信息安全等级保护安全建设整改工作指南.docx

附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二00九年十月为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工 作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了信息安全等级保护安全建设整改工作指南，供参考。本指南包括总则、安全管理制度建设、安全技术措施建设三个部分，附录是信息安全 等级保护主要标准简要说明。由于时间仓促，经验不足，不妥之处，敬请批评指正。1总则(1)1.1工作目标(1)1.2工作内容(1)1.3工作流程(2)1.4标准应用(3)1.5安全保护能力目标(5)2安全管理制度建设(6)2.1落实信息安全责任制(7)2.2信息系统安全管理现状分析(7)2.3确定安全管理策略，制定安全管理制度(8)2.4落实安全管理措施(8)2.4.1人员安全管理(8)2.4.2 系统运维管理(8)2.4.2.1环境和资产安全管理(8)2.4.2.2设备和介质安全管理(9)2.4.2.3日常运行维护(9)2.4.2.4集中安全管理(9)2.4.2.5事件处置与应急响应(9)2.4.2.6灾难备份(9)2.4.2.7安全监测 (10)2.4.2.8其他安全管理 (10)2.5系统建设管理 (10)2.6安全自查与调整 (10)3安全技术措施建设(10)3.1信息系统安全保护技术现状分析 (11)3.1. 1信息系统现状分析 (11)3.1.2信息系统安全保护技术现状分析 (12)3.1.3安全需求论证和确定 (12)3.2信息系统安全技术建设整改方案设计 (12)3.2.1确定安全技术策略，设计总体技术方案 (12)3.2.1.1确定安全技术策略 (12)3.2.1.2设计总体技术方案 (12)3.2.2安全技术方案详细设计 (13)3.2.2.1物理安全设计 (13)3.2.2.2通信网络安全设计 (13)3.2.2.3区域边界安全设计 (13)3.2.2.4主机系统安全设计 (13)3.2.2.5应用系统安全设计 (14)3.2.2.6备份和恢复安全设计 (14)3.2.3建设经费预算和工程实施计划 (14)3.2.3.1建设经费预算 (14)3.2.3.2工程实施计划 (14)3.2.4方案论证和备案 (15)3.3安全建设整改工程实施和管理 (15)3.3.1工程实施和管理 (15)3.3.2工程监理和验收 (15)3.3.3安全等级测评 (15)附录：信息安全等级保护主要标准简要说明(17)1总则1.1工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，按照国家 有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任 制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全 管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信 息化健康发展，维护国家安全、社会秩序和公共利益。1.2工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中，应按照国家有 关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合， 建立信息系统综合防护体系，提高信息系统整体安全保护能力。要依据信息系统安全等 级保护基本要求（以下简称基本要求），落实信息安全责任制，建立并落实各类安 全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、 网络安全、主机安全、应用安全和数据安全等安全保护技术措施，具体内容如图1所示。信息系统安全等级保护基本要求安全技术建设整改安全管理建设整改安全管理机构1. 岗位设置2. 人员配备3. 授权和审批4. 沟通和合作5. 审核和检查人员安全管理9. 人员录用10. 人员离岗11. 人员考核12. 教育和培训13. 人员访问管理安 管 理 制 度rIJ£6. 管理制度7. 制定和发布8. 评审和修订系统建设管理14. 定级备案15. 安全方案设计16. 产品采购使用17. 自行软件开发18. 外包软件开发19. 工程实施20. 测试验收21. 系统交付22. 安全服务选择23. 等级测评24.环境管理25.资产管理26.介质管理27.设备管理28.监控管理系29.安全管理中心统30.网络安全管理运31.系统安全管理维32.变更管理管33.备份恢复管理理34.事件处置35.应急响应物理安全36. 机房位置选择37. 防火防雷38. 防水防潮39. 防静电40. 物理访问控制41. 防盗窃防破坏42. 温湿度控制43. 电力供应44. 电磁防护网络安全45. 区域划分46. 边界防护47. 访问控制48. 安全审计49. 入侵防范50. 病毒防护51. 通信保护数据安全与备份恢复52. 数据保密性53. 数据完整性54. 备份与恢复主机安全55. 身份鉴别56. 访问控制57. 安全审计58. 入侵防范59. 病毒防护60. 资源控制61. 安全标记62. 剩余信息保护应用安全63. 身份鉴别64. 访问控制65. 安全审计66. 通信完整性67. 通信保密性68. 软件容错69. 资源控制70. 安全标记71. 剩余信息保护72. 抗抵赖图1:信息系统安全建设整改主要内容需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的 业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全 建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或 分步实施。1.3工作流程信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规 划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分 析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略， 制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实 安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查 和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如图2所示。开展信息系统安全自查和等级测评信息系统安全建设整改工作规划和工作部署系统运维管理系统建设管理人员安全管理安全管理制度安全管理机构物网主应数理络机用据安安安安安全全全全全信息系统安全技术建设图2：信息系统安全建设整改工作基本流程1.4标准应用信息系统安全建设整改工作应依据基本要求，并在不同阶段、针对不同技术活动 参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图 3所示。