等级保护建设整改安全产品 安全运营

北京华清信安科技有限公司

等级保护整改是等级保护工作的其中一个环节，其主要目的是通过整改，提高信息系统的安全防护能力，符合等级保护的标准要求。具体来说，等级保护整改又分为管理方面的整改和技术方面的整改，管理方面的整改主要是落实企业的安全管理制度，确定安全工作的主管及相应技术人员，为信息系统安全提供制度**；技术方面的整改则是针对信息系统中存在的安全隐患和风险，比如将缺失的设备补足，建立并完善安全防护体系。
安全建设整改工作包括安全管理体系建设和安全技术体系建设两大维度。安全技术体系的设计内容主要涵盖“一个中心、三重防护”，即安全管理中心、计算环境安全、区域边界安全、通信网络安全。安全管理体系的建设内容既从全局高度考虑为每个等级信息系统制定统一的安全管理策略，又从每个信息系统的实际需求出发，选择和调整具体的安全管理措施，后形成统一的整体安全管理体系。

适度化的安全建设思想能够将上述的方贯穿于信息资产的运行周期中，使各阶段、各层面的安全机制相互补足而形成体系，避免了安全建设的重复实施和过度投资。

安全研究人员是分层级的安全运维体系的*三层，主要由各领域的安全*组成，相当于“主任医生”。当主治医生遇到不能处理的健康状况时，需要通过主任医生协同会诊寻找病根和**手段。同时，主任医生还需负责向主治医生和医生进行能力输出，构建起长效的造血机制。

等级保护对象备案成功后，对已有的信息系统，其运营、使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。
    安全建设整改工作分五步进行：
    （1）落实安全建设整改工作部门，建设整改工作规划进行总体部署；
    （2）根据其等级从《基本要求》中选择相应等级的基本安全要求，确定网络安全建设需求并论证；
    （3）确定安全防护策略，制定网络安全建设整改方案(安全建设方案须经*评审论证，*(含)以上网络的安全建设整改方案应报机关备案)；
    （4）根据网络安全建设整改方案，实施安全建设工程；
    （5）开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。