信息安全等级保护安全整改方案模版

----信息安全等级保护安全整改方案xxx公司20xx年x月--------工作项目清单序号工作项目数量（人天）单价总价备注1物理安全差距分析2主机安全差距分析3网络安全差距分析4应用安全差距分析5数据安全差距分析6安全管理机构差距分析7人员安全管理差距分析8安全管理制度差距分析9系统建设管理差距分析10系统运维管理差距分析11等级保护整改方案设计12安全管理组织及职责13人员安全管理14安全管理制度15系统建设管理16系统运维管理17物理安全整改18主机安全整改19网络安全整改20指导完成应用安全整改21数据安全整改22安装和部署各项新增安全设备23安全培训？人次等级保护测评师（中级）合计(可根据实际情况完成该表 .)信息安全等级保护安全服务方案----------------目录第一章概述...........................................................................................................................81.1项目背景...................................................................................................................81.2现状描述...................................................................................................................8第二章总体设计.................................................................................................................152.1项目目标.................................................................................................................152.2项目原则.................................................................................................................162.3项目依据.................................................................................................................172.3.1政策法规.........................................................................................................172.3.2标准规范.........................................................................................................172.4实施策略.................................................................................................................182.4.1技术体系分析.................................................................................................182.4.2管理体系分析.................................................................................................182.4.3业务系统分析.................................................................................................192.4.4充分全面的培训.............................................................................................202.5项目内容.................................................................................................................212.5.1差距分析.........................................................................................................212.5.2整改方案设计.................................................................................................212.5.3安全优化与调整.............................................................................................212.5.4等级保护管理制度建设.................................................................................21第三章 差距分析.................................................................................................................23--------3.1工作目的.................................................................................................................233.2工作方式.................................................................................................................233.3工作内容.................................................................................................................253.3.1物理安全.........................................................................................................263.3.2主机安全.........................................................................................................273.3.3网络安全.........................................................................................................313.3.4应用安全.........................................