信息系统安全建设整改方案要素

信息系统安全建设整改方案要素

6信息系统安全建设整改方案要素

以下整改方案的设计要素主要是针对单个信息系统的，也可参照进行针对整个单位或多个信息系统的整改方案设计。

6.1 项目背景

简述信息系统概况，信息系统在等级保护工作方面的进展情况，例如定级备案情况和安全现状测评情况。

6.2 开展信息系统安全建设整改的法规、政策和技术依据。

列举在建设整改工作中所依据的信息安全等级保护有关法规、政策、文件和信息安全等级保护技术标准。

6.3 信息系统安全建设整改安全需求分析

从技术和管理两方面描述信息系统建设情况、系统应用情况及安全建设情况。结合安全现状评估结果，分析信息系统现有保护状况与等级保护要求的差距，结合信息系统的自身安全需求形成安全建设整改安全需求。

6.4 信息系统安全等级保护建设整改技术方案设计

根据安全需求，确定整改技术方案的设计原则，建立总体技术框架结构，可以从物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应用和数据的安全要求的技术路线。

6.5 信息系统安全等级保护建设整改管理体系设计

根据安全需求，确定整改管理体系的建设原则和指导思想，涉及安全管理策略和安全管理制度体系及其他具体管理措施。

6.6 信息系统安全产品选型及技术指标

依据整改技术设计，确定设备选型原则和部署策略，给出各类安全产品的选型指标和部署图，为设备采购提供依据。

6.7 安全建设整改后信息系统残余风险分析

安全整改可能不能解决所有不符合项目的问题，对于没有解决的问题，分析其可能的风险，提出风险规避措施。

6.8 信息系统安全等级保护整改项目实施计划

安全整改项目的实施需要制定相应的实施计划，落实项目管理部门和人员，对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。

6.9 信息系统安全等级保护项目预算

根据本单位信息化的中长期发展规划和近期的建设投资预算，将等级保护安全整改建设工作纳入整体规划，可以分期分批、有计划地实施建设整改，因此需要对建设项目进行费用预算，预算项目不仅包括安全设备投入，还应根据需要考虑集成费用、等级测评费用、服务费用和运行管理费用等。