信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信息系统安全等级保护 评过程指南信息系统安全等级保护 评要求信息系统安全等级保护实施信息系统等级保护安全设计技图3：等级保护相关标准间的关系需要说明的是，（一）计算机信息系统安全保护等级划分准则及配套标准是基 本要求的基础。计算机信息系统安全保护等级划分准则（GB17859,以下简称划 分准则）是等级保护的基础性标准，信息系统通用安全技术要求等技术类标准、信息系统安全管理要求等管理类标准和操作系统安全技术要求等产品类标准是在 划分准则基础上研究制定的。基本要求以技术类标准和管理类标准为基础，根据 现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低 保护要求，即基线要求。（二）基本要求是信息系统安全建设整改的依据。信息系统 安全建设整改应以落实基本要求为主要目标。信息系统运营使用单位应根据信息系统 安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。 当信息系统有更高安全需求时，可参考基本要求中较高级别保护要求或信息系统通 用安全技术要求、信息系统安全管理要求等其他标准。行业主管部门可以依据基 本要求，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于基本 要求。（三）定级指南为定级工作提供指导。信息系统安全等级保护定级指南 为信息系统定级工作提供了技术支持。行业主管部门可以根据定级指南，结合行业特 点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的 一致性，以指导本行业信息系统定级工作的开展。（四）测评要求等标准规范等级测 评活动。等级测评是评价信息系统安全保护状况的重要方法。信息系统安全等级保护测 评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。信息系统 安全等级保护测评过程指南对等级测评活动提出规范性要求，以保证测评结论的准确性 和可靠性。（五）实施指南等标准指导等级保护建设。信息系统安全等级保护实施 指南是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单 位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的 作用。信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供 指导，是实现基本要求的方法之一。1.5安全保护能力目标各级信息系统应通过安全建设整改分别达到以下安全保护能力目标：第一级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常 见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击 的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具 有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统 正常运行状态的能力。第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大 规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代 码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应 处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态 的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、 用户、安全机制等进行集中控管的能力。第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌 对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意 代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快 速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运 行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统 资源、用户、安全机制等进行集中控管的能力。2安全管理制度建设按照国家有关规定，依据基本要求，参照信息系统安全管理要求等标准规范 要求，开展信息系统等级保护安全管理制度建设工作。工作流程见图4。图4：信息系统安全管理建设整改工作流程2.1落实信息安全责任制明确领导机构和责任部门，设立或明确信息安全领导机构，明确主管领导，落实责任 部门。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每 个岗位的职责与任务，落实安全管理责任制。建立安全教育和培训制度，对信息系统运维 人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。 具体依据基本要求中的“安全管理机构”内容，同时可以参照信息系统安全管理要 求等。2.2信息系统安全管理现状分析在开展信息系统安全管理建设整改之前，通过开展信息系统安全管理现状分析，查找 信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。可以依据基本要求等标准，采取对照检查、风险评估、等级测评等方法，分析判 断目前所采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的事件或 事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。2.3确定安全管理策略，制定安全管理制度根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动， 制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范 安全管理人员或操作人员的操作规程等，形成安全管理体系。具体依据基本要求中的 “安全管理制度”内容，同时可以参照信息系统安全管理要求等。2.4落实安全管理措施2.4.1人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离 岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关 安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允 许访问的区域、系统、设备、信息等进行控制。具体依据基本要求中的“人员安全管 理”内容，同时可以参照信息系统安全管理要求等。2.4.2系统运维管理2.4.2.1环境和资产安全管理明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强 对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。 