................................................................353.3.5数据安全及备份恢复.....................................................................................393.3.6安全管理制度.................................................................................................433.3.7安全管理机构.................................................................................................473.3.8人员安全管理.................................................................................................513.3.9系统建设管理.................................................................................................553.3.10系统运维管理.........................................................................................593.4提交成果.................................................................................................................63第四章等级保护整改方案设计.........................................................................................644.1工作目的.................................................................................................................644.2工作方式.................................................................................................................654.3工作内容.................................................................................................................654.4提交成果.................................................................................................................68第五章系统优化及调整.....................................................................................................685.1工作目的.................................................................................................................685.2 工作方式 .................................................................................................................68--------5.3 工作流程 695.4 工作内容 705.5 提交成果 71第六章 等级保护管理制度建设 716.1 工作目的 716.2 工作方式 726.3 工作内容 726.4 工作成果 74第七章 培训与验收 777.1 培训内容 777.1.1 等级保护整改培训 777.1.2 信息安全等级保护培训 787.1.3 认证考试 787.2 项目验收 797.2.1 验收依据和标准 797.2.2 验收内容 80第八章 项目管理与组织 828.1 项目管理架构 828.2 项目成员 848.3 项目进度 88第九章 国都兴业服务特色 909.1 丰富的服务经验 909.2 有保障的服务团队 .................................................................................................90--------9.3 严格明确的服务原则 ................................................................................................................................................................... 909.4 专业化的服务队伍 ......................................................................................................................................................................... 91第十章 服务质量保证 ..................................................................................................................................................................................... 9210.1 制定质量计划..................................................................................................................................................................................... 9210.2 规范质量审核..................................................................................................................................................................................... 9310.3 质量文档管理..................................................................................................................................................................................... 9410.4 服务报告制度..................................................................................................................................................................................... 