前面我們談了定級、評審與備案三個工作項。接下來則是建設整改工作部分，但是從《信息安全技術 網(wǎng)絡安全等級保護實施指南》，這塊工作則進入總體安全規(guī)劃階段，和《信息安全等級保護管理辦法》五個規(guī)定動作不再是一一對應關系了。如圖所示進入第二層總體安全規(guī)劃。

　　細分又包括需求分析、總體設計、建設規(guī)劃，“三同步”原則為“同步規(guī)劃、同步建設、同步使用”，也就是在規(guī)劃之際就要考慮落實等級保護工作，而不是待測評時才考慮要“過”等保。另外，等級保護測評原則上不錯在過不過，只是對相應的系統(tǒng)給出科學公正的評價。過不過等保與前期規(guī)劃有著莫大的關系，再者等級保護測評工作的最終落腳點也是安全整改，也就是在安全整改中尋求落實等級保護工作未做到“三同步”而遺留的重大安全問題。

　　總體安全規(guī)劃是落實等級保護工作的前期工作，也是非常重要的環(huán)節(jié)。在這個環(huán)節(jié)，網(wǎng)絡運營、使用單位若自身實力不夠，一定要找足夠專業(yè)的安全服務機構或專家參與其中，提供專業(yè)的服務和指導。

　　總體安全規(guī)劃階段的目標是根據(jù)等級保護對象的劃分情況、等級保護對象的定級情況、等級保護對象承載業(yè)務情況，通過分析明確等級保護對象安全需求，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃，以指導后續(xù)的等級保護對象安全建設工程實施。

　　流程大致如下圖所示：

　　依據(jù)上圖，我們將總體安全規(guī)劃工作分成三個階段。

　　第一階段：安全需求分析

　　這個階段分基本安全需求和特殊安全需求。

　　基本安全需求需要輸入的包括等級保護對象詳細描述文件、安全保護等級定級報告、等級保護對象相關的其他文檔、GB/T 22239《信息安全技術 網(wǎng)絡安全等級保護基本要求》、行業(yè)基本要求等。這個階段對于基本安全需求涉及的子活動有確定等級保護對象范圍和分析對象、形成基本安全需求。根據(jù)等級保護對象的安全保護等級，提出等級保護對象的基本安全保護需求，通過安全需求分析輸出內(nèi)容為基本安全需求。

　　特殊安全需求需要輸入的等級保護對象詳細描述文件、安全保護等級定級報告、等級保護對象相關的其他文檔等。這個階段對于特殊安全需求可以采用目前成熟或流行的需求分析或風險分析方法，或者采用重要資產(chǎn)分析、重要資產(chǎn)安全弱點評估、 重要資產(chǎn)面臨威脅評估、 綜合風險分析。

　　通過分析重要資產(chǎn)的特殊保護要求，采用需求分析或風險分析的方法，確定可能的安全風險，判斷實施特殊安全措施的必要性，提出等級保護對象的特殊安全保護需求，最終輸出重要資產(chǎn)的特殊保護要求。

　　該階段輸入內(nèi)容有等級保護對象詳細描述文件、安全保護等級定級報告、基本安全需求、重要資產(chǎn)的特殊保護要求等。這個階段完成安全需求分析報告。根據(jù)基本安全需求和特殊的安全保護需求等形成安全需求分析報告完成安全需求分析報告包含但不限于  等級保護對象描述、基本安全需求描述、 特殊安全需求描述。

　　這個階段的工作是運營、使用單位，網(wǎng)絡安全服務機構共同完成。

　　通過總結基本安全需求和特殊安全需求，形成安全需求分析報告，最終輸出安全需求分析報告。

　　第二階段：總體安全設計

　　該階段又可以分為總體安全策略設計、安全技術體系結構設計、整體安全管理體系結構設計，最終則完成設計結果文檔化。

　　總體安全策略設計需要輸入的等級保護對象詳細描述文件、安全保護等級定級報告、安全需求分析報告。通過確定安全方針、制定安全策略形成機構綱領性的安全策略文件，包括確定安全方針，制定安全策略，以便結合等級保護基本要求系列標準、行業(yè)基本要求和安全保護特殊要求，構建機構等級保護對象的安全技術體系結構和安全管理體系結構。對于新建的等級保護對象，應在立項時明確其安全保護等級，并按照相應的保護等級要求進行總體安全策略設計。最終需要輸出總體安全策略文件。

　　安全技術體系結構設計需要輸入總體安全策略文件、等級保護對象詳細描述文件、安全保護等級定級報告、安全需求分析報告、GB/T 22239、行業(yè)基本要求。通過設計安全技術體系架構、規(guī)定不同級別定級對象物理環(huán)境的安全保護技術措施、規(guī)定通信網(wǎng)絡的安全保護技術措施、規(guī)定不同級別定級對象的邊界保護技術措施、規(guī)定定級對象之間互聯(lián)的安全技術措施、規(guī)定不同級別定級對象內(nèi)部的安全保護技術措施；根據(jù)機構總體安全策略文件、等級保護基本要求、行業(yè)基本要求和安全需求，提出云計算、移動互聯(lián)等新技術的安全保護策略和安全技術措施。云計算平臺應至少滿足其承載的最高級別定級對象的等級保護基本要求；形成等級保護對象安全技術體系結構將骨干網(wǎng)或城域網(wǎng)、通過骨干網(wǎng)或城域網(wǎng)的定級對象互聯(lián)、局域網(wǎng)內(nèi)部的定級對象互聯(lián)、定級對象的邊界、定級對象內(nèi)部各類平臺、機房以及其他方面的安全保護策略和安全技術措施進行整理、匯總，形成等級保護對象的安全技術體系結構。最終需要輸出等級保護對象安全技術體系結構。圖片

