………………………… 3.1.3 安全需求论证和确定 …………………………………………信息系统安全技术建设整改方案设计 ………………………………确定安全技术策略，设计总体技术方案 ……………………确定安全技术策略 ……………………………………设计总体技术方案 ……………………………………3.2.2 安全技术方案详细设计 ………………………………………理安全设计 ………………………………………… 3.2.2.2 通信网络安全设计 ……………………………………区域边界安全设计 ……………………………………主机系统安全设计 ……………………………………应用系统安全设计 ……………………………………备份和恢复安全设计 …………………………………建设经费预算和工程实施计划 ………………………… 3.2.3.1 建设经费预算 …………………………………………工程实施计划 …………………………………………方案论证和备案 ……………………………………………… 3.3 安全建设整改工程实施和管理 ………………………………………工程实施和管理 ……………………………………………… 3.3.2 工程监理和验收 ……………………………………………… 3.3.3 安全等级测评 ………………………………………………… 附录：信息安全等级保护主要标准简要说明 ……………………………(17) 1 总则 1.1 工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。 内容 信息系统运营使用单位在开展信息安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。要依据《信息系统安全等级保护基本要求》（以下简称《基本要求》），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，具体内容如图1所示。 图1：信息系统安全建设整改主要内容 需要说明：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。工作流程 信息系统安全建设整改工