9510.5 客户满意度调查制度 ................................................................................................................................................................... 95--------概述项目背景信息安全等级保护是国家信息系统安全保障工作的基本制度和基本国策， 是国家对基础信息网络和重要信息系统实施重点保护的关键措施。 按照国家有关主管部门的要求， 某部委开展了等级保护相关工作。前期，某部委已对应用系统进行了定级，并邀请某评测机构对相关网络和应用系统进行了预测评， 已形成预测评报告。为了解决所存在的问题， 顺利通过某评测机构的等级保护测评， 拟开展某部委部本级信息安全等级保护安全建设整改工作。现状描述某部委开展信息安全等级保护工作的网络系统有两个， 一个是外网， 一个是业务专网，两个网络彼此物理隔离，外网与互联网逻辑隔离。业务专网部机关局域网目前有用户约 500个，横向通过专线连接 130多个预算部门、代理银行等。纵向通过专线连接 35个驻省市某专员办和 36个省市某部委门。 业务专网局域网部署的安全设备类型包括防火墙、网络入侵检测、 漏洞扫描、网络审计、防病毒系统、安全管理服务器等安全设备，制造厂商为国内主流安全设备厂商。 业务专网的服务器主要为 IBM、HP的PCserver和小型机，服务器操作系统包括 WINDOWS 2003server、WINDOWS 2008 server、LINUX、UNIX 等操作系统，数据库有 SQLSERVER、ORACLE等，中间件有JBOSS、WEBLOGIC、TOMCAT 等。网络设备为主流交换机和路由器。--------业务专网中有共有安全设备约 11台、网络设备约40台、服务器约70台。外网局域网目前有用户约 1000 个，通过租用 3条运营商专线接入互联网，与互联网逻辑隔离。外网局域网部署的安全设备主要包括防火墙、网络入侵检测、漏洞扫描、网络审计、防病毒系统、防 DDOS 攻击设备、 WEB 防纂改系统、安全管理服务器等安全设备， 制造厂商为国内主流安全设备厂商。 外网服务器主要为IBM、HP的PC-server 和小型机，服务器操作系统包括 WINDOWS2003server、WINDOWS2008server 、LINUX、UNIX 等操作系统，数据库有 SQLSERVER、ORACLE 等，中间件有 JBOSS、WEBLOGIC 、TOMCAT等。网络设备为主流交换机和路由器。某部委设备具体情况见下表 :某部委设备情况说明表网络 设备类型 用途 厂商 型号/操作系统 数量服务器服务器服务器服务器、数据库 服务器数据库交换机交换机交换机交换机业务交换机专网交换机交换机交换机网络设备交换机交换机--------交换机路由器路由器路由器路由器交换机交换机交换机入侵检测漏洞扫描审计系统安全设备万兆防火墙IDSVPN外网中有安全设备约 10台、网络设备约 40台、服务器约 60台。服务器服务器服务器服务器服务器服务器、数据库存储其他数据库交换机交换机交换机交换机交换机路由器交换机交换机网络设备交换机外网交换机路由器路由器交换机交换机交换机--------交换机防火墙防do（s电信）防do（s联通）IDS漏扫安全设备 审计防火墙防火墙防火墙IPS万兆防火墙应用系统定级情况如下：某业务专网和外网整体定为三级。应用系统已定为三级的系统15个，二级的系统32个，已进行预测评的系统37个，在开发升级改造过程中而未预测评的系统10个，具体情况见下表。序号系统名称等级用户数量使用频度预测评情况1系统1S3A2G3实时完成预测评2系统2S2A2G2实时完成预测评3系统3S2A1G2实时完成预测评4系统4S2A2G2实时完成预测评5系统5S3A3G3阶段性频繁完成预测评6系统6S3A3G3经常完成预测评--------7系统7S3A2G3阶段性频繁完成预测评8系统8S3A3G3每月至少一次完成预测评9系统9S3A3G3经常完成预测评10系统10S3A3G3经常完成预测评11系统11S3A3G3实时完成预测评12系统12S3A3G3每天完成预测评13系统13S2A3G3实时完成预测评14系统14S3A3G3实时完成预测评15系统15S2A2G2每天完成预测评16系统16S2A1G2经常完成预测评17系统17S2A1G2实时完成预测评18系统18S2A2G2每天完成预测评序号 系统名称 等级 用户数量 使用频度 预测评情况19 系统19 S2A2G2 季报 完成预测评20 系统20 S2A2G2 实时 完成预测评21 系统21 S2A2G2 阶段性频繁 完成预测评22 系统22 S2A2G2 季度报表 完成预测评23 系统23 S2A2G2 实时 完成预测评24 系统24 S2A2G2 实时 完成预测评25 系统25 S2A2G2 实时 完成预测评--------26系统26S2A2G227系统27S2A2G228系统28S2A2G229系统29S2A2G230系统30S2A2G231系统31S2A2G232系统32S2A2G233系统33S2A2G234系统34S2A2G235系统35S2A2G236系统36S2A2G237系统37S2A2G238系统38S3A3G339系统39S3A3G340系统40S3A3G341系统41S3A3G342系统42S2A2G243系统43S2A2G244系统44S2A2G245系统45S2A2G246系统46S2A2G247系统47S2A2G2

实时 完成预测评阶段性频繁 完成预测评阶段性频繁 完成预测评经常 完成预测评实时 完成预测评经常 完成预测评经常 完成预测评经常 完成预测评经常 完成预测评阶段性频繁 完成预测评经常 完成预测评实时 完成预测评实时 未完成每天 未完成实时 未完成阶段性频繁 未完成实时 未完成实时 未完成经常 未完成阶段性频繁 未完成经常 未完成阶段性频繁 未完成----------------总体设计项目目标根据某评测机构提交的预测评报告， 对某部委现有各网络和应用系统进行深入调研，了解包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维建设等安全管理建设情况，针对安全管理机构方面存在的人员配备、授权和审批、审核和检查等问题，安全管理制度存在的管理制度、评审和修订等问题，人员安全管理方面存在的人员考核问题，在系统建设管理方面存在的安全方案设计、外包软件开发等问题，在系统运维建设方面存在的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、密码管理、变更管理、备份与恢复管理、应急预案管理等问题。了解包括物理安全、网络安全、主机安全、应用安全、数据安全等安全技术建设情况，针对在物理安全方面存在的物理访问控制问题，在网络安全方面存在的访问控制、网络审计、边界完整性、恶意代码防范、网络设备防护等问题，在主机安全方面存在的身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等问题，应用安全方面存在的身份鉴别、访问控制、安全审计、剩余信息保护、数据完整性、数据保密性、抗抵赖、软件容错和资源控制等问题，在数据安全方面存在的数据完整性和数据保密性等问题， 根据某部委的实际情况， 分析研判在安全管理建设和安全技术建设两方面与等级保护标准规范之间的差距和问题，提出各项整改建议， 设计各项整改措施和手段， 从技术和管理两方面制定安全建设整改方案，提出包括产品类型、配置、数量、预计价格等在内的整改所--------需产品清单。项目原则为实现本项目的总体目标， 结合某部委现有各网络与应用系统和未来发展需求，总体应贯彻以下项目原则。