2、等级保护工作各环节服务方案设计

1、实用文档 等级保护工作开展参考资料 文档说明 1）目标对象： 客户单位的信息主管/计算机信息系统运维管理人员 2）文档功能：与客户一起探讨“信息安全等级保护工作开展”工作方法 一. 等级保护整体服务方案 等保定级备案 1）分析信息系统特点 2）对重要信息系统进 行摸底调查，确定定 级对象 3）完成定级报告 4）协助专家评审和审 批 5）完成定级备案工作 等保整改与安全建设 1）明确整改思路 2）进行风险评估 3）通过现场访谈、现 场测试等方式，完成 差距分析报告 4）形成等保整改和安 全建设方案 5）进行等保整改建设 等保测评 1）制定测评咨询工作 计划 2）准备等保测评所需 要的文档和资料

2、3）配合测评机构的现 场测评工作 等保检查 1）开展自查 2）进行行业检查 3）准备检查所需要的 文档和资料 4）配合公安机关的现 场检查工作 文案大全 图1等级保护整体服务方案工作流程图 等级保护的建设是个长期的过程，需要花费大量的时间、精力和财力，本着为用户服 务的态度，“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务，提供 包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务，通过自身的安 全产品、安全服务，可协助用户完成等级保护各个阶段的实施和建设，确保用户严格按照等 级保护的过程规划并建设自己的安全保障体系，更好地支撑应用和业务的开展，为用户信息 安全保

3、障体系保驾护航 测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括: 1）等级保护定级备案 等级确定后测 对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级, 评服务方将协助用户完成保护等级的备案工作。 2）等级保护差距分析 通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，使信 使单位的信息 息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善， 系统安全工作有的放矢。 3) 等级保护整改建议方案 测评服务方根据评估的结果和信息系统确认的保护等级， 结合信息系统安全等级保护 基本要求 以及其它相关整改标准中对各级别信息系统的技

4、术、 管理和运维方面的要求， 制 定相应的安全保护措施，完成等级保护整改建议方案的设计。 依据公通字 200743 号文的要求， 信息系统定级工作完成后， 运营、 使用单位首先要按 照相关的管理规范和技术标准进行安全建设和整改， 使用符合国家有关规定、 满足信息系统 安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。 等级保护整改的核心是根据用户的实际信息安全需求、 业务特点及应用重点， 在确定不 同系统重要程度的基础上， 进行重点保护。 整改工作要遵循国家等级保护相关要求， 将等级 保护要求体现到方案、 产品和安全服务中去， 并切实结合用户信息安全建设的实际需求， 建 设一套

5、全面保护、 重点突出、 持续运行的安全保障体系， 将等级保护制度确实落实到企业的 信息安全规划、建设、评估、运行和维护等各个环节，保障企业的信息安全。 4) 等级保护整改实施 测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务， 确保保障等级能 够达到信息系统所要求的保护等级， 或者协助用户进行等级保护的实施， 对承建商的工作进 行监理。 5) 等级保护测评咨询 在信息系统进行完成定级和整改实施之后， 安全管理上各个层面的安全控制进行整体性验证， 需要通过测试手段对信息系统的安全技术和 测评服务方提供的测评咨询服务将协助用 户通过等级保护测评工作。 国家主管机关将对信息系统的安全技术

6、和安 6) 等级保护检查咨询 在信息系统进行完成定级和整改实施之后， 全管理各个层面的安全控制进行检查，测评服务方将协助用户准备检查所需要的文档和资 料，配合公安机关开展现场的检查工作。 二. 等级保护定级过程方法 / 方案 2.1. 定级工作的重要性 信息系统的定级是等级保护工作的首要环节。 从等级保护角度看， 安全级别定不准， 系 统备案、建设整改、 等级测评等工作就都失去了针对性， 完整地理解国家等级保护政策、准 确定级， 是开展后续整改和测评工作的基础， 可以避免后续工作走弯路， 造成投资浪费或者 安全程度过低； 从定级单位自身的安全需求看， 是本单位结合业务需求、 信息安全建设现状，

