色综合久久婷婷88,岛国视频在线一区二区三区,色香欲亚洲天天综合网,欧美一区二区在线观看

中央和國家機關(guān)各部委，國務(wù)院各直屬機構(gòu)、辦事機構(gòu)、事業(yè)單位：

　　為進一步貫徹落實國家信息安全等級保護制度，指導(dǎo)各地區(qū)、各部門在信息安全等級保護定級工作基礎(chǔ)上，深入開展信息安全等級保護安全建設(shè)整改工作，我部制定了《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》。現(xiàn)印送給你們，請在實際工作中參照。


　　為進一步貫徹落實《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和《關(guān)于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）精神，指導(dǎo)各部門在信息安全等級保護定級工作基礎(chǔ)上，開展已定級信息系統(tǒng)（不包括涉及國家秘密信息系統(tǒng)）安全建設(shè)整改工作，特提出如下意見：

　　一、明確工作目標(biāo)

　　依據(jù)信息安全等級保護有關(guān)政策和標(biāo)準(zhǔn)，通過組織開展信息安全等級保護安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評，落實等級保護制度的各項要求，使信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護國家安全、社會秩序和公共利益，力爭在2012年底前完成已定級信息系統(tǒng)安全建設(shè)整改工作。

　　二、細化工作內(nèi)容

　?。ㄒ唬╅_展信息安全等級保護安全管理制度建設(shè)，提高信息系統(tǒng)安全管理水平。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，建立健全并落實符合相應(yīng)等級要求的安全管理制度：一是信息安全責(zé)任制，明確信息安全工作的主管領(lǐng)導(dǎo)、責(zé)任部門、人員及有關(guān)崗位的信息安全責(zé)任；二是人員安全管理制度，明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容；三是系統(tǒng)建設(shè)管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容；四是系統(tǒng)運維管理制度，明確機房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。建立并落實監(jiān)督檢查機制，定期對各項制度的落實情況進行自查和監(jiān)督檢查。

　?。ǘ╅_展信息安全等級保護安全技術(shù)措施建設(shè)，提高信息系統(tǒng)安全保護能力。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合行業(yè)特點和安全需求，制定符合相應(yīng)等級要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開展信息安全等級保護安全技術(shù)措施建設(shè)，落實相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護技術(shù)措施，建立并完善信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。

　?。ㄈ╅_展信息系統(tǒng)安全等級測評，使信息系統(tǒng)安全保護狀況逐步達到等級保護要求。選擇由省級（含）以上信息安全等級保護工作協(xié)調(diào)小組辦公室審核并備案的測評機構(gòu)，對第三級（含）以上信息系統(tǒng)開展等級測評工作。等級測評機構(gòu)依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標(biāo)準(zhǔn)對信息系統(tǒng)進行測評，對照相應(yīng)等級安全保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險，提出改進建議，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制等級測評報告。經(jīng)測評未達到安全保護要求的，要根據(jù)測評報告中的改進建議，制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關(guān)提交等級測評報告。對于重要部門的第二級信息系統(tǒng)，可以參照上述要求開展等級測評工作。

　　三、落實工作要求

　?。ㄒ唬┙y(tǒng)一組織，加強領(lǐng)導(dǎo)。要按照“誰主管、誰負責(zé)“的原則，切實加強對信息安全等級保護安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機制。要結(jié)合各自實際，統(tǒng)一規(guī)劃和部署安全建設(shè)整改工作，制定安全建設(shè)整改工作實施方案。要落實責(zé)任部門、責(zé)任人員和安全建設(shè)整改經(jīng)費。要利用多種形式，組織開展宣傳、培訓(xùn)工作。

　?。ǘ┭驖u進，分步實施。信息系統(tǒng)主管部門可以結(jié)合本行業(yè)、本部門信息系統(tǒng)數(shù)量、等級、規(guī)模等實際情況，按照自上而下或先重點后一般的順序開展。重點行業(yè)、部門可以根據(jù)需要和實際情況，選擇有代表性的第二、三、四級信息系統(tǒng)先進行安全建設(shè)整改和等級測評工作試點、示范，在總結(jié)經(jīng)驗的基礎(chǔ)上全面推開。

　?。ㄈ┙Y(jié)合實際，制定規(guī)范。重點行業(yè)信息系統(tǒng)主管部門可以按照《信息系統(tǒng)安全等級保護基本要求》等國家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點，確定《信息系統(tǒng)安全等級保護基本要求》的具體指標(biāo)；在不低于等級保護基本要求的情況下，結(jié)合系統(tǒng)安全保護的特殊需求，在有關(guān)部門指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細則，指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。

　　（四）認真總結(jié)，按時報送。自2009年起，要對定級備案、等級測評、安全建設(shè)整改和自查等工作開展情況進行年度總結(jié)，于每年年底前報同級公安機關(guān)網(wǎng)安部門，各?。ㄗ灾螀^(qū)、直轄市）公安機關(guān)網(wǎng)安部門報公安部網(wǎng)絡(luò)安全保衛(wèi)局。信息系統(tǒng)備案單位每半年要填寫《信息安全等級保護安全建設(shè)整改工作情況統(tǒng)計表》并報受理備案的公安機關(guān)。

　　附件：

　　1、信息安全等級保護安全建設(shè)整改工作情況統(tǒng)計表（略）

　　2、信息安全等級保護安全建設(shè)整改工作指南

　　附件2：


　　前言

　　為便于信息安全等級保護安全建設(shè)整改工作相關(guān)單位全面了解和掌握安全建設(shè)整改工作所依據(jù)的技術(shù)標(biāo)準(zhǔn)規(guī)范，以及安全建設(shè)整改工作的目標(biāo)、內(nèi)容和方法，公安部編寫了《信息安全等級保護安全建設(shè)整改工作指南》，供參考。

　　本指南包括總則、安全管理制度建設(shè)、安全技術(shù)措施建設(shè)三個部分，附錄是信息安全等級保護主要標(biāo)準(zhǔn)簡要說明。

　　由于時間倉促，經(jīng)驗不足，不妥之處，敬請批評指正。

　　1總則

　　1.1工作目標(biāo)

　　信息系統(tǒng)運營使用單位在做好信息系統(tǒng)安全等級保護定級備案工作基礎(chǔ)上，按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開展信息安全等級保護安全建設(shè)整改工作。通過落實安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)，落實等級保護制度的各項要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護國家安全、社會秩序和公共利益。

　　1.2工作內(nèi)容

　　信息系統(tǒng)運營使用單位在開展信息安全等級保護安全建設(shè)整改工作中，應(yīng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機結(jié)合，建立信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)整體安全保護能力。要依據(jù)《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》），落實信息安全責(zé)任制，建立并落實各類安全管理制度，開展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等工作，落實物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護技術(shù)措施，具體內(nèi)容如圖1所示。

　　圖1：信息系統(tǒng)安全建設(shè)整改主要內(nèi)容（略）

　　需要說明的是：不同級別信息系統(tǒng)安全建設(shè)整改的具體內(nèi)容應(yīng)根據(jù)信息系統(tǒng)定級時的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級，以及信息系統(tǒng)安全保護現(xiàn)狀確定。信息系統(tǒng)安全建設(shè)整改工作具體實施可以根據(jù)實際情況，將安全管理和安全技術(shù)整改內(nèi)容一并實施，或分步實施。

　　1.3工作流程

　　信息系統(tǒng)安全建設(shè)整改工作分五步進行。第一步：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對信息系統(tǒng)安全建設(shè)整改工作進行總體部署；第二步：開展信息系統(tǒng)安全保護現(xiàn)狀分析，從管理和技術(shù)兩個方面確定信息系統(tǒng)安全建設(shè)整改需求；第三步：確定安全保護策略，制定信息系統(tǒng)安全建設(shè)整改方案；第四步：開展信息系統(tǒng)安全建設(shè)整改工作，建立并落實安全管理制度，落實安全責(zé)任制，建設(shè)安全設(shè)施，落實安全措施；第五步：開展安全自查和等級測評，及時發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進一步開展安全建設(shè)整改工作。該流程如圖2所示。

　　圖2：信息系統(tǒng)安全建設(shè)整改工作基本流程（略）

　　1.4標(biāo)準(zhǔn)應(yīng)用

　　信息系統(tǒng)安全建設(shè)整改工作應(yīng)依據(jù)《基本要求》，并在不同階段、針對不同技術(shù)活動參照相應(yīng)的標(biāo)準(zhǔn)規(guī)范進行。等級保護有關(guān)標(biāo)準(zhǔn)在信息系統(tǒng)安全建設(shè)整改工作中的作用如圖3所示。

　　圖3：等級保護相關(guān)標(biāo)準(zhǔn)間的關(guān)系（略）

　　需要說明的是，

　　（一）《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)是《基本要求》的基礎(chǔ)。《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859，以下簡稱《劃分準(zhǔn)則》）是等級保護的基礎(chǔ)性標(biāo)準(zhǔn)，《信息系統(tǒng)通用安全技術(shù)要求》等技術(shù)類標(biāo)準(zhǔn)、《信息系統(tǒng)安全管理要求》等管理類標(biāo)準(zhǔn)和《操作系統(tǒng)安全技術(shù)要求》等產(chǎn)品類標(biāo)準(zhǔn)是在《劃分準(zhǔn)則》基礎(chǔ)上研究制定的?！痘疽蟆芬约夹g(shù)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)為基礎(chǔ)，根據(jù)現(xiàn)有技術(shù)發(fā)展水平，從技術(shù)和管理兩方面提出并確定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基線要求。

　　（二）《基本要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù)。信息系統(tǒng)安全建設(shè)整改應(yīng)以落實《基本要求》為主要目標(biāo)。信息系統(tǒng)運營使用單位應(yīng)根據(jù)信息系統(tǒng)安全保護等級選擇《基本要求》中相應(yīng)級別的安全保護要求作為信息系統(tǒng)的基本安全需求。當(dāng)信息系統(tǒng)有更高安全需求時，可參考《基本要求》中較高級別保護要求或《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全管理要求》等其他標(biāo)準(zhǔn)。行業(yè)主管部門可以依據(jù)《基本要求》，結(jié)合行業(yè)特點和信息系統(tǒng)實際出臺行業(yè)細則，行業(yè)細則的要求應(yīng)不低于《基本要求》。

