信息系统安全等级保护基本要求 安全管理建设整改 安全技术建设整改 岗位设置 人员录用 机房位置选择 身份鉴别 人员配备 员·人员离岗 防火防雷 访问控制 理°按权和审批安 防水防潮 安全审计 沟通和合作 教育和培训 物·防静电 方范 构审核和检查·人员访问管理 物理访问控制//b 病毒防护 全·防盗窃防破坏 资源控制 安·管理制度 环境管理 温湿度控制 安全标记 管·制定和发布 资产管理 电力供应 剩余信息保护 理·评审和修订 电磁防护 介质管理 度 设备管理 系统运 监控管理 区域划分 定级备案 安全管理中心 边界防护 访问控制 安全方案设计圈 网络安全管理 网|·访问控制 安全审计 产品采购使用·系统安全管理 安全审计 通信完整性 自行软件开发 变更管理 入侵防范 用·通信保密性 建·外包软件开发 份恢复管理 病毒防护安·软件容错 通信保护 资源控制 ●工程实施 事件处置 安全标记 理 测试验收 应急响应 数·数据保密性 系统交付 据 剩余信息保护 ●数据完整性 安全服务选择 抗抵赖 全·备份与恢复 等级测评 图1:信息系统安全建设整改主要内容 需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统 定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确 定。信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全 技术整改内容一并实施,或分步实施 1.3工作流程 信息系统安全建设整改工作分五步进行。第一步:制定信息系统安全建设整 改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:开展信息系
图 1:信息系统安全建设整改主要内容 需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统 定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确 定。信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全 技术整改内容一并实施,或分步实施。 1.3 工作流程 信息系统安全建设整改工作分五步进行。第一步:制定信息系统安全建设整 改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:开展信息系 信息系统安全等级保护基本要求 安 全 管 理 机 构 ⚫ 岗位设置 ⚫ 人员配备 ⚫ 授权和审批 ⚫ 沟通和合作 ⚫ 审核和检查 安 全 管 理 制 度 ⚫ 管理制度 ⚫ 制定和发布 ⚫ 评审和修订 人 员 安 全 管 理 ⚫ 人员录用 ⚫ 人员离岗 ⚫ 人员考核 ⚫ 教育和培训 ⚫ 人员访问管理 系 统 建 设 管 理 ⚫ 定级备案 ⚫ 安全方案设计 ⚫ 产品采购使用 ⚫ 自行软件开发 ⚫ 外包软件开发 ⚫ 工程实施 ⚫ 测试验收 ⚫ 系统交付 ⚫ 安全服务选择 ⚫ 等级测评 系 统 运 维 管 理 ⚫ 环境管理 ⚫ 资产管理 ⚫ 介质管理 ⚫ 设备管理 ⚫ 监控管理 ⚫ 安全管理中心 ⚫ 网络安全管理 ⚫ 系统安全管理 ⚫ 变更管理 ⚫ 备份恢复管理 ⚫ 事件处置 ⚫ 应急响应 安全管理建设整改 物 理 安 全 ⚫ 机房位置选择 ⚫ 防火防雷 ⚫ 防水防潮 ⚫ 防静电 ⚫ 物理访问控制 ⚫ 防盗窃防破坏 ⚫ 温湿度控制 ⚫ 电力供应 ⚫ 电磁防护 网 络 安 全 ⚫ 区域划分 ⚫ 边界防护 ⚫ 访问控制 ⚫ 安全审计 ⚫ 入侵防范 ⚫ 病毒防护 ⚫ 通信保护 数 据 安 全 与 备 份 恢 复 ⚫ 数据保密性 ⚫ 数据完整性 ⚫ 备份与恢复 主 机 安 全 ⚫ 身份鉴别 ⚫ 访问控制 ⚫ 安全审计 ⚫ 入侵防范 ⚫ 病毒防护 ⚫ 资源控制 ⚫ 安全标记 ⚫ 剩余信息保护 应 用 安 全 ⚫ 身份鉴别 ⚫ 访问控制 ⚫ 安全审计 ⚫ 通信完整性 ⚫ 通信保密性 ⚫ 软件容错 ⚫ 资源控制 ⚫ 安全标记 ⚫ 剩余信息保护 ⚫ 抗抵赖 安全技术建设整改
统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求 第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信 息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安 全设施,落实安全措施:第五步:开展安全自査和等级测评,及时发现信息系统 中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如图2所示。 信息系统安全建设整改工作规划和工作部署 信息系统安全保护现状分析 确定安全策略,制定安全建设整改方案 信息系统安全管理建设 信息系统安全技术建设 安安人系系 物网主应数 理络机用|据 理理 安安安安安 机|制 构度理理理 全全全|全全 开展信息系统安全自查和等级测评 图2:信息系统安全建设整改工作基本流程 1.4标准应用 信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同 技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改 工作中的作用如图3所示
统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求; 第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信 息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安 全设施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息系统 中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如图 2 所示。 图 2:信息系统安全建设整改工作基本流程 1.4 标准应用 信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同 技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改 工作中的作用如图 3 所示。 信息系统安全管理建设 信息系统安全技术建设 开展信息系统安全自查和等级测评 信息系统安全保护现状分析 信息系统安全建设整改工作规划和工作部署 确定安全策略,制定安全建设整改方案 物 理 安 全 网 络 安 全 主 机 安 全 应 用 安 全 数 据 安 全 安 全 管 理 机 构 安 全 管 理 制 度 人 员 安 全 管 理 系 统 建 设 管 理 系 统 运 维 管 理
信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 信 评信评信 安全等级 息系统 息要 息系统安全等级保护测一 统丫信息安全等级方 全[米2保护安全建设 整改工作 级保护测 信息系统安全等级保护实施指南 基线要求 安全设计技术要求 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护基本要求 信息系统通用安全 信息系统安全 操作系统安全技术 技术要求 管理要求 要求 信息系统物理安全 信息系统安全工程 数据库管理系统安全 技术要求 管理要求 技术要求 网络基础安全技术 其他管理类标准 网络和终端设备隔离部 要求 件技术要求 其他技术类标准 其他产品类标准 计算机信息系统安全保护等级划分准则(GB17859) 图3:等级保护相关标准间的关系
图 3:等级保护相关标准间的关系 信息系统安全等级保护基本要求 计算机信息系统安全保护等级划分准则(GB17859) 信息系统通用安全 技术要求 信息系统物理安全 技术要求 技术类 其他技术类标准 信息系统安全 管理要求 信息系统安全工程 管理要求 其他管理类标准 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求的行业细则 信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南 信 息 系 统 安 全 等 级 保 护 测 评 要 求 信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求 管理类 产品类 数据库管理系统安全 技术要求 其他产品类标准 信息系统安全等级保护行业定级细则 操作系统安全技术 要求 信息安全等级 保护安全建设 整改工作 网络基础安全技术 要求 网络和终端设备隔离部 件技术要求 安全等级 基线要求 状 况 分 析 方 法 指 导 信 息 系 统 安 全 等 级 保 护 实 施 指 南