保密原则：国都兴业公司在为某部委信息安全等级保护进行整改实施的过程中，将严格遵循保密原则，服务过程中涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益。并与某部委签订保密协议，承诺未经允许不向其他任何第三方泄露有关某部委的信息。互动原则：国都兴业公司在整个信息安全等级保护整改实施过程之中，将强调客户的互动参与，不管是从准备阶段，还是差距分析阶段。每个阶段都能够及时根据客户的要求和实际情况对评估的内容、方式作出相关调整，进而更好的进行等级保护整改工作。最小影响原则： 信息安全等级保护差距分析工作应尽可能小的影响系统和网络的正常运行，不能对业务的正常运行产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等） ，如无法避免，则应对风险进行说明。规范性原则： 信息安全等级保护整改的实施必须由专业的信息安全服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，提供完整的服务报告。质量保障原则：国都兴业公司在整个信息安全等级保护整改实施过程之--------中，将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督、控制项目的进度和质量。项目依据本项目方案编制依据和参考下列政策法规和标准规范。政策法规中华人民共和国计算机信息系统安全保护条例 （1994国务院147号令）计算机信息系统安全保护等级划分准则（GB17859－1999）《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）关于信息安全等级保护工作的实施意见（公通字[2004]66号）《信息安全等级保护管理办法》公通字[2007]43号关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）标准规范《计算机信息系统安全保护等级划分准则》 （GB/T17859-1999 ）GBT22239-2008 《信息安全技术 _信息系统安全等级保护基本要求》GBT22240-2008 《信息安全技术 _信息系统安全等级保护定级指南》《信息安全技术信息系统等级保护安全设计技术要求》--------《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息安全等级保护整改规范》 （GB/T20984-2007 ）《信息系统安全等级保护整改实施指南》《信息技术安全技术信息安全管理体系要求》 （GB/T22080-2008 ）《信息技术安全技术信息安全管理实用规则》 （GB/T22081-2008 ）《信息技术安全技术信息技术安全管理指南》 （ISO/IECTR13335 ）《信息技术安全技术信息技术安全性评估准则》 (GB/T18336-2001)《信息安全等级保护整改指南》《信息安全风险管理指南》实施策略此次等级保护整改将采取如下策略， 来满足某部委信息安全等级保护整改的需求。技术体系分析技术体系结构分析主要针对某部委网络和信息系统的总体安全架构进行静态分析，通过分析某部委的整个网络拓扑架构，并深入了解各系统的业务状况，从而发现某部委信息安全建设中存在的问题，并提出相应的改进建议。管理体系分析管理体系分析通过现场安全管理调查问卷表等形式进行静态分析， 从安全策略、安全管理制度、安全管理组织、人员安全管理、系统建设管理和系统运维管理等方面，对某部委信息系统的现有安全管理措施进行识别和分析， 提出管理规--------章制度和系统操作规程等方面的不足， 并针对业务系统管理体系的建设提出完善的建议。管理体系分析将结合某部委信息安全建设的具体情况，主要涵盖如下内容：物理安全策略：如机房环境、门禁系统、设备锁、数据备份、 CMOS安全设置等。访问控制策略：内部网络和外界网络之间、内部不同安全域之间的访问控制策略。安全配置及更新策略：对操作系统、应用系统、安全产品等进行升级更新、设置用户访问权限及信任关系等。管理员和用户策略：制定机房出入管理制度、实行安全责任制等。安全管理策略：安全规则设置、安全审计、日志分析、漏洞检测及修补等。密码安全策略：密码复杂度、密码更改周期、密码有效期等。紧急事件策略： 针对攻击和入侵可能导致的结果制定应急处理流程和灾难恢复计划。业务系统分析业务系统分析主要是分析信息系统承载的数据和业务流程， 只有围绕着信息系统所承载的数据和业务进行详尽的分析， 才能够准确地识别关键资产， 才能明确要保护的对象，从而做到有的放矢。 在对关键资产进行识别时， 不应将资产的实际价格作为考虑重点， 更为重要的是要考虑资产对于业务的重要性， 也就是说根据资产损失所引发的潜在业务影响来决定关键资产。 因此所识别的关键资产不--------会是孤立的服务器、数据库，而应是这些设备所承载和保护的业务数据和对内、对外提供的服务。以上提到的设备作为信息系统业务流程分析中的关键系统单元，它们在信息系统中的作用是承载业务数据， 保护系统提供的业务服务能够安全、顺利进行。通过对某部委业务系统进行详尽的分析，才能了解应用系统的部署模式、用户认证及访问控制策略、 权限的授权方式及流程、 系统间的接口发布与调用模式，并分析其中的安全风险，从而提出相应的修改建议。充分全面的培训在此次等级保护整改实施过程中， 将结合某部委安全管理方面的具体情况，对某部委信息部门相关人员进行多次、 全面的等级保护整改培训， 为今后实施等级保护自查工作奠定良好的基础。--------项目内容为实现项目目标， 在本次等级保护咨询项目中， 将包括系统定级、差距分析、等级保护整改、体系设计、等级保护管理制度建设、 安全优化与调整以及信息安全服务七项工作内容。差距分析差距分析工作内容就是根据网络和信息系统的安全保护等级， 根据国家等级保护相应等级的技术和管理要求， 分析评价网络和信息系统当前的安全防护水平和措施与相应等级要求之间的差距。整改方案设计整改方案设计工作内容是根据信息系统差距分析结果，结合业务系统的使命、目标和行业要求， 按照信息系统的不同安全等级， 设计合理的技术措施和管理措施，构建结构化的信息安全保障体系。安全优化与调整安全优化与调整是根据信息系统差距分析结果， 对信息系统所依赖的服务器操作系统、数据库、网络及安全设备进行配置安全加固，安装和实施各项新增安全设备，保障信息系统的安全稳定性。等级保护管理制度建设等级保护管理制度建设是根据信息安全等级保护安全管理的要求， 编写符合--------等级保护要求的信息安全管理规范和制度，通过安全管理的加强来规避管理风险。--------差距分析根据国家等级保护政策法规和标准规范，确定安全保护等级的信息系统应该具有相应级别的安全防护能力，其中主要是根据 GBT22239-2008 《信息安全技术_信息系统安全等级保护基本要求》来分析某部委各信息系统目前的安全防护能力与基本要求中相应级别之间的差距。工作目的根据国家等级保护要求，对于确定了安全保护等级的信息系统规定了基本的安全保护要求， 规定了应该具有的防护措施， 以确保信息系统具有相当水平的安全防护能力。差距分析就是根据 GBT22239-2008 《信息安全技术 _信息系统安全等级保护基本要求》， 结合某部委的业务情况和行业要求， 从安全技术和安全管理两个方面，全面分析信息系统现有防护措施和能力与相应等级基本要求之间存在的差距，用以为等级保护建设提供客观依据并指导信息系统等级保护体系设计。工作方式某部委的业务系统差距分析工作主要通过以下方式进行。访谈访谈是指评估人员与某部委的有关人员就差距分析所关注的问题进行有针对性的询问和交流的过程， 该过程可以帮助评估者了解现状、 澄清疑问或获得证--------据。访谈深度（即访谈内容的详细程度）以及访谈的广度（即对被评估组织中员工角色类型以及每种类型中人数的覆盖程度） 由评估人员依据不同的评估需要进行选择和判断。检查检查是指对评估对象（如规范、机制或行为）进行观察、调查、评审、分析或核查的过程。与访谈类似， 该过程可以帮助评估者了解现状、 澄清疑问或获得证据。比较典型的检查行为包括：对安全配置的核查、对安全策略的分析和评审等。