等级保护整改方案

1/22等级保护整改方案XXX系统等级保护整改方案单位名称：日期：年月日目录一、概述.3二、系统现状.31.系统描述.32.系统拓扑图.33.系统构成.34.系统测评结论.3三、整改依据.3四、2/22整改内容.4物理安全.4相关要求及依据.4安全现状及整改措施.4网络安全.4相关要求及依据.4安全现状及整改措施.4主机安全.4相关要求及依据.4安全现状及整改措施.4应用安全3/22.4相关要求及依据.4安全现状及整改措施.4数据安全及备份恢复.5相关要求及依据.5安全现状及整改措施.5安全管理制度.5相关要求及依据.5安全现状及整改措施.5安全管理机构.5相关要求及依据.5安全现状及整改措施.5人员安全管理.54/22相关要求及依据.5安全现状及整改措施.5系统建设管理.5相关要求及依据.6安全现状及整改措施.6系统运维管理.6相关要求及依据.6五、安全现状及整改措施.6方案总结.6附件一：设备清单汇总.7附件二：管理制度及表单条目清单.8一、概述。项目介绍5/22二、系统现状1.系统描述系统情况描述2.系统拓扑图3.系统构成4.系统测评结论三、整改依据1)GB17859-1999信息安全技术计算机信息系统安全保护等级划分准则；2)GB/T22239-XX信息安全技术信息系统安全等级保护基本要求；3)信息系统安全等级保护测评要求；4)XXX安全等级保护定级报告；5)XXX安全等级保护测评报告。四、整改内容物理安全相关要求及依据详见GB/T22239-XX有关物理安全要求。安全现状及整改措施网络安全相关要求及依据详见GB/T22239-XX有关网络要求。安全现状及整改措施6/22主机安全相关要求及依据详见GB/T22239-XX有关主机要求。安全现状及整改措施应用安全相关要求及依据详见GB/22239-XX有关应用要求安全现状及整改措施整改方案数据安全及备份恢复相关要求及依据详见GB/T22239-XX有关数据要求。安全现状及整改措施安全管理制度相关要求及依据详见GB/T22239-XX有关管理制度要求。安全现状及整改措施安全管理机构相关要求及依据详见GB/T22239-XX有关管理机构要求。安全现状及整改措施人员安全管理7/22相关要求及依据详见GB/T22239-XX有关人员安全管理要求。安全现状及整改措施系统建设管理整改方案密级：商密文档编号：等级保护整改方案-03项目代号：中国股份信息安全专项咨询项目等级保护整改方案北京信息安全技术有限公司XX年9月仅供股份信息安全专项咨询项目内部使用第1页共32页保密申明这份文件包含了来自星辰的可靠、权威的信息，这些信息是作为股份正在实施的信息安全专项咨询项目实施专用，接受这份计划书表示同意对其内容保密并且未经公司书面请求和书面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。仅供股份信息安全专项咨询项目内部使用8/22第2页共32页文档信息表仅供股份信息安全专项咨询项目内部使用第3页共32页目录保密申明.2文档信息表.31概述.62概述.6主要内容.6目标读者.6系统识别定级.9/22.7业务信息受到破坏时所侵害客体的确定.7信息受到破坏后对侵害客体的侵害程度.7系统定级.83现状概述.9ERP系统.9资金系统.11OA系统.124安全管理.13安全管理制度.10/22.14现状的不足.14管理制度.14整改方案.14安全管理机构.15现状的不足.15整改方案.15人员安全管理.16现状的不足.16整改方案.17系统建设管理11/22.17现状的不足.17整改方案.18系统运维管理.19现状的不足.19整改方案.215安全技术.23物理安全.23现状的不足.12/22.23整改方案.23网络安全.23现状的不足.23仅供股份信息安全专项咨询项目内部使用第4页共32页整改方案.24主机安全.25现状的不足.25整改方案.26应用安全.27现状的不足13/22.27整改方案.27数据安全及备份恢复.28现状描述.286整改方案总结.28管理制度的建设和修订.28管理机构和人员的设置.30人员安全技能培训.30技术修补.30日常安全管理控制.14/22.31成熟产品的使用.32仅供股份信息安全专项咨询项目内部使用第5页共32页电网企业等级保护建设整改方案黄敬志摘要：本文结合国家信息安全等级保护的有关规定和标准，对电网企业实施信息系统安全等级保护工作的内容和步骤进行了详细介绍，为同行业的相关工作提供参考。关键字：电网企业；信息安全等级保护EnterpriseofElectricPowerGridEnforcestheSecurityClassificationProtectionforInformationSystemAbstract：Thispapercombinewiththecountrysregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.15/22Keywords：theenterpriseofelectricpowergrid；securityclassificationprotection0.概述公安部、国家保密局、国家密码管理局和国务院信息化工作办公室于XX年6月联合发布了信息安全等级保护管理办法，标志着信息安全等级保护工作在全国范围全面推进1。信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法，是国家层面制定的信息安全工作标准。目前，信息安全等级保护工作在国内尚处于刚起步的阶段，如何落实具体的工作，是各重点企业工作面临的问题。电网企业作为关系国计民生的重要国有企业，在信息安全等级保护工作方面积极探索，并根据行业的特点制定了适合电网企业的规范、标准和实施指南，指导各单位全面落实国家的有关要求。1.信息安全等级保护的要求及标准信息安全等级保护指的是：对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促16/22进信息化建设健康发展。