需要说明的是,(一)《计算机信息系统安全保护等级划分准则》及配套标准 是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》(GB17859, 以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》 等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术 要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以技术 类标准和管理类标准为基础,根据现有技术发展水平,从技术和管理两方面提出 并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。(二)《基本 要求》是信息系统安全建设整改的依据。信息系统安全建设整改应以落实《基本 要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基 本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统 有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用 安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据 《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应 不低于《基本要求》。(三)《定级指南》为定级工作提供指导。《信息系统安全等 级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据 《定级指南》,结合行业特点和信息系统实际情况,出台本行业的定级细则,保 证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的 开展。(四)《测评要求》等标准规范等级测评活动。等级测评是评价信息系统安 全保护状况的重要方法。《信息系统安全等级保护测评要求》为等级测评机构开 展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评 过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性, 五)《实施指南》等标准指导等级保护建设。《信息系统安全等级保护实施指南》 是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用 单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在 不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设 的技术设计活动提供指导,是实现《基本要求》的方法之一。 1.5安全保护能力目标 各级信息系统应通过安全建设整改分别达到以下安全保护能力目标: 第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力
需要说明的是,(一)《计算机信息系统安全保护等级划分准则》及配套标准 是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》(GB17859, 以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》 等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术 要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以技术 类标准和管理类标准为基础,根据现有技术发展水平,从技术和管理两方面提出 并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。(二)《基本 要求》是信息系统安全建设整改的依据。信息系统安全建设整改应以落实《基本 要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基 本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统 有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用 安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据 《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应 不低于《基本要求》。(三)《定级指南》为定级工作提供指导。《信息系统安全等 级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据 《定级指南》,结合行业特点和信息系统实际情况,出台本行业的定级细则,保 证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的 开展。(四)《测评要求》等标准规范等级测评活动。等级测评是评价信息系统安 全保护状况的重要方法。《信息系统安全等级保护测评要求》为等级测评机构开 展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评 过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。 (五)《实施指南》等标准指导等级保护建设。《信息系统安全等级保护实施指南》 是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用 单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在 不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设 的技术设计活动提供指导,是实现《基本要求》的方法之一。 1.5 安全保护能力目标 各级信息系统应通过安全建设整改分别达到以下安全保护能力目标: 第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力
防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主 要功能的能力。 第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度 恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代 码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统 遭到损害后,具有恢复系统正常运行状态的能力。 第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具 有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计 算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力 具有对安全事件进行响应处置,并能够追踪安全责任的能力:在系统遭到损害后, 具有能够较快恢复正常运行状态的能力:对于服务保障性要求髙的系统,应能快 速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。 第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具 有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范 计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能 力:具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭 到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求髙的系 统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中 控管的能力。 2安全管理制度建设 按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等 标准规范要求,开展信息系统等级保护安全管理制度建设工作。工作流程见图4
防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主 要功能的能力。 第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度 恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代 码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统 遭到损害后,具有恢复系统正常运行状态的能力。 第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具 有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计 算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力; 具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后, 具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快 速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。 第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具 有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范 计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能 力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭 到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系 统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中 控管的能力。 2 安全管理制度建设 按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等 标准规范要求,开展信息系统等级保护安全管理制度建设工作。工作流程见图 4