《广西信息安全等级保护培训教材(第1册).doc》由会员分享,可在线阅读,更多相关《广西信息安全等级保护培训教材(第1册).doc(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流广西信息安全等级保护培训教材(第1册).精品文档.广西壮族自治区信息安全等级保护培训教材(第一册)广西壮族自治区公安厅网络安全保卫总队二一年八月目 录一、信息安全等级保护政策体系(一)总体方面的政策文件(二)具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系(一)各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准(二)在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设(一)信息安全等
2、级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求(二)开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路(一)工作目标(二)工作范围(三)工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作(一)测评机构的选择(二)等级测评工作的开展八、安全自查和监督检查(一)备案单位的定期自查(二)行业主管部门的督导检查(三)公安机关的监督检查九、工作要求(一)同步部署,同步实施(二)加强宣传,树
3、立典型(三)认真总结,及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了信息系统等级保护安全设计技术要求、信息安全等级保护测评机构及测评人员管理细则和信息系统等级保护测评报告模版相关标准规范,在此基
4、础上出台了关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号,以下简称指导意见),为指导各单位、各部门开展信息安全等级保护安全建设整改工作(以下简称“安全建设整改工作”)奠定了基础。为了明确开展信息安全等级保护安全建设整改工作的内容和要求,这里对有关问题进一步进行解释说明。一、信息安全等级保护政策体系近几年,为组织开展信息安全等级保护工作,公安部根据中华人民共和国计算机信息系统安全保护条例(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件,发改委会同公安部、国家保密局出台了相关文件,公安部对有些具体工作出台了一些指导意见和规范,这
5、些文件初步构成了信息安全等级保护政策体系(如图1所示),为指导各地区、各部门开展等级保护工作提供了政策保障。为了方便使用,我们已将信息安全等级保护政策文件汇编成信息安全等级保护政策汇编发给有关单位、部门。关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)中华人民共和国计算机信息系统安全保护条例 (国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)信息安全等级保护工作关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护备案实施细则(公信安20071360号)关于开展信息系统等级保护安全建设整改工作的指导意见(
6、公信安20091429号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号)信息安全等级保护管理办法(公通字200743号)定级备案安全建设整改等级测评检查图1 信息安全等级保护法律政策体系(一)总体方面的政策文件总体方面的文件有两个,这两个文件确定了等级保护制度的总体内容和要求,对等级保护工作的开展起到宏观指导作用。1、关于信息安全等级保护工作的实施意见(公通字200466号)。该文件是为贯彻落实国务院第14
7、7号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级保护制度的基本原则,等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。2、信息安全等级保护管理办法(公通字200743号)。该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。(二)具体环节的政策文件
8、对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查),出台了相应的政策规范:1、定级环节关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)。2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。2、备案环节信息安全等级保护备案实施细则(公信安20071360号)。该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容,并附带有关法
9、律文书,指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。3、安全建设整改环节(1)关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括信息安全等级保护安全建设整改工作指南和信息安全等级保护主要标准简要说明。该文件由公安部印发。(2)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行,明确了项目验收条件:公安机关颁发的
10、信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家保密局共同会签印发。4、等级测评环节关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)。该文件明确了等级测评的内容、方法和测评报告格式等内容,用以规范等级测评活动。该文件由公安部网络安全保卫局印发。5、安全检查环节公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号)。该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等,使检查工作规范化、制度化。该文件由公安部网络安全保卫局印发。二、信息安全等级保护标准体系为推动我国信息安全等级保护
