1、word專業資料等級保護工作開展參考資料文檔說明1 1）目標對象：客戶單位的信息主管/ /計算機信息系統運維管理人員2 2） 文檔功能：與客戶一起探討“信息安全等級保護工作開展”工作方法一.等級保護整體服務方案2 2）準備等保測評所需 要的文檔和資料3 3）配合測評機構的現 場測評工作圖 1 1 等級保護整體服務方案工作流程圖等級保護的建設是個長期的過程，需要花費大量的時間、精力和財力，本著為用戶服務的態度，“中國信息安全測評服務方華中測評服務中心”推出了等級保護專業服務，提供 包括定級備案、差距分析、方案制訂、實施、測評、檢查等各個環節的服務，通過自身的安全產品、安全服務，可協助用戶完成等級

2、保護各個階段的實施和建設，確保用戶嚴格按照等級保護的過程規劃并建設自己的安全保障體系，更好地支撐應用和業務的開展，為用戶信息 安全保障體系“保駕護航”。測評服務方在等級保護各個階段將協助用戶完成上圖的任務和工作。具體包括: 1 1）等級保護定級備案對信息系統進行劃分，并根據信息系統的價值確定信息系統的保護等級，等級確定后測評服務方將協助用戶完成保護等級的備案工作。2 2）等級保護差距分析通過風險評估可以發現信息系統的安全現狀與需要達到的安全等級或目標的差異，使信等保定級備案1 1）分析信息系統特點2 2）對重要信息系統進行摸底調查， 確定定 級對象3 3）完成定級報告4 4）協助專家評審和審批

3、5 5）完成定級備案工作等保整改與安全建設1 1） 明確整改思路2 2） 進行風險評估3 3） 通過現場訪談、現場測試等方式，完成差距分析報告4 4） 形成等保整改和安全建設方案5 5） 進行等保整改建設等保檢查1 1）開展自查2 2）進行行業檢查3 3）準備檢查所需要的文檔和資料4 4）配合公安機關的現場檢查工作等保測評1 1）制定測評咨詢工作計劃word專業資料息系統的管理和使用單位可以在技術和管理方面進行有針對性的加強和完善，使單位的信息系統安全工作有的放矢。3 3）等級保護整改建議方案測評服務方根據評估的結果和信息系統確認的保護等級，結合信息系統安全等級保護基本要求以及其它相關整改標準

4、中對各級別信息系統的技術、管理和運維方面的要求，制定相應的安全保護措施，完成等級保護整改建議方案的設計。依據公通字200743200743 號文的要求，信息系統定級工作完成后，運營、使用單位首先要 按照相關的管理規和技術標準進行安全建設和整改，使用符合有關規定、滿足信息系統安全保護等級需求的信息技術產品，進行信息系統安全建設或者改建工作。等級保護整改的核心是根據用戶的實際信息安全需求、業務特點及應用重點， 在確定不同系統重要程度的基礎上，進行重點保護。整改工作要遵循等級保護相關要求，將等級保護要求體現到方案、產品和安全服務中去， 并切實結合用戶信息安全建設的實際需求，建設一套全面保護、重點突出

5、、持續運行的安全保障體系，將等級保護制度確實落實到企業的信息 安全規劃、建設、評估、運行和維護等各個環節，保障企業的信息安全。4 4）等級保護整改實施測評服務方將依據規劃向用戶提供詳細設計和等級保護系統建設服務，確保保障等級能夠達到信息系統所要求的保護等級， 或者協助用戶進行等級保護的實施， 對承建商的工作進 行監理。5 5）等級保護測評咨詢在信息系統進行完成定級和整改實施之后，需要通過測試手段對信息系統的安全技術和word專業資料戶通過等級保護測評工作。6 6）等級保護檢查咨詢在信息系統進行完成定級和整改實施之后，主管機關將對信息系統的安全技術和安全管理各個層面的安全控制進行檢查，測評服務方