测试测试是指在特定环境中运行一个或多个评估对象（限于机制或行为）并将实际结果与预期结果进行比较的过程。 测试的目标是判定对象是否符合预定的一组规格。测试过程可以帮助评估者获得证据。调查表根据某部委业务情况和系统现状，制定详细的调查表，并由某部委相关人员进行填写，以获得业务系统基础数据。 具体包括应用信息系统调查表、 物理资产调查表、软件资产调查表、各相关设备资产调查表。 33--------工作内容按照等级保护实施要求，不同安全等级的信息系统应该具备相应等级的安全防护能力，部署相应的安全设备，制定相应的安全管理机构、制度、岗位等。差距分析就是依据等级保护技术标准和管理规范， 比较分析信息系统安全防护能力与等级要求之间的差距，为等级化体系设计提供依据。差距分析将对每个定级对象按照其确定的安全保护等级，从以下方面进行评估分析。序号 测评类 测评项1 物理安全2 网络安全3 技术要求 主机安全4 应用安全5 数据安全6 安全管理制度7 安全管理机构8 管理要求 人员安全管理9 系统建设管理10 系统运维管理--------在这一阶段，针对每个信息系统所定的安全等级，国都兴业对信息系统进行相应级别要求的差距分析工作， 按照信息系统测评的要求， 进行信息系统等级差距分析，对每个信息系统安全等级要求项进行判定，判定是否符合要求。 在进行符合性判定时，依据现场调查和测试所获得的基本信息进行判断。在评估中，国都兴业将从物理安全、主机安全、网络安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理10个方面进行等级保护差距分析。物理安全分析内容物理环境安全调查主要是针对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行符合性识别， 为后续物理环境安全符合性分析提供参考数据。分析工具物理环境符合性检查主要是检查机房、线路、客户端的支撑设施，列表如下：序号 保护措施1 门禁系统2 报警系统--------3 监控系统4 防雷击接地5 防静电6 UPS7 消防系统8 防电磁泄露9 弱电系统、防尘、温湿控制和机房容灾备份?? ??分析结果物理安全调查表主机安全分析内容主机安全主要从以下 9个方面调查测试被评估信息系统的服务器操作系统、数据库安全等级符合性：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防护、恶意代码防护、资源控制。为后续主机安全等级保护差距分析及主机安全防护设计提供参考数据。--------分析工具问卷调查(部分)测试类别 等级测评（三级）测试对象 Windows 主机系统测试类 主机系统安全测试项 身份鉴别测试要求：操作系统用户的身份标识应具有唯一性；应对登录操作系统的用户进行身份标识和鉴别；操作系统的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期更新等；应具有登录失败处理功能，如结束会话、限制非法登录次数，当登录连接超时，自动退出。应具有警示功能；重要的主机系统应与之相连的服务器或中断设备进行身份标识和鉴别。--------测试方法：“开始”︱“运行”︱ 输入“cmd”︱输入“netlocalgroupadministrators ”。查看其输出结果在administrators 组里面是否只具有唯一的用户名。登录操作系统，在登录的过程中查看是否需要输入用户名和密码等，来检验是否对用户的身份进行标示和鉴别。“开始”|“程序”|“管理工具”|“本地安全设置”|“安全设置”|“帐户策略”|“密码策略：”密码必须符合复杂性要求； “开始”|“程序”|“管理工具”|“本地安全设置” |“安全设置”|“帐户策略”|“密码策略：”密码长度最小值；“开始|”“程序”|“管理工具”|“本地安全设置” |“安全设置”|“帐户策略”|“密码策略。”打开“控制面板”︱ “管理工具”︱ “本地安全设置”︱ “账户策略”︱ 单击“账户锁定策略”：账户锁定阀值、账户锁定时间等；在此基础上，打开“本地策略” ︱ 单击“安全选项夹”：查看是否具有登录超时时间和自动退出等登录失败处理功能。“开始”|“程序”|“管理工具”|事件查看器 ︱ 应用程序，查看其是否具有警示信息。测试windows 操作系统，可通过使用未进行身份标识和鉴别的主机连接该服务器，验证主机系统能否正确地对与之相连的服务器或终端设备进行身份标识和鉴别。--------测试记录：Administrators 组里面有：□唯一的一个用户。操作系统的身份标示具有唯一性。□二个或者二个以上的用户。操作系统身份标示不具有唯一性。登录操作系统，在登录的过程中查看是否需要输入用户名和密码等：否□是□密码必须符合复杂性要求是否启用：□否□是，用户身份不易被冒用密码长度最少值密码最长存留期强制密码历史复位帐户锁定计数器：启用□分钟停用□是否设定了账户锁定阀值：是□否□是否设定了账户锁定时间：是□否□是否启用了登录超时时间：是□否□是否启用了登录超时自动退出功能：是□否□强制密码历史：个用可还原的加密来储存密码：启用□停用□是否有警示信息：是□否□--------测试结果：主机系统能否正确地对与之相连的服务器或终端设备进行身份标识和鉴别：--------备注：分析结果《信息系统等级保护 *级windows/Linux类操作系统主机安全检查表》网络安全分析内容采用安全扫描、手工检查、问卷调查、人工问询等方式对评估工作范围内的网络设备、网络架构进行网络安全符合性调查。主要包含： 结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护 7个方面的符合性。 同时为后续网络安全符合性分析及网络安全设计提供参考数据。分析工具网络安全符合性检查包括手工登陆网络设备进行检查，同时设计问卷对网络管理员进行访谈，并采用工具对网络设备进行扫描。问卷调查（部分）测试类别 等级测评（三级）测试对象测试类 网路安全-总体--------测试项 结构安全测试要求：应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；应保证网络各个部分的带宽满足业务高峰期需要；应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；应绘制与当前运行情况相符的网络拓扑结构图；应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。测试方法：访谈网络管理员，询问是否保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；访谈网络管理员，询问是否保证网络各个部分的带宽满足业务高峰期需要；访谈网络管理员，询问是否在业务终端与业务服务器之间进行路由控制建立安全的访问路径；访谈网络管理员，询问是否绘制与当前运行情况相符的网络拓扑结构图；访谈网络管理员，询问是否根据各部门的工作职能、重要性和所涉及信息的重要程度等因素， 划分不同的子网或网段， 并按照方便管理和控制的原则为各子网、 网段分配地址段；--------测试记录：是否保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要是□否□、是否保证网络各个部分的带宽满足业务高峰期需要是□否□、是否在业务终端与业务服务器之间进行路由控制建立安全的访问路径是□否□、是否绘制与当前运行情况相符的网络拓扑结构图是□否□、是否根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段是□否□--------备注：测试类别 等级测评（三级）测试对象测试类 网路安全 -总体测试项 结构安全 -续测试要求：应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。