如何制定整改方案

下面主要介绍信息系统安全整改方案的主要内容，整改过程中涉及的网络安全产品选择使用注意事项。

1、整改方案主要内容

整改方案可以不拘泥于单一内容格式，设计内容可以随着单个信息系统、整个单位、多个系统进行方案设计。建议在信息系统安全整改方案中可以包含以下内容。

（1）项目背景

简述信息系统概况，信息系统在等级保护工作方面的进展情况，例如定级备案、安全现状测评情况等。

（2）信息系统安全建设整改的法规、政策和技术依据

列举在建设整改过程中涉及的国家层面、行业层面、主管单位层面等，所依据的网络安全等级保护有关法规、政策、文件和技术标准等。

（3）信息系统安全建设整改安全需求分析

从技术和管理两方面描述信息系统建设情况，系统应用情况及安全建设情况。结合安全现状评估结果，分析信息系统现有保护状况与等级保护要求的差距，结合信息系统自身的安全需求形成安全建设整改安全需求。

（4）信息系统安全等级保护建设整改技术方案设计

根据安全需求，确定整改技术方案的设计原则，建立总体技术框架结构。围绕差距报告，从、、、、角度，结合系统自身所在的物理环境、通信网络、可信环境、区域边界、安全管理中心，设计落实基本技术要求。

（5）信息系统安全等级保护建设整改管理体系设计

根据安全需求，确定整改管理体系的设计原则，指导思想。要求安全管理策略、制度体系建设要可操作性强、责任明确。

（6）信息系统安全产品选型及其技术指标

依据整改技术方案，确定设备选型的原则，给出具体的部署策略，明确选用设备的功能、性能指标。

（7）安全整改后信息系统面临的风险分析

安全整改不可能解决所有不符合基本要求的问题，对于没有解决的问题，或整改后引入的心问题，分析其可能的安全风险，提出合理可行的风险规避措施。

（8）信息系统安全等级保护建设整改项目实施计划

安全整改项目的实施需要制定相应的实施计划，落实项目管理部门和人员，对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。

（9）信息系统安全等级保护项目预算

根据本单位信息化的中长期发展规划和近期的建设投资规模，将等级保护安全整改建设工作纳入整体规划，可以采取分期分批、有计划的实施安全建设整改。在项目建设进行预算时，不仅仅包含安全设备投入、还需要将集成项目、等级测评费用、服务费用、运行管理费用等纳入到资金预算中。

2、信息安全产品选择

（1）选择获得销售许可证的网络安全产品

《中华人民共和国计算机信息系统安全保护条例》（国务院令147号）第十六条规定，国家对计算机信息系统安全专用产品的销售实行许可证制度。《计算机信息系统安全专用产品检测和销售许可证管理办法》（公安部令第32号）第三条规定，中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前，必须申领《计算机信息系统安全专用产品销售许可证》。

（2）产品分等级检测和使用

国家针对具体的产品类别，制定了一系列标准。产品标准，从产品的安全功能要求和安全保证要求两个方面，将每类产品划分为不同的等级，安全等级越高，安全功能要求越多，安全功能范围越广，安全功能粒度越细，安全保证要求越高。信息系统的等级越高，能力的要求越高，信息系统的能力，归根到底必须由具体的产品来实现。根据的“木桶理论”，最弱的那个环节将决定整个信息系统的安全。而产品的等级越高，就能提供越高的安全防护能力。所以不同等级的信息系统，应该使用相应等级的产品。

（3）第三级以上信息系统使用网络安全产品优先选择国产品

《管理办法》第二十一条规定，第三级以上信息系统应当选择使用符合以下条件的产品：① 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；② 产品的核心技术、关键部件具有我国自主知识产权；③ 产品研制、生产单位及其主要业务、技术人员无犯罪记录；④ 产品研制、生产单位声明没有故意留有或者设置、、等程序和功能；⑤ 对、社会秩序、公共利益不构成危害；⑥ 对已列入产品认证目录的，应当取得国家产品认证机构颁发的认证证书。