2等级保护工作各环节服务方案

1、等级保护 工作 开 展参考 资料文档说明1)目标对象：客户单位的信息主管/计算机信息系统运维治理人员2) 文档功能：与客户一起探讨“信息平安等级保护工作开展工作方法一.等级保护整体效劳方案图？1等级保护整体效劳方案工作流程图?等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户效劳的 态度,“中国信息平安测评效劳方华中测评效劳中央推出了等级保护专业效劳,提供包括定级 备案、差距分析、方案制订、实施、测评、检查等各个环节的效劳,通过自身的平安产品、平安 效劳,可协助用户完成等级保护各个阶段的实施和建设,保证用户严格根据等级保护的过程规划并建设自己的平安保证体系,更好地支撑应用

2、和业务的开展,为用户信息平安保证体系保驾护航.测评效劳方在等级保护各个阶段将协助用户完成上图的任务和工作.具体包括：？1） 等级保护定级备案对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评效劳方将协助用户完成保护等级的备案工作.？2） 等级保护差距分析通过风险评估可以发现信息系统的平安现状与需要到达的平安等级或目标的差异,使信息 系统的治理和使用单位可以在技术和治理方面进行有针对性的增强和完善,使单位的信息系统安全工作有的放矢.？3） 等级保护整改建议方案测评效劳方根据评估的结果和信息系统确认的保护等级,结合?信息系统平安等级保护基本要求?以及其它相关整改标准中对

3、各级别信息系统的技术、治理和运维方面的要求,制定相应的平安保护举措,完成等级保护整改建议方案的设计.依据公通字200743号文的要求,信息系统定级工作完成后, 运营、使用单位首先要根据相 关的治理标准和技术标准进行平安建设和整改,使用符合国家有关规定、满足信息系统平安保护等级需求的信息技术产品,进行信息系统平安建设或者改建工作.等级保护整改的核心是根据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的根底上,进行重点保护.整改工作要遵循国家等级保护相关要求,将等级保护要求表到达方案、产品和平安效劳中去,并切实结合用户信息平安建设的实际需求,建设一套全面保护、重点突出、持续运行

4、的平安保证体系,将等级保护制度确实落实到企业的信息平安规划、 建设、评估、运行和维护等各个环节,保证企业的信息平安.？4） 等级保护整改实施测评效劳方将依据规划向用户提供详细设计和等级保护系统建设效劳,保证保证等级能够 到达信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理.5） 等级保护测评咨询在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的平安技术和安 全治理上各个层面的平安限制进行整体性验证,测评效劳方提供的测评咨询效劳将协助用户通过等级保护测评工作.6） 等级保护检查咨询在信息系统进行完成定级和整改实施之后,国家主管机关将对信息系统的平安

5、技术和平安治理各个层面的平安限制进行检查,测评效劳方将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作.2 .等级保护定级过程方法/方案2.1. 定级工作的重要性信息系统的定级是等级保护工作的首要环节.从等级保护角度看,平安级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级保护政策、准确定级,是开展后续整改和测评工作的根底,可以防止后续工作走弯路,造成投资浪费或者平安程度过低；从定级单位自身的平安需求看,是本单位结合业务需求、信息平安建设现状, 从自身平安需求出发,进行有针对性的信息平安规划、建设、运维的实际要求.？2.2. 定级过程等级保护定

6、级与备案工作是基于国家信息系统平安等级保护相关文件的要求,测评效劳方结合客户的组织架构、业务要求、信息系统的实际情况,协助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导意见可选的效劳.共分为七个大的阶段： 定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段可选、评审和审批 阶段、协助备案阶段、工程总结阶段.定级之后,随着业务的变化,信息系统的级别可能需要进行适当的调整、变更,此时需要进行等级变更.?2.2.1. 定级准备阶段在定级的过程中,不仅会涉及客户的信息治理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最

7、为了解,因此业务部门应参与、甚至主导对业务信息系统的定级工作.初步明确定级范围,以便后续开展摸底调查和进行定级.定级范围包括本单位内部建设、使用的承载生产、调度、治理、办公等重要业务的信息系统.测评效劳方根据已了解的初步根本信息、定级范围,根据国家等级保护相关文件如861号文、国家?定级指南?、测评效劳方定级方法等,制定本单位信息系统平安等级的定级工作方案.？2.2.2. 信息系统识别由定级工作工程组中的信息治理部门相关人员牵头,开展对所有需要定级的信息系统的摸底调查工作,掌握信息系统的根本情况,了解信息系统包括信息网络的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明

