一、安全建设整改概述

1、工作目标

网络安全等级保护安全建设整改的工作目标可概括为：利用三年时间，开展三项重点工作，实现五方面目标。

① 三年时间。由于一些重要行业信息系统较多，受资金、人员等条件限制，考虑实际情况，全国已定级信息系统安全建设整改工作总体上用三年时间完成。各行业主管（监管）部门应按照时间要求，根据本行业信息系统数量和实际情况，合理部署总体工作进度。

② 三项重点工作。通过组织开展网络安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求。

③ 五方面目标。通过开展安全建设整改工作，达到五方面的目标：一是信息系统安全管理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效、社会秩序和公共利益。

2、工作内容

各单位、各部门在主旨开展信息系统定级时，是按照有关标准要求，对每个业务系统进行定级，但在开展信息系统安全建设整改时，可以采取“分区、分域”的方法，按照“整改保护”的原则进行整改方案设计，对信息系统进行加固改造，缺什么补什么。对于新建系统，在规划设计时应确定信息系统安全保护等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施。

（1）网络安全等级保护安全管理制度建设

① 开展安全管理制度建设的依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。

② 开展安全管理制度建设的内容

一是落实网络安全责任制。成立网络安全工作领导机构，明确网络安全工作的主管领导。成立专门的网络安全管理部门或落实网络安全责任部门，确定安全岗位，落实专职人员兼职人员。明确落实领导机构、责任部门和有关人员的网络安全责任。

二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的水平，逐步实现安全岗位人员持证上岗。

三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。

四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度的有效落实。

③ 开展安全管理制度建设的要求

在具体实施过程中，可逐项建立管理制度，也可以进行整合，形成完善的安全管理体系。要根据具体情况，结合系统管理实际，不断健全完善管理制度。同时，将管理制度与管理技术措施有机结合，确保安全管理制度得到有效落实。

建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查，行业主管部门组织开展督导检查，公安机关会同主管部门开展监督检查。

（2）开展网络安全等级保护安全技术措施建设

① 开展安全技术措施建设的依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，建设信息系统安全保护技术措施。

② 开展安全技术措施建设的内容

结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展网络安全等级保护技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。在信息系统安全技术建设整改中，可以采取“一个中心、三维防护”（即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全）的防护策略，实现相应级别信息系统的安全保护技术要求，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。

③ 开展安全技术措施建设的要求

备案单位要开展信息系统安全保护现状分析，确定信息系统安全技术建设整改需求，制定信息系统安全技术建设整改方案，组织实施信息系统安全建设整改工程，开展安全自查和等级测评，及时发现信息系统中存在的安全隐患和威胁，进一步开展安全建设整改工作。

3、工作流程

安全建设整改工作可以分为五步进行。

步：落实负责安全建设整改工作的责任部门，由责任部门牵头制定本单位和行业信息系统安全建设整改工作规划，对安全建设整改工作进行总体部署。

第二步：开展信息系统安全保护现状分析，从管理和技术两方面确定信息系统安全建设整改需求。可以依据《基本要求》等标准，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全保护方面存在的问题，形成安全建设整改的需求并论证。

第三步：确定安全保护策略，制定信息系统安全建设整改方案。在安全需求分析的基础上，进行信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。安全建设整改方案须经专家评审论证，第三级（含）以上信息系统安全建设整改方案应报公安机关备案，公安机关监督检查备案单位安全建设整改方案的实施。

第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；在实施安全建设整改过程中，需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理。

第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁。制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改工作。该流程如图1所示。

图1 信息系统整改工作流程

4、工作要求

目前，存在一些单位和部门尚未开展信息系统定级备案工作，存在漏定级、漏备案和定级不准等情况，所以，各行业主管（监管）部门应在指导下出台行业信息系统定级制度意见和要求。先解决备案工作中存在的突出问题，在此基础上开展安全整改工作。整改范围如下：一是各单位、各部门要将已备案的第二级（含）以上信息系统纳入安全建设整改的范围。二是尚未开展定级备案的信息系统，要先定级备案，再开展安全建设整改。三是新建系统要同步开展安全建设工作。在建设整改中，要落实如下工作要求。

（1）统一组织，加强领导

要按照“谁主管、谁负责”的原则，切实加强对网络安全等级保护安全建设整改工作的组织领导，完善工作机制。要结合各自实际，统一规划和部署安全建设整改工作，制定安全建设整改工作实施方案。要落实责任部门、责任人员和安全建设整改经费。要利用多种形式，组织开展宣传、培训工作。

（2）循序渐进，分步实施

信息系统主管部门可以结合本行业、本部门信息系统数量、等级、规模等实际情况，按照自上而下或先重点后一般的顺序开展。重点行业、部门可以根据需要和实际情况，选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范，在总结经验的基础上全面推开。

（3）结合实际，制定规范

重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标；在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准规范或细则，指导本行业信息系统安全建设整改工作。

（4）认真总结，按时报送

要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结，于每年年底前报同级公安机关网安部门，各省（自治区、直辖市）公安机关网安部门报网络安全保卫局。信息系统备案单位每半年要填写《网络安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。

5、整改效果

依据网络安全等级保护有关政策和标准，通过组织开展网络安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，、社会秩序和公共利益。其整改效果，按照等级要求如下。

级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。

第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。

第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。

第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。

二、如何整改安全管理制度

按照国家有关规定，依据《基本要求》，参照《信息系统安全管理要求》等标准规范要求，开展信息系统等级保护安全管理制度建设工作。

等保安全建设产品

华清信安TDR智能安全运营服务可以在助力企业安全建设的同时节约安全成本。

MTDR 等保咨询服务

华清信安提供一站式的等级保护咨询服务，包含定级、备案、整改、测评、检测五个步骤。在等保咨询服务中，华清信安有的等保顾问全程1对1指导企业完成每个步骤的操作，在初期，根据企业的业务情况进行了系统梳理，按照系统的重要程度进行定级，全程指导企业轻松完成系统的建设整改，顺利通过等保测评。

TDR智能安全运营服务

华清信安的TDR智能安全运营服务不仅可以满足企业等级保护二级、三级的安全建设需求，还可以助力企业完成安全体系建设。

TDR智能安全运营服务帮助企业建立检测-防护-监测-响应-管理的闭环安全体系，通过威胁检测与响应实现智能安全运营。同时提供7*24小时安全专家团队应急响应服务，节约企业安全运维、安全团队成本。