测试方法：访谈网络管理员，询问是否避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；访谈网络管理员，询问是否按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机；--------测试记录：、是否避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段是□否□、是否按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机是□否□备注：分析结果《网络安全调查表》应用安全分析内容采用手工检查、问卷调查、人工问询等方式对评估工作范围内的信息系统进行应用安全符合性调查。主要包含：身份鉴别、访问控制、安全审计、剩余信--------息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、代码安全个方面的符合性。同时为后续应用安全符合性分析及应用安全设计提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象 应用系统测试类 应用安全测试项 身份鉴别测试要求：系统用户的身份标识应具有唯一性；应对登录的用户进行身份标识和鉴别；系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；应具有登录失败处理功能，如结束会话、限制非法登录次数，当登录连接超时，自动退出；应具有鉴别警示功能；应用系统应及时清除存储空间中动态使用的鉴别信息。--------测试方法：访谈系统管理员，询问应用系统是否采取身份标识和鉴别措施，具体措施有哪些。访谈系统管理员，检查总体规划、设计文档和检查重要应用系统。访谈系统管理员，询问应用系统对用户标识是否具有唯一性，检查总体规划 /设计文档，查看其是否对系统采取了唯一标识；检查重要应用系统，查看其是否配备身份标识（如建立账号）和鉴别（如口令等）功能；查看其身份鉴别信息是否具有不易被冒用的特点，例如复杂性（如规定字符应混有大、小写字母、数字和特殊字符）或为了便于记忆使用了令牌。检查重要应用系统，查看其是否配备并使用登录失败处理功能；检查和测试主要应用系统，查看其是否采用了两个及两个以上身份鉴别技术的组合来进行身份鉴别；对有抗抵赖要求的系统，查看其是否采用数字证书方式的身份鉴别技术；检查主要应用系统，查看其是否配备并使用登录失败处理功能。测试主要应用系统，验证其是否及时清除存储空间中动态使用的鉴别信息（如登录系统，退出系统后重新登录系统，查看上次登录的鉴别信息是否存在） ；测试重要应用系统，验证其登录失败处理，非法登录次数限制，登录连接超时自动退出等功能是否有效。测试主要应用系统，验证其是否及时清除存储空间中动态使用的鉴别信息（如登录系统，退出系统后重新登录系统，查看上次登录的鉴别信息是否存在） ；--------测试记录：应用系统是否采用身份标示和鉴别措施？否□是□〇口令 〇证书〇生物是否提供用户身份标识唯一和鉴别信息复杂度检查功能？否□是□〇帐号唯一性检查 〇口令复杂度要求2.1应用系统是否提供对鉴别信息强度检查功能：是〇具体内容：（1）应用系统中是否有相应的功能模块保证管理账号口令、普通账号口令长度：是〇管理账号：；普通账号：；否〇（2）应用系统中是否有相应的功能模块保证口令复杂度：是〇具体内容：否〇--------否〇--------能否根据安全策略配置失败处理参数：是〇具体内容：否〇主要应用系统是否有鉴别警示功能:是〇具体内容：否〇、同一用户是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别：否□是□有：、是否及时清除存储空间中动态使用的鉴别信息：否□是□备注：分析结果《信息系统应用安全调查表》数据安全及备份恢复分析内容采用手工检查、问卷调查、人工问询等方式对评估工作范围内的信息系统--------进行数据安全符合性调查。主要包含：数据完整性、数据保密性、数据备份和恢复3个方面的符合性。同时为后续数据安全符合性分析及数据安全设计提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象 应用系统测试类 应用安全测试项 身份鉴别测试要求：应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破，并在检测到完整性错误时采取必要的恢复措施；应能够检测到重要系统的完整性受到破坏，并在检测到完整性错误时采取必复措施。--------测试方法：可访谈安全员，询问业务系统数据在存储、传输过程中是否有完整性保证措施，具体措施有哪些；在检测到完整性错误时是否能恢复，恢复措施有哪些；检查操作系统、 网络设备、 数据库管理系统的设计 /验收文档或相关证明性材料 （如证书、检验报告等）等，查看其是否有能检测 /验证到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏， 能检测到系统管理数据、 身份鉴别信息和用户数据， 在存储过程中完整性受到破坏， 能检测到重要系统完整性受到破坏， 在检测到完整性错误时采取必要的恢复措施的描述；如果有相关信息，查看其配置是否正确；检查主要应用系统， 查看其是否配备检测 /验证系统管理数据、 鉴别信息和用户数据在传输过程中完整性受到破坏的功能；是否配备检测 /验证重要系统 /模块完整性受到破坏的功能；在检测 /验证到完整性错误时能采取必要的恢复措施；应检查主要应用系统，查看其是否配备检测系统完整性受到破坏的功能；并在检测到完整性错误时采取必要的恢复措施。--------测试记录：业务数据系统数据在储存、传输过程中是否有完整性保证措施：是具体措施是：否检测到完整性错误时是否能恢复：是恢复措施是：否操作系统、网络设备、数据库管理系统的设计 /验收文档或相关证明性材料（如证书、检验报告等）等，是否有能检测 /验证到系统管理数据（如 WINDOWS 域管理、目录管理数据）、鉴别信息（如用户名和口令）和用户数据（如用户数据文件）在传输过程中完整性受到破坏，能检测到系统管理数据、身份鉴别信息和用户数据（如防火墙的访问控制规则）在存储过程中完整性受到破坏， 能检测到重要系统完整性受到破坏， 在检测到完整性错误时采取必要的恢复措施的描述：有其配置是否正确：○是○否无主要应用系统是否配备检测 /验证系统管理数据、 鉴别信息和用户数据在传输过程中完整性受到破坏的功能：是□否是否配备检测 /验证重要系统 /模块完整性受到破坏的功能：是在检测/验证到完整性错误时能否采取必要的恢复措施：○是○否--------备注：分析结果《信息系统数据安全调查表》安全管理制度分析内容采用问卷调查、人工问询等方式对评估工作范围内的信息系统进行安全管理制度符合性调查。主要包含：管理制度、制定和发布、评审和修订 3个方面的符合性。同时为后续安全管理制度符合性分析及安全管理制度设计提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象测试类 安全管理制度测试项 管理制度--------测试要求：应制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；应对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；建立操作规程， 以规范操作行为，应对要求管理人员或操作人员执行的日常管理操作，防止操作失误；应形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；应由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。--------测试方法：应访谈安全主管，询问机构的制度体系是否由安全政策、安全策略、管理制度、操作规程等构成，是否定期对安全管理制度体系进行评审，评审周期多长；应检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等，是否明确信息系统的安全策略；应检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用、管理等层面；应检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等；应检查是否具有安全管理制度体系的评审记录，查看记录日期与评审周期是否一致，是否记录了相关人员的评审意见。