对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、设备、设 施、数据和信息等）安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息 系统相关的软件资产、硬件资产等资产清单。具体依据基本要求中的“系统运维管理” 内容，同时可以参照信息系统安全管理要求等。2.4.2.2设备和介质安全管理明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬 件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销 毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据基本 要求中的“系统运维管理”内容，同时可以参照信息系统安全管理要求等。2.4.2.3日常运行维护明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号 管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管 理制度和操作规程并落实执行。具体依据基本要求中的“系统运维管理”内容，同时 可以参照信息系统安全管理要求等。2.4.2.4集中安全管理第三级（含）以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系 统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安 全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具 体依据基本要求中的“系统运维管理”内容，同时可以参照信息系统等级保护安全 设计技术要求和信息系统安全管理要求等。2.4.2.5事件处置与应急响应按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制 定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和 技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级（含）以上信息系统 发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及 时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组 织开展应急演练。具体依据基本要求中的“系统运维管理”内容，同时可以参照信 息安全事件分类分级指南和信息安全事件管理指南等。2.4.2.6灾难备份要对第三级（含）以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别 需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略， 建立备份与恢复管理相关的安全管理制度。具体依据基本要求中的“系统运维管理” 内容和信息系统灾难恢复规范。2.4.2.7安全监测开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行 为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作 等安全事件，以便及时对安全事件进行响应与处置。具体依据基本要求中的“系统运 维管理”。2.4.2.8其他安全管理对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国 家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分级管理。2.5系统建设管理制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件 开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容 和控制方法，并按照管理制度落实各项管理措施。具体依据基本要求中的“系统建设 管理”内容。2.6安全自查与调整制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情 况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第 四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的， 应当进一步开展整改。具体依据基本要求中的“安全管理机构”内容，同时可以参照 信息系统安全管理要求等。信息系统安全管理建设整改工作完成后，安全管理方面的 等级测评与安全技术方面的测评工作一并进行。3安全技术措施建设按照国家有关规定，依据基本要求，参照信息系统通用安全技术要求、信 息系统等级保护安全设计技术要求等标准规范要求，开展信息系统安全技术建设整改工 作。工作流程见图5。信息系统安全保护技术现状分析建设并落实安全技术措施物理安全不符合标准要求工程实施及验收等级测评图5：信息系统安全技术建设整改工作流程3.1信息系统安全保护技术现状分析了解掌握信息系统现状，分析信息系统的安全保护状况，明确信息系统安全技术建设 整改需求，为安全建设整改技术方案设计提供依据。3.1. 1信息系统现状分析了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情 况，分析信息系统的边界、构成和相互关联情况，分析网络结构、内部区域、区域边界以 及软、硬件资源等。具体可参照信息系统安全等级保护实施指南中“信息系统分析” 的内容。3.1.2信息系统安全保护技术现状分析在开展信息系统安全技术建设整改之前，应通过开展信息系统安全保护技术现状分析， 查找信息系统安全保护技术建设整改需要解决的问题，明确信息系统安全保护技术建设整 改的需求。可采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全技术措施 与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全技术方面存在 的问题，形成安全技术建设整改的基本安全需求。在满足信息系统安全等级保护基本要求 基础上，可以结合行业特点和信息系统安全保护的特殊要求，提出特殊安全需求。具体可 参照基本要求、信息系统安全等级保护测评要求和信息系统安全等级保护测评 过程指南等标准。3.1.3安全需求论证和确定安全需求分析工作完成后，将信息系统的安全管理需求与安全技术需求综合形成安全 需求报告。组织专家对安全需求进行评审论证。3.2信息系统安全技术建设整改方案设计在安全需求分析的基础上，开展信息系统安全建设整改方案设计，包括总体设计和详 细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。