信息安全等级保护体系建设方案

1、PAGE 信息安全等级保护体系建设方案目录TOC o 1-3 h z u HYPERLINK l _Toc58236486 第1章.项目概述 PAGEREF _Toc58236486 h 3 HYPERLINK l _Toc58236487 1.1.项目背景 PAGEREF _Toc58236487 h 3 HYPERLINK l _Toc58236488 1.2.项目依据 PAGEREF _Toc58236488 h 4 HYPERLINK l _Toc58236489 1.3.项目建设内容 PAGEREF _Toc58236489 h 4 HYPERLINK l _Toc58236490

2、第2章.安全管理体系建设 PAGEREF _Toc58236490 h 5 HYPERLINK l _Toc58236491 2.1.总体安全体系建设 PAGEREF _Toc58236491 h 5 HYPERLINK l _Toc58236492 2.2.安全管理层面 PAGEREF _Toc58236492 h 6 HYPERLINK l _Toc58236493 2.2.1.安全管理制度 PAGEREF _Toc58236493 h 6 HYPERLINK l _Toc58236494 2.2.2.安全管理机构 PAGEREF _Toc58236494 h 7 HYPERLINK l

3、_Toc58236495 2.2.3.人员安全管理 PAGEREF _Toc58236495 h 8 HYPERLINK l _Toc58236496 2.2.4.系统建设管理 PAGEREF _Toc58236496 h 8 HYPERLINK l _Toc58236497 2.2.5.系统运维管理 PAGEREF _Toc58236497 h 8 HYPERLINK l _Toc58236498 第3章.项目规划建设 PAGEREF _Toc58236498 h 9 HYPERLINK l _Toc58236499 3.1.总体工作计划 PAGEREF _Toc58236499 h 9 H

4、YPERLINK l _Toc58236500 3.2.系统差距评估 PAGEREF _Toc58236500 h 10 HYPERLINK l _Toc58236501 第4章.安全建设清单及预算 PAGEREF _Toc58236501 h 16项目概述项目背景省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文省深化信息安全等级保护工作方案(粤公通字200945号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社

5、会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。按照中华人民共和国计算机信息系统安全保护条例 HYPERLINK /lkwj/News_View.asp?NewsID=281 t _blank （国务院令第147号）、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）、 HYPERLINK /art/2009/4/15/art_180_211119.html t _blank 信息安全等级保护管理办法（公通字200743号）等文件要求，某市某单位积极响应等级保护要求，将开展等保定级、等保评估、等级保护整改、差距测评等评估

6、工作，切实将信息发布系统建成“信息公开、在线办事、公众参与”三位一体的业务体系，为企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。目前，需要对现有的6个系统展开等级保护工作， 7个系统分别是：某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。虽然系统各异，但是都在同一个物理地址，故此统一对6个系统进行等级保护安全建设，使之更加安全、稳定。某信息化公司信息安全技术有限公司（简称某信息化公司公司）通过多年来在信息安全咨询、服务、建设中的积累和发展，逐步形成的一套完善的信息安全工程体系，以专业理论和技术为支撑；

7、以多种专业测试工具为手段；以国际和国家信息安全标准为实施规范。某信息化公司信息安全技术股份有限公司为客户提供全面的，专业的安全支持。项目依据国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）2004年9月四部委局联合签发的关于信息安全等级保护工作的实施意见信息安全等级保护管理办法（公通字200743号）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 25058-2010 信息安

8、全技术 信息系统安全等级保护实施指南GB/T 19716-2005 信息技术 信息安全管理实用规则GB/T 20270-2006信息安全技术 网络基础安全技术要求GB/T 20271-2006信息安全技术 信息系统安全通用技术要求GB/T 20272-2006信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求GB/T 21052-2006 等级保护系列安全产品技术要求国家标准电子计算机机房设计规范（GB50174-93）国家标准计算站场地安全技术（GB9361-88）中