　?。ㄈ抖壷改稀窞槎壒ぷ魈峁┲笇?dǎo)?！缎畔⑾到y(tǒng)安全等級保護定級指南》為信息系統(tǒng)定級工作提供了技術(shù)支持。行業(yè)主管部門可以根據(jù)《定級指南》，結(jié)合行業(yè)特點和信息系統(tǒng)實際情況，出臺本行業(yè)的定級細則，保證行業(yè)內(nèi)信息系統(tǒng)在不同地區(qū)等級的一致性，以指導(dǎo)本行業(yè)信息系統(tǒng)定級工作的開展。

　?。ㄋ模稖y評要求》等標(biāo)準(zhǔn)規(guī)范等級測評活動。等級測評是評價信息系統(tǒng)安全保護狀況的重要方法。《信息系統(tǒng)安全等級保護測評要求》為等級測評機構(gòu)開展等級測評活動提供了測評方法和綜合評價方法?！缎畔⑾到y(tǒng)安全等級保護測評過程指南》對等級測評活動提出規(guī)范性要求，以保證測評結(jié)論的準(zhǔn)確性和可靠性。

　?。ㄎ澹秾嵤┲改稀返葮?biāo)準(zhǔn)指導(dǎo)等級保護建設(shè)?！缎畔⑾到y(tǒng)安全等級保護實施指南》是信息系統(tǒng)安全等級保護建設(shè)實施的過程控制標(biāo)準(zhǔn)，用于指導(dǎo)信息系統(tǒng)運營使用單位了解和掌握信息安全等級保護工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用?！缎畔⑾到y(tǒng)等級保護安全設(shè)計技術(shù)要求》對信息系統(tǒng)安全建設(shè)的技術(shù)設(shè)計活動提供指導(dǎo)，是實現(xiàn)《基本要求》的方法之一。

　　1.5安全保護能力目標(biāo)

　　各級信息系統(tǒng)應(yīng)通過安全建設(shè)整改分別達到以下安全保護能力目標(biāo)：

　　第一級信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御一般性攻擊的能力，防范常見計算機病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主要功能的能力。

　　第二級信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運行狀態(tài)的能力。

　　第三級信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災(zāi)害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。

　　第四級信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴重的自然災(zāi)害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。

　　2安全管理制度建設(shè)

　　按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)等級保護安全管理制度建設(shè)工作。工作流程見圖4。

　　圖4：信息系統(tǒng)安全管理建設(shè)整改工作流程（略）

　　2.1落實信息安全責(zé)任制

　　明確領(lǐng)導(dǎo)機構(gòu)和責(zé)任部門，設(shè)立或明確信息安全領(lǐng)導(dǎo)機構(gòu)，明確主管領(lǐng)導(dǎo)，落實責(zé)任部門。建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機構(gòu)和崗位，明確每個崗位的職責(zé)與任務(wù)，落實安全管理責(zé)任制。建立安全教育和培訓(xùn)制度，對信息系統(tǒng)運維人員、管理人員、使用人員等定期進行培訓(xùn)和考核，提高相關(guān)人員的安全意識和操作水平。具體依據(jù)《基本要求》中的“安全管理機構(gòu)“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

　　2.2信息系統(tǒng)安全管理現(xiàn)狀分析

　　在開展信息系統(tǒng)安全管理建設(shè)整改之前，通過開展信息系統(tǒng)安全管理現(xiàn)狀分析，查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題，明確信息系統(tǒng)安全管理建設(shè)整改的需求。

　　可以依據(jù)《基本要求》等標(biāo)準(zhǔn)，采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前所采取的安全管理措施與等級保護標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全管理方面存在的問題，形成安全管理建設(shè)整改的需求并論證。

　　2.3確定安全管理策略，制定安全管理制度

　　根據(jù)安全管理需求，確定安全管理目標(biāo)和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。具體依據(jù)《基本要求》中的“安全管理制度“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

　　2.4落實安全管理措施

　　2.4.1人員安全管理

　　人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程，關(guān)鍵崗位簽署保密協(xié)議，對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進行控制。具體依據(jù)《基本要求》中的“人員安全管理“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

　　2.4.2系統(tǒng)運維管理

　　2.4.2.1環(huán)境和資產(chǎn)安全管理

　　明確環(huán)境（包括主機房、輔機房、辦公環(huán)境等）安全管理的責(zé)任部門或責(zé)任人，加強對人員出入、來訪人員的控制，對有關(guān)物理訪問、物品進出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。明確資產(chǎn)（包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)和信息等）安全管理的責(zé)任部門或責(zé)任人，對資產(chǎn)進行分類、標(biāo)識，編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

　　2.4.2.2設(shè)備和介質(zhì)安全管理

　　明確配套設(shè)施、軟硬件設(shè)備管理、維護的責(zé)任部門或責(zé)任人，對信息系統(tǒng)的各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護和維修等過程進行控制，對介質(zhì)的存放、使用、維護和銷毀等方面作出規(guī)定，加強對涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

　　2.4.2.3日常運行維護

　　明確網(wǎng)絡(luò)、系統(tǒng)日常運行維護的責(zé)任部門或責(zé)任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過程進行控制和管理，制訂相應(yīng)的管理制度和操作規(guī)程并落實執(zhí)行。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

　　2.4.2.4集中安全管理

　　第三級（含）以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運行，進行安全機制的配置與管理，對設(shè)備安全配置、惡意代碼、補丁升級、安全審計等進行管理，對與安全有關(guān)的信息進行匯集與分析，對安全機制進行集中管理。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“內(nèi)容，同時可以參照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全管理要求》等。

　　2.4.2.5事件處置與應(yīng)急響應(yīng)

　　按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級。結(jié)合信息系統(tǒng)安全保護等級，制定信息安全事件分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機制。落實安全事件報告制度，第三級（含）以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時，運營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時向受理備案的公安機關(guān)報告。組織應(yīng)急技術(shù)支撐力量和專家隊伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“內(nèi)容，同時可以參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。

　　2.4.2.6災(zāi)難備份

　　要對第三級（含）以上信息系統(tǒng)采取災(zāi)難備份措施，防止重大事故、事件發(fā)生。識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等，制定數(shù)據(jù)的備份策略和恢復(fù)策略，建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“內(nèi)容和《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。

　　2.4.2.7安全監(jiān)測

　　開展信息系統(tǒng)實時安全監(jiān)測，實現(xiàn)對物理環(huán)境、通信線路、主機、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測和報警，及時發(fā)現(xiàn)設(shè)備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時對安全事件進行響應(yīng)與處置。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理“。

　　2.4.2.8其他安全管理

　　對系統(tǒng)運行維護過程中的其它活動，如系統(tǒng)變更、密碼使用等進行控制和管理。按國家密碼管理部門的規(guī)定，對信息系統(tǒng)中密碼算法和密鑰的使用進行分級管理。

　　2.5系統(tǒng)建設(shè)管理

　　制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實各項管理措施。具體依據(jù)《基本要求》中的“系統(tǒng)建設(shè)管理“內(nèi)容。

　　2.6安全自查與調(diào)整

　　制定安全檢查制度，明確檢查的內(nèi)容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統(tǒng)安全狀況進行自查，第三級信息系統(tǒng)每年自查一次，第四級信息系統(tǒng)每半年自查一次。經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，應(yīng)當(dāng)進一步開展整改。具體依據(jù)《基本要求》中的“安全管理機構(gòu)“內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。信息系統(tǒng)安全管理建設(shè)整改工作完成后，安全管理方面的等級測評與安全技術(shù)方面的測評工作一并進行。

　　3安全技術(shù)措施建設(shè)

　　按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)安全技術(shù)建設(shè)整改工作。工作流程見圖5。

　　圖5：信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程（略）

　　3.1信息系統(tǒng)安全保護技術(shù)現(xiàn)狀分析

　　了解掌握信息系統(tǒng)現(xiàn)狀，分析信息系統(tǒng)的安全保護狀況，明確信息系統(tǒng)安全技術(shù)建設(shè)整改需求，為安全建設(shè)整改技術(shù)方案設(shè)計提供依據(jù)。

　　3.1.1信息系統(tǒng)現(xiàn)狀分析

　　了解掌握信息系統(tǒng)的數(shù)量和等級、所處的網(wǎng)絡(luò)區(qū)域以及信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用情況，分析信息系統(tǒng)的邊界、構(gòu)成和相互關(guān)聯(lián)情況，分析網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部區(qū)域、區(qū)域邊界以及軟、硬件資源等。具體可參照《信息系統(tǒng)安全等級保護實施指南》中“信息系統(tǒng)分析“的內(nèi)容。

　　3.1.2信息系統(tǒng)安全保護技術(shù)現(xiàn)狀分析

　　在開展信息系統(tǒng)安全技術(shù)建設(shè)整改之前，應(yīng)通過開展信息系統(tǒng)安全保護技術(shù)現(xiàn)狀分析，查找信息系統(tǒng)安全保護技術(shù)建設(shè)整改需要解決的問題，明確信息系統(tǒng)安全保護技術(shù)建設(shè)整改的需求。

　　可采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前所采取的安全技術(shù)措施與等級保護標(biāo)準(zhǔn)要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全技術(shù)方面存在的問題，形成安全技術(shù)建設(shè)整改的基本安全需求。在滿足信息系統(tǒng)安全等級保護基本要求基礎(chǔ)上，可以結(jié)合行業(yè)特點和信息系統(tǒng)安全保護的特殊要求，提出特殊安全需求。具體可參照《基本要求》、《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》等標(biāo)準(zhǔn)。

　　3.1.3安全需求論證和確定

　　安全需求分析工作完成后，將信息系統(tǒng)的安全管理需求與安全技術(shù)需求綜合形成安全需求報告。組織專家對安全需求進行評審論證。

　　3.2信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計

　　在安全需求分析的基礎(chǔ)上，開展信息系統(tǒng)安全建設(shè)整改方案設(shè)計，包括總體設(shè)計和詳細設(shè)計，制定工程預(yù)算和工程實施計劃等，為后續(xù)安全建設(shè)整改工程實施提供依據(jù)。