6、將協助用戶準備檢查所需要的文檔和資料，配合公安機關開展現場的檢查工作。二.等級保護定級過程方法/方案2.1. 定級工作的重要性信息系統的定級是等級保護工作的首要環節。從等級保護角度看，安全級別定不準，系統備案、建設整改、 等級測評等工作就都失去了針對性，完整地理解等級保護政策、準確定級，是開展后續整改和測評工作的基礎，可以避免后續工作走彎路， 造成投資浪費或者安全程度過低；從定級單位自身的安全需求看，是本單位結合業務需求、信息安全建設現狀，從 自身安全需求出發，進行有針對性的信息安全規劃、建設、運維的實際要求。22 定級過程等級保護定級與備案工作是基于信息系統安全等級保護相關文件的要求，測評服

7、務方結合客戶的組織架構、業務要求、信息系統的實際情況，協助客戶進行信息系統的等級評定， 并為客戶制定適合自身行業特點的信息系統定級指導意見（可選）的服務。共分為七個大的階段：定級準備階段、摸底調查階段、初步定級階段、行業化定級指導建議階段（可選）、評審和審批階段、協助備案階段、項目總結階段。定級之后，隨著業務的變化，信息系統的級別可能需要進行適當的調整、變更，此時需 要進行等級變更。安全管理上各個層面的安全控制進行整體性驗證,測評服務方提供的測評咨詢服務將協助用word專業資料2.2.1.2.2.1. 定級準備階段在定級的過程中，不僅會涉及客戶的信息管理部門，還會涉及到不同的業務部門，只有業務

8、部門對信息系統的業務要求、信息系統受損害后的程度最為了解，因此業務部門應參與、甚至主導對業務信息系統的定級工作。初步明確定級圍，以便后續開展摸底調查和進行定級。定級圍包括本單位部建設、使用的承載生產、調度、管理、辦公等重要業務的信息系統。測評服務方根據已了解的初步基本信息、定級圍，按照等級保護相關文件（如861861 號文、定級指南、測評服務方定級方法等），制定本單位信息系統安全等級的定級工作計劃。222222信息系統識別由定級工作項目組中的信息管理部門相關人員牽頭，開展對所有需要定級的信息系統的摸底調查工作，掌握信息系統的基本情況，了解信息系統（包括信息網絡）的業務類型、應 用或服務圍、用戶

9、數量、系統結構、部署方式等信息，為下一步明確定級圍、進行定級奠定 基礎。測評服務方會準備信息系統調查表，協助客戶的信息管理部門開展信息系統識別工作，組織相關業務部門填寫調查表。在這個工作過程中，各業務部門的接口人根據信息系統的實際情況填寫調查表，測評服務方通過、等方式對各業務部門接口人提供技術支持，支持解答定級圍、表格填寫以及填報系統使用等問題。2.2.3.2.2.3.初步定級測評服務方準備信息系統安全等級保護定級報告模板，給出定級報告示例。定級工作項目組的信息管理部門和業務部門依據定級報告模板，起草信息系統安全等級保護定級扌艮告。雖然定級指南已經給出了定級的原則和指南，但在具體定級過程中，由

10、于各行業各word專業資料單位的自身特點不同， 加上信息系統的數量可能較多、涉及單位或部門較多， 業務單位則普遍缺少定級的經驗，可能會導致定出來的安全等級不合理、同類信息系統在不同單位定的級別不一致、下級單位定級高于上級單位定級等不合理等情況。測評服務方根據已經掌握的信息系統情況，對各單位上傳的定級報告的合理性進行初步研究和審核把關，請相關單位派人共同討論，按照系統類別梳理定級報告，對照對不同等級的要求，在報告容、行文格式、定級準確性等方面給出修改意見。根據討論的定級報告修改意見，各單位的定級工作組修改定級報告，并匯總到定級工作項目組，由定級工作項目組統一匯總、整理后，形成定級報告的專家評審稿

11、。2.2.4.2.2.4. 行業化定級指導建議依據對已定級信息系統的了解，根據客戶單位的實際情況，結合定級指南的要求，測評服務方可協助客戶制定行業化的某某行業等級保護定級指導建議（可選），以指導本行業、本地區的定級工作。2.2.5.2.2.5. 評審和審批初步確定信息系統安全保護等級后， 測評服務方將協助客戶聘請等級保護專家、 行業專 家、主管機關領導等外部專家， 召開信息系統定級評審會，對定級報告進行外部評審，并形成評審意見。評審后，測評服務方將協助客戶參考專家定級評審意見，最終確定信息系統等級， 進一步修改各信息系統的定級報告和行業化定級指導建議（若有），形成最終的定級報告。若客戶有上級主

