信息安全等级保护培训教材（第1册）

设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。各单位、各部门在进行信息系统安全建设整改方案设计时，要按照整体安全的原则，综合考虑安全保护措施，建立系统综合防护体系，提高系统的整体保护能力。

3、《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”（一个中心三维防护）四方面给出了五个级别信息系统安全保护设计的技术要求，用于指导信息系统等级保护安全技术设计。本标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求，所以应与《基本要求》等标准配合使用。

三、信息安全等级保护安全管理制度建设和技术措施建设 （一）信息安全等级保护安全管理制度建设 1、开展安全管理制度建设的依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。

2、开展安全管理制度建设的内容

一是落实信息安全责任制。成立信息安全工作领导机构，明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。

13

明确落实领导机构、责任部门和有关人员的信息安全责任。

二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。

三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。

四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度的有效落实。

3、开展安全管理制度建设的要求

（1）在具体实施过程中，可逐项建立管理制度，也可以进行整合，形成完善的安全管理体系。要根据具体情况，结合系统管理实际，不断健全完善管理制度。同时，将管理制度与管理技术措施有机结合，确保安全管理制度得到有效落实。

（2）建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查，行业主管部门组织开展督导检查，公安机关会同主管部门开展监督检查。

（二）开展信息安全等级保护安全技术措施建设

14

1、开展安全技术措施建设的依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，建设信息系统安全保护技术措施。

2、开展安全技术措施建设的内容

结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。在信息系统安全技术建设整改中，可以采取“一个中心、三维防护”（即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全）的防护策略，实现相应级别信息系统的安全保护技术要求，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。

3、开展安全技术措施建设的要求

备案单位要开展信息系统安全保护现状分析，确定信息系统安全技术建设整改需求，制定信息系统安全技术建设整改方案，组织实施信息系统安全建设整改工程，开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。

四、安全建设整改工作的方法和主要思路

安全建设整改工作与各单位、各部门在信息系统建设中开展

15

的安全建设工作有联系又有区别，但信息安全等级保护工作中的安全建设整改工作具有鲜明的特点，主要体现在以下四个方面：

（1）安全建设整改工作是在各单位、各部门信息系统安全保护工作基础上开展的，是对原有工作的继承和发展。

（2）各单位、各部门是按照国家有关标准规范开展安全建设整改工作，强调将技术措施和管理措施有机结合，着重建立信息系统综合防护体系，提高信息系统整体安全保护能力。

（3）传统的信息系统安全保护工作大多是自主、自愿行为，而信息安全等级保护安全建设整改工作是有政府职能部门监督的行为。全国公安机关对各单位、各部门等级保护工作的开展进行监督、检查。

（4）公安机关会同国家保密部门、密码工作部门和信息化部门出台了一系列政策文件和工作指南，为各单位、各部门开展等级保护工作提供了一定的保障机制。

各单位、各部门在开展安全建设整改工作中，应坚持管理和技术并重的原则，依据《基本要求》，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

（一）工作目标

利用三年时间，开展三项重点工作，实现五方面目标。 1、三年时间。由于一些重要行业信息系统较多，受资金、人员等条件限制，考虑实际情况，全国已定级信息系统安全建设

16