7、 从自身安全需求出发，进行有针对性的信息安全规划、建设、运维的实际要求。 2.2. 定级过程 等级保护定级与备案工作是基于国家信息系统安全等级保护相关文件的要求， 测评服务 方结合客户的组织架构、 业务要求、 信息系统的实际情况， 协助客户进行信息系统的等级评 定，并为客户制定适合自身行业特点的信息系统定级指导意见 （可选） 的服务。共分为七个 大的阶段： 定级准备阶段、 摸底调查阶段、 初步定级阶段、 行业化定级指导建议阶段 （可选）、 评审和审批阶段、协助备案阶段、项目总结阶段。 定级之后， 随着业务的变化，信息系统的级别可能需要进行适当的调整、变更，此时需 要进行等级变更。 2.2.1.

8、定级准备阶段 在定级的过程中， 不仅会涉及客户的信息管理部门， 还会涉及到不同的业务部门， 只有 业务部门对信息系统的业务要求、 信息系统受损害后的程度最为了解， 因此业务部门应参与、 甚至主导对业务信息系统的定级工作。 初步明确定级范围， 以便后续开展摸底调查和进行定级。 定级范围包括本单位内部建设、 使用的承载生产、调度、管理、办公等重要业务的信息系统。 测评服务方根据已了解的初步基本信息、定级范围，按照国家等级保护相关文件（如 861 号文、国家定级指南 、测评服务方定级方法等） ，制定本单位信息系统安全等级的定 级工作计划。 2.2.2.信息系统识别 由定级工作项目组中的信息管理部门相

9、关人员牵头， 开展对所有需要定级的信息系统的 摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应 用或服务范围、用户数量、系统结构、部署方式等信息，为下一步明确定级范围、进行定级 奠定基础。 测评服务方会准备信息系统调查表 ，协助客户的信息管理部门开展信息系统识别工 作，组织相关业务部门填写调查表。 在这个工作过程中， 各业务部门的接口人根据信息系统的实际情况填写调查表， 测评服 务方通过邮件、 电话等方式对各业务部门接口人提供技术支持， 支持解答定级范围、 表格填 实用文档 写以及填报系统使用等问题。 2.2.3.初步定级 测评服务方准备信息系统安全等级保护定级

10、报告模板 ，给出定级报告示例。定级工 作项目组的信息管理部门和业务部门依据定级报告模板， 起草信息系统安全等级保护定级 报告。 虽然国家定级指南已经给出了定级的原则和指南，但在具体定级过程中，由于各行 业各单位的自身特点不同， 加上信息系统的数量可能较多、 涉及单位或部门较多， 业务单位 则普遍缺少定级的经验， 可能会导致定出来的安全等级不合理、 同类信息系统在不同单位定 的级别不一致、下级单位定级高于上级单位定级等不合理等情况。 测评服务方根据已经掌握的信息系统情况， 对各单位上传的定级报告的合理性进行初步 研究和审核把关， 请相关单位派人共同讨论， 按照系统类别梳理定级报告， 对照国家对不

11、同 等级的要求，在报告内容、行文格式、定级准确性等方面给出修改意见。 根据讨论的定级报告修改意见， 各单位的定级工作组修改定级报告， 并汇总到定级工作 项目组，由定级工作项目组统一汇总、整理后，形成定级报告的专家评审稿。 2.2.4.行业化定级指导建议 依据对已定级信息系统的了解， 根据客户单位的实际情况，结合国家定级指南 的要 求，测评服务方可协助客户制定行业化的 某某行业等级保护定级指导建议 （可选），以指 导本行业、本地区的定级工作。 2.2.5.评审和审批 初步确定信息系统安全保护等级后， 测评服务方将协助客户聘请等级保护专家、 行业专 家、主管机关领导等外部专家， 召开信息系统定级评

12、审会，对定级报告进行外部评审， 并形 成评审意见。 评审后， 测评服务方将协助客户参考专家定级评审意见，最终确定信息系统等级， 进一 步修改各信息系统的定级报告和行业化定级指导建议（若有） ，形成最终的定级报告。 若客户有上级主管部门或行业主管， 并对定级报告具有审批要求的， 测评服务方将协助 将信息系统安全保护等级定级报告报经上级主管部门审批同意。 2.2.6.协助备案 根据 43 号文（信息安全等级保护管理办法 ），信息系统安全保护等级为第二级以上的 信息系统运营使用单位或主管部门， 应到公安部网站下载 信息系统安全等级保护备案表 ， 持填写的备案表纸制版及其电子版 （均为 word 表格