12、管部門或行業主管，并對定級報告具有審批要求的，測評服務方將協助將信息系統安全保護等級定級報告報經上級主管部門審批同意。2.2.6.2.2.6. 協助備案根據 4343 號文（信息安全等級保護管理辦法），信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門，應到公安部下載信息系統安全等級保護備案表word專業資料持填寫的備案表紙制版及其電子版（均為 wordword 表格），到公安機關辦理備案手續，提交有關備案材料。測評服務方將協助客戶填寫信息系統安全等級保護備案表，協助完成備案工作。2.2.7.2.2.7.總結報告階段各單位對本單位的定級工作進行總結并報給定級項目工作組。定級項目工

13、作組匯總整個單位的定級情況，對定級工作進行總結，形成總結報告，提交信息系統定級指導委員會、信息管理部門主管領導，并可同時報送給備案的公安機關。三.整改與安全建設服務方案3.1. 等級保護整改與安全建設工作重要性依據公通字200743200743 號文的要求，信息系統定級工作完成后，運營、使用單位首先要 按照相關的管理規和技術標準進行安全建設和整改，使用符合有關規定、滿足信息系統安全保護等級需求的信息技術產品，進行信息系統安全建設或者改建工作。等級保護整改的核心是根據用戶的實際信息安全需求、業務特點及應用重點， 在確定不同系統重要程度的基礎上，進行重點保護。整改工作要遵循等級保護相關要求，將等級

14、保護要求體現到方案、產品和安全服務中去，并切實結合用戶信息安全建設的實際需求，建設一套全面保護、重點突出、持續運行的安全保障體系，將等級保護制度確實落實到企業的信息 安全規劃、建設、評估、運行和維護等各個環節，保障企業的信息安全。3.2. 等級保護整改與安全建設過程等級保護整改與安全建設是基于信息系統安全等級保護相關標準和文件的要求，針對客戶已定級備案的信息系統、或打算按照等保要求進行安全建設的信息系統，結合客戶組織架構、業務要求、信息系統實際情況， 通過一套規的等保整改過程， 協助客戶進行風險評估和等級保護差距分析，制定完整的安全整改建議方案，并根據需要協助客戶對落實整改實施方 案或進行方案

15、的評審、招投標、整改監理等工作，協助客戶完成信息系統等級保護整改和安 全建設工作。word專業資料等保整改與建設過程主要包括等級保護差距分析、等級保護整改建議方案、等級保護整改實施三個階段。3.2.1.3.2.1.等級保護差距分析1.1.等級保護風險評估1 1）評估目的對信息系統進行安全等級評估是推行等級保護制度的一個重要環節，也是對信息系統進行安全建設和管理的重要組成部分。等級評估不同于按照等級保護要求進行的等保差距分析。風險評估的目標是深入、 詳細地檢查信息系統的安全風險狀況，而差距分析則是按照等保的所有要求進行符合性檢查，檢查信息系統現狀與等保要求之間的符合程度。可以說，風險評估的結果更

16、能體現是客戶信息系統技術層面的安全現狀，比差距分析結果在技術上更加深入。風險評估的結果和差距分析結果都是整改建議方案的輸入。測評服務方通過專業的等級評估服務，協助用戶完成以下的目標：了解信息系統的管理、網絡和系統安全現狀；確定可能對資產造成危害的威脅；確定威脅實施的可能性；對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產是最重要的；對最重要的、最敏感的資產，確定一旦威脅發生其潛在的損失或破壞；明確信息系統的已有安全措施的有效性；明晰信息系統的安全管理需求。word專業資料2 2）評估容資產識別與賦值主機安全性評估數據庫安全性評估安全設備評估現場風險評估用到的主要

17、評估方法包括：漏洞掃描控制臺審計技術訪談3 3）評估分析根據現場收集的信息及對這些信息的分析，評估小組形成定級信息系統的弱點評估報告、風險評估報告等文檔，使客戶充分了解信息系統存在的風險，作為等保差距分析的一項重要輸入，并作為后續整改建設的重要依據。2.2.等保差距分析通過差距分析，可以了解客戶信息系統的現狀，確定當前系統與相應保護等級要求之間 的差距，確定不符合安全項。1 1）準備差距分析表項目組通過準備好的差距分析表，與客戶確認現場溝通的對象（部門和人員），準備相應的檢查容。在整理差距分析表時，整改項目組會根據信息系統的安全等級從基本要求中選擇相應等 級的基本安全要word專業資料求，根據

