等保系列之——安全建设整改

安全建设整改工作是开展等级保护工作的核心和落脚点。无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。

开展安全建设整改工作，就像在阳光灿烂的时候修葺屋顶，这样，暴风雨来临的时候才能够安然无恙。做到未雨绸缪，把不利于系统安全的因素扼杀在萌芽状态，落实安全责任，掌握日后等级保护测评的主动权。

安全建设整改的前期准备

在开展信息系统安全建设整改之前，可采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距，通过开展信息系统安全保护技术现状分析，查找信息系统安全保护技术建设整改需要解决的问题，明确信息系统安全保护技术建设整改的需求。在满足信息系统安全等级保护基本要求基础上，可以结合行业特点和信息系统安全保护的特殊要求，进行安全建设整改工作。

安全建设整改的目的

● 探索信息安全工作的整体思路

● 确定信息系统保护的基线要求

● 了解信息系统的问题和差距

● 明确信息系统安全建设的目标

● 提升信息系统的安全保护能力

安全建设整改的工作依据

●《关于开展信息安全等级保护 安全建设整改工作的指导意见》(公信安[2009]1429 号)

●《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071）

●《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》（发改高技[2008]2544）

●《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019

●《信息安全技术 网络安全等级保护实施指南》GB/T25058-2019

●《信息安全技术 网络安全等级保护安全设计技术要求》GB25070-2019

●《信息系统通用安全技术要求》GB/T20271-2006

●《信息系统安全管理要求》GB/T20269-2006

●《信息系统安全工程管理要求》GB/T20282-2006

安全建设整改的工作内容

安全建设整改工作包括安全管理体系建设和安全技术体系建设两大维度。安全技术体系的设计内容主要涵盖“一个中心、三重防护”，即安全管理中心、计算环境安全、区域边界安全、通信网络安全。安全管理体系的建设内容既从全局高度考虑为每个等级信息系统制定统一的安全管理策略，又从每个信息系统的实际需求出发，选择和调整具体的安全管理措施，最后形成统一的整体安全管理体系。

实际工作中，设计建设方案时需要坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。

安全建设整改的工作方法和流程

第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；

第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；

第三步：确定安全保护策略，制定信息系统安全建设整改方案；

第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；

第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作