13、 ），到公安机关办理备案手续，提交有关 备案材料。测评服务方将协助客户填写信息系统安全等级保护备案表 ，协助完成备案工 文案大全 实用文档 作。 2.2.7.总结报告阶段 各单位对本单位的定级工作进行总结并报给定级项目工作组。 定级项目工作组汇总整个 单位的定级情况，对定级工作进行总结， 形成总结报告， 提交信息系统定级指导委员会、信 息管理部门主管领导，并可同时报送给备案的公安机关。 三. 整改与安全建设服务方案 3.1. 等级保护整改与安全建设工作重要性 依据公通字 200743 号文的要求， 信息系统定级工作完成后， 运营、 使用单位首先要按 照相关的管理规范和技术标准进行安全建设和整改

14、， 使用符合国家有关规定、 满足信息系统 安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。 等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点，在确定 不同系统重要程度的基础上，进行重点保护。 整改工作要遵循国家等级保护相关要求，将 等级保护要求体现到方案、 产品和安全服务中去， 并切实结合用户信息安全建设的实际需求， 建设一套全面保护、 重点突出、 持续运行的安全保障体系， 将等级保护制度确实落实到企业 的信息安全规划、建设、评估、运行和维护等各个环节，保障企业的信息安全。 3.2. 等级保护整改与安全建设过程 等级保护整改与安全建设是基于国家信息系统安全等

15、级保护相关标准和文件的要求， 针 对客户已定级备案的信息系统、 或打算按照等保要求进行安全建设的信息系统， 结合客户组 织架构、业务要求、 信息系统实际情况， 通过一套规范的等保整改过程，协助客户进行风险 评估和等级保护差距分析， 制定完整的安全整改建议方案， 并根据需要协助客户对落实整改 实施方案或进行方案的评审、 招投标、 整改监理等工作， 协助客户完成信息系统等级保护整 改和安全建设工作。 等保整改与建设过程主要包括等级保护差距分析、 等级保护整改建议方案、 等级保护整 改实施三个阶段。 3.2.1.等级保护差距分析 1. 等级保护风险评估 1) 评估目的 对信息系统进行安全等级评估是国

16、家推行等级保护制度的一个重要环节， 也是对信息系 统进行安全建设和管理的重要组成部分。 等级评估不同于按照等级保护要求进行的等保差距分析。 风险评估的目标是深入、 详细 地检查信息系统的安全风险状况， 而差距分析则是按照等保的所有要求进行符合性检查， 检 查信息系统现状与国家等保要求之间的符合程度。可以说， 风险评估的结果更能体现是客户 信息系统技术层面的安全现状， 比差距分析结果在技术上更加深入。 风险评估的结果和差距 分析结果都是整改建议方案的输入。 测评服务方通过专业的等级评估服务，协助用户完成以下的目标： 了解信息系统的管理、网络和系统安全现状； 确定可能对资产造成危害的威胁； 确定威

17、胁实施的可能性； 对可能受到威胁影响的资产确定其价值、 敏感性和严重性， 以及相应的级别， 确定 哪些资产是最重要的； 对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏； 明确信息系统的已有安全措施的有效性； 明晰信息系统的安全管理需求。 2) 评估内容 资产识别与赋值 主机安全性评估 数据库安全性评估 安全设备评估 现场风险评估用到的主要评估方法包括： 漏洞扫描 控制台审计 技术访谈 3) 评估分析 根据现场收集的信息及对这些信息的分析，评估小组形成定级信息系统的弱点评估报 告、风险评估报告等文档， 使客户充分了解信息系统存在的风险， 作为等保差距分析的一项 重要输入，并作为后续

