(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)

—1—中华人民共和国公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函公信安[2009]1429号中央和国家机关各部委，国务院各直属机构、办事机构、事业单位：为进一步贯彻落实国家信息安全等级保护制度，指导各地区、各部门在信息安全等级保护定级工作基础上，深入开展信息安全等级保护安全建设整改工作，我部制定了《关于开展信息安全等级保护安全建设整改工作的指导意见》。现印送给你们，请在实际工作中参照。二〇〇九年十月二十七日—2—抄送：各省、自治区、直辖市信息安全等级保护工作协调（领导）小组。—3—关于开展信息安全等级保护安全建设整改工作的指导意见为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》（以下简称《管理办法》）精神，指导各部门在信息安全等级保护定级工作基础上，开展已定级信息系统（不包括涉及国家秘密信息系统）安全建设整改工作，特提出如下意见：一、明确工作目标依据信息安全等级保护有关政策和标准，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益，力争在2012年底前完成已定级信息系统安全建设整改工作。二、细化工作内容（一）开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度：一是信息安全责任制，明确信息安全工作的—4—主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。（二）开展信息安全等级保护安全技术措施建设，提高信息系统安全保护能力。按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。（三）开展信息系统安全等级测评，使信息系统安全保护状况逐步达到等级保护要求。选择由省级（含）以上信息安全等级保护工作协调小组办公室审核并备案的测评机构，对第三级（含）—5—以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评，对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。三、落实工作要求（一）统一组织，加强领导。要按照“谁主管、谁负责”的原则，切实加强对信息安全等级保护安全建设整改工作的组织领导，完善工作机制。要结合各自实际，统一规划和部署安全建设整改工作，制定安全建设整改工作实施方案。要落实责任部门、责任人员和安全建设整改经费。要利用多种形式，组织开展宣传、培训工作。（二）循序渐进，分步实施。信息系统主管部门可以结合本行业、本部门信息系统数量、等级、规模等实际情况，按照自上而下或先重点后一般的顺序开展。重点行业、部门可以根据需要和实际情况，选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范，在总结经验的基础上全面推开。（三）结合实际，制定规范。重点行业信息系统主管部门可—6—以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标；在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准规范或细则，指导本行业信息系统安全建设整改工作。（四）认真总结，按时报送。自2009年起，要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结，于每年年底前报同级公安机关网安部门，各省（自治区、直辖市）公安机关网安部门报公安部网络安全保卫局。信息系统备案单位每半年要填写《信息安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。附件：1、《信息安全等级保护安全建设整改工作情况统计表》2、《信息安全等级保护安全建设整改工作指南》—7—附件1：信息安全等级保护安全建设整改工作情况统计表01单位名称02单位地址03单位负责人姓名职务/职称办公电话04单位联系人姓名职务/职称办公电话移动电话05信息系统总数06未定级备案信息系统数量07已定级备案信息系统数量第二级系统第三级系统第四级系统合计08信息系统安全建设整改工作情况（1）是否明确主管领导、责任部门和具体负责人员□是□否（2）是否对信息系统安全建设整改工作进行总体部署□是□否（3）是否对信息系统进行安全保护现状分析□是□否（4）是否制定信息系统安全建设整改方案□是□否（5）是否组织开展信息系统安全建设整改工作□是□否（6）是否组织开展信息系统安全自查工作□是□否09已开展安全建设整改的信息系统数量第二级系统第三级系统第四级系统合计10已开展等级测评的信息系统数量第二级系统第三级系统第四级系统合计11信息系统发生安全事件、事故数量第二级系统第三级系统第四级系统合计12已达到等级保护要求的信息系统数量第二级系统第三级系统第四级系统合计填表人：审核人：填表时间：年月日附件2：信息安全等级保护安全建设整改工作指南中华人民共和国公安部二〇〇九年十月前言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了《信息安全等级保护安全建设整改工作指南》，供参考。本指南包括总则、安全管理制度建设、安全技术措施建设三个部分，附录是信息安全等级保护主要标准简要说明。由于时间仓促，经验不足，不妥之处，敬请批评指正。目录1总则..............................................................11.1工作目标....................................................11.2工作内容....................................................11.3工作流程....................................................21.4标准应用....................................................31.5安全保护能力目标............................................52安全管理制度建设..................................................62.1落实信息安全责任制..........................................72.2信息系统安全管理现状分析....................................72.3确定安全管理策略，制定安全管理制度..........................82.4落实安全管理措施............................................82.4.1人员安全管理...........................................82.4.2系统运维管理...........................................82.4.2.1环境和资产安全管理...............................82.4.2.2设备和介质安全管理...............................92.4.2.3日常运行维护.....................................92.4.2.4集中安全管理.....................................92.4.2.5事件处置与应急响应...............................92.4.2.6灾难备份.........................................92.4.2.7安全监测........................................102.4.2.8其他安全管理....................................102.5系统建设管理...............................................102.6安全自查与调整.............................................103安全技术措施建设.................................................103.1信息系统安全保护技术现状分析...............................113.1.1信息系统现状分析......................................113.1.2信息系统安全保护技术现状分析..........................123.1.3安全需求论证和确定....................................123.2信息系统安全技术建设整改方案设计...........................123.2.1确定安全技术策略，设计总体技术方案..............................................123.2.1.1确定安全技术策略................................123.2.1.2设计总体技术方案..........................................................................123.2.2安全技术方案详细设计..................................133.2.2.1物理安全设计...................................................................................133.2.2.2通信网络安全设计..........................................................................133.2.2.3区域边界安全设计.........................................................................