等级保护工作介绍.ppt

安徽省安徽省 公安厅公安厅 信息系统安全等级保护介绍 安徽省公安厅网监总队 王家玉 安徽省安徽省 公安厅公安厅 2 目录 信息安全等级保护工作概述信息安全等级保护工作概述 等级保护工作有关方面的职责、义务等级保护工作有关方面的职责、义务 信息系统安全保护等级的划分与保护信息系统安全保护等级的划分与保护 信息安全等级保护工作主要流程信息安全等级保护工作主要流程 信息系统安全保护等级的确定信息系统安全保护等级的确定 信息系统安全保护等级备案与备案审核信息系统安全保护等级备案与备案审核 信息系统安全建设整改信息系统安全建设整改 信息系统安全保护等级测评信息系统安全保护等级测评 监督检查监督检查 安徽省安徽省 公安厅公安厅 3 信息安全等级保护工作概述 发展历程: 1994年，国务院颁布计算机信息系统安全保护条例:第九条 计 算机信息系统实行安全等级保护。安全等级的划分标准和安全等 级保护的具 体办法，由公安部会同有关部门制定。 1999年，颁布计算机信息系统安全保护等级划分准则，2000 年实施 2003年，国家信息化领导小组关于加强信息安全保障工作的意 见（中办发200327号）：明确提出“实行信息安全等级保护” 。 2004年，全国信息安全保障工作会议：专门将信息安全等级保护 工作作为信息安全保障工作的一项重要任务来部署 2004年9月，四部门出台了关于信息安全等级保护工作的实施 意见（公通字200466号）：明确了信息安全等级保护制度的 原则和基本内容，以及信息安全等级保护工作的职责分工、工作 实施的要求等。 安徽省安徽省 公安厅公安厅 4 信息安全等级保护工作概述 发展历程: 1999-2006年，制定了50多个国标和行标，初步形成 了信息安全等级保护标准体系：计算机信息系统安 全保护等级划分准则（GB17859-1999）、信息系 统安全等级保护定级指南、信息系统安全等级保 护基本要求、信息系统安全等级保护实施指南 、信息系统安全等级保护测评要求等。 2006年，下发等级保护管理办法（试行） 2007年6月，四部门联合发布信息安全等级保护管 理办法（公通字200743号）：明确了信息安全等 级保护制度的基本内容、流程及工作要求，明确了有 关方面的职责、任务，为开展信息安全等级保护工作 提供了规范保障。 安徽省安徽省 公安厅公安厅 5 信息安全等级保护工作概述 工作进展： 关于开展全国重要信息系统安全等级保护定级工作 的通知 （公通字2007861号） 信息安全等级保护备案实施细则（公信安 20071360号） 关于开展信息安全等级保护安全建设整改工作的指 导意见公信安20091429号 关于开展信息安全等级保护专项监督检查工作的通 知 （公信安20101175号） 安徽省安徽省 公安厅公安厅 6 信息安全等级保护工作概述 网络安全形势 ： 一是西方敌对势力对我网上渗透和颠覆活动不断升级，我们将长 期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。 二是境内外反动势力在西方敌对势力的支持下，对我重要网络和 信息系统频繁进行攻击破坏：2006年发生几十起攻击我卫星广播 电视和插播事件等 三是计算机病毒传播和网络非法入侵十分严重： “熊猫烧香”病毒 变种700余个，感染了445万台计算机 四是网络违法犯罪持续大幅上升：黑客病毒技术、网络钓鱼技术 、木马间谍程序等新技术，进行网络盗窃、网络诈骗、网络赌博 等违法犯罪 五是网上失、窃密情况严重。 六是网络安全管理不善，安全措施不到位，信息系统运行事故时 有发生：金融、民航等重要信息系统连续发生运行事故. 安徽省安徽省 公安厅公安厅 7 等级保护工作意义: 信息安全等级保护是国家信息安全保障的基本制度 、基本策略、基本方法，开展信息安全等级保护工 作是保护信息化发展、维护国家信息安全的根本保 障。 实施信息安全等级保护制度，信息系统运营使用单 位和主管部门能按照标准进行安全建设、整改，信 息系统安全与否也有了一个衡量尺度。 信息安全等级保护是发达国家的通行做法、也是我 国多年工作经验总结。 