　　3.2.1確定安全技術(shù)策略，設(shè)計總體技術(shù)方案

　　3.2.1.1確定安全技術(shù)策略

　　根據(jù)安全需求分析，確定安全技術(shù)策略，包括業(yè)務(wù)系統(tǒng)分級策略、數(shù)據(jù)信息分級策略、區(qū)域互連策略和信息流控制策略等，用以指導(dǎo)系統(tǒng)安全技術(shù)體系結(jié)構(gòu)設(shè)計。

　　3.2.1.2設(shè)計總體技術(shù)方案

　　在進行信息系統(tǒng)安全建設(shè)整改技術(shù)方案設(shè)計時，應(yīng)以《基本要求》為基本目標(biāo)，可以針對安全現(xiàn)狀分析發(fā)現(xiàn)的問題進行加固改造，缺什么補什么；也可以進行總體的安全技術(shù)設(shè)計，將不同區(qū)域、不同層面的安全保護措施形成有機的安全保護體系，落實物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等方面基本要求，最大程度發(fā)揮安全措施的保護能力。在進行安全技術(shù)設(shè)計時，可參考《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》，從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實安全保護技術(shù)要求。

　　3.2.2安全技術(shù)方案詳細設(shè)計

　　3.2.2.1物理安全設(shè)計

　　從安全技術(shù)設(shè)施和安全技術(shù)措施兩方面對信息系統(tǒng)所涉及到的主機房、輔助機房和辦公環(huán)境等進行物理安全設(shè)計，設(shè)計內(nèi)容包括防震、防雷、防火、防水、防盜竊、防破壞、溫濕度控制、電力供應(yīng)、電磁防護等方面。物理安全設(shè)計是對采用的安全技術(shù)設(shè)施或安全技術(shù)措施的物理部署、物理尺寸、功能指標(biāo)、性能指標(biāo)等內(nèi)容提出具體設(shè)計參數(shù)。具體依據(jù)《基本要求》中的“物理安全“內(nèi)容，同時可以參照《信息系統(tǒng)物理安全技術(shù)要求》等。

　　3.2.2.2通信網(wǎng)絡(luò)安全設(shè)計

　　對信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)，包括骨干網(wǎng)絡(luò)、城域網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)（租用線路）等進行安全設(shè)計，設(shè)計內(nèi)容包括通信過程數(shù)據(jù)完整性、數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面。

　　通信網(wǎng)絡(luò)安全設(shè)計涉及所需采用的安全技術(shù)機制或安全技術(shù)措施的設(shè)計，對技術(shù)實現(xiàn)機制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置參數(shù)等提出具體設(shè)計細節(jié)。具體依據(jù)《基本要求》中“網(wǎng)絡(luò)安全“內(nèi)容，同時可以參照《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。

　　3.2.2.3區(qū)域邊界安全設(shè)計

　　對信息系統(tǒng)所涉及的區(qū)域網(wǎng)絡(luò)邊界進行安全設(shè)計，內(nèi)容包括對區(qū)域網(wǎng)絡(luò)的邊界保護、區(qū)域劃分、身份認證、訪問控制、安全審計、入侵防范、惡意代碼防范和網(wǎng)絡(luò)設(shè)備自身保護等方面。

　　區(qū)域邊界安全設(shè)計涉及所需采用的安全技術(shù)機制或安全技術(shù)措施的設(shè)計，對技術(shù)實現(xiàn)機制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置策略和參數(shù)等提出具體設(shè)計細節(jié)。具體依據(jù)《基本要求》中的“網(wǎng)絡(luò)安全“內(nèi)容，同時可以參照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》、《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。

　　3.2.2.4主機系統(tǒng)安全設(shè)計

　　對信息系統(tǒng)涉及到的服務(wù)器和工作站進行主機系統(tǒng)安全設(shè)計，內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置，主機入侵防范、惡意代碼防范、資源使用情況監(jiān)控等。其中，安全配置細分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容。具體依據(jù)《基本要求》中的“主機安全“內(nèi)容，同時可以參照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。

　　3.2.2.5應(yīng)用系統(tǒng)安全設(shè)計

　　對信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)軟件（含應(yīng)用/中間件平臺）進行安全設(shè)計，設(shè)計內(nèi)容包括身份鑒別、訪問控制、安全標(biāo)記、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等。具體依據(jù)《基本要求》中的“應(yīng)用安全“內(nèi)容，同時可以參照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。

　　3.2.2.6備份和恢復(fù)安全設(shè)計

　　針對信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)連續(xù)性進行安全設(shè)計，設(shè)計內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、備用基礎(chǔ)設(shè)施以及相關(guān)技術(shù)設(shè)施。針對業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時間間隔、實現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求；針對信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計可考慮連續(xù)性保證方式（設(shè)備冗余、系統(tǒng)級冗余直至遠程集群支持）與實現(xiàn)細節(jié)，包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。具體依據(jù)《基本要求》中的“數(shù)據(jù)安全和備份恢復(fù)“內(nèi)容，同時可以參照《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》等。

　　3.2.3建設(shè)經(jīng)費預(yù)算和工程實施計劃

　　3.2.3.1建設(shè)經(jīng)費預(yù)算

　　根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細的經(jīng)費預(yù)算，包括產(chǎn)品名稱、型號、配置、數(shù)量、單價、總價和合計等，同時應(yīng)包括集成費用、等級測評費用、服務(wù)費用和管理費用等。對于跨年度的安全建設(shè)整改或安全改建，提供分年度的經(jīng)費預(yù)算。

　　3.2.3.2工程實施計劃

　　根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細的工程實施計劃，包括建設(shè)內(nèi)容、工程組織、階段劃分、項目分解、時間計劃和進度安排等。對于跨年度的安全建設(shè)整改或安全改建，要對安全建設(shè)整改方案明確的主要安全建設(shè)整改內(nèi)容進行適當(dāng)?shù)捻椖糠纸?，比如分解成機房安全改造項目、網(wǎng)絡(luò)安全建設(shè)整改項目、系統(tǒng)平臺和應(yīng)用平臺安全建設(shè)整改項目等，分別制定中期和短期的實施計劃，短期內(nèi)主要解決目前急迫和關(guān)鍵的問題。

　　3.2.4方案論證和備案

　　將信息系統(tǒng)安全建設(shè)整改技術(shù)方案與安全管理體系規(guī)劃共同形成安全建設(shè)整改方案。組織專家對安全建設(shè)整改方案進行評審論證，形成評審意見。第三級（含）以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報公安機關(guān)備案，并組織實施安全建設(shè)整改工程。

　　3.3安全建設(shè)整改工程實施和管理

　　3.3.1工程實施和管理

　　安全建設(shè)整改工程實施的組織管理工作包括落實安全建設(shè)整改的責(zé)任部門和人員，保證建設(shè)資金足額到位，選擇符合要求的安全建設(shè)整改服務(wù)商，采購符合要求的信息安全產(chǎn)品，管理和控制安全功能開發(fā)、集成過程的質(zhì)量等方面。

　　按照《信息系統(tǒng)安全工程管理要求》中有關(guān)資格保障和組織保障等要求組織管理等級保護安全建設(shè)整改工程。實施流程管理、進度規(guī)劃控制和工程質(zhì)量控制可參照《信息系統(tǒng)安全工程管理要求》中第8、9、10章提出的工程實施、項目實施和安全工程流程控制要求，實現(xiàn)相應(yīng)等級的工程目標(biāo)和要求。

　　3.3.2工程監(jiān)理和驗收

　　為保證建設(shè)工程的安全和質(zhì)量，第二級（含）以上信息系統(tǒng)安全建設(shè)整改工程可以實施監(jiān)理。監(jiān)理內(nèi)容包括對工程實施前期安全性、采購?fù)獍踩?、工程實施過程安全性、系統(tǒng)環(huán)境安全性等方面的核查。

　　工程驗收的內(nèi)容包括全面檢驗工程項目所實現(xiàn)的安全功能、設(shè)備部署、安全配置等是否滿足設(shè)計要求，工程施工質(zhì)量是否達到預(yù)期指標(biāo)，工程檔案資料是否齊全等方面。在通過安全測評或測試的基礎(chǔ)上，組織相應(yīng)信息安全專家進行工程驗收。具體參照《信息系統(tǒng)安全工程管理要求》。

　　3.3.3安全等級測評

　　信息系統(tǒng)安全建設(shè)整改完成后要進行等級測評，在工程預(yù)算中應(yīng)當(dāng)包括等級測評費用。對第三級（含）以上信息系統(tǒng)每年要進行等級測評，并對測評費用做出預(yù)算。

　　在公安部備案的信息系統(tǒng)，備案單位應(yīng)選擇國家信息安全等級保護工作協(xié)調(diào)小組辦公室推薦的等級測評機構(gòu)實施等級測評；在省（區(qū)、市）、地市級公安機關(guān)備案的信息系統(tǒng)，備案單位應(yīng)選擇本?。▍^(qū)、市）信息安全等級保護工作協(xié)調(diào)小組辦公室或國家信息安全等級保護工作協(xié)調(diào)小組辦公室推薦的等級測評機構(gòu)實施等級測評。

　　附錄：信息安全等級保護主要標(biāo)準(zhǔn)簡要說明

　　附錄：


　　為推動我國信息安全等級保護工作的開展，十多年來，在公安部的領(lǐng)導(dǎo)和支持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會組織制訂了信息安全等級保護工作需要的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級保護標(biāo)準(zhǔn)體系，為開展信息安全等級保護工作奠定了基礎(chǔ)。

　　為便于各有關(guān)單位全面、準(zhǔn)確了解掌握信息安全等級保護有關(guān)標(biāo)準(zhǔn)，更好地指導(dǎo)等級保護工作，在總結(jié)近年來等級保護工作實踐基礎(chǔ)上，公安部組織專家和標(biāo)準(zhǔn)起草單位編寫了信息安全等級保護主要標(biāo)準(zhǔn)簡要說明，第一部分梳理了與等級保護工作相關(guān)的標(biāo)準(zhǔn)，第二部分從標(biāo)準(zhǔn)的主要用途、主要內(nèi)容和使用說明三方面進行闡述，供有關(guān)單位和部門在工作中參考。