3.2.1确定安全技术策略，设计总体技术方案3.2.1.1确定安全技术策略根据安全需求分析，确定安全技术策略，包括业务系统分级策略、数据信息分级策略、 区域互连策略和信息流控制策略等，用以指导系统安全技术体系结构设计。3.2.1.2设计总体技术方案在进行信息系统安全建设整改技术方案设计时，应以基本要求为基本目标，可以 针对安全现状分析发现的问题进行加固改造，缺什么补什么；也可以进行总体的安全技术 设计，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，落实物理安全、 网络安全、主机安全、应用安全和数据安全等方面基本要求，最大程度发挥安全措施的保 护能力。在进行安全技术设计时，可参考信息系统等级保护安全设计技术要求，从安 全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。3.2.2安全技术方案详细设计3.2.2.1物理安全设计从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办 公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、 温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全 技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依 据基本要求中的“物理安全”内容，同时可以参照信息系统物理安全技术要求等。3.2.2.2通信网络安全设计对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络（租用线路） 等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设 备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现 机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。 具体依据基本要求中“网络安全”内容，同时可以参照网络基础安全技术要求等。3.2.2.3区域边界安全设计对信息系统所涉及的区域网络边界进行安全设计，内容包括对区域网络的边界保护、 区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保 护等方面。区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现 机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计 细节。具体依据基本要求中的“网络安全”内容，同时可以参照信息系统等级保护 安全设计技术要求、网络基础安全技术要求等。3.2.2.4主机系统安全设计对信息系统涉及到的服务器和工作站进行主机系统安全设计，内容包括操作系统或数 据库管理系统的选择、安装和安全配置，主机入侵防范、恶意代码防范、资源使用情况监 控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依 据基本要求中的“主机安全”内容，同时可以参照信息系统等级保护安全设计技术 要求、信息系统通用安全技术要求等。3.2.2.5应用系统安全设计对信息系统涉及到的应用系统软件（含应用/中间件平台）进行安全设计，设计内容 包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、 通信保密性、抗抵赖、软件容错和资源控制等。具体依据基本要求中的“应用安全” 内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术 要求等。3.2.2.6备份和恢复安全设计针对信息系统的业务数据安全和系统服务连续性进行安全设计，设计内容包括数据备 份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据 备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规 格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式（设备冗余、系统 级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余/集群机制的选 择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据基本要 求中的“数据安全和备份恢复”内容，同时可以参照信息系统灾难恢复规范等。3.2.3建设经费预算和工程实施计划3.2.3.1建设经费预算根据信息系统的安全建设整改内容提出详细的经费预算，包括产品名称、型号、配置、 数量、单价、总价和合计等，同时应包括集成费用、等级测评费用、服务费用和管理费用 等。对于跨年度的安全建设整改或安全改建，提供分年度的经费预算。3.2.3.2工程实施计划根据信息系统的安全建设整改内容提出详细的工程实施计划，包括建设内容、工程组 织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安全建设整改或安全改 建，要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解，比如分解 成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等， 分别制定中期和短期的实施计划，短期内主要解决目前急迫和关键的问题。3.2.4方案论证和备案将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。组织专家对安全建设整改方案进行评审论证，形成评审意见。第三级（含）以上信息系统 安全建设整改方案应报公安机关备案，并组织实施安全建设整改工程。3.3安全建设整改工程实施和管理3.3.1工程实施和管理安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员，保 证建设资金足额到位，选择符合要求的安全建设整改服务商，采购符合要求的信息安全产 品，管理和控制安全功能开发、集成过程的质量等方面。按照信息系统安全工程管理要求中有关资格保障和组织保障等要求组织管理等级 保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照信息系统 安全工程管理要求中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要 求，实现相应等级的工程目标和要求。3.3.2工程监理和验收为保证建设工程的安全和质量，第二级（含）以上信息系统安全建设整改工程可以实 施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、 系统环境安全性等方面的核查。工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是 否满足设计要求，工程施工质量是否达到预期指标，工程档案资料是否齐全等方面。在通 过安全测评或测试的基础上，组织相应信息安全专家进行工程验收。具体参照信息系统 安全工程管理要求。