信息系统的运行单位根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对信息系统划分为五个安全保护和监管等级，实行分级保护。按照信息系统安全等级保护实施指南，信息系统安全等级保护实施基本工作流程分为五个阶段：信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止。各阶段的流程关系如下图：图1信息系统安全等级保护实施的基本流程2.信息系统安全等级保护实施方法信息系统定级按照信息安全等级保护管理办法，信息系统的安全保护等级分为五级，定级工作主要按照信息系统安全等级保护定级指南的标准执行，电网企业的系统定级，同时参照国家电力监管委员会下发的电力行业信息系统安全等级保护定级工作指导意见执行。信息系统定级主要由两个要素决定：系统受到破坏17/22时所侵害的客体和对客体造成侵害的程度。其中，客体包括“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”和“国家安全”三个方面，侵害程度包括“一般损害”、“严重损害”和“特别严重损害”三种级别。定级要素与信息系统安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系为了定级更准确，一般把信息系统安全分为业务信息安全和系统服务安全两部分，并对两部分分别定级，最后取定级的较高者为定级对象的安全保护等级。如办公自动化系统业务信息安全等级为二级，系统服务安全等级也是二级，那么办公自动化系统的定级就是二级；而省级电网公司的营销系统业务信息安全等级为二级，系统服务安全等级为一级，那么省级电网公司的营销系统定级就是二级。通常电网企业的信息系统定在四级以下，主要集中在一、二、三级。定级是等级保护的第一阶段工作，对后续阶段工作影响很大，如果定级不准过高会浪费人力、物力、财力，而过低则会存在安全隐患同时使后续工作失去意义，可见定级工作的重要性。安全建设或整改信息系统的安全保护等级确定后，企业就按照有关18/22规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级须要的信息技术产品，开展信息系统安全建设或者整改工作。信息系统安全等级保护基本要求是安全建设或安全整改的重要依据标准，该标准对每一级别系统安全保护的基本要求进行了描述，包括了技术要求和管理要求。新建系统与已建在用的系统，本阶段的工作有所不同。对于新建的信息系统，在系统的设计、规划阶段时就应当按照相应等级的安全保护要求进行建设；对于已建在用的信息系统，则应进行全面的差距评估，找出系统现状与等级保护标准之间的差距，制定整改方案，并逐一进行安全整改。等级测评信息系统建设完成后，系统运营、使用单位须选择等级测评机构对系统进行等级测评。系统测评按照信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南等标准进行。由于等级测评等同于对系统的安全建设或整改工作进行验收测试，而且对于新建系统，建议把等级测评纳入到系统的验收测试工作中一并进行，所以等级测评也可以被称为验收测评。等级测评工作重点分为两部分：选择等级测评机构和完成等级测评工作。19/22选择等级测评机构工作必须严格按照相关的规定进行，否则测评工作将得不到公安机关的认可。等级测评机构除了拥有相关信息安全服务资质并在本地公安机关备案外，还需要向公安机关提供承诺书，承诺不承担信息系统安全建设、整改、集成工作，不将等级测评任务分包、外包。上述要求，确保等级测评机构与信息安全建设整改机构呼吸之间的独立性，保证了等级测评工作的公正性，所以等级测评机构也称为第三方测评机构。按照信息系统安全等级保护测评过程指南，等级测评工作分为单元测评和整体测评两个阶段。单元测评阶段是针对等级保护标准逐条进行符合性检查，得出“符合”、“部分符合”以及“不符合”的结论；整体测评阶段是针对单项测评结果的“部分符合”和“不符合”项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。所以单元测评不符合的项目，如果站在整体角度看与其他测评项有关联关系并且这个关联关系能够“弥补”该测评项的不足，那么系统的整体测评结果也能够通过。系统备案按照要求，定级为二级及以上的信息系统均应到本20/22地地市级以上公安机关办理备案手续，第三级及以上的信息系统备案前，备案材料还要通过上级主管部门的审核，第一级的信息系统可以由运行单位自行决定是否进行备案。备案工作的重点是填写备案登记表格和编写系统定级报告，每个系统一份，经盖单位公章后递交公安机关，公安机关将对备案材料进行审核，认为系统定级无误之后会对每个定级系统颁发一份定级证书。已建在用的系统与新建系统，本阶段的工作有所不同。已建在用的系统，在定级之后30日内，到所在地的市级以上公安机关办理备案手续，而新建的系统则在系统通过等保测评并投入运行30日内到所在地的市级以上公安机关办理备案手续。系统运行信息系统的运行阶段占了系统生命阶段的70%-80%。在系统运行阶段，信息安全的保障工作也十分重要。等级保护标准中不仅对系统运行维护阶段的信息安全工作进行了规范要求，还对系统运行阶段的安全检查和测评工作提出了具体的要求，按照信息安全等级保护管理办法在系统正式投入运行后，定位三级的系统每年至少进行一次安全的自查和测评，四级系统每半年至少进行一次自查和测评。持续改进21/22信息安全等级保护工作是一项长期的、持续完善的工作，本文描述的各个阶段工作并不是完全独立的。运行当中的系统的如果进行了局部调整，或运行环境发生了变化，但是系统级别没有变化，那么须要重新进行差距评估、整改和等级测评；如果系统发生较大的调整，甚至系统级别可能发生改变，那么就须要对系统重新进行定级以及之后的所有相关的工作。当系统能够在定期的自查和测评过程中发现有问题，那么可以根据存在问题的大小，选择局部调整或重新定级。总体来说，信息安全等级保护工作符合目前流行的“PDCA”闭环管理原则。3.信息安全等级保护的重要意义信息安全等级保护的实施，实现对重要信息系统的重点安全保障，推进了信息安全保护工作的规