9、国工程建设标准化协会标准建筑与建筑群综合布线系统工程设计规范（CECS72：95）项目建设内容首先，本次项目以满足国家信息系统等级保护的相关要求为实施指导原则，某信息化公司公司对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这6个系统业务系统进行协助等保定级，并开展等保评估工作，对以后的人员组织结构调整、安全制度提供相应建议，并对其网络、应用和主机等方面进行整改规划实施，来使其具备良好的保密性、完整性、可用性。通过对国家等级保护测评单位的测评；再次，某信息化公司公司可配合用户单位，完成第三方测评单位对全部6个系统进行验收

10、测评。具体来讲，本项目的建设内容包括：依据国家信息系统等级保护要求，协助对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站进行定级，并开展等保评估工作。落实对该系统网络的网络架构安全整改规划和安全设备部署，配合用户完善安全管理制度、安全管理机构、人员安全管理等。安全管理体系建设总体安全体系建设网络安全系统是整体的、动态的。网络安全系统符合MPDRR模型（M-management，P-protect，D-detection，R1-response，R2-recovery），因此，要真正实现一个系统的安全，就需要建立一个从保护

11、、检测、响应到恢复的一套全方位的安全保障体系。建立安全整改方案正是基于信息系统安全等级保护要求及MPDRR模型构建的，符合网络安全系统整体性和动态性的特点。它集各种安全技术产品和安全管理措施于一体，将多种网络安全技术和安全管理体系有机集成，实现安全产品之间的互通与联动，是一个统一的、可扩展的安全体系平台。信息安全一般都是三分技术，七分管理。管理是相当重要的。安全管理层面基于信息系统安全二级等级保护要求，对某市某单位的安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理进行管理体系建设。以下为安全管理建议，仅供参考。安全管理制度序号安全管理制度建立信息安全工作的总体方针和安全策略

12、文件，明确机构安全工作的总体目标、范围、原则和安全框架等建立和完善各项安全管理制度，且覆盖范围包括物理、网络、主机系统、数据、应用、建设和管理等层面的各类管理内容建立全面的信息安全管理制度体系，由总体方针、安全策略、管理制度、操作规程等构成由专门的部门或人员负责制定安全管理制度对相关的管理制度制定统一的格式，并且进行版本控制对制定的安全管理制度进行论证和审定，论证和评审方式可通过会议或座谈会的形式进行，并且按照统一的格式标准或要求制定安全管理机构序号安全管理机构建立专门的信息安全领导小组（即信息安全管理工作的职能部门），且明确小组成员的岗位及要求建立岗位职责明确设置安全主管、安全管理各个方面的

13、负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位，对对关键事务的管理人员配备配备2人或2人以上共同管理，例如：安全主管、机房管理员、系统管理员、网络管理员、安全管理员等配备专职安全管理员，且不能与其它关键岗位兼任规定对信息系统中的重要活动进行审批，包括审批部门、批准人，审批活动是否得到授权；定期审查、更新审批项目建立信息安全领导小组或者安全管理委员会，并定期召开例会，共同协助处理信息安全问题聘请安全顾问指导信息安全建设、参与安全规划和安全评审定期对信息系统进行全面安全检查，明确检查周期、检查内容有哪些建立安全检查制度，检查内容包括：安全技术措施的有效性、安全配置与安全策略的一致

14、性、安全管理制度的执行情况等制定安全检查表格实施安全检查，并记录归档以备后查人员安全管理序号人员安全管理对从事关键岗位的人员需要签署岗位安全协议并明确安全责任定期对关键岗位的人员进行全面、严格的安全审查和技能考核，内容包括：安全知识、安全技能等，对关键岗位人员特殊的考核内容等，并保存考核内容及记录文档制定培训计划并按计划对各个岗位人员进行安全教育和培训，并保存安全教育和培训记录系统建设管理序号系统建设管理制定工程实施管理制度，内容包括：工程实施过程的控制方法、实施参与人员的行为准则等方面内容委托第三方测试机构对信息系统进行独立的安全性测试，且保留评审、测试验收报告等文档对系统测试验收的控制方法