　　1信息安全等級保護相關(guān)標(biāo)準(zhǔn)體系

　　信息安全等級保護相關(guān)標(biāo)準(zhǔn)大致可以分為四類：基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類。

　　1.1基礎(chǔ)類標(biāo)準(zhǔn)

　　《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）

　　《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）。

　　1.2應(yīng)用類標(biāo)準(zhǔn)

　　1.2.1信息系統(tǒng)定級

　　《信息系統(tǒng)安全保護等級定級指南》（GB/T22240-2008）

　　1.2.2等級保護實施

　　《信息系統(tǒng)安全等級保護實施指南》（信安字[2007]10號）

　　1.2.3信息系統(tǒng)安全建設(shè)

　　《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）

　　《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（信安秘字[2009]059號）

　　《信息系統(tǒng)安全管理要求》（GB/T20269-2006）

　　《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

　　《信息系統(tǒng)物理安全技術(shù)要求》（GB/T21052-2007）

　　《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）

　　《信息系統(tǒng)安全等級保護體系框架》（GA/T708-2007）

　　《信息系統(tǒng)安全等級保護基本模型》（GA/T709-2007）

　　《信息系統(tǒng)安全等級保護基本配置》（GA/T710-2007）

　　1.2.4等級測評

　　《信息系統(tǒng)安全等級保護測評要求》（報批稿）

　　《信息系統(tǒng)安全等級保護測評過程指南》（報批稿）

　　《信息系統(tǒng)安全管理測評》（GA/T713-2007）

　　1.3產(chǎn)品類標(biāo)準(zhǔn)

　　1.3.1操作系統(tǒng)

　　《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）

　　《操作系統(tǒng)安全評估準(zhǔn)則》（GB/T20008-2005）

　　1.3.2數(shù)據(jù)庫

　　《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）

　　《數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》（GB/T20009-2005）

　　1.3.3網(wǎng)絡(luò)

　　《網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求》（GB/T20279-2006）

　　《網(wǎng)絡(luò)端設(shè)備隔離部件測試評價方法》（GB/T20277-2006）

　　《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求》（GB/T20278-2006）

　　《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法》（GB/T20280-2006）

　　《網(wǎng)絡(luò)交換機安全技術(shù)要求》（GA/T684-2007）

　　《虛擬專用網(wǎng)安全技術(shù)要求》（GA/T686-2007）

　　1.3.4PKI

　　《公鑰基礎(chǔ)設(shè)施安全技術(shù)要求》（GA/T687-2007）

　　《PKI系統(tǒng)安全等級保護技術(shù)要求》（GB/T21053-2007）

　　1.3.5網(wǎng)關(guān)

　　《網(wǎng)關(guān)安全技術(shù)要求》（GA/T681-2007）

　　1.3.6服務(wù)器

　　《服務(wù)器安全技術(shù)要求》（GB/T21028-2007）

　　1.3.7入侵檢測

　　《入侵檢測系統(tǒng)技術(shù)要求和檢測方法》（GB/T20275-2006）

　　《計算機網(wǎng)絡(luò)入侵分級要求》（GA/T700-2007）

　　1.3.8防火墻

　　《防火墻安全技術(shù)要求》（GA/T683-2007）

　　《防火墻技術(shù)測評方法》（報批稿）

　　《信息系統(tǒng)安全等級保護防火墻安全配置指南》（報批稿）

　　《防火墻技術(shù)要求和測評方法》（GB/T20281-2006）

　　《包過濾防火墻評估準(zhǔn)則》（GB/T20010-2005）

　　1.3.9路由器

　　《路由器安全技術(shù)要求》（GB/T18018-2007）

　　《路由器安全評估準(zhǔn)則》（GB/T20011-2005）

　　《路由器安全測評要求》（GA/T682-2007）

　　1.3.10交換機

　　《網(wǎng)絡(luò)交換機安全技術(shù)要求》（GB/T21050-2007）

　　《交換機安全測評要求》（GA/T685-2007）

　　1.3.11其他產(chǎn)品

　　《終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）

　　《終端計算機系統(tǒng)測評方法》（GA/T671-2006）

　　《審計產(chǎn)品技術(shù)要求和測評方法》（GB/T20945-2006）

　　《虹膜特征識別技術(shù)要求》（GB/T20979-2007）

　　《虛擬專網(wǎng)安全技術(shù)要求》（GA/T686-2007）

　　《應(yīng)用軟件系統(tǒng)安全等級保護通用技術(shù)指南》（GA/T711-2007）

　　《應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》（GA/T712-2007）

　　《網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法》（GB/T20277-2006）

　　《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測評方法》（GB/T20280-2006）

　　1.4其他類標(biāo)準(zhǔn)

　　1.4.1風(fēng)險評估

　　《信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）

　　1.4.2事件管理

　　《信息安全事件管理指南》（GB/Z20985-2007）

　　《信息安全事件分類分級指南》（GB/Z20986-2007）

　　《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988-2007）

　　各類標(biāo)準(zhǔn)在等級保護各工作環(huán)節(jié)中的關(guān)系如圖1所示：

　　圖1：信息安全等級保護相關(guān)標(biāo)準(zhǔn)體系（略）

　　2信息安全等級保護主要標(biāo)準(zhǔn)簡要說明

　　現(xiàn)將信息安全等級保護標(biāo)準(zhǔn)體系中比較重要的《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護測評要求》、《信息系統(tǒng)安全等級保護測評過程指南》等十個標(biāo)準(zhǔn)作一簡要說明。

　　2.1《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）

　　2.1.1主要用途

　　本標(biāo)準(zhǔn)對計算機信息系統(tǒng)的安全保護能力劃分了五個等級，并明確了各個保護級別的技術(shù)保護措施要求。本標(biāo)準(zhǔn)是國家強制性技術(shù)規(guī)范，其主要用途包括：一是用于規(guī)范和指導(dǎo)計算機信息系統(tǒng)安全保護有關(guān)標(biāo)準(zhǔn)的制定；二是為安全產(chǎn)品的研究開發(fā)提供技術(shù)支持；三是為計算機信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)。

　　2.1.2主要內(nèi)容

　　本標(biāo)準(zhǔn)界定了計算機信息系統(tǒng)的基本概念：計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的、按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

　　信息系統(tǒng)安全保護能力五級劃分。信息系統(tǒng)按照安全保護能力劃分為五個等級：第一級用戶自主保護級，第二級系統(tǒng)審計保護級，第三級安全標(biāo)記保護級，第四級結(jié)構(gòu)化保護級，第五級訪問驗證保護級。

　　從自主訪問控制、強制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等十個方面，采取逐級增強的方式提出了計算機信息系統(tǒng)的安全保護技術(shù)要求。

　　2.1.3使用說明

　　本標(biāo)準(zhǔn)是等級保護的基礎(chǔ)性標(biāo)準(zhǔn)，其提出的某些安全保護技術(shù)要求受限于當(dāng)前技術(shù)水平尚難以實現(xiàn)，但其構(gòu)造的安全保護體系應(yīng)隨著科學(xué)技術(shù)的發(fā)展逐步落實。

　　2.2《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）

　　2.2.1主要用途

　　根據(jù)《信息安全等級保護管理辦法》的規(guī)定，信息系統(tǒng)按照重要性和被破壞后對國家安全、社會秩序、公共利益的危害性分為五個安全保護等級。不同安全保護等級的信息系統(tǒng)有著不同的安全需求，為此，針對不同等級的信息系統(tǒng)提出了相應(yīng)的基本安全保護要求，各個級別信息系統(tǒng)的安全保護要求構(gòu)成了《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》）。《基本要求》以《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）為基礎(chǔ)研究制定，提出了各級信息系統(tǒng)應(yīng)當(dāng)具備的安全保護能力，并從技術(shù)和管理兩方面提出了相應(yīng)的措施，為信息系統(tǒng)建設(shè)單位和運營使用單位在系統(tǒng)安全建設(shè)中提供參照。

　　2.2.2主要內(nèi)容

　　2.2.2.1總體框架

　　《基本要求》分為基本技術(shù)要求和基本管理要求兩大類，其中技術(shù)要求又分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)五個方面，管理要求又分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運行維護管理五個方面。

　　技術(shù)要求主要包括身份鑒別、自主訪問控制、強制訪問控制、安全審計、完整性和保密性保護、邊界防護、惡意代碼防范、密碼技術(shù)應(yīng)用等，以及物理環(huán)境和設(shè)施安全保護要求。

　　管理要求主要包括確定安全策略，落實信息安全責(zé)任制，建立安全組織機構(gòu)，加強人員管理、系統(tǒng)建設(shè)和運行維護的安全管理。提出了機房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風(fēng)險管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、安全監(jiān)測、備份與恢復(fù)管理、應(yīng)急處置管理、密碼管理、安全審計管理等基本安全管理制度要求，提出了建立崗位和人員管理制度、安全教育培訓(xùn)制度、安全建設(shè)整改的監(jiān)理制度、自行檢查制度等要求。

　　2.2.2.2保護要求的分級方法

　　由于信息系統(tǒng)分為五個安全保護等級，其安全保護能力逐級增高，相應(yīng)的安全保護要求和措施逐級增強，體現(xiàn)在兩個方面：一是隨著信息系統(tǒng)安全級別提高，安全要求的項數(shù)增加；二是隨著信息系統(tǒng)安全級別的提高，同一項安全要求的強度有所增加。例如，三級信息系統(tǒng)基本要求是在二級基本要求的基礎(chǔ)上，在技術(shù)方面增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護、抗抵賴等三項要求。同時，對身份鑒別、訪問控制、安全審計、數(shù)據(jù)完整性及保密性方面的要求在強度上有所增加；在管理方面增加了監(jiān)控管理和安全管理中心等兩項要求，同時對安全管理制度評審、人員安全和系統(tǒng)建設(shè)過程管理提出了進一步要求。安全要求的項數(shù)和強度的不同，綜合體現(xiàn)出不同等級信息系統(tǒng)安全要求的級差。

　　2.2.2.3保護措施分類

　　技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確配置其安全功能來實現(xiàn)。根據(jù)保護側(cè)重點的不同，技術(shù)類安全要求進一步細分為信息安全類要求（簡記為S）、服務(wù)保證類要求（簡記為A）和通用安全保護類要求（簡記為G）。信息安全類要求是指保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改；服務(wù)保證類要求是指保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。