--------测试记录：机构的制度体系是否由安全政策、安全策略、管理制度、操作规程等构成？否□是□是否定期对安全管理制度体系进行评审？否□是□〇评审周期多长？信息安全工作的总体方针、政策性文件和安全策略文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等？否□是□〇是否明确信息系统的安全策略？否□是□安全管理制度清单是否覆盖物理、网络、主机系统、数据、应用、管理等层面？否□是□是否具有重要管理操作的操作规程？（如系统维护手册和用户操作规程等）否□是□是否具有安全管理制度体系的评审记录？--------备注：分析结果《信息安全管理制度调查表》安全管理机构分析内容采用问卷调查、人工问询等方式对评估工作范围内的信息系统进行安全管理制度符合性调查。 主要包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查 5个方面的符合性。同时为后续安全管理机构符合性分析及安全管理机构设计提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象 机构安全测试类 安全管理机构测试项 岗位设置--------测试要求：应设立信息安全管理工作的职能部门， 设立安全主管人、 安全管理各个方面的负责人，定义各负责人的职责；应设立系统管理人员、 网络管理人员、 安全管理人员岗位， 定义各个工作岗位的职责；应成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。--------测试方法：应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任；应访谈安全主管，询问是否设立专职的安全管理机构（即信息安全管理工作的职能部门）；机构内部门设置情况如何，是否明确各部门职责分工；应访谈安全主管， 询问是否设立安全管理各个方面的负责人， 设置了哪些工作岗位 （如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等重要岗位），是否明确各个岗位的职责分工；应访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全员，询问其岗位职责包括哪些内容；应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工， 部门职责是否涵盖物理、 网络和系统等各个方面； 查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等各个岗位， 各个岗位的职责范围是否清晰、 明确； 查看文件是否明确各个岗位人员应具有的技能要求；应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书；应检查信息安全管理委员会职责文件，查看是否明确描述委员会的职责和其最高领导岗位的职责；应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录（如会议记录 /纪要和信息安全工作决策文档等） 。--------测试记录：是否设立指导和管理信息安全工作的委员会或领导小组？否□是□〇最高领导是否由单位主管领导委任或授权的人员担任？否□是□是否设立专职的安全管理机构（即信息安全管理工作的职能部门）？否□是□〇机构内部门设置情况如何？〇是否明确各部门职责分工 ?否□是□是□是否设立安全管理各个方面的负责人，设置了哪些工作岗位〇安全主管□ 〇安全管理各个方面的负责人□〇机房管理员□ 〇系统管理员□〇网络管理员□ 〇安全员□〇是否明确各个岗位的职责分工 ?否□--------?--------备注：分析结果《安全管理机构调查表》人员安全管理分析内容采用问卷调查、人工问询等方式对评估工作范围内的信息系统进行安全管理制度符合性调查。主要包含：人员录用、人员离岗、人员考核、安全意识教育与培训、第三方人员访问管理 5个方面的符合性。 同时为后续人员安全管理符合性分析提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象 人员安全测试类 人员安全管理测试项 人员录用--------测试要求：应保证被录用人具备基本的专业技术水平和安全管理知识；应对被录用人的身份、背景、专业资格和资质进行审查；应对被录用人所具备的技术技能进行考核；应对被录用人说明其角色和职责；应签署保密协议；对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查；对从事关键岗位的人员应签署岗位安全协议。--------测试方法：应访谈人事负责人，询问在人员录用时对人员条件有哪些要求，目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作；应访谈人事工作人员，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查， 对技术人员的技术技能进行考核， 录用后是否与其签署保密协议， 是否对其说明工作职责；应访谈人事负责人，询问对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全安全协议，是否定期对关键岗位人员进行信用审查，审查周期多长；应检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等；应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录，查看是否记录审查内容和审查结果等；应检查技能考核文档或记录，查看是否记录考核内容和考核结果等；应检查保密协议，查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容；应检查岗位安全协议，查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容；应检查信用审查记录，查看是否记录了审查内容和审查结果等，查看审查时间与审查周期是否一致。--------测试记录：在人员录用时对人员条件有哪些要求？目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作？否□是□在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查？否□是□〇对技术人员的技术技能进行考核，录用后是否与其签署保密协议？否□是□〇是否对其说明工作职责？否□是□对从事关键岗位的人员是否从内部人员中选拔？否□是□是否要求其签署岗位安全安全协议？否□是□是否定期对关键岗位人员进行信用审查？否□是□〇审查周期多长？人员录用要求管理文档是否说明录用人员应具备的条件？（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）--------备注：分析结果《人员安全管理调查表》系统建设管理分析内容采用问卷调查、人工问询等方式对评估工作范围内的信息系统进行安全管理制度符合性调查。主要包含：系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案 9个方面的符合性。同时为后续系统建设管理符合性分析提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象 系统建设测试类 系统建设管理测试项 系统定级--------测试要求：应明确信息系统划分的方法；应确定信息系统的安全保护等级；包括使命、 业务、网络、应以书面的形式定义确定了安全保护等级的信息系统的属性，硬件、软件、数据、边界、人员等；应以书面的形式说明确定一个信息系统为某个安全保护等级的方法和理由；应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性进行论证和审定；应确保信息系统的定级结果经过相关部门的批准。