网络安全等级保护：浅谈网络安全等级保护整改

该PPT是我2022年为某学校录播等级保护测评相关课程时，结合等级测评标准及北京培训的课程，整理的这套PPT中的一个PPT。因本人对等级保护工作的理解水平限制，其中还存在诸多不足之处。虽然，我个人能力是有限的，但是我传递的却是我国网络安全领域最精彩的部分，由于个人能力限制未能传递更好罢了。

（一）《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》（GB 17859，以下简称《划分准则》）是等级保护的基础性标准，《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以技术类标准和管理类标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。

（二）《基本要求》是信息系统安全建设整改的依据。信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据《基本要求》，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于《基本要求》。

（三）《定级指南》为定级工作提供指导。《网络安全安全等级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据《定级指南》，结合行业特点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。

（四）《测评要求》等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。《网络安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《网络安全等级保护测评过程指南》对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。

（五）《实施指南》等标准指导等级保护建设。《网络安全安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《网络安全等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导，是实现《基本要求》的方法之一。

根据保护侧重点的不同，技术类安全要求进一步细分为信息安全类要求（简记为S）、服务保证类要求（简记为A）和通用安全保护类要求（简记为G）。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；服务保证类要求是指保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用。管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

（一）开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。按照《管理办法》《网络安全等级保护基本要求》，参照《信息系统安全管理要求》《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度：一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。

（二）开展信息安全等级保护安全技术措施建设，提高信息系统安全保护能力。按照《管理办法》《网络安全等级保护基本要求》，参照《网络安全等级保护实施指南》《信息系统通用安全技术要求》《信息系统安全工程管理要求》《网络安全等级保护安全设计技术要求》等标准规范要求，结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防护体系，提高信息系统的安全防护能力和水平。

（三）开展信息系统安全等级测评，使信息系统安全保护状况逐步达到等级保护要求。选择由省级（含）以上信息安全等级保护工作协调小组办公室审核并备案的测评机构，对第三级（含）以上信息系统开展等级测评工作。等级测评机构依据《网络安全等级保护测评要求》等标准对信息系统进行测评，对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。

等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评工作是信息安全等级保护整体工作的一个重要组成部分，信息系统运营使用单位通过开展等级测评，一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。

开展网络安全等级保护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立网络综合防护体系，提高网络整体安全保护能力。要依据《网络安全等级保护基本要求》（以下简称《基本要求》），落实信息安全责任制，建立并落实各类安全管理制度，开展安全管理人员、安全建设管理和安全运维管理等工作，落实安全物理环境、安全区域边界、安全通信环境、安全计算环境（主机安全、应用安全和数据安全）、安全管理中心，息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施。

一般安全建设整改工作分五步走：

第一步：制定安全建设整改工作规划，对安全建设整改工作进行总体部署；

第二步：开展安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；

第三步：确定安全保护策略，制定安全建设整改方案；

第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；

第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如图所示。

---

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 回看等级保护：重要政策规范性文件43号文（上）
4. 网络安全等级保护：安全管理中心测评PPT
5. 网络安全等级保护：等级保护测评过程要求PPT
6. 网络安全等级保护：安全管理制度测评PPT
7. 等级保护测评之安全物理环境测评PPT
8. 网络安全等级保护：工业控制安全扩展测评PPT
9. 网络安全等级保护：云计算安全扩展测评PPT
   
11. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
12. 网络安全等级保护：等级测评中的渗透测试应该如何做
13. 网络安全等级保护：等级保护测评过程及各方责任
14. 网络安全等级保护：政务计算机终端核心配置规范思维导图
15. 网络安全等级保护：什么是等级保护？
    
16. 网络安全等级保护：信息技术服务过程一般要求
17. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
18. 闲话等级保护：什么是网络安全等级保护工作的内涵？
19. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
20. 闲话等级保护：测评师能力要求思维导图
    
21. 闲话等级保护：应急响应计划规范思维导图
    
22. 闲话等级保护：浅谈应急响应与保障
    
23. 闲话等级保护：如何做好网络总体安全规划
    
24. 闲话等级保护：如何做好网络安全设计与实施
    
25. 闲话等级保护：要做好网络安全运行与维护
    
26. 闲话等级保护：人员离岗管理的参考实践

27. 网络安全等级保护：浅谈物理位置选择测评项

28. 信息安全服务与信息系统生命周期的对应关系
29. >>>工控安全<<<
30. 工业控制系统安全：信息安全防护指南
31. 工业控制系统安全：工控系统信息安全分级规范思维导图
32. 工业控制系统安全：DCS防护要求思维导图
33. 工业控制系统安全：DCS管理要求思维导图
34. 工业控制系统安全：DCS评估指南思维导图
35. 工业控制安全：工业控制系统风险评估实施指南思维导图
36. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
37. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
38. >>>数据安全<<<

39. 数据安全风险评估清单

40. 成功执行数据安全风险评估的3个步骤

41. 美国关键信息基础设施数据泄露的成本

42. VMware 发布9.8分高危漏洞补丁

43. 备份：网络和数据安全的最后一道防线

44. 数据安全：数据安全能力成熟度模型

45. 数据安全知识：什么是数据保护以及数据保护为何重要？

46. 信息安全技术：健康医疗数据安全指南思维导图

47. >>>供应链安全<<<

48. 美国政府为客户发布软件供应链安全指南
    

49. OpenSSF 采用微软内置的供应链安全框架
    

50. 供应链安全指南：了解组织为何应关注供应链网络安全
    

51. 供应链安全指南：确定组织中的关键参与者和评估风险
    

52. 供应链安全指南：了解关心的内容并确定其优先级

53. 供应链安全指南：为方法创建关键组件

54. 供应链安全指南：将方法整合到现有供应商合同中

55. 供应链安全指南：将方法应用于新的供应商关系

56. 供应链安全指南：建立基础，持续改进。

57. 思维导图：ICT供应链安全风险管理指南思维导图
    

58. 英国的供应链网络安全评估

59. >>>其他<<<

60. 网络安全十大安全漏洞

61. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

62. 网络安全等级保护：应急响应计划规范思维导图

63. 安全从组织内部人员开始

64. 影响2022 年网络安全的五个故事

65. 2023年的4大网络风险以及如何应对

66. 网络安全知识：物流业的网络安全

67. 网络安全知识：什么是AAA（认证、授权和记账）？

原文始发于微信公众号（祺印说信安）：网络安全等级保护：浅谈网络安全等级保护整改