五个“有利于”： 信息安全等级保护工作概述 安徽省安徽省 公安厅公安厅 8 信息安全等级保护工作概述 等级保护工作意义: 有利于在信息化建设过程中同步建设信息安全 设施，保障信息安全与信息化建设相协调； 有利于为信息系统安全建设和管理提供系统性 、针对性、可行性的指导和服务，有效控制信息 安全建设成本； 有利于优化信息安全资源的配置，重点保障基 础信息网络和关系国家安全、经济命脉、社会稳 定等方面的重要信息系统的安全； 有利于明确国家、法人和其他组织、公民的信 息安全责任，加强信息安全管理； 有利于推动信息安全产业的发展，逐步探索出 一条适应社会主义市场经济发展的信息安全模式 。 安徽省安徽省 公安厅公安厅 9 信息安全等级保护工作概述 开展等级保护工作的总体要求： u各基础信息网络和重要信息系统，按照“准确定级、 严格审批、及时备案、认真整改、科学测评”的要求 完成等级保护的定级、备案、整改、测评等工作。 u公安机关和保密、密码工作部门要及时开展监督检查 ，严格审查信息系统所定级别，严格检查信息系统开 展备案、整改、测评等工作。 u对故意将信息系统安全级别定低，逃避公安、保密、 密码部门监管，造成信息系统出现重大安全事故的， 要追究单位和人员的责任。 安徽省安徽省 公安厅公安厅 10 等级保护工作有关方面的职责义务 等级保护工作涉及：国家信息安全监管部门；信息 系统主管部门；信息系统运营使用单位；公民、法人 和其他组织。其职责和义务分别是： 国家监管部门： 公安机关牵头，负责信息安全等级保护工作的监督 、检查、指导。国家保密工作部门负责等级保护工 作中有关保密工作的监督、检查、指导。国家密码 管理部门负责等级保护工作中有关密码工作的监督 、检查、指导。涉及其他职能部门管辖范围的事项 ，由有关职能部门依照国家法律法规的规定进行管 理。省及市级信息化领导小组办事机构负责等级保 护工作的部门间协调。在信息安全等级保护工作中 ，坚持“分工负责、密切配合”的原则。 安徽省安徽省 公安厅公安厅 11 等级保护工作有关方面的职责义务 信息系统主管部门： 依照规范和标准，督促、检查和指导本行业、本 部门或本地区信息系统运营使用单位落实等级保护 工作。审批本行业系统定级工作。全省统一联网运 行的信息系统主管部门可以统一确定安全保护等级 。对本行业定级工作提出指导。 为什么要指导：行业主管部门比运营使用单位 具有更高的站位、更宏观的视野。 指导什么：侵害客体确定；对不同类型的等级 保护客体，本行业主要关注哪些危害后果；对于每 一类等级保护客体，确定其危害程度。 安徽省安徽省 公安厅公安厅 12 等级保护工作有关方面的职责义务 运营、使用单位： 依照规范标准，具体落实本单位等级保护工作中 的定级、备案、安全规划、安全建设、测评等,运营 使用单位和主管部门是信息系统安全的第一责任人， 对所属信息系统安全负有直接责任。 公民、法人和其他组织： 依照标准规范，开展等级保护工作，服从国家对 信息安全等级保护工作的监督、指导，保障信息系统 安全。 测评机构、产品提供商应当遵守国家有关管理规 定和技术标准，接受国家信息安全职能部门的监督管 理等。 安徽省安徽省 公安厅公安厅 13 信息安全保护等级的划分与保护 u五个等级： 根据信息系统的重要程度和遭到破坏后的危害程 度等因素分为以下五级： 第一级：公民、法人和其他组织合法权益造成 损害 第二级：公民、法人和其他组织合法权益产生 严重损害，或社会秩序和公共利益造成损害 第三级：社会秩序和公共利益造成严重损害， 或者对国家安全造成损害 第四级：对社会秩序和公共利益造成特别严重 损害，或者对国家安全造成严重损害 第五级：对国家安全造成特别严重损害 安徽省安徽省 公安厅公安厅 14 信息安全保护等级的划分与保护 u各等级信息系统的保护和监管责任（1） 第一级：系统运营使用单位应当依据规范和技 术标准进行保护。 第二级：系统运营使用单位应当依据规范和技 术标准进行保护。国家监管部门对该级信息系统 信息安全等级保护工作进行指导。 