兵团劳动和社会保障局金保工程等级保护暨综合信息安全系统建设项目

一、概述

根据人力资源和社会保障部制定的金保工程安全等级保护评定标准，按照公安部下发的安全等级保护建设规范，结合兵团金保工程已确定的18套业务系统等级保护工作以信息系统的安全保护的实际需求，以等级保护、纵深防御为基础，以安全管理与安全技术并重为方针，以信息系统安全工程为规范，科学、有效、适中地实现信息系统的安全。

二、系统建设文件要求

依据劳动和社会保障部《关于印发的通知》（劳社信息函〔2007〕19号）、兵团公安局、兵团信息化工作办公室、兵团教育局联合下发的《关于在非经营性上网服务场所落实安全等级保护技术措施的通知》（兵公通〔2011〕24号）、人力资源和社会保障部《关于进一步推进人力资源社会保障信息安全等级保护工作的通知》（人社部函〔2011〕246号）等文件要求。

三、系统建设内容概要及预算

系统建设周期预计一年，依据系统建设的先后顺序及性

1

质，整体系统建设分为五大子系统：

（一）金保工程分类和定级

等级保护是金保工程的重要环节，是实现重点保护的有效方法，也是我国信息安全的重大管理措施。本部分依据有关信息安全管理部门制定的管理办法或指南等文件，通过对金保工程18套业务系统的分类和定级来实现金保工程信息系统等级保护的目的，此系统预算60万元。

（二）金保工程风险分析和评估

金保工程安全需求的确定对金保工程安全建设将会起到至关重要的作用。金保工程信息系统安全需求来源于三个方面：首先，安全需求来自金保工程的特殊安全需求；其次，安全需求来自国家的法律法规以及国际和我国的信息安全标准（如，等级保护的管理办法和指南、国家信息安全标准等）；最后，通过金保工程18套业务系统的分类和定级并对保护对象进行风险分析和评估，最终得到各子系统以及各保护对象的风险排序，从而形成内网、专网和综合网的等级保护安全策略。通过三个方面的综合得到金保工程的信息系统的安全需求（或要求），此系统预算90万元。

（三）实施金保工程等保安全设计

前两部分工作的实施是为实施安全工程打基础的，实施金保工程安全技术设计是金保工程安全保障体系的核心。实施金保工程安全设计的前提是有明确的安全需求，只有明确

2

的安全需求才能保证安全设计的正确性。但是，实施安全技术设计采用的安全理念和方法也是实施安全设计成败的关键，我们采用目前世界上先进的纵深防御的安全理念，通过设计安全管理体系、安全技术体系和安全运行体系实现金保工程信息系统的总体安全设计，此系统预算50万元。

（四）金保工程等保安全实施

金保工程等保安全实施是金保工程等保安全建设的实施阶段。金保工程的等保安全实施包括：金保工程安全产品的选择、金保工程的安全集成、金保工程安全需求的调整、金保工程的网络微调、金保工程安全集成的监理。其中任何一个措施（步骤）都将对金保工程安全建设的质量产生重大影响。根据该部分工程特点，该子系统建设共分为安全设备选型和采购、系统安全ca认证中心、安全集成及服务，系统建设预算为465万元。

（五）金保等保工程安全有效性测试及加固系统金保工程必须通过等保安全测试才能投入运行。因此，实施认证认可制度势在必行。为了能使金保工程确保等保安全质量并顺利通过认证认可，我们必须在每一个过程结束后都要进行安全性评估和测试，在系统安全每项测试完成后还要进行总体测试。在自测的基础上完成第三方测试，最终使系统投入运行，此系统预算：35万元。

系统建设总体预算。700万元。

3