一、安全建設整改概述1、工作目標網(wǎng)絡(luò )安全等級保護安全建設整改的工作目標可概括為：利用三年時(shí)間，開(kāi)展三項重點(diǎn)工作，實(shí)現五方面目標。
① 三年時(shí)間。
由于一些重要行業(yè)信息系統較多，受資金、人員等條件限制，考慮實(shí)際情況，全國已定級信息系統安全建設整改工作總體上用三年時(shí)間完成。
各行業(yè)主管（監管）部門(mén)應按照時(shí)間要求，根據本行業(yè)信息系統數量和實(shí)際情況，合理部署總體工作進(jìn)度。
② 三項重點(diǎn)工作。
通過(guò)組織開(kāi)展網(wǎng)絡(luò )安全等級保護安全管理制度建設、技術(shù)措施建設和等級測評等三項重點(diǎn)工作，落實(shí)等級保護制度的各項要求。
③ 五方面目標。
通過(guò)開(kāi)展安全建設整改工作，達到五方面的目標：一是信息系統安全管理水平明顯提高，二是信息系統安全防范能力明顯增強，三是信息系統安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效、社會(huì )秩序和公共利益。
2、工作內容各單位、各部門(mén)在主旨開(kāi)展信息系統定級時(shí)，是按照有關(guān)標準要求，對每個(gè)業(yè)務(wù)系統進(jìn)行定級，但在開(kāi)展信息系統安全建設整改時(shí)，可以采取“分區、分域”的方法，按照“整改保護”的原則進(jìn)行整改方案設計，對信息系統進(jìn)行加固改造，缺什么補什么。
對于新建系統，在規劃設計時(shí)應確定信息系統安全保護等級，按照信息系統等級，同步規劃、同步設計、同步實(shí)施安全保護技術(shù)措施。
（1）網(wǎng)絡(luò )安全等級保護安全管理制度建設① 開(kāi)展安全管理制度建設的依據按照《管理辦法》、《信息系統安全等級保護基本要求》，參照《信息系統安全管理要求》、《信息系統安全工程管理要求》等標準規范要求，建立健全并落實(shí)符合相應等級要求的安全管理制度。
② 開(kāi)展安全管理制度建設的內容一是落實(shí)網(wǎng)絡(luò )安全責任制。
成立網(wǎng)絡(luò )安全工作領(lǐng)導機構，明確網(wǎng)絡(luò )安全工作的主管領(lǐng)導。
成立專(zhuān)門(mén)的網(wǎng)絡(luò )安全管理部門(mén)或落實(shí)網(wǎng)絡(luò )安全責任部門(mén)，確定安全崗位，落實(shí)專(zhuān)職人員兼職人員。
明確落實(shí)領(lǐng)導機構、責任部門(mén)和有關(guān)人員的網(wǎng)絡(luò )安全責任。
二是落實(shí)人員安全管理制度。
制定人員錄用、離崗、考核、教育培訓等管理制度，落實(shí)管理的具體措施。
對安全崗位人員要進(jìn)行安全審查，定期進(jìn)行培訓、考核和安全保密教育，提高安全崗位人員的水平，逐步實(shí)現安全崗位人員持證上崗。
三是落實(shí)系統建設管理制度。
建立信息系統定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開(kāi)發(fā)、工程實(shí)施、驗收交付、等級測評、安全服務(wù)等管理制度，明確工作內容、工作方法、工作流程和工作要求。
四是落實(shí)系統運維管理制度。
建立機房環(huán)境安全、存儲介質(zhì)安全、設備設施安全、安全監控、網(wǎng)絡(luò )安全、系統安全、惡意代碼防范、密碼保護、備份與恢復、事件處置等管理制度，制定應急預案并定期開(kāi)展演練，采取相應的管理技術(shù)措施和手段，確保系統運維管理制度的有效落實(shí)。
③ 開(kāi)展安全管理制度建設的要求在具體實(shí)施過(guò)程中，可逐項建立管理制度，也可以進(jìn)行整合，形成完善的安全管理體系。
要根據具體情況，結合系統管理實(shí)際，不斷健全完善管理制度。
將管理制度與管理技術(shù)措施有機結合，確保安全管理制度得到有效落實(shí)。
建立并落實(shí)監督檢查機制。
備案單位定期對各項制度的落實(shí)情況進(jìn)行自查，行業(yè)主管部門(mén)組織開(kāi)展督導檢查，公安機關(guān)會(huì )同主管部門(mén)開(kāi)展監督檢查。