第三级：信息系统运营使用单位应当依据管理 规范和技术标准进行保护。国家监管部门对该级 信息系统信息安全等级保护工作进行监督、检查 。 安徽省安徽省 公安厅公安厅 15 信息安全保护等级的划分与保护 u各等级信息系统的保护和监管责任（2） 第四级：信息系统运营使用单位应当依据国家 有关管理规范、技术标准和业务专门需求进行保 护。国家信息安全监管部门对该级信息系统信息 安全等级保护工作进行强制监督、检查。 第五级：信息系统运营使用单位应当依据国家 管理规范、技术标准和业务特殊安全需求进行保 护。国家指定专门部门对该级信息系统信息安全 等级保护工作进行专门监督、检查。 安徽省安徽省 公安厅公安厅 16 等级保护工作主要流程 一是：定级。 二是：备案。 三是：建设、整改。 四是：等级测评。 五是：定期监督检查 安徽省安徽省 公安厅公安厅 17 等级保护工作主要流程 各个工作环节间的关系: 定级是等级保护的首要环节 按等级保护是等级保护的核心 建设整改是等级保护工作落实的关键 等级测评是评价安全保护状况的方法 监督检查是保护能力不断提高的保障 安徽省安徽省 公安厅公安厅 18 信息系统安全保护等级的确定 u定级工作原则（1） 坚持“自主定级、自主保护”的原则：各信息系 统运营使用单位和主管部门是信息安全等级保护 的责任主体，根据所属信息系统的重要程度和遭 到破坏后的危害程度，自主确定信息系统的安全 保护等级，并按照所定等级，自主对信息系统进 行保护。 满足管理要求原则：安全等级不是保障程度等 级，也不是技术能力等级，而是从国家管理的需 要出发，从信息系统对国家安全、经济建设、公 共利益等方面的重要性，以及信息或信息系统被 破坏后造成危害的严重性角度对信息系统确定的 等级； 全局性原则：等级保护是针对全国范围内、涵 盖各个行业信息系统的管理制度，系统定级也必 须从国家层面考虑，体现全局性； 安徽省安徽省 公安厅公安厅 19 信息系统安全保护等级的确定 u定级工作原则（2） 以业务为核心原则：系统是为业务服务，安全 等级应反映系统承载业务的重要性，应以业务为 出发点和核心，将信息系统重要性纳入业务重要 性统筹考虑； 合理性原则：反映信息系统的主要安全特征， 优化结构、降低投资、突出重点，有效保护。 安徽省安徽省 公安厅公安厅 20 信息系统安全保护等级的确定 u定级范围： 1. 电信、广电行业的公用通信网、广播电视传输网 等基础信息网络，经营性公众互联网信息服务单位、 互联网接入服务单位、数据中心等单位的重要信息系 统。 2. 国家重要行业、领域的重要信息系统。 3. 市（地）级以上党政机关的重要网站和办公信息系 统。 4. 涉及国家秘密的信息系统。 特别说明：信息系统的安全保护等级是信息系统的客观属性，不 以系统已采取或将采取什么安全保护措施为依据，也不以风险评估 结果为依据，而是以信息系统的重要性和信息系统遭破坏后对客体 的危害程度为依据，来确定信息系统的等级，即从国家、人民群众 的根本利益出发，考虑信息系统受到损害后的最大风险。 安徽省安徽省 公安厅公安厅 21 信息系统安全保护等级的确定 u定级对象（1）： 定级对象的确定应当遵循以下三个基本原则： 承载相对独立或单一业务应用的信息系统； 定级对象中的一个或多个业务应用的主要业务 流程、部分业务功能独立，同时与其他信息系统的 业务应用有少量的数据交换，定级对象可能会与其 他业务应用共享一些设备，尤其是网络传输设备。 “相对独立”的业务应用并不意味着整个业务流程 ，可以是完整的业务流程的一部分。 安徽省安徽省 公安厅公安厅 22 信息系统安全保护等级的确定 u定级对象（2）： 信息系统的信息安全由本单位主管； 作为定级对象的信息系统应能够唯一地确定其 安全责任单位，这个安全责任单位就是负责等级保 护工作部署、实施的单位，也是完成等级保护备案 和接受监督检查的直接责任单位。 具有信息系统的基本要素； 作为定级对象的信息系统应该是由相关的和配 套的设备、设施按照一定的应用目标和规则组合而 成的有形实体。应避免将某个单一的系统组件，如 单台的服务器、终端或网络设备等作为定级对象。 