--------测试方法：应访谈安全主管，询问划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导， 是否对其进行明确描述； 是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，定级结果是否获得了相关部门（如上级主管部门）的批准；应检查系统划分文档，查看文档是否明确描述信息系统划分的方法和理由；应检查系统定级文档，查看文档是否给出信息系统的安全保护等级，是否明确描述确定信息系统为某个安全保护等级的方法和理由，是否给出安全等级保护措施组成 SxAyGz值；查看定级结果是否有相关部门的批准盖章；应检查专家论证文档，查看是否有专家对定级结果的论证意见；业务、网络、硬件、软件、应检查系统属性说明文档，查看文档是否明确了系统使命、数据、边界、人员等。--------测试记录：划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导 ?否□是□〇是否对其进行明确描述 ?否□是□〇是否组织相关部门和有关安全技术专家对定级结果进行论证和审定 ?否□是□〇定级结果是否获得了相关部门（如上级主管部门）的批准 ?否□是□系统划分文档是否明确描述信息系统划分的方法和理由 ?否□是□系统定级文档 :〇是否给出信息系统的安全保护等级 ?否□是□--------〇是否明确描述确定信息系统为某个安全保护等级的方法和理由 ?--------备注：分析结果《系统建设管理调查表》系统运维管理分析内容采用问卷调查、人工问询等方式对评估工作范围内的信息系统进行系统运维管理符合性调查。主要包含：环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理 13个方面的符合性。同时为后续系统运维管理符合性分析提供参考数据。分析工具问卷调查（部分）测试类别 等级测评（三级）测试对象 系统运维测试类 系统运维管理测试项 环境管理--------测试要求：应对机房供配电、 空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理；应配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面作出规定；应加强对办公环境的保密性管理，包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等；应有指定的部门负责机房安全，并配置电子门禁系统，对机房来访人员实行登记记录和电子记录双重备案管理；应对办公环境的人员行为，如工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等作出规定。--------测试方法：应访谈物理安全负责人，询问是否指定专人或部门对机房基本设施（如空调、供配电设备等）进行定期维护，由何部门 /何人负责，维护周期多长；应访谈物理安全负责人，询问是否指定人员负责机房安全管理工作，对机房进出管理是否要求制度化和文档化；应访谈机房值守人员，询问对外来人员进出机房是否采用人工记录和电子记录双重控制；应访谈工作人员，询问对办公环境的保密性要求事项；应检查机房安全管理制度， 查看其内容是否覆盖机房物理访问、 物品带进、 带出机房、机房环境安全等方面；应检查办公环境管理文档，查看其内容是否对工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等） 、人员调离办公室后的行为等方面进行规定；应检查机房进出登记表，查看是否记录外来人员进出时间、人员姓名、访问原因等内容；查看是否具有电子门禁系统，电子记录文档是否有时间、人员等信息；应检查机房基础设施维护记录，查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。--------测试记录：是否指定专人或部门对机房基本设施（如空调、供配电设备等）进行定期维护？否□是□〇由何部门 /何人负责？〇维护周期多长？是否指定人员负责机房安全管理工作，对机房进出管理是否要求制度化和文档化？否□是□对外来人员进出机房是否采用人工记录和电子记录双重控制？否□是□对办公环境的保密性要求事项？机房安全管理制度内容是否覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面？否□是□办公环境管理文档是否对工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等）、人员调离办公室后的行为等方面进行规定？否□--------备注：分析结果《系统运维管理调查表》提交成果某部委信息系统差距分析过程中将产生众多文档，其中包括过程文档和结果文档，过程文档用以支持咨询人员进行差距分析，并形成结果文档 《信息系统等级保护差距分析报告》。信息系统等级保护差距分析报告主要内容：差距分析是以现场调查和测试所收集的信息为依据， 满足等级保护要求为目标， 对现有系统安全做出的一种客观的、真实的评价。 报告内容包括对各信息系统现有安全防护水平与相应等级之间差距的描述和整改建议等。 差距分析是制定信息系统安全等级保护体系设计方案前的一个非常关键的环节， 为信息系统安全等级保护体系设计方案的撰写提供参考。--------等级保护整改方案设计随着信息技术的发展和信息化的深入应用，各行各业尤其是在某，业务自动化的实现有效提高了职能部门工作效率、 节省了大量人力物力， 但是随之而来的信息安全问题也给信息系统运营使用单位带来严重的负面影响和经济损失。在信息安全建设的过程中，管理人员和技术人员逐步发现，信息安全不仅仅是技术问题，更多是管理问题，如人员安全意识不高、操作不规范等，再加上没有完善的安全运维体系，一旦发生安全事件，没有成熟有效的机制进行处理，导致安全事件产生较严重的后果，带来较严重的负面影响。因此，有必要结合某部委实际网络状况、业务情况等，参考国际信息安全管理成熟理论和方法， 根据国家信息安全保障政策法规和标准规范， 其中主要是等级保护相关的有关政策和标准，建立某部委等级化的信息安全保障体系。工作目的等级保护体系设计的工作目的是根据前期系统定级、差距分析和等级保护整改结果，结合某部委的实际网络和系统情况以及业务现状， 参考国内外成熟的信息安全管理理论和实践，以国家信息安全等级保护政策法规和标准规范为指导，从安全技术、安全管理和安全服务三个维度，设计合理的信息安全策略，以及安全技术措施、安全管理组织、 安全管理制度等， 建立结构化的信息安全管理体系，整体提高某部委信息安全防护能力，满足国家等级保护要求， 切实保障信息系统安全稳定运行，建立信息安全长久机制。--------工作方式等级保护体系设计的工作方式主要如下。项目会议：等级保护体系设计项目小组通过组织系统定级实施人员、差距分析实施人员以及等级保护整改实施人员召开会议，了解某部委网络和系统现状，从实际需求和政策符合性等多个方面挖掘安全需求，分析某部委的行业要求和业务要求，确定等级保护体系设计依据的政策法规和标准规范等，为体系设计方案编写提供依据。方案设计：由资深安全咨询顾问组织人员力量进行方案编制。内部评审：由国都兴业专家组对体系设计方案进行评审，评审内容包括方案的合理性、先进性、可行性等。客户交流：通过内部评审后，与某部委相关人员就方案设计进行深入沟通和交流，针对某部委的个性化需求，调整方案设计。专家评审：最后由国都兴业公司组织外部专家对方案的合理性、先进性和可行性进一步进行评审。工作内容体系设计的工作内容主要包括方案设计项目小组组织会议了解某部委及其被评估网络和系统的现状、需求等，然后进行方案设计，在方案设计过程中，反复与某部委进行交流和内部评审， 最终通过外部专家评审，提交给