DOC《附件2》

第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;

第三步:确定安全保护策略,制定信息系统安全建设整改方案;

第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;

第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作.该流程如图2所示. 图2:信息系统安全建设整改工作基本流程 1.4 标准应用 信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同技术活动参照相应的标准规范进行.等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示. 图3:等级保护相关标准间的关系 需要说明的是,

(一)《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础.《计算机信息系统安全保护等级划分准则》(GB17859,以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的.《基本要求》以技术类标准和管理类标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求.

(二)《基本要求》是信息系统安全建设整改的依据.信息系统安全建设整改应以落实《基本要求》为主要目标.信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求.当信息系统有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准.行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》.

(三)《定级指南》为定级工作提供指导.《信息系统安全等级保护定级指南》为信息系统定级工作提供了技术支持.行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台本行业的定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展.

(四)《测评要求》等标准规范等级测评活动.等级测评是评价信息系统安全保护状况的重要方法.《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法.《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性.

(五)《实施指南》等标准指导等级保护建设.《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用.《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导,是实现《基本要求》的方法之一. 1.5 安全保护能力目标 各级信息系统应通过安全建设整改分别达到以下安全保护能力目标: 第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;