安徽省安徽省 公安厅公安厅 23 信息系统安全保护等级的确定 u定级要素：受侵害的客体和对客体的侵害程度 l受侵害的客体： 国家安全：国家政权稳固和国防实力的 信息系统；重要新闻媒体的发布或播出系统； 国家对外活动信息的信息系统；安全保卫信息 系统；尖端科技领域的研发 社会秩序和公共利益:政府机构的社会管 理和公共服务系统；教育、科研机构的工作系 统；为公众提供医疗卫生、应急服务、供水、 供电、邮政等必要服务的生产系统或管理系统 。借助信息化手段为社会成员提供使用的公共 设施和通过信息系统对公共设施进行管理控制 都应当是要考虑的方面 公民、法人和其他组织的合法权益:拥有 信息系统的个体或某个单位 安徽省安徽省 公安厅公安厅 24 信息系统安全保护等级的确定 l 对客体的侵害程度： 一般损害：工作职能受到局部影响，业务能 力有所降低但不影响主要功能的执行，出现较轻 的法律问题，较低的资产损失，有限的社会不良 影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能 力显著下降且严重影响主要功能执行，出现较严 重的法律问题，较高的资产损失，较大范围的社 会不良影响，对其他组织和个人造成较严重损害 。 特别严重损害：工作职能受到特别严重影响 或丧失行使能力，业务能力严重下降且或功能无 法执行，出现极其严重的法律问题，极高的资产 损失，大范围的社会不良影响，对其他组织和个 人造成非常严重损害。 返回 安徽省安徽省 公安厅公安厅 25 信息安全保护等级的确定 定级要素与安全保护等级的关系 等级对象侵害客体侵害程度监管强度 第一级 一般 系统 合法权益损害自主保护 第二级 合法权益严重损害 指导 社会秩序和公共利益 损害 第三级重要 系统 社会秩序和公共利益严重损害 监督检查 国家安全损害 第四级 社会秩序和公共利益 特别严 重 损害 强制监督检 查 严重损害 第五级 极端重 要系统 国家安全 特别严 重 损害 专门监 督检 查 安徽省安徽省 公安厅公安厅 26 信息系统安全保护等级的确定 u定级工作步骤 v 摸底调查： 识别单位基本信息 ：单位的职能特点，所 在行业及其在行业所处的地位，判断单位主要信 息系统的宏观定位。 识别业务种类、流程和服务：了解定级对 象不同业务系统影响履行单位职能的具体方式和 程度，影响的区域范围、用户人数、业务量的具 体数据以及对本单位以外机构或个人的影响等方 面。这些具体数据可以为主管部门制定定级指导 意见及审批定级结果的重要依据。 安徽省安徽省 公安厅公安厅 27 信息系统安全保护等级的确定 v 摸底调查： 识别本单位系统处理的信息：调查了解定 级对象信息系统所处理的信息，了解单位对信息的 三个安全属性的需求，了解不同业务数据在其保密 性、完整性和可用性被破坏后在单位职能、单位资 金、单位信誉、人身安全等方面可能对国家、社会 、本单位造成的影响，对影响程度的描述应尽可能 量化。 识别网络结构和边界：调查了解定级对象信 息系统所在单位的整体网络状况、安全防护和外部 连接情况，目的是了解信息系统所处的单位内部网 络环境和外部环境特点，以及该信息系统的网络安 全保护与单位内部网络环境的安全保护的关系。 安徽省安徽省 公安厅公安厅 28 信息系统安全保护等级的确定 识别主要的软硬件设备：调查了解与 定级对象信息系统相关的服务器、网络、终端 、存储设备以及安全设备等，设备所在网段， 在系统中的功能和作用。调查设备的位置和作 用主要就是发现不同信息系统在设备使用方面 的共用程度。 识别用户类型和分布：调查了解各系 统的管理用户和一般用户，内部用户和外部用 户，本地用户和远程用户等类型，了解用户或 用户群的数量分布，判断系统服务中断或系统 信息被破坏可能影响的范围和程度。 安徽省安徽省 公安厅公安厅 29 信息系统安全保护等级的确定 u单位信息系统描述：通过上述调查，可以较为 全面地了解单位信息系统的基本信息、管理信息、 业务信息、网络信息、设备信息和用户信息等，信 息系统描述是信息系统划分和定级的基础，描述信 息的准确和详细决定了系统划分是否合理以及定级 结果是否准确。 