（2）開(kāi)展網(wǎng)絡(luò )安全等級保護安全技術(shù)措施建設① 開(kāi)展安全技術(shù)措施建設的依據按照《管理辦法》、《信息系統安全等級保護基本要求》，參照《信息系統安全等級保護實(shí)施指南》、《信息系統通用安全技術(shù)要求》、《信息系統安全工程管理要求》、《信息系統等級保護安全設計技術(shù)要求》等標準規范要求，建設信息系統安全保護技術(shù)措施。
② 開(kāi)展安全技術(shù)措施建設的內容結合行業(yè)特點(diǎn)和安全需求，制定符合相應等級要求的信息系統安全技術(shù)建設整改方案，開(kāi)展網(wǎng)絡(luò )安全等級保護技術(shù)措施建設，落實(shí)相應的物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安全等安全保護技術(shù)措施。
在信息系統安全技術(shù)建設整改中，可以采取“一個(gè)中心、三維防護”（即一個(gè)安全管理中心和計算環(huán)境安全、區域邊界安全和通信網(wǎng)絡(luò )安全）的防護策略，實(shí)現相應級別信息系統的安全保護技術(shù)要求，建立并完善信息系統綜合防護體系，提高信息系統的安全防護能力和水平。
③ 開(kāi)展安全技術(shù)措施建設的要求備案單位要開(kāi)展信息系統安全保護現狀分析，確定信息系統安全技術(shù)建設整改需求，制定信息系統安全技術(shù)建設整改方案，組織實(shí)施信息系統安全建設整改工程，開(kāi)展安全自查和等級測評，及時(shí)發(fā)現信息系統中存在的安全隱患和威脅，開(kāi)展安全建設整改工作。
3、工作流程安全建設整改工作可以分為五步進(jìn)行。
第一步：落實(shí)負責安全建設整改工作的責任部門(mén)，由責任部門(mén)牽頭制定本單位和行業(yè)信息系統安全建設整改工作規劃，對安全建設整改工作進(jìn)行總體部署。
第二步：開(kāi)展信息系統安全保護現狀分析，從管理和技術(shù)兩方面確定信息系統安全建設整改需求。
可以依據《基本要求》等標準，采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前所采取的安全保護措施與等級保護標準要求之間的差距，分析系統已發(fā)生的事件或事故，分析安全保護方面存在的問(wèn)題，形成安全建設整改的需求并論證。
第三步：確定安全保護策略，制定信息系統安全建設整改方案。
在安全需求分析的基礎上，進(jìn)行信息系統安全建設整改方案設計，包括總體設計和詳細設計，制定工程預算和工程實(shí)施計劃等，為后續安全建設整改工程實(shí)施提供依據。
安全建設整改方案須經(jīng)專(zhuān)家評審論證，第三級（含）以上信息系統安全建設整改方案應報公安機關(guān)備案，公安機關(guān)監督檢查備案單位安全建設整改方案的實(shí)施。
第四步：開(kāi)展信息系統安全建設整改工作，建立并落實(shí)安全管理制度，落實(shí)安全責任制，建設安全設施，落實(shí)安全措施；在實(shí)施安全建設整改過(guò)程中，需要加強投資風(fēng)險控制、實(shí)施流程管理、進(jìn)度規劃控制、工程質(zhì)量控制和信息保密管理。
第五步：開(kāi)展安全自查和等級測評，及時(shí)發(fā)現信息系統中存在安全隱患和威脅。
制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實(shí)情況，并不斷完善。
定期對信息系統安全狀況進(jìn)行自查，第三級信息系統每年自查一次，第四級信息系統每半年自查一次。
經(jīng)自查，信息系統安全狀況未達到安全保護等級要求的，應當開(kāi)展整改工作。
4、工作要求目前，存在一些單位和部門(mén)尚未開(kāi)展信息系統定級備案工作，存在漏定級、漏備案和定級不準等情況，各行業(yè)主管（監管）部門(mén)應在指導下出臺行業(yè)信息系統定級制度意見(jiàn)和要求。
先解決備案工作中存在的突出問(wèn)題，在此基礎上開(kāi)展安全整改工作。
整改范圍如下：一是各單位、各部門(mén)要將已備案的第二級（含）以上信息系統納入安全建設整改的范圍。
二是尚未開(kāi)展定級備案的信息系統，要先定級備案，再開(kāi)展安全建設整改。