11、工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。信息安全等级保护相关标准具体见信息安全等级保护主要标准简要说明。为了方便使用,我们已将主要标准汇编成信息安全等级保护标准汇编发给有关单位、部门。 各单位、各部门信息系统安全建设整改工作应依据基本要求或行业标准规范,并在不同阶段、针对不同技术活动参照相应的标准规范进行,相关标准与等级保护各工作环节的关系如图2所示。信息系统安全
12、等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级安全要求现状分析方法指导信息系统安全等级保护实施指南图
13、2 等级保护相关标准与等级保护各工作环节的关系(一)各类标准与等级保护工作的关系1、基础标准计算机信息系统安全保护等级划分准则是强制性国家标准,是等级保护的基础性标准,在此基础上制定出信息系统通用安全技术要求等技术类、信息系统安全管理要求、信息系统安全工程管理要求等管理类、操作系统安全技术要求等产品类标准,为相关标准的制定起到了基础性作用。2、安全要求类标准基本要求以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。(1)信息系统安全等级保护基本要求(以下简称基本要求)。该标准是在计算机信息系统安全保护等级划分准则、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实
14、际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。(2)信息系统安全等级保护基本要求的行业细则。重点行业可以按照基本要求等国家标准,结合行业特点,在公安部等有关部门指导下,确定基本要求的具体指标,在不低于基本要求的情况下,结合系统安全保护的特殊需求,制定行业标准规范或细则。3、定级类标准信息系统安全等级保护定级指南和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。(1)信息系统安全等级保护定级指南(GB/T22240-2008)。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导开展信息系统定级工作。(
15、2)信息系统安全等级保护行业定级细则。重点行业可以按照信息系统安全等级保护定级指南等国家标准,结合行业特点和信息系统的特殊性,在公安部等有关部门指导下,制定行业信息系统定级规范或细则。4、方法指导类标准信息系统安全等级保护实施指南和信息系统等级保护安全设计技术要求构成了指导信息系统安全建设整改的方法指导类标准。(1)信息系统安全等级保护实施指南(信安字200710号)。该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。(2)信息系统等级保护安全设计技术
16、要求(信安秘字2009059号)。该标准提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。5、现状分析类标准信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南构成了指导开展等级测评的标准规范。(1)信息系统安全等级保护测评要求。该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等
17、级测评结论的产生方法等内容,用于规范和指导测评人员如何开展等级测评工作。(2)信息系统安全等级保护测评过程指南。该标准阐述了信息系统等级测评的测评过程,明确了等级测评的工作任务、分析方法以及工作结果等,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,用于规范测评机构的等级测评过程。(二)在应用有关标准中需注意的几个问题1、基本要求是信息系统安全建设整改的基本目标,信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。基本要求中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照信息系统安全等级保护实施指南、信息系统等级保护安全设计技术要求和信息系统安全
18、工程管理要求进行。2、由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定基本要求中相应的安全保护要求。各单位、各部门在进行信息系统安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的整体保护能力。3、信息系统等级保护安全设计技术要求依据计算机信息系统安全保护等级划分准则从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计。本标
19、准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以应与基本要求等标准配合使用。三、信息安全等级保护安全管理制度建设和技术措施建设(一)信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据按照管理办法、信息系统安全等级保护基本要求,参照信息系统安全管理要求、信息系统安全工程管理要求等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。2、开展安全管理制度建设的内容一是落实信息安全责任制。成立信息安全工作领导机构,明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门,确定安全岗位,落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员
20、的信息安全责任。二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施。对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗。三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求。四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度,制定应急预案并定期开展演练
21、,采取相应的管理技术措施和手段,确保系统运维管理制度的有效落实。3、开展安全管理制度建设的要求(1)在具体实施过程中,可逐项建立管理制度,也可以进行整合,形成完善的安全管理体系。要根据具体情况,结合系统管理实际,不断健全完善管理制度。同时,将管理制度与管理技术措施有机结合,确保安全管理制度得到有效落实。(2)建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查,行业主管部门组织开展督导检查,公安机关会同主管部门开展监督检查。(二)开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据按照管理办法、信息系统安全等级保护基本要求,参照信息系统安全等级保护实施指南、信息系统通
