信息系统安全建设整改工作内容及相关技术标准-安天TDS主机安全.DOCVIP

信息安全等级保护安全建设整改工作培训材料之一 信息安全等级保护安全建设整改技术工作 主要内容及相关标准应用 公安部信息安全等级保护评估中心 二〇〇九年十一月  目 录 1 概述 （1） 1.1信息系统安全建设整改的目的 （1） 1.2安全建设整改在落实等级保护工作中的作用 （1） 2 安全建设整改依据的标准 （2） 2.1相关标准在等级保护各阶段工作中的作用 （2） 2.2安全建设整改工作依据的标准 （5） 2.2.1《基本要求》作用 （5） 2.2.2《基本要求》框架结构 （5） 2.2.3安全保护能力 （6） 2.2.4《基本要求》的选择和使用说明 （8） 3 安全管理建设整改工作的内容和方法 （10） 3.1落实信息安全责任制 （11） 3.2信息系统安全管理现状分析 （12） 3.3确定安全管理策略，制定安全管理制度 （12） 3.4落实安全管理措施 （13） 3.4.1人员安全管理 （13） 3.4.2系统运维管理 （14） 3.4.3系统建设管理 （16） 3.5安全自查与调整 （17） 4 安全技术建设整改工作的内容和方法 （17） 4.1信息系统安全保护技术现状分析 （18） 4.2信息系统安全技术建设整改方案设计 （19） 4.2.1确定安全技术策略，设计总体技术方案 （19） 4.2.2安全技术方案详细设计 （21） 4.2.3建设经费预算和工程实施计划 （25） 4.2.4方案论证和备案 （25） 4.3安全建设整改工程实施和管理 （26） 4.3.1工程实施和管理 （26） 4.3.2工程监理和验收 （26） 5 安全等级测评 （27） 5.1等级测评依据的标准 （27） 5.1.1测评要求 （27） 5.1.2测评过程指南 （28） 5.2等级测评的工作流程和工作内容 （29） 5.3等级测评工作中的风险控制 （31） 5.3.1存在的风险 （31） 5.3.2风险的规避 （31） 5.4等级测评报告的主要内容 （33） 6 信息系统安全建设整改方案要素 （34） 6.1项目背景 （34） 6.2开展信息系统安全建设整改的法规政策和技术依据 （34） 6.3信息系统安全建设整改安全需求分析 （34） 6.4信息系统安全等级保护建设整改技术方案设计 （35） 6.5信息系统安全等级保护建设整改管理体系设计 （35） 6.6信息系统安全产品选型及技术指标 （35） 6.7安全建设整改后信息系统残余风险分析 （35） 6.8信息系统安全等级保护整改项目实施计划 （35） 6.9信息系统安全等级保护项目预算 （35） 概述 信息系统安全建设整改的目的 在已定级的信息系统中，大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑，因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。随着等级保护工作的逐步展开，尤其是在信息系统确定了安全保护定级之后，重新审视现有信息系统的安全保护状况，由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。 通过开展等级保护工作，使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施，将国家的政策标准要求、机构的使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本保护水平和保护能力。 安全建设整改在落实等级保护工作中的作用 根据等级保护管理办法，等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查。其中定级/备案是信息安全等级保护的首要环节，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。而安全建设整改是信息安全等级保护工作落实的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，工作目的是检验和评价信息系统的安全建设整改工作的成效，判断安全保护能力是否达到相关要求，监督检查工作的主体是信息安全职能管理部门，通过定期的监督、检查和指导，保障重要信息系统安全保护能力不断提高。 安全建设整改依据的标准 相关标准在等级保护各阶段工作中的作用 GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准， GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是