实施指南具体说明：实施指南中对定级工 作中如何识别本单位系统基本信息、管理框架、网 络及设备部署、业务种类和特性、系统处理的业务 、用户范围和类型等进行了说明 安徽省安徽省 公安厅公安厅 30 信息系统安全保护等级的确定 v确定系统的等级 确定系统等级，就是在调查了解的基础 上，将本单位的系统划分成一个个不同安全需求的 独立系统，针对这些独立的系统进行等级确定。 信息系统一般都包括业务信息安全（信 息保密性、完整性、可用性）和系统服务安全（服 务及时、有效），每种安全遭到破坏后侵害客体和 对客体侵害程度不同，要将定级对象分成两个方面 考虑，确定业务信息安全等级和业务服务安全等级 。对于系统定级主要从以下几个方面进行： 安徽省安徽省 公安厅公安厅 31 信息系统安全保护等级的确定 2.1识别定级对象：定级首先要确定我们要对其定 级的对象 u定级对象三个确定原则 明确的单位、完整的系统，独立的业务 u定级对象的识别： 从以下三方面之一或多个因素划分 安全责任单位：不同的责任单位划分不同系统 。注意：一个单位信息中心和业务部门的安全责任区别， 系统承担安全责任的应是业务部门 业务类型和业务重要性：不同的系统处理业务 不同，可以从系统涉及不同的客体、对客体造成不同程度 损害、处理不同类型业务来划分 物理位置差异：不同物理位置的系统受到安全 威胁不同，不同物理位置不是一个安全域。 注:定级对象没有对与错，只有合理不合理的问题。 安徽省安徽省 公安厅公安厅 32 信息系统安全保护等级的确定 u确定定级对象系统边界和边界设备： 定级对象确定后，需要确定定级对象 的系统边界和边界设备。系统边界不应出现在服 务器内部，服务器共用的系统一般归入同一个信 息系统，因此不同信息系统的共用设备一般是网 络边界设备或终端设备。两个信息系统边界存在 共用设备时，共用设备的安全保护等级按两个信 息系统安全保护等级较高者确定。 u定级报批： 在定级对象确定后，报领导小组批准 、可聘请专家咨询、公安机关指导。各部门、各 行业要提出定级意见。 安徽省安徽省 公安厅公安厅 33 信息系统安全保护等级的确定 2.2.确定受侵害的客体（定级要素1） 按照调查的信息，从业务信息安全和业务服务安全方 面分析对可能侵害的客体包括国家安全、社会秩序、 公共利益、公民、法人和其他组织的合法权益 国家安全 体现了国家层面、与全局相关的国家政治安全、军事 安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面 的正常秩序和社会公众生产、生活、教育、卫生等方面的利益 。 合法权益 是法律确认的并受法律保护的公民、法人和其他组织 所享有的一定的社会权利和利益。 安徽省安徽省 公安厅公安厅 34 信息系统安全保护等级的确定 2.3. 确定对客体的侵害程度（定级要素2） ： 按照国家安全社会秩序和公共利益合法利益 的顺序考虑。 不同的危害方式：信息保密性、完整性和可用性的 危害，系统服务及时性、有效性的危害 v不同危害后果：直接后果和间接的影响 不同的侵害客体：同一破坏对不同的客体受到的侵 害程度不同，如果受侵害客体是公民、法人或其他组织的合法 权益，则以本人或本单位的总体利益作为判断侵害程度的基准 ；如果受侵害客体是社会秩序、公共利益或国家安全，则应以 整个行业或国家的总体利益作为判断侵害程度的基准。 v侵害程度：一般损害、严重损害、特别严重损害 对客体的受侵害程度要采取综合判定的方法。首先根据 不同的受侵害客体、不同危害后果分别确定其危害程度，然后根 据不同危害结果的危害程度进行综合评定得出 安徽省安徽省 公安厅公安厅 35 信息系统安全保护等级的确定 2.4 确定信息系统安全保护等级： 根据信息安全和服务安全破坏侵害的客体及对客 体的侵害程度，依据表2、表3分别确定确定业务信息安全等 级和系统服务安全等级，由两者较高者决定定级对象的等级 。 l 信息系统等级评审 等级确定过程中，重大问题可聘请专家咨询评审，四 级以上应通过国家信息安全等级保护专家评审委员会评审，我 省成立了各领域专家组成的评审专家组，各单位可以自行申请 评审。