22、用安全技术要求、信息系统安全工程管理要求、信息系统等级保护安全设计技术要求等标准规范要求,建设信息系统安全保护技术措施。2、开展安全技术措施建设的内容结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。在信息系统安全技术建设整改中,可以采取“一个中心、三维防护”(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)的防护策略,实现相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。3、开展安全技术
23、措施建设的要求备案单位要开展信息系统安全保护现状分析,确定信息系统安全技术建设整改需求,制定信息系统安全技术建设整改方案,组织实施信息系统安全建设整改工程,开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。四、安全建设整改工作的方法和主要思路安全建设整改工作与各单位、各部门在信息系统建设中开展的安全建设工作有联系又有区别,但信息安全等级保护工作中的安全建设整改工作具有鲜明的特点,主要体现在以下四个方面:(1)安全建设整改工作是在各单位、各部门信息系统安全保护工作基础上开展的,是对原有工作的继承和发展。(2)各单位、各部门是按照国家有关标准规范开展安全建设
24、整改工作,强调将技术措施和管理措施有机结合,着重建立信息系统综合防护体系,提高信息系统整体安全保护能力。(3)传统的信息系统安全保护工作大多是自主、自愿行为,而信息安全等级保护安全建设整改工作是有政府职能部门监督的行为。全国公安机关对各单位、各部门等级保护工作的开展进行监督、检查。(4)公安机关会同国家保密部门、密码工作部门和信息化部门出台了一系列政策文件和工作指南,为各单位、各部门开展等级保护工作提供了一定的保障机制。各单位、各部门在开展安全建设整改工作中,应坚持管理和技术并重的原则,依据基本要求,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等
25、工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。(一)工作目标利用三年时间,开展三项重点工作,实现五方面目标。1、三年时间。由于一些重要行业信息系统较多,受资金、人员等条件限制,考虑实际情况,全国已定级信息系统安全建设整改工作总体上用三年时间完成。各行业主管(监管)部门应按照时间要求,根据本行业信息系统数量和实际情况,合理部署总体工作进度。2、三项重点工作。通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。3、五方面目标。通过开展安全建设整改工作,达到以下五方面目标:一是信息系统安全管理水平明显提高,二
26、是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家安全、社会秩序和公共利益。(二)工作范围目前,少数单位和部门尚未开展信息系统定级备案工作,存在漏定级、漏备案和定级不准等情况,所以,各行业主管(监管)部门应在公安部指导下出台行业信息系统定级指导意见和要求,先解决信息系统定级备案工作存在的突出问题,在此基础上开展安全建设整改工作。开展安全建设整改工作的信息系统范围如下:1、各单位、各部门要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围。2、尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改。3、新建系统要同步开
27、展安全建设工作。(三)工作方法1、安全建设整改工作应以基本要求为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体安全建设整改设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实基本要求,最大程度发挥安全措施的保护能力。2、突出重点。建设过程中要突出重点,可以先对第三、四级信息系统开展安全建设整改,再对第二级系统开展整改;也可以对各等级系统同步规划实施,确保按期完成任务。3、试点示范。重点行业、部门可以根据需要和实际情况,选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开。4、安全建设整改工
28、作具体实施可以根据实际情况,将安全管理制度建设和安全技术措施建设内容一并实施,或分步实施。5、将安全建设整改工作与业务工作、信息化建设工作有机结合,利用信息安全等级保护综合工作平台,使等级保护工作常态化。五、安全建设整改工作基本流程安全建设整改工作可以分五步进行。第一步:落实负责安全建设整改工作的责任部门,由责任部门牵头制定本单位和本行业信息系统安全建设整改工作规划,对安全建设整改工作进行总体部署。第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求。可以依据基本要求等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全保护措施与等级保护标准
29、要求之间的差距,分析系统已发生的事件或事故,分析安全保护方面存在的问题,形成安全建设整改的需求并论证。第三步:确定安全保护策略,制定信息系统安全建设整改方案。在安全需求分析的基础上,进行信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。安全建设整改方案须经专家评审论证,第三级(含)以上信息系统安全建设整改方案应报公安机关备案,公安机关监督检查备案单位安全建设整改方案的实施。第四步:按照信息系统安全建设整改方案,实施安全建设整改工程,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施。在实施安全建设整改工程中,
30、需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理。第五步:开展安全自查和等级测评,及时发现信息系统中存在的安全隐患和问题,并通过风险分析,确定应解决的主要问题,进一步开展安全整改工作。安全建设整改工作的具体步骤见图3所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图3 信息系统安全建设整改工作基本流程六、信息安全产品
