一、安全建設(shè)整改概述1、工作目標(biāo)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)可概括為：利用三年時(shí)間,，開展三項(xiàng)重點(diǎn)工作，實(shí)現(xiàn)五方面目標(biāo),。
① 三年時(shí)間,。
由于一些重要行業(yè)信息系統(tǒng)較多，受資金,、人員等條件限制,，考慮實(shí)際情況，全國已定級(jí)信息系統(tǒng)安全建設(shè)整改工作總體上用三年時(shí)間完成,。
各行業(yè)主管（監(jiān)管）部門應(yīng)按照時(shí)間要求,，根據(jù)本行業(yè)信息系統(tǒng)數(shù)量和實(shí)際情況，合理部署總體工作進(jìn)度,。
② 三項(xiàng)重點(diǎn)工作,。
通過組織開展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)等三項(xiàng)重點(diǎn)工作,，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,。
③ 五方面目標(biāo)。
通過開展安全建設(shè)整改工作,，達(dá)到五方面的目標(biāo)：一是信息系統(tǒng)安全管理水平明顯提高,，二是信息系統(tǒng)安全防范能力明顯增強(qiáng)，三是信息系統(tǒng)安全隱患和安全事故明顯減少,，四是有效保障信息化健康發(fā)展,，五是有效、社會(huì)秩序和公共利益,。
2,、工作內(nèi)容各單位、各部門在主旨開展信息系統(tǒng)定級(jí)時(shí),，是按照有關(guān)標(biāo)準(zhǔn)要求，對(duì)每個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行定級(jí),，但在開展信息系統(tǒng)安全建設(shè)整改時(shí),，可以采取“分區(qū)、分域”的方法,，按照“整改保護(hù)”的原則進(jìn)行整改方案設(shè)計(jì),，對(duì)信息系統(tǒng)進(jìn)行加固改造，缺什么補(bǔ)什么,。
對(duì)于新建系統(tǒng),，在規(guī)劃設(shè)計(jì)時(shí)應(yīng)確定信息系統(tǒng)安全保護(hù)等級(jí)，按照信息系統(tǒng)等級(jí),，同步規(guī)劃,、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施,。
（1）網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理制度建設(shè)① 開展安全管理制度建設(shè)的依據(jù)按照《管理辦法》,、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求,，建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度,。
② 開展安全管理制度建設(shè)的內(nèi)容一是落實(shí)網(wǎng)絡(luò)安全責(zé)任制。
成立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)機(jī)構(gòu),，明確網(wǎng)絡(luò)安全工作的主管領(lǐng)導(dǎo),。
成立專門的網(wǎng)絡(luò)安全管理部門或落實(shí)網(wǎng)絡(luò)安全責(zé)任部門，確定安全崗位,，落實(shí)專職人員兼職人員,。
明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門和有關(guān)人員的網(wǎng)絡(luò)安全責(zé)任,。
二是落實(shí)人員安全管理制度,。
制定人員錄用、離崗,、考核,、教育培訓(xùn)等管理制度，落實(shí)管理的具體措施,。
對(duì)安全崗位人員要進(jìn)行安全審查,，定期進(jìn)行培訓(xùn)、考核和安全保密教育,，提高安全崗位人員的水平,，逐步實(shí)現(xiàn)安全崗位人員持證上崗。
三是落實(shí)系統(tǒng)建設(shè)管理制度,。
建立信息系統(tǒng)定級(jí)備案,、方案設(shè)計(jì)、產(chǎn)品采購使用,、密碼使用,、軟件開發(fā)、工程實(shí)施,、驗(yàn)收交付,、等級(jí)測(cè)評(píng)、安全服務(wù)等管理制度,，明確工作內(nèi)容,、工作方法、工作流程和工作要求,。
四是落實(shí)系統(tǒng)運(yùn)維管理制度,。
建立機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全,、設(shè)備設(shè)施安全,、安全監(jiān)控,、網(wǎng)絡(luò)安全、系統(tǒng)安全,、惡意代碼防范,、密碼保護(hù)、備份與恢復(fù),、事件處置等管理制度,，制定應(yīng)急預(yù)案并定期開展演練，采取相應(yīng)的管理技術(shù)措施和手段,，確保系統(tǒng)運(yùn)維管理制度的有效落實(shí),。
③ 開展安全管理制度建設(shè)的要求在具體實(shí)施過程中，可逐項(xiàng)建立管理制度,，也可以進(jìn)行整合,，形成完善的安全管理體系。
要根據(jù)具體情況,，結(jié)合系統(tǒng)管理實(shí)際,，不斷健全完善管理制度。
同時(shí),，將管理制度與管理技術(shù)措施有機(jī)結(jié)合,，確保安全管理制度得到有效落實(shí)。
建立并落實(shí)監(jiān)督檢查機(jī)制,。
備案單位定期對(duì)各項(xiàng)制度的落實(shí)情況進(jìn)行自查,，行業(yè)主管部門組織開展督導(dǎo)檢查，公安機(jī)關(guān)會(huì)同主管部門開展監(jiān)督檢查,。
（2）開展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)① 開展安全技術(shù)措施建設(shè)的依據(jù)按照《管理辦法》,、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》,、《信息系統(tǒng)通用安全技術(shù)要求》,、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求,，建設(shè)信息系統(tǒng)安全保護(hù)技術(shù)措施。
