【摘要】：实施信息安全等级保護对于众多企业、行业用户来说,无外乎会给他们带来额外的人力、物力负担面对这样的局面,公安部 郭启全公共信息网络安全监察局郭启铨处长指出,这些单位不能认为自己的系统仅仅是自己的,它既是企业的,也是国家的,它的安全问题也影响到国家的安全。安全等级保护是国家意志的体现,具有强制性

【摘要】一、信息安全等级保护咹全建设整改工作依据的政策近几年,为组织开展信息安全等级保护工作,公安部 郭启全根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件,国家

信息安箏级保护安全建设整改工作政束角牛讀 /公安网纟各安全保卫局等级保护作指导处郭启全．． 护改安全风险评估工作的通知一发改高技 、信息安全等级保护 检一试行一、一公信咹一№00、号一 定定级工作的通知一公通字一8灧861号一 备案 测关于印发^信息系统安全等级测评报告模版 查^公安机关信息安仝级保护检查工作规范 安全建设整改工作依据的政策 近几年为组织开展信息安全等级保护工作，公 一2008一〗号一 工作的指导意见一公信安08一：〗号一 ^关于加强國家电子政务工程建设项目信息 ^关于开展全国一一信息系统安全等级保护 ^关于开展倌息系统等级保护安全建设整改 一试行一丷的通知一公信安一8=&`号一 安部根据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）的授权会同国家保密局、国家密码管理局和原国務院信息办出台了一些文件，国家发改委会同公安部 郭启全、国家保密局出台了相关文件公安部 郭启全针对信息安全等级保护定级、备案、安全建设整改、等级测评、监督检查等具体工作出台了一系列指导意见和规范，这些文件初步构成了信息安全等级保护政策体系（如圖1所示以为指导各地区、各部门开展等级保护工作提供了政策保障 《倌息安全等级保护管理办法》《公通字[2m7]43号） 二、信息安全等级保护 《关于信息安全等级保护工作的实施意见》（公通字[2 4]66号） 安全建设整改工作依据的标准 《中华人民共和十算机倌息系统《国家倌息化领导尛组关于力倌息安全 为推动我国信息安全等级保护工作的开展，十多 护条例》{国务院147号令）保障工作的意见》（中办发[ ]27号） 年来在公安蔀 郭启全领导和支持下，在国内有关专家、企业 图1信息安全等级保护法律政策体系 6西2010年3月 我国信患安全等级保护工作的新进展 进行二是甴于信息系统定级时是根据业务信息安全等 倌息系统安全等级保护定緞指南 级和系统服务安全等级确定的系统安全等级，因此在 倌息系統安全等级保护行业定级细则 进行信息系统安全建设整改时，应根据业务信息安全等 僖息系统等级保护安全设计技术要求 级和系统服务安铨等级确定《基本要求》中相应的安全 信息系统安全等级保护实施指南 信息系统安全等级保护测 评过程指南 倌息系统安仝级保护测 评要求 保护要求各单位、各部门在进行信息系统安全建设整 信息安全等级 改方案设计时，要按照整体安全的原则综合考虑安全 保护安全建设 保护措施，建立系统综合防护体系提高系统的整体保 整改工作 护能力。三是《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理 信息系统安全等级保护基本要求的行业细则 中惢"（一个中心三维防护）四方面给出了五个级别信息系统安全保护设计的技术要求用于指导信息系统等 倌息系统安全等级保护基本要求 級保护安全技术设计。该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求所以应与 管理奏 技木 倌惠系统通用安全 |信息系统安全 《基本要求》等标准配合使用。 技术要求 《倌息系统安全工程 广息安全等级保护 信息系统物理安全 数据库管理系统安全 管理偠求 技术要求 技术要求 安全建设整改的工作目标 信息安全等级保护安全建设整改的工作目标在 其他技术类振准 《关于开展信息安全等级保護安全建设整改工作的指导 意见》中已经明确可概况为：利用三年时间，开展三 计算机信息系统安全保护等级划分准则（GB1785g） 项重点工作实现五方面目标。 1三年时间由于一些重要行业信息系统较多， 图2

【摘要】信息安全等保工作依据嘚政策文件和标准(1)等级保护政策体系近几年,为了组织开展信息安全等级保护工作,公安部 郭启全根据《中华人民共和国计算机信息系统安全保护条例》的授权,会同国家保密局、国家密码管理局、原国务院信息办和

近几年为了组织开展信息安全等级保护工作，公安部 郭启全根據《中华人民共和国计算机信息系统安全保护条例》的授权会同国家保密局、国家密码管理局、原国务院信息办和发改委出台了一些文件，公安部 郭启全对有些具体工作出台了一些指导意见和规范这些文件初步构成了信息安全等级保护政策体系。主要包括以下文件：《關于信息安全等级保护工作的实施意见》( 公通字 [2004]66 号 )；《信息安全等级保护管理办法》公通字 [2007]43 号 )；《关于开展全国重要信息系统安全等级保護定级工作的通知》( 公通字 [ 号 )；《信息安全等级保护备案实施细则》(公信安[号)；《关于开展信息系统等级保护安全建设整改工作的指导意見》公信安 [ 号 )；《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》( 发改高技 [ 号 )；《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》( 公信安 [ 号 )；《关于印发〈信息系统安全等级测评报告模版 ( 试行 )〉的通知》( 公信安 [号)；《公安机关信息咹全等级保护检查工作规范》 ( 公信安 [ 号 )(2) 等级保护标准体系 为了推动我国信息安全等级保护工作的开展，十多年来 在国内有关专家、企業的支持下，公安部 郭启全、全国信息安全标准化技术委员会和公安部 郭启全信息系统安全标准化技术委员会组织制订了信息安全等级保護工作需要的一系列标准形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障 开展信息安全等级保护安全建设整改工作 全国信息系统定级备案工作基本完成，在此基础上各单位、各部门应按照《关于开展信息系统等级保护安全建设整改工作的指导意见》( 公信安 [ 号 ) 要求，开展等级保护安全建设整改工作 ( 以下简称“安全建设整改工作”) (1) 安全建设整改工作目标 安全建设整改的工作目标如下：① 安全建设整改工作总体上用三年时间 (2012 年底前 ) 完成。各行业主管 ( 监管 ) 部门应按照时间要求根据本行业信息系統数量和实际情况， 合理部署总体工作进度；② 开展三项重点工作通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求；③ 实现五方面目标通过开展安全建设整改工作，实现以下五方面目标：信息系统安全管理水平明显提高；信息系统安全防范能力明显增强；信息系统安全隐患和安全事故明显减少；有效保障信息化健康发展；有效維护国家安全、社会秩序和公共利益 (2) 安全建设整改工作的范围和特点 安全建设整改工作的范围主要有：① 各单位、各部门要将 已备案的苐二级 ( 含 ) 以上信息系统纳入安全建设整改的范围；② 尚未开展定级备案的信息系统，要先定级备案再开展安全建设整改；③ 新建系统要哃步开展安全建设工作。 安全建设整改工作与各单位、各部门在信息系统建设中开展的安全建设工作有联系又有区别其主要特点主要体現在以下 4 个方面：① 继承发展。安全建设整改工作是在各单位、各部门信息系统安全保护工作基础上开展的是对原有工作的继承和发展；② 引入标准。各单位、各部门按照国家新出台的一系列有关标准规范从管理和技术两方