　　2.2.3使用說明

　　《基本要求》對第一級信息系統(tǒng)的基本要求僅供用戶參考，按照自主保護的原則采取必要的安全技術(shù)和管理措施。

　　用戶在進行信息系統(tǒng)安全建設(shè)整改時，可以在《基本要求》基礎(chǔ)上，根據(jù)行業(yè)和系統(tǒng)實際，提出特殊安全要求，開展安全建設(shè)整改。

　　《基本要求》給出了各級信息系統(tǒng)每一保護方面需達到的要求，不是具體的安全建設(shè)整改方案或作業(yè)指導(dǎo)書，所以，實現(xiàn)基本要求的措施或方式并不局限于《基本要求》給出的內(nèi)容，要結(jié)合系統(tǒng)自身的特點綜合考慮采取的措施來達到基本要求提出的保護能力。

　　《基本要求》中不包含安全設(shè)計和工程實施等內(nèi)容，因此，在系統(tǒng)安全建設(shè)整改中，可以參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全工程管理要求》進行。《基本要求》是信息系統(tǒng)安全建設(shè)整改的目標(biāo)，《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》是實現(xiàn)該目標(biāo)的方法和途徑之一。

　　《基本要求》綜合了《信息系統(tǒng)物理安全技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》和《信息系統(tǒng)安全管理要求》的有關(guān)內(nèi)容，在進行系統(tǒng)安全建設(shè)整改方案設(shè)計時可進一步參考后三個標(biāo)準(zhǔn)。

　　由于系統(tǒng)定級時是根據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級確定的系統(tǒng)安全等級，因此，在進行系統(tǒng)安全建設(shè)時，應(yīng)根據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級確定《基本要求》中相應(yīng)的安全保護要求，而通用安全保護要求要與系統(tǒng)等級對應(yīng)。

　　信息系統(tǒng)運營使用單位在根據(jù)《基本要求》進行安全建設(shè)整改方案設(shè)計時，要按照整體安全的原則，綜合考慮安全保護措施，建立并完善系統(tǒng)安全保障體系，提高系統(tǒng)的整體安全防護能力。

　　對于《基本要求》中提出的基本安全要求無法實現(xiàn)或有更加有效的安全措施可以替代的，可以對基本安全要求進行調(diào)整，調(diào)整的原則是保證不降低整體安全保護能力。

　　2.3《信息系統(tǒng)安全等級保護實施指南》（信安字[2007]10號）

　　2.3.1主要用途

　　《信息安全等級保護管理辦法》（公通字[2007]43號）第九條規(guī)定，信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。信息系統(tǒng)從規(guī)劃設(shè)計到終止運行要經(jīng)歷幾個階段，《信息系統(tǒng)安全等級保護實施指南》（以下簡稱《實施指南》）用于指導(dǎo)信息系統(tǒng)運營使用單位，在信息系統(tǒng)從規(guī)劃設(shè)計到終止運行的過程中如何按照信息安全等級保護政策、標(biāo)準(zhǔn)要求實施等級保護工作。

　　2.3.2主要內(nèi)容

　　2.3.2.1總體框架

　　《實施指南》正文由9個章節(jié)構(gòu)成：第一、二和三章定義了標(biāo)準(zhǔn)范圍、規(guī)范性引用文件和術(shù)語定義。第四章介紹了等級保護實施的基本原則、參與角色和幾個主要工作階段。第五章至第九章對于信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護和信息系統(tǒng)終止五個工作階段進行了詳細描述和說明。本標(biāo)準(zhǔn)以信息系統(tǒng)安全等級保護建設(shè)為主要線索，定義信息系統(tǒng)等級保護實施的主要階段和過程，包括信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護、信息系統(tǒng)終止等五個階段，對于每一個階段，介紹了主要的工作過程和相關(guān)活動的目標(biāo)、參與角色、輸入條件、活動內(nèi)容、輸出結(jié)果等。

　　2.3.2.2實施等級保護基本流程

　　對信息系統(tǒng)實施等級保護的基本流程見圖2。

　　圖2：信息系統(tǒng)安全等級保護實施的基本流程（略）

　　信息系統(tǒng)定級階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位按照國家有關(guān)管理規(guī)范和《信息系統(tǒng)安全等級保護定級指南》，確定信息系統(tǒng)的安全保護等級。

　　總體安全規(guī)劃階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位根據(jù)信息系統(tǒng)定級情況，在分析信息系統(tǒng)安全需求基礎(chǔ)上，設(shè)計出科學(xué)、合理的信息系統(tǒng)總體安全方案，并確定安全建設(shè)項目規(guī)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。

　　安全設(shè)計與實施階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位按照信息系統(tǒng)安全總體方案的要求，結(jié)合信息系統(tǒng)安全建設(shè)項目計劃，進行安全方案詳細設(shè)計，實施安全建設(shè)工程，落實安全保護技術(shù)措施和安全管理措施。

　　安全運行與維護階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位通過實施操作管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全評估和持續(xù)改進、等級測評以及監(jiān)督檢查等活動，進行系統(tǒng)運行的動態(tài)管理。

　　信息系統(tǒng)終止階段內(nèi)容。用于指導(dǎo)信息系統(tǒng)運營使用單位在信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時，正確處理系統(tǒng)內(nèi)的重要信息，確保信息資產(chǎn)的安全。

　　另外，在安全運行與維護階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的安全保護等級并未改變，應(yīng)從安全運行與維護階段進入安全設(shè)計與實施階段，重新設(shè)計、調(diào)整和實施安全保護措施，確保滿足等級保護的要求；當(dāng)信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護等級變化時，應(yīng)從安全運行與維護階段進入信息系統(tǒng)定級階段，開始新一輪信息安全等級保護的實施過程。

　　2.3.3使用說明

　　本標(biāo)準(zhǔn)屬于指南性標(biāo)準(zhǔn)，讀者可通過該標(biāo)準(zhǔn)了解信息系統(tǒng)實施等級保護的過程、主要內(nèi)容和脈絡(luò)，不同角色在不同階段的作用，不同活動的參與角色、活動內(nèi)容等。

　　在實施等級保護的過程中除了參考本標(biāo)準(zhǔn)外，在不同階段和環(huán)節(jié)中還需要參考和依據(jù)其他相關(guān)標(biāo)準(zhǔn)。例如在定級環(huán)節(jié)可參考《信息系統(tǒng)安全等級保護定級指南》。在系統(tǒng)建設(shè)環(huán)節(jié)可參考《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等。在等級測評環(huán)節(jié)可參照《信息系統(tǒng)安全等級保護測評要求》、《信息系統(tǒng)安全等級保護測評過程指南》等。

　　2.4《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）

　　2.4.1主要用途

　　《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）對信息系統(tǒng)的安全保護等級給出了明確定義。信息系統(tǒng)定級是等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)安全建設(shè)整改、等級測評、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)?！缎畔⑾到y(tǒng)安全等級保護定級指南》（以下簡稱《定級指南》）依據(jù)《管理辦法》，從信息系統(tǒng)對國家安全、經(jīng)濟建設(shè)、社會生活的重要作用，信息系統(tǒng)承載業(yè)務(wù)的重要性以及業(yè)務(wù)對信息系統(tǒng)的依賴程度等方面，提出確定信息系統(tǒng)安全保護等級的方法。

　　2.4.2主要內(nèi)容

　　《定級指南》包括了定級原理、定級方法以及等級變更等內(nèi)容。

　　2.4.2.1定級原理

　　給出了信息系統(tǒng)五個安全保護等級的具體定義，將信息系統(tǒng)受到破壞時所侵害的客體和對客體造成侵害的程度等兩方面因素作為信息系統(tǒng)的定級要素，并給出了定級要素與信息系統(tǒng)安全保護等級的對應(yīng)關(guān)系。

　　2.4.2.2定級方法

　　信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級可以分別確定業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級，并取二者中的較高者為信息系統(tǒng)的安全保護等級。具體定級方法見圖3：

　　圖3：信息系統(tǒng)定級方法（略）

　　2.4.2.3等級變更

　　信息系統(tǒng)的安全保護等級會隨著信息系統(tǒng)所處理信息或業(yè)務(wù)狀態(tài)的變化而變化，當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)重新定級并備案。

　　2.4.3使用說明

　　應(yīng)根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）要求，參照《定級指南》開展定級工作。

　　2.4.3.1定級工作流程

　　可以參照以下步驟進行：

　　（1）摸底調(diào)查，掌握信息系統(tǒng)底數(shù)；

　?。?）確定定級對象；

　?。?）初步確定信息系統(tǒng)等級；

　?。?）專家評審；

　?。?）上級主管部門審批；

　?。?）到公安機關(guān)備案。

　　2.4.3.2定級范圍

　　新建信息系統(tǒng)和已經(jīng)投入運行的信息系統(tǒng)（包括網(wǎng)絡(luò)）都要定級。新建信息系統(tǒng)應(yīng)在規(guī)劃設(shè)計階段定級，同步建設(shè)安全設(shè)施、落實安全保護措施。

　　2.4.3.3等級確定

　　第一、二級信息系統(tǒng)為一般信息系統(tǒng)，第三、四、五級信息系統(tǒng)為重要信息系統(tǒng)。重要信息系統(tǒng)是國家和各部門保護的重點，國家在項目、經(jīng)費、科研等方面將給予重點支持。信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，在定級時，應(yīng)站在維護國家信息安全的高度，綜合考慮信息系統(tǒng)遭到破壞后對社會穩(wěn)定的影響，確定信息系統(tǒng)安全保護等級。具體可參考《信息安全等級保護工作簡報》第22期。

　　2.4.3.4定級工作指導(dǎo)

　　行業(yè)主管部門可以根據(jù)《定級指南》，結(jié)合行業(yè)特點和信息系統(tǒng)實際情況，出臺定級指導(dǎo)意見，保證同行業(yè)信息系統(tǒng)在不同地區(qū)等級的一致性，指導(dǎo)本行業(yè)信息系統(tǒng)定級工作的開展。