当本单位自主定级与专家评审不一致时，以本单位确定 的定级为准。 信息系统安全保护等级的最终确定与审批 运营单位根据确定的等级或专家评审等级，自主确定系 统等级，有上级主管部门的，应经上级主管部门审批核准，起 草定级报告 安徽省安徽省 公安厅公安厅 36 信息系统安全保护等级的确定 3、综合评定对客体的侵害程 度 2、确定业务信息安全受到破 坏时所侵害的客体 6、综合评定对客体的侵害程 度 5、确定系统服务安全受到破 坏时所侵害的客体 7、系统服务安全等级4、业务信息安全等级 8、定级对象的安全保护等级 依据表2依据表3 1、确定定级对象 信息系统确定等级一般流程 安徽省安徽省 公安厅公安厅 37 信息系统安全保护等级的确定 业务 信息安全被破坏时所侵 害的客体 对相应客体的侵害程度 一般损害严重损害 特别严 重 损害 公民、法人和其他组织 的合 法权益 第一级第二级第二级 社会秩序、公共利益第二级第三级第四级 国家安全第三级第四级第五级 表2 业务信息安全等级矩阵表 返回 安徽省安徽省 公安厅公安厅 38 信息系统安全保护等级的确定 系统服务安全被破坏时 所侵害的客体 对相应客体的侵害程度 一般损害严重损害 特别严 重 损害 公民、法人和其他组织 的合法权益 第一级第二级第二级 社会秩序、公共利益第二级第三级第四级 国家安全第三级第四级第五级 表3 系统服务安全等级矩阵表 返回 安徽省安徽省 公安厅公安厅 39 信息系统保护等级的备案与审核 u保护等级的备案 基本要求：第二级以上信息系统在等级确定后30日内到市级 以上公安机关备案，涉密系统按管理办法和国家保密局规定备 案。跨省或全国统一联网运行的系统、跨市或者全省统一联网 运行并由主管部门统一定级的系统，其在我省的省级、市级分 支系统，到所在市办理备案手续，第三级以上系统还需提供拓 扑结构、安全组织结构和管理制度、安全产品情况、专家评审 意见、主管部门审批意见等材料 备案步骤：信息系统运营、使用单位首先从安徽省公安厅网 络安全便民服务网站 （）上下载备案 表和辅助备案工具，然后填写备案表。对于二级系统，只需填 写表一、二、三，对于三级系统还需填写表四并提交其中所列 材料（可以延期提交）。最后将有关书面材料和利用辅助备案 工具生成的备案电子数据提交所在的省辖市公安机关网监部门 。 安徽省安徽省 公安厅公安厅 40 信息系统保护等级的备案与审核 u备案审核：公安机关对信息系统的备案情况进行审核 对第二级信息系统，在收齐备案表一、表二、表三后 10个工作日内，经审核符合等级保护要求的，直接发给 信息系统安全等级保护备案证明，对不符合等级保护要 求的，发给不受理回执并书面说明不受理的原因通知备 案单位予以纠正。 对于第三级以上（含）信息系统在收齐备案表一、 二、三后的10个工作日内（表四可以延期提交），经审 核合格的，发给受理回执；不合格的，发给不受理回执 并书面说明不受理的原因通知备案单位予以纠正。在直 接或延期收齐所有备案表（含表四）后的10个工作日内 ，经审核合格的，颁发信息系统安全等级保护备案证明 ；不合格的，发给不受理回执并书面说明不受理的原因 通知备案单位予以纠正。 安徽省安徽省 公安厅公安厅 41 信息系统安全建设整改 u制定安全建设整改工作规划 u开展需求分析或差距分析 u规划安全建设整改的管理体系，开展安全 管理建设整改工作 u制定安全技术建设整改技术方案，开展安 全技术建设整改 u开展安全自查和等级测评 安徽省安徽省 公安厅公安厅 42 信息系统安全建设整改 2010年8月2日，四厅委局关于印发安徽省重要信 息系统等级保护安全建设工作方案的通知（皖公 通201064号），四个阶段： 1、工作部署（2010年8月30日前） 2、完善备案（2010年9月30日前） 3、建设整改（2010年12月31日前） 4、测评验收（2011年2月底前） 安徽省安徽省 公安厅公安厅 43 等级测评 等级测评与一般安全测评的区别： 等级测评活动的依据系统安全保护等