18、整改建设的重要依据。 2. 等保差距分析 通过差距分析， 可以了解客户信息系统的现状， 确定当前系统与相应保护等级要求之间 的差距，确定不符合安全项。 1) 准备差距分析表 项目组通过准备好的差距分析表，与客户确认现场沟通的对象(部门和人员) ，准备相 应的检查内容。 在整理差距分析表时， 整改项目组会根据信息系统的安全等级从基本要求中选择相应等 级的基本安全要求， 根据及风险评估的结果进行调整， 去掉不适用项， 增加不能满足客户信 息系统需求的安全要求。 差距分析表包含以下内容： 安全技术差距分析：包括网络安全、主机安全、应用安全、数据安全及备份恢复； 安全管理差距分析： 包括安全管理制度、

19、 安全管理机构、 人员安全管理、系统建设 管理； 系统运维差距分析： 包括环境管理、 资产管理、介质管理、监控管理和安全管理中 心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备 份与恢复管理、安全事件处置； 物理安全差距分析： 包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷 击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 不同安全保护级别的系统所使用的差距分析表的内容也不同。 2) 现场差距分析 整改项目组依据差距分析表中的各项安全要求，对比信息系统现状和安全要求之间 的 差距，确定不符合项。 现场工作阶段，整改项目组可分为管理检查组和技术检查组

20、两个小组。 在差距分析阶段， 可以通过以下方式收集信息， 详细了解客户信息系统现状， 并通过分 析所收集的资料和数据， 以确认客户信息系统的建设是否符合该等级的安全要求， 需要进行 哪些方面的整改。 查验文档资料 人员访谈 现场测试 3) 生成差距分析报告 完成现场差距分析之后， 整改项目组归纳整理、 分析现场记录，找出目前信息系统与等 级保护安全要求之间的差距，明确不符合项，生成等级保护差距分析报告。 3.2.2.等级保护整改建议方案 1. 整改目标沟通确认 通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商，测评服 务方会依据风险评估和差距分析的结果， 明确等级保护整改工

21、作的工作目标， 提出等级保护 整改建议方案。 对暂时难以进行整改的部分内容， 将在讨论后作为遗留问题， 明确列在整改建议方案中。 PMOT体系是信息安 2. 总体框架 根据等保安全要求，测评服务方提出如下的安全整改建议，其中 全保障总体框架模型。 Policy策略 Management 管理 Operation 运维 Technology 技术 图信息安全PMOT体系模型 文案大全 包括制定 测评服务方根据建议方案的设计原则，协助客户制定总体安全保障体系架构, 安全策略，结合等级保护基本要求和安全保护特殊要求，来构建客户信息系统的安全技术体 系、安全管理体系及安全运维体系，具体内容包括： 建立

22、和完善安全策略：最高层次的安全策略文件，阐明安全工作的使命和意愿，定 义信息安全工作的总体目标。 安全技术体系：安全技术的保障包括网络边界防御、安全通信网络、主机和应用系 统安全、检测响应体系、冗余与备份以及安全管理中心。 建立和完善安全管理体系： 建立安全管理制度， 建立信息安全组织， 规范人员管理 和系统建议管理。 安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监控和安全管 理等。 展开后的等级保护整改与安全建设总体框架如下图所示，从信息安全整体策略Policy、 安全管理体系 Man ageme nt、安全技术体系 Tech no logy、安全运维 Operation四个

23、层面落实等 级保护安全基本要求。 等级保护整改与安全建设总体框架 益息安全逾略 安全筲理体系 安全运惟味系 密产蛙帶电全 安全皆理規织 &坐聲理申心 安个扶术*系 图4等级保护整改与安全建设总体框架 3. 方案说明 信息安全策略 信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个PMOT信息安 全体系的顶层，也是安全管理体系的最高指导方针， 明确了信息安全工作总体目标， 对技术 和管理各方面的安全工作具有通用指导性。 安全技术体系 测评服务方根据整改目标提出整改方案的安全技术保障体系，将保障体系框架中要求 实现的网络、主机和应用安全落实到产品功能或物理形态上，提出能够实现的产品或组件及 其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段 具有依据，主要内容包括：网络边界护御、安全通信网络、主机与应用防护体系、检测响应 体系、冗余与备份、信