　　2.5《信息系統(tǒng)安全管理要求》（GB/T20269-2006）

　　2.5.1主要用途

　　《信息安全等級保護管理辦法》明確規(guī)定，信息系統(tǒng)運營使用單位應(yīng)當(dāng)參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。不同安全保護等級的信息系統(tǒng)有著不同的安全管理需求，為此，針對不同安全等級的信息系統(tǒng)提出了相應(yīng)的安全管理要求。各個等級的安全管理要求構(gòu)成了《信息系統(tǒng)安全管理要求》（以下簡稱“《安全管理要求》“）的基本內(nèi)容。

　　《安全管理要求》為信息系統(tǒng)運營使用單位的信息系統(tǒng)安全管理策略制定、信息系統(tǒng)安全管理組織體系建設(shè)、信息系統(tǒng)安全管理制度體系建設(shè)、信息系統(tǒng)運維及規(guī)劃建設(shè)管理、信息系統(tǒng)安全管理監(jiān)督檢查、信息系統(tǒng)安全管理體系建立和完善等提供指導(dǎo)和參考。在信息系統(tǒng)安全整改階段進行信息系統(tǒng)等級保護安全管理方案設(shè)計的過程中，也可按照《安全管理要求》所規(guī)定的各個安全保護等級的安全管理要求，作為建立信息安全管理體系和制定相關(guān)信息安全管理制度、措施的基本依據(jù)。

　　2.5.2主要內(nèi)容

　　2.5.2.1總體框架

　　《安全管理要求》對當(dāng)前信息系統(tǒng)安全普遍適用的安全管理進行了全面的描述，對信息和信息系統(tǒng)的安全保護提出了分等級安全管理的要求，闡述了安全管理要素及其強度，并將管理要求落實到信息安全等級保護所規(guī)定的五個等級上?！栋踩芾硪蟆肪唧w主要由6章和2個附錄組成，其核心內(nèi)容主要從以下八個方面描述：信息系統(tǒng)安全管理文檔體系的建設(shè)要求；信息安全管理的組織保證，規(guī)定了信息安全管理的領(lǐng)導(dǎo)層、管理層以及執(zhí)行機構(gòu)的要求；信息系統(tǒng)安全管理中的風(fēng)險管理要求；信息系統(tǒng)的環(huán)境和資源管理要求；信息系統(tǒng)的運行和維護管理要求；信息系統(tǒng)的業(yè)務(wù)連續(xù)性管理要求，提出備份與恢復(fù)、應(yīng)急處理、安全事件處理的要求；信息系統(tǒng)的監(jiān)督和檢查管理要求；系統(tǒng)生存周期管理要求。

　　2.5.2.2安全管理要求的分級描述方式

　　根據(jù)信息系統(tǒng)的五個安全保護等級的劃分，隨著信息系統(tǒng)安全保護能力逐級增高，相應(yīng)的安全管理要求也逐級增強，體現(xiàn)在管理要素數(shù)量的增加和管理強度的增強兩方面。例如，在描述信息系統(tǒng)安全管理要素“建立安全管理機構(gòu)“時，在該安全管理要素的標(biāo)題之下，首先簡要說明本要素的作用，然后分列a）配備安全管理人員、b）建立安全職能部門、c）成立安全領(lǐng)導(dǎo)小組、d）主要負責(zé)人出任領(lǐng)導(dǎo)、e）建立信息安全部門為小標(biāo)題的五個不同強度的管理要求，而且在小標(biāo)題之下還有更細化的描述。由a）至e）強度逐步提高，并明確規(guī)定不同安全等級應(yīng)有選擇地滿足這些要求的一項。在具體描述時，有些管理要素的管理強度要求在前一強度基礎(chǔ)之上繼續(xù)完成的，會明確指出，如“在a）的基礎(chǔ)上，……“。

　　2.5.2.3安全管理要素

　　《安全管理要求》以安全管理要素作為描述安全管理要求的基本組件。信息系統(tǒng)安全管理要素是指，為實現(xiàn)信息系統(tǒng)安全等級保護所規(guī)定的安全要求，從管理角度應(yīng)采取的控制點，即實施的方法和措施。根據(jù)GB17859對安全保護等級的劃分，不同的安全保護等級會有不同的安全管理要求，具體體現(xiàn)在管理要素數(shù)量的增加和管理強度的增強兩方面。這些安全管理要素構(gòu)成信息系統(tǒng)安全管理的基本組件庫，為提出分等級管理要求奠定了基礎(chǔ)。安全管理要素的結(jié)構(gòu)分為三個層次，為便于說明將第一層稱為類，第二層稱為族，第三層為具體的安全管理要素，共計8個類，30個族，98個要素，對于每個管理要素，根據(jù)特定情況分別列出不同的管理強度，最多分為5級，最少可不分級。

　　對信息系統(tǒng)安全管理要素分類劃分為信息系統(tǒng)安全管理的日常措施、監(jiān)督措施和保證措施等相互關(guān)聯(lián)相互制約的三個方面。信息系統(tǒng)安全管理的日常措施方面，包括環(huán)境和資源管理、運行和維護管理、業(yè)務(wù)連續(xù)性管理等3個類的安全管理要素；監(jiān)督措施方面，包括風(fēng)險管理、監(jiān)督和檢查管理、生存周期管理等3個類的安全管理要素；保證措施方面，包括策略和制度、機構(gòu)和人員管理等2個類的安全管理要素?！栋踩芾硪蟆穼τ诿總€管理要素冠以不同編碼和標(biāo)題，以便在保護等級分解描述時引用方便；在安全管理要素的不同強度的標(biāo)題之后，進行具體的描述。

　　2.5.2.4安全管理分等級要求

　　《安全管理要求》表述了信息系統(tǒng)安全管理分等級要求，依據(jù)GB17859劃分的五個安全等級，分別對五個安全等級提出了信息系統(tǒng)安全管理要求?！栋踩芾硪蟆芬孕畔⑾到y(tǒng)安全管理的政策和制度、機構(gòu)和人員管理、風(fēng)險管理、環(huán)境和資源管理、操作和維護管理、應(yīng)急和備份管理、業(yè)務(wù)連續(xù)性管理、監(jiān)督和檢查管理、生命周期管理等安全管理要素為基礎(chǔ)，對每一個安全保護等級的信息系統(tǒng)的安全管理進行全面描述。還說明了信息系統(tǒng)安全管理要素及其強度與信息系統(tǒng)安全管理分等級要求的對應(yīng)關(guān)系。

　　2.5.3使用說明

　　《安全管理要求》主要供下列三類人員使用。信息系統(tǒng)高層管理人員、信息系統(tǒng)使用管理人員和信息系統(tǒng)安全服務(wù)人員。

　　信息系統(tǒng)安全管理制度的制定。信息系統(tǒng)安全管理制度的制定要從實際出發(fā)，不要生搬硬套，而是遵循其思想和原則。

　　信息系統(tǒng)安全管理的評估和檢查?！栋踩芾硪蟆房勺鳛樾畔⑾到y(tǒng)安全管理的評估和檢查的依據(jù)，具體評估和檢查的實施方法，可進一步參考公安行標(biāo)《信息安全技術(shù)信息系統(tǒng)安全管理測評》（GA/T713-2007）。

　　對于《安全管理要求》中提出的一些要求，從目前人員設(shè)置及組織機構(gòu)的發(fā)展?fàn)顩r來看暫時還難以實現(xiàn)或者需要花費過高管理成本才能實現(xiàn)的安全管理要求，可以采取一些其他的變通方法加以實現(xiàn)，但總的原則是保證不降低信息系統(tǒng)的整體安全保護能力。

　　2.6《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）

　　2.6.1主要用途

　　不同安全保護等級的信息系統(tǒng)具有相應(yīng)的安全技術(shù)要求，各個等級的安全技術(shù)要求構(gòu)成了《信息系統(tǒng)通用安全技術(shù)要求》的基本內(nèi)容。本標(biāo)準(zhǔn)涉及組成各類信息系統(tǒng)的計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用軟件系統(tǒng)及其所使用的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品中所涉及的安全技術(shù)，其主要用途：一是為信息系統(tǒng)選擇安全技術(shù)產(chǎn)品和設(shè)置安全設(shè)備的相應(yīng)安全機制提供指導(dǎo)；二是為這些產(chǎn)品和設(shè)備的相關(guān)安全標(biāo)準(zhǔn)的制定提供參考。

　　2.6.2主要內(nèi)容

　　2.6.2.1總體框架

　　本標(biāo)準(zhǔn)以《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）為基礎(chǔ)研究制定，按安全技術(shù)要素，提出了與各個安全保護等級信息系統(tǒng)相對應(yīng)的安全技術(shù)要素的安全性要求，并從安全功能和安全保證兩方面，對各安全技術(shù)要素應(yīng)具有的安全性提出了要求。本標(biāo)準(zhǔn)由6章和3個附錄組成。在第1章范圍、第2章規(guī)范性引用文件以及第3章術(shù)語、定義和縮略語之后，第4章安全功能技術(shù)要求、第5章安全保證技術(shù)要求和第6章信息系統(tǒng)安全技術(shù)分等級要求，分別對相關(guān)內(nèi)容進行描述，共涉及40個安全技術(shù)要素。其中，安全功能技術(shù)要素23個，安全保證技術(shù)要素17個。

　　2.6.2.2內(nèi)容說明

　　安全功能技術(shù)要求。安全功能技術(shù)是指為使安全功能的達到確定的安全目標(biāo)應(yīng)采取的技術(shù)措施。本標(biāo)準(zhǔn)第4章分別從物理安全、運行安全和數(shù)據(jù)安全等方面對所涉及的安全功能要素的安全技術(shù)要求進行了全面描述。

　　安全保證技術(shù)要求。安全保證技術(shù)是指為保證安全功能達到其安全性要求，從設(shè)計、管理等方面所采取的技術(shù)措施。本標(biāo)準(zhǔn)第5章分別從安全子系統(tǒng)（SSOIS）自身安全保護、安全子系統(tǒng)設(shè)計和實現(xiàn)、安全子系統(tǒng)安全管理等方面對所涉及的安全保證要素的安全技術(shù)要求進行了全面描述。