31、的选择使用为落实关于信息安全等级保护工作的实施意见中提出的“对信息系统中使用的信息安全产品实行按等级管理”的要求,公安部发布了关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告(公信安20091157号),对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品,产品销售许可证书标注产品分级信息,便于用户根据信息系统安全需求选择相应等级的产品。管理办法规定第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础,信息安全产品的使用和管理是国家信息安全等级保护制度的重要组成部分,尤其是进入到基础信息网络和重要信息系统中的信息安全
32、产品将直接影响信息系统安全,甚至危及国家安全、社会稳定。因此,各单位、各部门应在满足使用要求的前提下,优先选择国产品。国家信息安全监管部门对进入第三级以上信息系统中使用的信息安全产品进行管理。七、信息系统安全等级测评工作等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统运营使用单位通过开展等级测评,一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力
33、。(一)测评机构的选择为了加强信息安全等级保护等级测评机构建设和管理,规范等级测评活动,保障等级测评工作的顺利开展,公安机关组织对测评机构和测评人员进行安全审查和能力审验。开展等级测评的机构须获得省级(含)以上信息安全等级保护协调(领导)小组办公室颁发的由公安部统一监制的资格证明文件。开展等级测评的人员须获得专门机构颁发的等级测评师证书(等级测评师分为初级、中级和高级三种)和省级(含)以上公安机关网络安全保卫部门颁发的上岗资格证书。省级(含)以下备案单位可以在本省信息安全等级保护工作协调(领导)小组办公室发布的信息安全等级保护测评机构推荐目录中选择测评机构。省级以上各备案单位可以在国家信息安全
34、等级保护工作协调小组办公室发布的全国信息安全等级保护测评机构推荐目录中选择测评机构。没有测评机构的省(市)可以在全国信息安全等级保护测评机构推荐目录中选择测评机构。(二)等级测评工作的开展各单位、各部门在开展信息系统安全建设整改之前,可以通过等级测评进行信息系统安全现状分析,明确信息系统安全建设整改的需求,制定安全建设整改方案。信息系统安全建设整改后,按照管理办法的要求进行等级测评,经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。对第三级(含)以上信息系统要定期开展等级测评工作,对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。各单位、各部门
35、要对测评机构和测评人员的测评活动进行监督管理,与测评机构签订工作协议和保密协议,查验测评机构和测评人员的相关材料,落实测评过程监管措施,防范对信息系统可能造成新的安全风险。各单位、各部门要监督检查测评机构是否依据信息系统安全等级保护测评要求、信息系统安全等级保护测评过程指南等国家标准开展等级测评,是否按照公安部统一制订的信息系统安全等级测评报告模版(公信安20091487号)格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统,可以以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评。各单位、各部门对信息系统开展等级测评后,每年应将等级测评报告向受理备案的公安机关备案。信
36、息系统运营使用单位应当根据信息系统规模和测评机构所投入的成本,合理支付测评服务费用。测评费用可以参考国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。八、安全自查和监督检查备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制,定期对等级保护制度各项要求的落实情况进行自查和监督检查。(一)备案单位的定期自查备案单位应按照管理办法的相关要求,对等级保护工作落实情况进行自查,掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等,及时发现安全隐患和存在的突出问题,有针对性地采取技术和管理措施。备案单位应当配合公安机关的监督检查工作,如实提供有关资料及文件。当第三级(含)
37、以上信息系统发生事件、案件时,备案单位应当及时向受理备案的公安机关报告。(二)行业主管部门的督导检查行业主管部门要建立督导检查制度,组织制定本行业、本部门的信息安全等级保护检查工作规范,定期组织对本行业、本部门等级保护工作开展情况进行检查,督促落实信息安全等级保护制度,达到重点督促,以点带面的目的。(三)公安机关的监督检查1、部、省、市三级公安机关网络安全保卫部门要按照“谁受理备案、谁负责检查”的原则,依据公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号),定期对备案单位等级保护工作开展和实施情况进行监督检查。2、对于有主管部门的,公安机关要积极会同主管部门开展,充分发挥主
38、管部门的作用,建立监督检查的配合机制。3、公安机关应按照“严格依法,热情服务”的要求开展检查工作,遵守检查纪律,规范检查程序,主动、热情地为信息系统运营使用单位提供服务和指导。4、对备案单位重要信息系统发生的事件、案件及时进行调查和立案侦查,并指导其开展应急处置工作,为备案单位重要信息系统安全提供有力支持。九、工作要求(一)统一部署,同步实施各行业主管(监管)部门是本行业等级保护工作的主管部门,应按照“谁主管、谁负责”的原则组织开展等级保护工作,结合本行业信息系统数量、等级、规模等实际情况,统一部署、规划,同步实施安全建设工程,从中央到省、地市,一级抓一级,层层抓落实。(二)加强宣传,树立典型
39、行业主管部门和信息系统运营使用单位应建立与公安机关的联络机制和工作机制,利用多种形式,组织开展宣传、培训工作,利用电视电话会议或集中形式组织本行业、本部门学习信息安全等级保护有关政策、标准和技术。组织开展经验交流,发现、培养并树立工作典型,在行业内宣传推广先进经验。公安部利用信息安全等级保护工作简报和信息通报机制,为各部委、中央企业提供认真、有效的服务。(三)认真总结,及时报送自2009年起,各部门要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结,于每年年底前报同级公安机关网络安全保卫部门,各省(自治区、直辖市)公安机关网络安全保卫部门报公安部网络安全保卫局。为了统计各单位、各部门信息安全等级保护安全建设整改工作进展情况,各信息系统备案单位每半年要填写信息安全等级保护安全建设整改工作情况统计表(见指导意见附件),分别于每年六月份和十二月份报受理备案的公安机关。