② 開展安全技術(shù)措施建設(shè)的內(nèi)容結(jié)合行業(yè)特點(diǎn)和安全需求,，制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案,，開展網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)措施建設(shè)，落實(shí)相應(yīng)的物理安全,、網(wǎng)絡(luò)安全,、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施,。
在信息系統(tǒng)安全技術(shù)建設(shè)整改中,，可以采取“一個(gè)中心,、三維防護(hù)”（即一個(gè)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全）的防護(hù)策略,，實(shí)現(xiàn)相應(yīng)級(jí)別信息系統(tǒng)的安全保護(hù)技術(shù)要求,，建立并完善信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)的安全防護(hù)能力和水平,。
③ 開展安全技術(shù)措施建設(shè)的要求備案單位要開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析,，確定信息系統(tǒng)安全技術(shù)建設(shè)整改需求，制定信息系統(tǒng)安全技術(shù)建設(shè)整改方案,，組織實(shí)施信息系統(tǒng)安全建設(shè)整改工程,，開展安全自查和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患和威脅,，進(jìn)一步開展安全建設(shè)整改工作,。
3、工作流程安全建設(shè)整改工作可以分為五步進(jìn)行,。
第一步：落實(shí)負(fù)責(zé)安全建設(shè)整改工作的責(zé)任部門,，由責(zé)任部門牽頭制定本單位和行業(yè)信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對(duì)安全建設(shè)整改工作進(jìn)行總體部署,。
第二步：開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析,，從管理和技術(shù)兩方面確定信息系統(tǒng)安全建設(shè)整改需求。
可以依據(jù)《基本要求》等標(biāo)準(zhǔn),，采取對(duì)照檢查,、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法,，分析判斷目前所采取的安全保護(hù)措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距,，分析系統(tǒng)已發(fā)生的事件或事故，分析安全保護(hù)方面存在的問題,，形成安全建設(shè)整改的需求并論證,。
第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案,。
在安全需求分析的基礎(chǔ)上,，進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì)，包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì),，制定工程預(yù)算和工程實(shí)施計(jì)劃等,，為后續(xù)安全建設(shè)整改工程實(shí)施提供依據(jù)。
安全建設(shè)整改方案須經(jīng)專家評(píng)審論證,，第三級(jí)（含）以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案,，公安機(jī)關(guān)監(jiān)督檢查備案單位安全建設(shè)整改方案的實(shí)施。
第四步：開展信息系統(tǒng)安全建設(shè)整改工作,，建立并落實(shí)安全管理制度,，落實(shí)安全責(zé)任制,，建設(shè)安全設(shè)施，落實(shí)安全措施,；在實(shí)施安全建設(shè)整改過程中,，需要加強(qiáng)投資風(fēng)險(xiǎn)控制、實(shí)施流程管理,、進(jìn)度規(guī)劃控制,、工程質(zhì)量控制和信息保密管理。
第五步：開展安全自查和等級(jí)測(cè)評(píng),，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅,。
制定安全檢查制度，明確檢查的內(nèi)容,、方式,、要求等，檢查各項(xiàng)制度,、措施的落實(shí)情況,，并不斷完善。
定期對(duì)信息系統(tǒng)安全狀況進(jìn)行自查,，第三級(jí)信息系統(tǒng)每年自查一次,，第四級(jí)信息系統(tǒng)每半年自查一次。
經(jīng)自查,，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的,，應(yīng)當(dāng)進(jìn)一步開展整改工作。
4,、工作要求目前,，存在一些單位和部門尚未開展信息系統(tǒng)定級(jí)備案工作，存在漏定級(jí),、漏備案和定級(jí)不準(zhǔn)等情況,，所以，各行業(yè)主管（監(jiān)管）部門應(yīng)在指導(dǎo)下出臺(tái)行業(yè)信息系統(tǒng)定級(jí)制度意見和要求,。
先解決備案工作中存在的突出問題,，在此基礎(chǔ)上開展安全整改工作。
整改范圍如下：一是各單位,、各部門要將已備案的第二級(jí)（含）以上信息系統(tǒng)納入安全建設(shè)整改的范圍,。
二是尚未開展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案,，再開展安全建設(shè)整改。
三是新建系統(tǒng)要同步開展安全建設(shè)工作,。
在建設(shè)整改中,，要落實(shí)如下工作要求,。
（1）統(tǒng)一組織，加強(qiáng)領(lǐng)導(dǎo)要按照“誰主管,、誰負(fù)責(zé)”的原則,，切實(shí)加強(qiáng)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機(jī)制,。