15、和人员行为准则进行书面规定，包括交付过程的控制方法和对交付参与人员的行为限制等方面内容系统运维管理序号系统运维管理建立相关安全管理制度，加强对办公环境的保密性管理，规范办公环境人员行为对未对介质在物理传输过程中的人员选择、打包、交付等情况进行控制对存储介质的使用过程、送出维修以及销毁的介质应首先清除介质中的敏感数据；但规定对保密性较高的存储介质未经批准不得自行销毁建立相关安全管理制度，对存储地的环境要求和管理方法制定详细的规定建立相关安全管理制度，对重要介质中的数据和软件采取加密存储建立相关安全管理制度，定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补建立相关安全管理制度，对

16、定期检查违反规定拨号上网或其他违反网络安全策略的行为做出明确规定定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补建立相关安全管理制度，对外来计算机做出详细的防病毒规定建立相关安全管理制度，对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定建立相关安全管理制度，定期检查信息系统内各种产品的恶意代码库的升级情况建立变更控制的申报和审批文件化程序对计算机事件按等级划分建立相关安全管理制度，定期对系统相关的人员进行应急预案的培训建立相关安全管理制度，定期组织对应急预案进行演练建立相关安全管理制度，明确规定应急预案的审查周期项目规划建设总体工作计划某信息化公司公司可协助某市某单位定级备

17、案，首先对其系统现场等保评估，会对以后的组织结构调整、业务扩展有前瞻性的角度考虑，先对其进行等保评估，再进行整改实施，接着进行第三方测评，测评通过再验收。但是本次项目主要对其进行定级配合工作和等测评评估，不包括等保整改。系统差距评估通过类似规模项目的经验，初步判断该项目协助定级工作为8人日（平均一个系统1个人日，还需2个人日进行整理）；测评评估总工时为48个工作日，投入人力为3个工程师。该项目总计152人日，下面为系统定级差距测评计划（注6个系统在同一个物理地址）。二级系统定级、测评评估工作预计计划日期(工作日)时间评估活动/评估单元涉及部门/人员系统定级（预计实施周期：8天,1人投入） 30

18、00*60=18万 25万。8个工作日09：00-17：00协助主方系统负责人编写定级报告等资料。业主方系统负责人、项目人员测评评估（预计实施周期：48天,3人投入）1个工作日09：00-17：00项目启动，项目人员会面，交流后面工作，协商交流，资料整理。业主方系统负责人、项目人员6个工作日09：00-17：00基本信息调研表1-1. 单位基本情况(业主方)表1-2. 参与人员名单（业主方）表1-3. 物理环境情况（机房管理员）表1-4. 信息系统基本情况（业主方、原系统单位）表1-5. 承载业务（服务）情况调查（业主方、原系统单位）表1-6. 信息系统网络结构（环境）情况调查（网络管理员）表

19、1-7. 外联线路与设备端口（网络边界）情况调查（网络管理员）表1-8. 网络设备情况调查（网络管理员）表1-9. 安全设备情况调查（网络管理员）表1-10. 服务器设备情况调查（系统管理员）表1-11. 终端设备情况调查（系统管理员）表1-12. 系统软件情况调查（系统管理员）表1-13. 应用系统软件情况调查（业务系统管理员）表1-14. 业务数据情况调查（业务系统管理员）表1-15. 数据备份情况调查（系统管理员、业务系统管理员、数据库管理员、网络管理员）表1-16. 应用系统软件处理流程调查（原系统单位）表1-17. 业务数据流程调查（业务系统管理员）表1-18. 管理文档情况调查（业务方）表1-19. 信息系统安全等级备案表（业主方）表1-20. 等级保护工作小组名单（业主方）系统单位、机房管理员、网络管理员、系统管理员、业务系统管理员、数据库管理员3个工作日09：00-17：00表2-1.物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护机房管理员6个工作日09：00-17：00表2-2. 网络安全结构安全访问控制安全审计边界完整性检测入侵防范恶意代码防范网络设备防护网络管理员6个工作日09：00-17：0