信息安全等级保护安全建设整改工作培训材料之一信息安全等级保护安全建设整改技术工作主要内容及相关标准应用公安部信息安全等级保护评估中心二〇〇九年十一月目录1概述...............................................(1)1.1信息系统安全建设整改的目的......................(1)1.2安全建设整改在落实等级保护工作中的作用..........(1)2安全建设整改依据的标准.............................(2)2.1相关标准在等级保护各阶段工作中的作用............(2)2.2安全建设整改工作依据的标准......................(5)2.2.1《基本要求》作用.............................(5)2.2.2《基本要求》框架结构.........................(5)2.2.3安全保护能力.................................(6)2.2.4《基本要求》的选择和使用说明.................(8)3安全管理建设整改工作的内容和方法..................(10)3.1落实信息安全责任制.............................(11)3.2信息系统安全管理现状分析.......................(12)3.3确定安全管理策略,制定安全管理制度.............(12)3.4落实安全管理措施...............................(13)3.4.1人员安全管理................................(13)3.4.2系统运维管理................................(14)3.4.3系统建设管理................................(16)3.5安全自查与调整.................................(17)4安全技术建设整改工作的内容和方法..................(17)4.1信息系统安全保护技术现状分析...................(18)4.2信息系统安全技术建设整改方案设计...............(19)4.2.1确定安全技术策略,设计总体技术方案..........(19)4.2.2安全技术方案详细设计........................(21)4.2.3建设经费预算和工程实施计划..................(25)34.2.4方案论证和备案..............................(25)4.3安全建设整改工程实施和管理.....................(26)4.3.1工程实施和管理..............................(26)4.3.2工程监理和验收..............................(26)5安全等级测评......................................(27)5.1等级测评依据的标准.............................(27)5.1.1测评要求....................................(27)5.1.2测评过程指南................................(28)5.2等级测评的工作流程和工作内容...................(29)5.3等级测评工作中的风险控制.......................(31)5.3.1存在的风险..................................(31)5.3.2风险的规避..................................(31)5.4等级测评报告的主要内容.........................(33)6信息系统安全建设整改方案要素......................(34)6.1项目背景.......................................(34)6.2开展信息系统安全建设整改的法规政策和技术依据...(34)6.3信息系统安全建设整改安全需求分析...............(34)6.4信息系统安全等级保护建设整改技术方案设计.......(35)6.5信息系统安全等级保护建设整改管理体系设计.......(35)6.6信息系统安全产品选型及技术指标.................(35)6.7安全建设整改后信息系统残余风险分析.............(35)6.8信息系统安全等级保护整改项目实施计划...........(35)6.9信息系统安全等级保护项目预算...................(35)1概述1.1信息系统安全建设整改的目的在已定级的信息系统中,大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑,因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。随着等级保护工作的逐步展开,尤其是在信息系统确定了安全保护定级之后,重新审视现有信息系统的安全保护状况,由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。通过开展等级保护工作,使信息系统可以按照等级保护相应等级的要求进行设计、规划和...
