干货 | 信息安全等级保护安全建设整改工作要点

上周五介绍了关于定级的相关内容——《信息系统定级到底定几级合适？》，今天主要说一说关于备案及系统安全建设这两部分内容。

一、备案

1. 信息系统备案工作的内容和要求：

备案是指二级（含）以上信息系统，在定级后30日内，由其运营使用单位或者其主管部门到所在地的地级市以上公安机关办理备案手续。信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》（公信安【2007】1360号）的要求办理信息系统备案工作。

2. 各地区分别要去哪里进行信息系统的定级备案？

区县——先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案

地级——各地级市的单位将定级资料交给各自地级市的网安支队

省级——省级单位将资料交给省公安网安总队

PS：特殊行业按特定要求执行。

我们都知道，等保2.0在内容的维度，除了基础信息网络外，把云平台、大数据、物联网、工控系统也纳入等级保护制度管理中。关于云平台的定级备案，应以云平台运维使用端为准；举个例子，腾讯云的注册地在北京，但运维在深圳，所以要去深圳备案。

二、安全建设整改

安全建设整改工作是开展等级保护工作的核心和落脚点。无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。接下来小编将整改工作的目标、内容、方法、流程、要求等内容列出来，供大家参考。

1. 安全建设整改的目的

• 探索信息安全工作的整体思路

• 确定信息系统保护的基线要求

• 了解信息系统的问题和差距

• 明确信息系统安全建设的目标

• 提升信息系统的安全保护能力

2.安全建设整改的工作内容

定级时，是按照有关标准要求对每个业务系统进行定级。但在安全建设整改时，可以采取“分区”、“分域”的方法，按照整体防护、综合防控的原则进行建设方案或整改方案的设计。整改方案立足于对信息系统进行加固改造，缺什么就补充什么；对于新建系统，参照同步规划、同步设计、同步实施这“三同步”的要求，落实安全管理措施和技术保护措施。

实际工作中，设计建设方案时需要坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。

各级信息系统安全保护管理措施要求：

各级信息系统安全保护技术措施要求：

3.工作开展的依据

管理制度建设的依据

《管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》

技术措施建设的依据

《管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护安全设计技术要求》

4.安全建设整改的工作方法和流程

建设过程中要突出重点。三四级信息系统优先级别高于二级系统，当然也可以对各等级系统同步规划实施，确保按期完成任务。

工作流程：信息系统安全建设整改工作规划和工作部署——信息系统安全保护现状分析——确定安全策略，制定安全建设整改方案——开展信息系统安全自查和等级测评。详细工作流程详见下表：

通过对信息系统的安全建设整改工作，使得系统安全管理水平明显提高，安全防范能力明显加强，减少安全隐患和安全事故的发生，从而有效保障国家安全、社会秩序和公共利益。关于安全建设整改这一工作环节，本期就介绍这么多，希望能够对各位网络安全运营者在开展等级保护工作中有所帮助，至于管理和技术建设整改中涉及的诸多重要节点，以后找机会再和大家分享。

小编有话说：

从近期的新闻动态可以看出，国家明确了依法治网，规范治网的态度，网络安全工作者必须认真对待。《网络安全法》为网络安全等级保护提出了新要求，2018年以及未来，等保合规只是基础，只有持续改进，不断完善，才能面临不断升级的威胁，保护好网络安全，捍卫国家安全。

更多资讯请点击阅读原文~