　　整體安全管理體系結構設計需要輸入總體安全策略文件、等級保護對象詳細描述文件、安全保護等級定級報告、安全需求分析報告、GB/T 22239、行業(yè)基本要求。通過設計等級保護對象的安全管理體系框架、規(guī)定網(wǎng)絡安全的組織管理體系和對不同級別定級對象的安全管理職責、規(guī)定不同級別定級對象的人員安全管理策略、規(guī)定不同級別定級對象機房及辦公區(qū)等物理環(huán)境的安全管理策略、規(guī)定不同級別定級對象介質、設備等的安全管理策略、規(guī)定不同級別定級對象運行安全管理策略、根據(jù)機構總體安全策略文件、等級保護基本要求系列標準、行業(yè)基本要求和安全需求，提出各個不同級別定級對象的安全事件處置和應急管理策略等；規(guī)定不同級別定級對象安全事件處置和應急管理策略等。最終需要輸出等級保護對象安全管理體系結構。圖片

　　根據(jù)安全需求分析報告、等級保護對象安全技術體系結構、等級保護對象安全管理體系結構等，對安全需求分析報告、等級保護對象安全技術體系結構和安全管理體系結構等文檔進行整理，形成等級保護對象總體安全方案。

　　等級保護對象安全總體方案應包含但不限于等級保護對象概述、總體安全策略、 等級保護對象安全技術體系結構、 等級保護對象安全管理體系結構。

　　第三階段：安全建設項目規(guī)劃

　　該階段又可以分為安全建設目標確定、安全建設內(nèi)容規(guī)劃，最終則形成安全建設項目規(guī)劃。

　　安全建設目標確定需要輸入等級保護對象安全總體方案、機構或單位信息化建設的中長期發(fā)展規(guī)劃。通過信息化建設中長期發(fā)展規(guī)劃和安全需求調(diào)查、提出等級保護對象安全建設分階段目標，確定各個時期的安全建設目標。最終輸出等級保護對象分階段安全建設目標。

　　安全建設內(nèi)容規(guī)劃需要輸入等級保護對象安全總體方案、等級保護對象分階段安全建設目標。通過確定主要安全建設內(nèi)容，其中內(nèi)容可分解為但不限于以下內(nèi)容：

　　1） 安全基礎設施建設；

　　2） 網(wǎng)絡安全建設；

　　3） 系統(tǒng)平臺和應用平臺安全建設；

　　4） 數(shù)據(jù)系統(tǒng)安全建設；

　　5） 安全標準體系建設；

　　6） 人才培養(yǎng)體系建設；

　　7） 安全管理體系建設。

　　確定主要安全建設項目實現(xiàn)設計分期分批的主要建設內(nèi)容，并將建設內(nèi)容組合成不同的項目，闡明項目之間的依賴或促進關系等。最終輸出安全建設項目列表（含安全建設內(nèi)容）。

　　形成安全建設項目規(guī)劃需要輸入等級保護對象安全總體方案、等級保護對象分階段安全建設目標、安全建設內(nèi)容等，對等級保護對象分階段安全建設目標、安全總體方案和安全建設內(nèi)容等文檔進行整理，形成等級保護對象安全建設項目規(guī)劃。在時間和經(jīng)費上對安全建設項目列表進行總體考慮，分到不同的時期和階段，設計建設順序，進行投資估算，形成安全建設項目規(guī)劃。輸出等級保護對象安全建設項目規(guī)劃。

　　安全建設項目規(guī)劃可包含但不限于以下內(nèi)容：

　　a） 規(guī)劃建設的依據(jù)和原則；

　　b） 規(guī)劃建設的目標和范圍；

　　c） 等級保護對象安全現(xiàn)狀；

　　d） 信息化的中長期發(fā)展規(guī)劃；

　　e） 等級保護對象安全建設的總體框架；

　　f） 安全技術體系建設規(guī)劃；

　　g） 安全管理與安全保障體系建設規(guī)劃；

　　h） 安全建設投資估算（含測試及運維估算等內(nèi)容）；

　　i） 等級保護對象安全建設的實施保障等內(nèi)容。

　　這個階段的工作主要是運營、使用單位，網(wǎng)絡安全服務機構共同完成。

　　前面，我們提到有關“三同步”，在設計策劃階段很多時候可能會有更多的商務介入，其實在這個過程中網(wǎng)絡運營、使用單位最需要的具備整體系統(tǒng)性把控安全能力的技術人員。技術方面也不是什么都能應承都敢應承的，一個全面的技術人員需要了解法律法規(guī)政策以及當下成熟技術，才能夠給出合理化的建議。

　　等級保護工作，遵循“三同步”原則，在設計之初需要滿足《網(wǎng)絡安全等級保護基本要求》，通過《網(wǎng)絡安全等級保護實施指南》《網(wǎng)絡安全等級保護安全設計技術要求》《信息系統(tǒng)安全工程管理要求》等標準來實現(xiàn)。因為《設計要求》又不包括網(wǎng)絡的物理安全、安全管理、安全運維等方面的安全要求，所以還需要與《網(wǎng)絡安全等級保護基本要求》等標準配合使用。所以各個標準之間的關系是互相支援，相輔相成的關系，不可鉆進一個標準里出不來，更不可脫離標準主觀臆斷。

　　在接下來的時間里，我們將逐步展開這方面的內(nèi)容，我想無論是對于集成方還是網(wǎng)絡運營、使用方都有參考意義和價值。