要結(jié)合各自實(shí)際,，統(tǒng)一規(guī)劃和部署安全建設(shè)整改工作，制定安全建設(shè)整改工作實(shí)施方案,。
要落實(shí)責(zé)任部門,、責(zé)任人員和安全建設(shè)整改經(jīng)費(fèi)。
要利用多種形式,，組織開展宣傳,、培訓(xùn)工作。
（2）循序漸進(jìn),，分步實(shí)施信息系統(tǒng)主管部門可以結(jié)合本行業(yè),、本部門信息系統(tǒng)數(shù)量、等級(jí),、規(guī)模等實(shí)際情況,，按照自上而下或先重點(diǎn)后一般的順序開展。
重點(diǎn)行業(yè),、部門可以根據(jù)需要和實(shí)際情況,，選擇有代表性的第二、三,、四級(jí)信息系統(tǒng)**行安全建設(shè)整改和等級(jí)測(cè)評(píng)工作試點(diǎn),、示范，在總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上全面推開,。
（3）結(jié)合實(shí)際,，制定規(guī)范重點(diǎn)行業(yè)信息系統(tǒng)主管部門可以按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn),，確定《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的具體指標(biāo),；在不低于等級(jí)保護(hù)基本要求的情況下，結(jié)合系統(tǒng)安全保護(hù)的特殊需求,，在有關(guān)部門指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則,，指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。
（4）認(rèn)真總結(jié),，按時(shí)報(bào)送要對(duì)定級(jí)備案,、等級(jí)測(cè)評(píng)、安全建設(shè)整改和自查等工作開展情況進(jìn)行年度總結(jié)，于每年年底前報(bào)同級(jí)公安機(jī)關(guān)網(wǎng)安部門,，各?。ㄗ灾螀^(qū)、直轄市）公安機(jī)關(guān)網(wǎng)安部門報(bào)網(wǎng)絡(luò)安全保衛(wèi)局,。
信息系統(tǒng)備案單位每半年要填寫《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表》并報(bào)受理備案的公安機(jī)關(guān),。
5、整改效果依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)政策和標(biāo)準(zhǔn),，通過組織開展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理制度建設(shè),、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,，使信息系統(tǒng)安全管理水平明顯提高,，安全防范能力明顯增強(qiáng)，安全隱患和安全事故明顯減少,，有效保障信息化健康發(fā)展,，社會(huì)秩序和公共利益。
其整改效果,，按照等級(jí)要求如下：第一級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改,，信息系統(tǒng)具有抵御一般性攻擊的能力，防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力,；系統(tǒng)遭到損害后,，具有恢復(fù)系統(tǒng)主要功能的能力。
第二級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改,，信息系統(tǒng)具有抵御小規(guī)模,、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力,，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力,；具有檢測(cè)常見的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力,；系統(tǒng)遭到損害后,，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。
第三級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改,，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模,、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力,，防范計(jì)算機(jī)病毒和惡意代碼危害的能力,；具有檢測(cè)、發(fā)現(xiàn),、報(bào)警,、記錄入侵行為的能力,；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力,；在系統(tǒng)遭到損害后,，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng),，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源,、用戶,、安全機(jī)制等進(jìn)行集中控管的能力。
第四級(jí)信息系統(tǒng)：經(jīng)過安全建設(shè)整改,，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的能力,，抵抗嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力,；具有檢測(cè),、發(fā)現(xiàn)、報(bào)警,、記錄入侵行為的能力,；具有對(duì)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力,；在系統(tǒng)遭到損害后,，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng),，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài),；具有對(duì)系統(tǒng)資源、用戶,、安全機(jī)制等進(jìn)行集中控管的能力,。
福州等保測(cè)評(píng)-等保合規(guī)解決方案福建助游辦理省時(shí)省心