18、及風險評估的結果進行調整，去掉不適用項，增加不能滿足客戶信息系統需求的安全要求。差距分析表包含以下容：安全技術差距分析：包括網絡安全、主機安全、應用安全、數據安全及備份恢復；安全管理差距分析：包括安全管理制度、安全管理機構、人員安全管理、系統建設 管理；系統運維差距分析： 包括環境管理、資產管理、介質管理、監控管理和安全管理中 心、網絡安全管理、系統安全管理、惡意代碼防管理、密碼管理、變更管理、備份 與恢復管理、安全事件處置；物理安全差距分析： 包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷 擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。不同安全保護級別的系統所使用的差

19、距分析表的容也不同。2 2）現場差距分析整改項目組依據差距分析表中的各項安全要求，對比信息系統現狀和安全要求之間的差距，確定不符合項。現場工作階段，整改項目組可分為管理檢查組和技術檢查組兩個小組。在差距分析階段，可以通過以下方式收集信息，詳細了解客戶信息系統現狀，并通過分析所收集的資料和數據，以確認客戶信息系統的建設是否符合該等級的安全要求，需要進行哪些方面的整改。查驗文檔資料人員訪談現場測試word專業資料3 3）生成差距分析報告完成現場差距分析之后，整改項目組歸納整理、 分析現場記錄，找出目前信息系統與等級保護安全要求之間的差距，明確不符合項，生成等級保護差距分析報告。3.2.2.3.2.

20、2.等級保護整改建議方案1.1. 整改目標溝通確認通過與客戶高層領導、相關業務部門和信息安全管理部門進行廣泛的溝通協商，測評服務方會依據風險評估和差距分析的結果，明確等級保護整改工作的工作目標， 提出等級保護整改建議方案。對暫時難以進行整改的部分容，將在討論后作為遺留問題，明確列在整改建議方案中。2.2. 總體框架根據等保安全要求，測評服務方提出如下的安全整改建議，其中PMOTPMOT 體系是信息安全保障總體框架模型。PolicyMitnagement i/fl1Ojieration運緋Technology技術圖信息安全 PMOTPMOT 體系模型word專業資料測評服務方根據建議方案的設計原

21、則，協助客戶制定總體安全保障體系架構，包括制定安全策略，結合等級保護基本要求和安全保護特殊要求，來構建客戶信息系統的安全技術體系、安全管理體系及安全運維體系，具體容包括：建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定 義信息安全工作的總體目標。安全技術體系：安全技術的保障包括網絡邊界防御、安全通信網絡、主機和應用系 統安全、檢測響應體系、冗余與備份以及安全管理中心。建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規人員管理和 系統建議管理。安全運維體系：機房安全，資產及設備安全，網絡與系統安全管理、監控和安全管理等。展開后的等級保護整改與安全建設總體框架如

22、下圖所示，從信息安全整體策略PolicyPolicy、安全管理體系 MaMa nagemenageme ntnt 、安全技術體系 TechnoTechno logylogy、安全運維 OperatioOperatio n n 四個層面 落實等級保護安全基本要求。等級保護整改與安全建設總體框架人訃安今晉理變迅計.里word專業資料安個誓珈泅度條統建復肯理圖 4 4 等級保護整改與安全建設總體框架3.3.方案說明信息安全策略信息安全策略是最高管理層對信息安全的期望和承諾的表達，位于整個PMOTPMOT 信息安全體系的頂層，也是安全管理體系的最高指導方針， 明確了信息安全工作總體目標， 對技術 和管理各方面的安全工作具有通用指導性。安全技術體系測評服務方根據整改目標提出整改方案的安全技術保障體系，將保障體系框架中要現的網絡、主機和應用安全落實到產品功能或物理形態上，提出能夠實現的產品或組件及其具體規，并將產品功能特征整理成文檔。使得在信息安全產品采購和安全控制開發階段具有依 據，主要容包括：網絡邊界護御、安全通信網絡、主機與應用防護體系、檢測響應體系、冗 余與備份、信息安全管理中心。安全管理