3.3.3安全等级测评信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。 对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。在公安部备案的信息系统，备案单位应选择国家信息安全等级保护工作协调小组办公 室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统， 备案单位应选择本省（区、市）信息安全等级保护工作协调小组办公室或国家信息安全等 级保护工作协调小组办公室推荐的等级测评机构实施等级测评。附录：信息安全等级保护主要标准简要说明为推动我国信息安全等级保护工作的开展，十多年来，在公安部的领导和支持下，在 国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安 全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完 整的信息安全等级保护标准体系，为开展信息安全等级保护工作奠定了基础。为便于各有关单位全面、准确了解掌握信息安全等级保护有关标准，更好地指导等级 保护工作，在总结近年来等级保护工作实践基础上，公安部组织专家和标准起草单位编写 了信息安全等级保护主要标准简要说明，第一部分梳理了与等级保护工作相关的标准，第 二部分从标准的主要用途、主要内容和使用说明三方面进行阐述，供有关单位和部门在工 作中参考。1信息安全等级保护相关标准体系信息安全等级保护相关标准大致可以分为四类：基础类、应用类、产品类和其他类。1.1基础类标准计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全等级保护基本要求(GB/T 22239-2008)。1.2应用类标准1.2. 1信息系统定级信息系统安全保护等级定级指南(GB/T 22240-2008)1.2.2等级保护实施信息系统安全等级保护实施指南(信安字200710号)1.2.3信息系统安全建设信息系统通用安全技术要求(GB/T 20271-2006)信息系统等级保护安全设计技术要求(信安秘字2009059号)信息系统安全管理要求(GB/T 20269-2006)信息系统安全工程管理要求(GB/T 20282-2006)信息系统物理安全技术要求(GB/T 21052-2007)网络基础安全技术要求(GB/T 20270-2006)信息系统安全等级保护体系框架(GA/T 708-2007)信息系统安全等级保护基本模型(GA/T 709-2007)信息系统安全等级保护基本配置(GA/T 710-2007)1.2.4等级测评信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T 713-2007)1.3产品类标准1.3.1操作系统操作系统安全技术要求(GB/T 20272-2006)操作系统安全评估准则(GB/T 20008-2005)1.3.2数据库数据库管理系统安全技术要求(GB/T 20273-2006)数据库管理系统安全评估准则(GB/T 20009-2005)1.3.3网络网络端设备隔离部件技术要求(GB/T 20279-2006)网络端设备隔离部件测试评价方法(GB/T 20277-2006)网络脆弱性扫描产品技术要求(GB/T 20278-2006)网络脆弱性扫描产品测试评价方法(GB/T 20280-2006)网络交换机安全技术要求(GA/T 684-2007)虚拟专用网安全技术要求(GA/T 686-2007)1.3.4 PKI公钥基础设施安全技术要求(GA/T 687-2007)PKI系统安全等级保护技术要求(GB/T 21053-2007)1.3.5网关网关安全技术要求(GA/T 681-2007)1.3.6服务器服务器安全技术要求(GB/T 21028-2007)1.3.7入侵检测入侵检测系统技术要求和检测方法(GB/T 20275-2006)计算机网络入侵分级要求(GA/T 700-2007)1.3.8防火墙防火墙安全技术要求(GA/T 683-2007)防火墙技术测评方法(报批稿)信息系统安全等级保护防火墙安全配置指南(报批稿)防火墙技术要求和测评方法(GB/T 20281-2006)包过滤防火墙评估准则(GB/T 20010-2005)1.3.9路由器路由器安全技术要求(GB/T 18018-2007)路由器安全评估准则(GB/T 20011-2005)路由器安全测评要求(GA/T 682-2007)1.3.10交换机网络交换机安全技术要求(GB/T 21050-2007)交换机安全测评要求(GA/T 685-2007)1.3.11其他产品终端计算机系统安全等级技术要求(GA/T 671-2006)终端计算机系统测评方法(GA/T 671-2006)审计产品技术要求和测评方法(GB/T 20945-2006)虹膜特征识别技术要求(GB/T 20979-2007)虚拟专网安全技术要求(GA/T 686-2007)应用软件系统安全等级保护通用技术指南(GA/T 711-2007)应用软件系统安全等级保护通用测试指南(GA/T 712-2007)网络和终端设备隔离部件测试评价方法(GB/T 20277-2006)网络脆弱性扫描产品测评方法(GB/T 20280-2006)1.4其他类标准1.4.1风险评估信息安全风险评估规范(GB/T 20984-2007)1.4.2事件管理信息安全事件管理指南(GB/Z 20985-2007)信息安全事件分类分级指南(GB/Z 20986-2007)信息系统灾难恢复规范(GB/T 20988-2007)各类标准在等级保护各工作环节中的关系如图1所示：系统安系信息信息 系统安全全设计技术要.- 系统安全等息 全技术要求 求信息 E通用安 管理要建设信息信息系统安全等级保护定级指南测评信息系统物系统安全技工程求理基础安基技术要求行业细网络要求产品系统实施等级保理系统安全技术要求操作系统安全技术要求系统安全等级保护禳评过程指离部件技术要求品类标准信息系统安全等级保护基本要求图1:信息安全等级保护相关标准体系计算机信息系统安全保护等级划分准则2信息安全等级保护主要标准简要说明现将信息安全等级保护标准体系中比较重要的计算机信息系统安全保护等级划分准 则、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南、信 息系统安全等级保护定级指南、信息系统安全管理要求、信息系统通用安全技术 要求、信息系统等级保护安全设计技术要求、信息系统安全工程管理要求、信息系统安全等级保护测评要求、信息系统安全等级保护测评过程指南等十个标 准作一简要说明。2.1计算机信息系统安全保护等级划分准则(GB17859-1999)2.1.1主要用途本标准对计算机信息系统的安全保护能力划分了五个等级，并明确了各个保护级别的 技术保护措施要求。本标准是国家强制性技术规范，其主要用途包括：一是用于规范和指 导计算机信息系统安全保护有关标准的制定；二是为安全产品的研究开发提供技术支持； 三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。2.1.2主要内容本标准界定了计算机信息系统的基本概念：计算机信息系统是由计算机