　　安全技術(shù)分等級要求。按照五個安全保護等級的劃分,在上述安全功能技術(shù)要求和安全保證技術(shù)要求的基礎(chǔ)上,本標(biāo)準(zhǔn)第6章對第一級到第五級應(yīng)達到的安全功能技術(shù)要求和安全保證技術(shù)要求分別進行了描述。為了便于讀者了解較高一級與前一級的差別，對安全功能技術(shù)要求和安全保證技術(shù)要求的安全要素的增加和安全性的增強部分用“宋體加粗“表示。

　　2.6.3使用說明

　　在開展信息系統(tǒng)等級保護安全建設(shè)整改工作中，應(yīng)以《信息系統(tǒng)安全等級保護基本要求》為主，參照本標(biāo)準(zhǔn)落實安全管理制度和安全保護技術(shù)措施。

　　本標(biāo)準(zhǔn)按安全技術(shù)要素闡述了不同安全等級的安全技術(shù)要求，為信息系統(tǒng)安全設(shè)計時選取相應(yīng)安全等級的安全技術(shù)和安全產(chǎn)品提供參考，并不包含如何按照這些安全技術(shù)要求進行等級化信息系統(tǒng)安全設(shè)計、實現(xiàn)和工程實施等方面的內(nèi)容，也不包括與信息系統(tǒng)安全運行管理相關(guān)的內(nèi)容。

　　對于本標(biāo)準(zhǔn)中提出的暫時還難以實現(xiàn)或需要花費過高代價才能實現(xiàn)的安全技術(shù)要求，可以采取一些其他的變通方法加以實現(xiàn)，以達到信息系統(tǒng)所確定的安全保護要求，但總的原則是保證不降低信息系統(tǒng)的整體安全保護能力。

　　2.7《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（信安秘字[2009]059號）

　　2.7.1主要用途

　　本標(biāo)準(zhǔn)依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）規(guī)定的信息系統(tǒng)安全保護能力等級，以及配套系列標(biāo)準(zhǔn)的安全等級保護技術(shù)要求，給出了五個級別信息系統(tǒng)安全保護設(shè)計的技術(shù)要求，用于指導(dǎo)信息系統(tǒng)運營使用單位、信息安全企業(yè)、信息安全服務(wù)機構(gòu)等開展信息系統(tǒng)等級保護安全技術(shù)設(shè)計。

　　2.7.2主要內(nèi)容

　　本標(biāo)準(zhǔn)提出了信息系統(tǒng)等級保護安全設(shè)計的技術(shù)要求，包括第一級至第五級信息系統(tǒng)安全保護環(huán)境的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計技術(shù)要求，以及定級系統(tǒng)互聯(lián)的設(shè)計技術(shù)要求，明確了體現(xiàn)定級系統(tǒng)安全保護能力的整體控制機制。

　　2.7.2.1總體框架

　　本標(biāo)準(zhǔn)第4章信息系統(tǒng)等級保護安全技術(shù)設(shè)計概述，以圖示方式給出了信息系統(tǒng)等級保護安全技術(shù)設(shè)計框架。第5章到第10章，分別對第一級至第五級系統(tǒng)安全保護環(huán)境設(shè)計和定級系統(tǒng)互聯(lián)設(shè)計，從設(shè)計目標(biāo)、設(shè)計策略和設(shè)計技術(shù)要求等方面進行了描述。附錄A是對訪問控制機制設(shè)計的描述，附錄B是對第三級系統(tǒng)安全保護環(huán)境設(shè)計示例的描述。

　　2.7.2.2定級系統(tǒng)安全保護環(huán)境設(shè)計主要內(nèi)容

　　定級系統(tǒng)進行安全保護的環(huán)境由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成。

　　安全計算環(huán)境。安全計算環(huán)境是對定級系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件。安全計算環(huán)境按照保護能力劃分為第一級安全計算環(huán)境、第二級安全計算環(huán)境、第三級安全計算環(huán)境、第四級安全計算環(huán)境和第五級安全計算環(huán)境。第三級安全計算環(huán)境從以下方面進行安全設(shè)計：用戶身份鑒別、自主訪問控制、標(biāo)記和強制訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護、用戶數(shù)據(jù)保密性保護、客體安全重用、程序可信執(zhí)行保護。

　　安全區(qū)域邊界。安全區(qū)域邊界是對定級系統(tǒng)的安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施安全策略的相關(guān)部件。安全區(qū)域邊界按照保護能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊界、第四級安全區(qū)域邊界和第五級安全區(qū)域邊界。第三級安全區(qū)域邊界從以下方面進行安全設(shè)計：區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計、區(qū)域邊界完整性保護。

　　安全通信網(wǎng)絡(luò)。安全通信網(wǎng)絡(luò)是對定級系統(tǒng)安全計算環(huán)境之間進行信息傳輸及實施安全策略的相關(guān)部件。安全通信網(wǎng)絡(luò)按照保護能力劃分第一級安全通信網(wǎng)絡(luò)、第二級安全通信網(wǎng)絡(luò)、第三級安全通信網(wǎng)絡(luò)、第四級安全通信網(wǎng)絡(luò)和第五級安全通信網(wǎng)絡(luò)。第三級安全通信網(wǎng)絡(luò)從以下方面進行安全設(shè)計：通信網(wǎng)絡(luò)安全審計、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護、通信網(wǎng)絡(luò)可信接入保護。

　　安全管理中心。安全管理中心是對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機制實施統(tǒng)一管理的平臺。第三級（含）以上的定級系統(tǒng)安全保護環(huán)境需要設(shè)置安全管理中心，分別稱為第三級安全管理中心、第四級安全管理中心和第五級安全管理中心。第二級信息系統(tǒng)可以選擇配置第二級安全管理中心。安全管理中心設(shè)計主要從系統(tǒng)管理、安全管理和審計管理三方面考慮。

　　跨定級系統(tǒng)安全管理中心?？缍壪到y(tǒng)安全管理中心是對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上的安全機制實施統(tǒng)一管理的平臺?？缍壪到y(tǒng)安全管理中心設(shè)計技術(shù)要求：應(yīng)通過安全通信網(wǎng)絡(luò)部件與各定級系統(tǒng)安全保護環(huán)境中的安全管理中心相連，主要實施跨定級系統(tǒng)的系統(tǒng)管理、安全管理和審計管理。

　　2.7.3使用說明

　　本標(biāo)準(zhǔn)突出從“計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心“四方面對信息系統(tǒng)進行安全技術(shù)設(shè)計。在安全設(shè)計中應(yīng)注意各安全技術(shù)和機制之間的相互關(guān)聯(lián)，通過對安全技術(shù)、機制和產(chǎn)品的有機集成，使信息系統(tǒng)安全保護技術(shù)能力符合其安全等級的保護要求。

　　本標(biāo)準(zhǔn)不包括信息系統(tǒng)物理安全、安全管理、安全運維等方面的安全要求，所以，在進行信息系統(tǒng)安全建設(shè)整改方案設(shè)計時，應(yīng)與《信息系統(tǒng)安全等級保護基本要求》等標(biāo)準(zhǔn)配合使用。

　　信息系統(tǒng)安全建設(shè)整改的管理和技術(shù)目標(biāo)是落實《信息系統(tǒng)安全等級保護基本要求》，而利用本標(biāo)準(zhǔn)進行信息系統(tǒng)安全技術(shù)設(shè)計是實現(xiàn)目標(biāo)的方法之一。

　　2.8《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

　　2.8.1主要用途

　　不同安全保護等級的信息系統(tǒng)有著不同的安全工程管理需求，安全工程由安全等級、保證與實施要求兩個維度組成，不同等級要求的安全工程對應(yīng)不同的保證與實施要求。為此，針對不同等級信息系統(tǒng)的具體要求構(gòu)成了安全工程管理要求體系。保證要求、實施要求、安全工程管理分等級要求和安全工程流程與安全工程要求構(gòu)成了《信息系統(tǒng)安全工程管理要求》（以下簡稱《工程管理要求》）?！豆こ坦芾硪蟆芬浴队嬎銠C信息系統(tǒng)安全保護等級劃分準(zhǔn)則》為基礎(chǔ)研究制定，規(guī)定了信息系統(tǒng)安全工程管理的不同要求，為信息系統(tǒng)建設(shè)的需求方、實施方與第三方工程實施在系統(tǒng)安全建設(shè)中提供參照，各方可以此為依據(jù)建立安全工程管理體系。

　　2.8.2主要內(nèi)容

　　2.8.2.1總體框架

　　《工程管理要求》分為保證要求和實施要求兩大類，其中保證要求是由資格保證要求和組織保證要求構(gòu)成，實施要求是由工程實施要求和項目實施要求構(gòu)成。

　　資格保證要求包括系統(tǒng)集成資質(zhì)、人員資質(zhì)、第三方服務(wù)資質(zhì)、安全產(chǎn)品資質(zhì)、工程監(jiān)理資質(zhì)、法律法規(guī)政策符合性要求；組織保證要求包括定義組織的系統(tǒng)工程過程、改進組織的系統(tǒng)工程過程、過量系列產(chǎn)品演化、管理系統(tǒng)工程支持環(huán)境、培訓(xùn)、與供應(yīng)商協(xié)調(diào)。

　　工程實施要求包括管理安全控制、評估影響、評估安全風(fēng)險、評估威脅、評估脆弱性、建立保證論據(jù)、協(xié)調(diào)安全、監(jiān)視安全態(tài)勢、提供安全輸入、指定安全要求、驗證和確認安全性；項目實施要求包括質(zhì)量保證、管理配置、管理項目風(fēng)險、監(jiān)視技術(shù)活動、計劃及時活動。

　　2.8.2.2基本關(guān)系

　　安全工程由安全等級、保證與實施要求兩個維度組成，不同等級要求的安全工程對應(yīng)不同的保證與實施要求。資格保證要求表示信息安全工程中對應(yīng)具備一定能力級別的實施方或與工程相關(guān)第三方資質(zhì)的要求；組織保證要求表示信息安全工程過程要求中對需求方組織保證的要求；工程實施要求表示信息安全工程中對安全實施過程的要求；項目實施要求表示信息安全工程中對項目實施過程的要求。