三是新建系統要同步開(kāi)展安全建設工作。
在建設整改中，要落實(shí)如下工作要求。
（1）統一組織，加強領(lǐng)導要按照“誰(shuí)主管、誰(shuí)負責”的原則，切實(shí)加強對網(wǎng)絡(luò )安全等級保護安全建設整改工作的組織領(lǐng)導，完善工作機制。
要結合各自實(shí)際，統一規劃和部署安全建設整改工作，制定安全建設整改工作實(shí)施方案。
要落實(shí)責任部門(mén)、責任人員和安全建設整改經(jīng)費。
要利用多種形式，組織開(kāi)展宣傳、培訓工作。
（2）循序漸進(jìn)，分步實(shí)施信息系統主管部門(mén)可以結合本行業(yè)、本部門(mén)信息系統數量、等級、規模等實(shí)際情況，按照自上而下或先重點(diǎn)后一般的順序開(kāi)展。
重點(diǎn)行業(yè)、部門(mén)可以根據需要和實(shí)際情況，選擇有代表性的第二、三、四級信息系統**行安全建設整改和等級測評工作試點(diǎn)、示范，在經(jīng)驗的基礎上全面推開(kāi)。
（3）結合實(shí)際，制定規范重點(diǎn)行業(yè)信息系統主管部門(mén)可以按照《信息系統安全等級保護基本要求》等國家標準，結合行業(yè)特點(diǎn)，確定《信息系統安全等級保護基本要求》的具體指標；在不低于等級保護基本要求的情況下，結合系統安全保護的特殊需求，在有關(guān)部門(mén)指導下制定行業(yè)標準規范或細則，指導本行業(yè)信息系統安全建設整改工作。
（4）認真按時(shí)報送要對定級備案、等級測評、安全建設整改和自查等工作開(kāi)展情況進(jìn)行年度于每年年底前報同級公安機關(guān)網(wǎng)安部門(mén)，各省（自治區、直轄市）公安機關(guān)網(wǎng)安部門(mén)報網(wǎng)絡(luò )安全保衛局。
信息系統備案單位每半年要填寫(xiě)《網(wǎng)絡(luò )安全等級保護安全建設整改工作情況統計表》并報受理備案的公安機關(guān)。
5、整改效果依據網(wǎng)絡(luò )安全等級保護有關(guān)政策和標準，通過(guò)組織開(kāi)展網(wǎng)絡(luò )安全等級保護安全管理制度建設、技術(shù)措施建設和等級測評，落實(shí)等級保護制度的各項要求，使信息系統安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，社會(huì )秩序和公共利益。
其整改效果，按照等級要求如下：第一級信息系統：經(jīng)過(guò)安全建設整改，信息系統具有抵御一般性攻擊的能力，防范常見(jiàn)計算機病毒和惡意代碼危害的能力；系統遭到損害后，具有恢復系統主要功能的能力。
第二級信息系統：經(jīng)過(guò)安全建設整改，信息系統具有抵御小規模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見(jiàn)的攻擊行為，并對安全事件進(jìn)行記錄的能力；系統遭到損害后，具有恢復系統正常運行狀態(tài)的能力。
第三級信息系統：經(jīng)過(guò)安全建設整改，信息系統在統一的安全保護策略下具有抵御大規模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有對安全事件進(jìn)行響應處置，并能夠追蹤安全責任的能力；在系統遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統，應能快速恢復正常運行狀態(tài)；具有對系統資源、用戶(hù)、安全機制等進(jìn)行集中控管的能力。
第四級信息系統：經(jīng)過(guò)安全建設整改，信息系統在統一的安全保護策略下具有抵御敵對勢力有組織的大規模攻擊的能力，抵抗嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有對安全事件進(jìn)行快速響應處置，并能夠追蹤安全責任的能力；在系統遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統，應能立即恢復正常運行狀態(tài)；具有對系統資源、用戶(hù)、安全機制等進(jìn)行集中控管的能力。
福州等保測評-等保合規解決方案福建助游辦理省時(shí)省心