　　2.8.2.3保護要求的分級方法

　　由于信息系統(tǒng)分為五個安全保護等級，其安全保護能力逐級增高，相應(yīng)的安全工程管理要求逐級增強，體現(xiàn)在隨著信息系統(tǒng)安全級別的提高，同一項安全工程管理要求的強度有所增加。例如，三級信息系統(tǒng)安全工程管理要求是在二級安全工程管理要求的基礎(chǔ)上，在資格保證、組織保證、工程實施和項目實施的要求強度上都有所增加。在資格保證方面增加了對安全工程監(jiān)理管理制度的要求；在組織保證方面增加了收集過程資產(chǎn)、確保關(guān)鍵組件的可用性等的要求；在工程實施方面增加了評估安全風(fēng)險和威脅的可能性等的要求；在項目實施方面增加了溝通配置狀況和分析項目問題等的要求。安全工程管理要求的強度的不同，綜合體現(xiàn)出不同等級信息系統(tǒng)安全工程管理要求的級差。

　　2.8.2.4安全工程流程與安全工程要求

　　信息系統(tǒng)安全工程的全部流程可被劃分為5個階段，即：起始、設(shè)計、建設(shè)、運行和維護、廢棄。安全保護的各級安全工程要求體現(xiàn)在安全過程的部分或全部階段中，在全部安全工程要求中，組織保證要求和項目實施要求貫穿于項目實施的各個階段，而資格保證要求和工程實施要求則與具體的一個或多個項目實施階段有較強的聯(lián)系。

　　2.8.3使用說明

　　《工程管理要求》不適用于涉密信息系統(tǒng)安全工程建設(shè)，對第一級信息系統(tǒng)的安全工程管理要求僅供用戶參考，按照自主保護的原則制定安全工程管理體系。

　　《工程管理要求》給出了各級信息系統(tǒng)建設(shè)時在安全工程管理每一方面需達到的要求，不是具體的安全工程管理體系，所以，實現(xiàn)安全工程管理要求的管理體系并不局限于《工程管理要求》給出的內(nèi)容，要結(jié)合系統(tǒng)建設(shè)的特點綜合考慮安全管理體系來達到安全工程管理要求提出的保障能力，用戶還可以參考《信息化工程監(jiān)理規(guī)范第6部分:信息化工程安全監(jiān)理規(guī)范》。

　　《工程管理要求》綜合了《信息技術(shù)安全性評估準(zhǔn)則》、《信息安全管理實用規(guī)則》、《系統(tǒng)安全工程能力成熟度模型》和《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型》的有關(guān)內(nèi)容，在進行系統(tǒng)安全工程管理體系建設(shè)時可進一步參考這些標(biāo)準(zhǔn)。

　　信息系統(tǒng)運行使用單位在根據(jù)《工程管理要求》進行安全工程管理體系建設(shè)時，要按照整體安全的原則，綜合考慮安全保護措施，建立并完善系統(tǒng)安全保障及管理體系，提高安全工程的整體管理能力。

　　對于《工程管理要求》中提出的安全工程管理要求無法實現(xiàn)或有更加有效的安全管理要求可以替代的，可以對安全工程管理要求進行調(diào)整，調(diào)整的原則是保證不降低整體安全管理能力。

　　2.9《信息系統(tǒng)安全等級保護測評要求》（報批稿）

　　2.9.1主要用途

　　根據(jù)《信息安全等級保護管理辦法》的規(guī)定，信息系統(tǒng)建設(shè)完成后，運營使用單位或者其主管部門應(yīng)當(dāng)選擇符合規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。《信息系統(tǒng)安全等級保護測評要求》（以下簡稱《測評要求》）依據(jù)《信息系統(tǒng)安全等級保護基本要求》規(guī)定了對信息系統(tǒng)安全等級保護進行安全測試評估的內(nèi)容和方法，用于規(guī)范和指導(dǎo)測評人員的等級測評活動。

　　2.9.2主要內(nèi)容

　　2.9.2.1總體框架

　　本標(biāo)準(zhǔn)第4章介紹了等級測評的原則、測評內(nèi)容、測評強度、結(jié)果重用和使用方法。第5章至第9章分別規(guī)定了對五個等級信息系統(tǒng)進行等級測評的單元測評要求。第10章描述了整體測評的四個方面，即安全控制間安全測評、層面間安全測評、區(qū)域間安全測評和系統(tǒng)結(jié)構(gòu)測評安全測評。第11章描述了等級測評結(jié)論的產(chǎn)生方法。

　　2.9.2.2測評方法和測評強度

　　本標(biāo)準(zhǔn)中的測評方法主要包括訪談、檢查和測試等三種方法。測評機構(gòu)對不同等級的信息系統(tǒng)需要實施相應(yīng)強度的測試評估。測評強度反映在三種測評方法的廣度和深度上。

　　2.9.2.3單元測評

　　單元測評是針對《基本要求》內(nèi)容進行的逐項測評，包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等五個安全技術(shù)層面以及安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個安全管理方面的內(nèi)容。單元測評從測評指標(biāo)、測評實施和結(jié)果判定等三方面進行描述。

　　2.9.2.4整體測評

　　整體測評是在單元測評的基礎(chǔ)上進行的進一步測評分析，在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等。

　　2.9.3使用說明

　　《測評要求》針對等級測評提出了單元測評要求和整體測評要求，但未涉及工作過程、任務(wù)以及工作產(chǎn)品等內(nèi)容，相關(guān)內(nèi)容請參考《信息系統(tǒng)安全等級保護測評過程指南》。

　　測評人員在確定測評內(nèi)容時，應(yīng)依據(jù)被測信息系統(tǒng)的安全保護等級選擇《測評要求》中對應(yīng)的單元測評內(nèi)容，并在相關(guān)測評結(jié)果基礎(chǔ)上實施整體測評。

　　測評結(jié)論的產(chǎn)生不能僅依據(jù)單項測評結(jié)果，而是應(yīng)該在整體測評基礎(chǔ)上，結(jié)合被測系統(tǒng)的實際情況，綜合評判信息系統(tǒng)是否具備對應(yīng)等級的安全保護能力。

　　2.10《信息系統(tǒng)安全等級保護測評過程指南》（報批稿）

　　2.10.1主要用途

　　根據(jù)《信息安全等級保護管理辦法》的規(guī)定，信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。為規(guī)范等級測評機構(gòu)的測評活動，保證測評結(jié)論準(zhǔn)確、公正，《信息系統(tǒng)安全等級保護測評過程指南》（以下簡稱《測評過程指南》）明確了信息系統(tǒng)等級測評的測評過程，闡述了等級測評的工作任務(wù)、分析方法以及工作結(jié)果等，為信息系統(tǒng)測評機構(gòu)、運營使用單位及其主管部門在等級測評工作中提供指導(dǎo)。

　　2.10.2主要內(nèi)容

　　2.10.2.1總體框架

　　《測評過程指南》以測評機構(gòu)對三級信息系統(tǒng)的首次等級測評活動過程為主要線索，定義信息系統(tǒng)等級測評的主要活動和任務(wù)，包括測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動等四個活動。其中測評準(zhǔn)備活動包括項目啟動、信息收集和分析、工具和表單準(zhǔn)備三項任務(wù)；方案編制活動包括測評對象確定、測評指標(biāo)確定、測試工具接入點確定、測評內(nèi)容確定、測評實施手冊開發(fā)及測評方案編制六項任務(wù)；現(xiàn)場測評活動包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還三項任務(wù)；分析與報告編制活動包括單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制六項任務(wù)。對于每一個活動，介紹了工作流程、主要的工作任務(wù)、輸出文檔、雙方的職責(zé)等。對于各工作任務(wù)，描述了任務(wù)內(nèi)容和輸入/輸出產(chǎn)品等。

　　2.10.2.2等級測評工作流程。

　　等級測評過程分為四個基本測評活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。

　　測評準(zhǔn)備活動。測評準(zhǔn)備活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。其主要任務(wù)是掌握被測系統(tǒng)的詳細情況，為實施測評做好文檔及測試工具等方面的準(zhǔn)備。測評準(zhǔn)備活動的基本工作流程及任務(wù)主要包括等級測評項目啟動、信息收集和分析、工具和表單準(zhǔn)備。

　　方案編制活動。方案編制活動是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。其主要任務(wù)是開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評內(nèi)容、測評實施手冊等，形成測評方案。方案編制活動的基本工作流程及任務(wù)見圖4：

　　圖4方案編制活動的基本工作流程及任務(wù)（略）

　　現(xiàn)場測評活動?，F(xiàn)場測評活動是開展等級測評工作的核心活動。其主要任務(wù)是按照測評方案的總體要求，嚴格執(zhí)行測評實施手冊，分步實施所有測評項目，包括單項測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題?，F(xiàn)場測評活動的基本工作流程及任務(wù)主要包括現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還。

　　分析與報告編制活動。分析與報告編制活動是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護能力的綜合評價活動。其主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和《信息系統(tǒng)安全等級保護測評要求》（以下簡稱《測評要求》），通過單項測評結(jié)果判定和系統(tǒng)整體測評分析等方法，分析整個系統(tǒng)的安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，綜合評價被測信息系統(tǒng)保護狀況，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式形成測評報告。分析與報告編制活動的基本工作流程及任務(wù)見圖5:

　　圖5：分析與報告編制活動的基本工作流程及任務(wù)（略）

　　2.10.3使用說明

　　《測評過程指南》給出了等級測評的基本工作過程、任務(wù)以及工作產(chǎn)品，不涉及等級測評中工作任務(wù)的具體執(zhí)行方法和分析方法，所以用戶需要參考和依據(jù)《測評要求》或其他相關(guān)標(biāo)準(zhǔn)自行開發(fā)測評方法和作業(yè)指導(dǎo)書。

　　《測評過程指南》針對已定級的信息系統(tǒng)給出等級測評工作過程，而且工作流程及任務(wù)是針對第三級信息系統(tǒng)的首次測評活動過程而言的，對于其他信息系統(tǒng)或再次實施等級測評的工作過程與該過程的差異及關(guān)系，應(yīng)參考標(biāo)準(zhǔn)中的調(diào)整原則予以調(diào)整。

來源：中國法律信息網(wǎng)