8、确定级范围、进行定级奠定根底.测评效劳方会准备?信息系统调查表?,协助客户的信息治理部门开展信息系统识别工作,组织相关业务部门填写调查表.在这个工作过程中,各业务部门的接口人根据信息系统的实际情况填写调查表,测评效劳方通过邮件、 等方式对各业务部门接口人提供技术支持,支持解答定级范围、 表格填写以及填报系统使用等问题.？2.2.3. 初步定级测评效劳方准备?信息系统平安等级保护定级报告模板?,给出定级报告例如.定级工作工程组的信息治理部门和业务部门依据定级报告模板,起草?信息系统平安等级保护定级报告?.虽然国家?定级指南?已经给出了定级的原那么和指南,但在具体定级过程中,由于各行业各单位的自身

9、特点不同,加上信息系统的数量可能较多、涉及单位或部门较多,业务单位那么普遍缺少定级的经验,可能会导致定出来的平安等级不合理、同类信息系统在不同单位定的级别不一致、下级单位定级高于上级单位定级等不合理等情况.测评效劳方根据已经掌握的信息系统情况,对各单位上传的定级报告的合理性进行初步研究和审核把关,请相关单位派人共同讨论,根据系统类别梳理定级报告,对照国家对不同等级的 要求,在报告内容、行文格式、定级准确性等方面给出修改意见.根据讨论的定级报告修改意见,各单位的定级工作组修改定级报告,并汇总到定级工作项目组,由定级工作工程组统一汇总、整理后,形成定级报告的专家评审稿.？2.2.4. 行业化定级指

10、导建议依据对已定级信息系统的了解,根据客户单位的实际情况,结合国家?定级指南?的要求, 测评效劳方可协助客户制定行业化的?某某行业等级保护定级指导建议?可选,以指导本行业、本地区的定级工作.？2.2.5. 评审和审批初步确定信息系统平安保护等级后,测评效劳方将协助客户聘请等级保护专家、行业专家、 主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审意见.评审后,测评效劳方将协助客户参考专家定级评审意见,最终确定信息系统等级,进一步 修改各信息系统的?定级报告?和行业化定级指导建议假设有,形成最终的定级报告.假设客户有上级主管部门或行业主管,并对定级报告具有审批要求

11、的,测评效劳方将协助将信息系统平安保护等级定级报告报经上级主管部门审批同意.？2.2.6. 协助备案根据43号文?信息平安等级保护治理方法?,信息系统平安保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安部网站下载?信息系统平安等级保护备案表?,持填写的备案表纸制版及其电子版均为word表格,到公安机关办理备案手续,提交有关备案材料.测评效劳方将协助客户填写?信息系统平安等级保护备案表?,协助完成备案工作.？2.2.7. 总结报告阶段各单位对本单位的定级工作进行总结并报给定级工程工作组.定级工程工作组汇总整个单位的定级情况,对定级工作进行总结,形成总结报告,提交信息系统定级指导委员

12、会、信息治理部门主管领导,并可同时报送给备案的公安机关.3 .整改与平安建设效劳方案3.1. 等级保护整改与平安建设工作重要性依据公通字200743号文的要求,信息系统定级工作完成后, 运营、使用单位首先要根据相 关的治理标准和技术标准进行平安建设和整改,使用符合国家有关规定、满足信息系统平安保护等级需求的信息技术产品,进行信息系统平安建设或者改建工作.等级保护整改的核心是根据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的根底上,进行重点保护整改工作要遵循国家等级保护相关要求,将等级保护建设一套全要求表到达方案、产品和平安效劳中去,并切实结合用户信息平安建设的实际需求,

13、面保护、重点突出、持续运行的平安保证体系,将等级保护制度确实落实到企业的信息平安规划、建设、评估、运行和维护等各个环节,保证企业的信息平安.？3.2. 等级保护整改与平安建设过程等级保护整改与平安建设是基于国家信息系统平安等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算根据等保要求进行平安建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套标准的等保整改正程,协助客户进行风险评估和等级保护差距分析,制定完整的平安整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和平安建设工作.等保整改

14、与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段.3.2.1. 等级保护差距分析1 .?等级保护风险评估1)?评估目的对信息系统进行平安等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统 进行平安建设和治理的重要组成局部.等级评估不同于根据等级保护要求进行的等保差距分析.风险评估的目标是深入、详细地检查信息系统的平安风险状况,而差距分析那么是根据等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度.可以说,风险评估的结果更能表达是客户信息系统技术层面的平安现状,比差距分析结果在技术上更加深入.风险评估的结果和差距分析结果都是整改

15、建议方案的输入.？测评效劳方通过专业的等级评估效劳,协助用户完成以下的目标：？了解信息系统的治理、网络和系统平安现状；确定可能对资产造成危害的威胁；确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪 些资产是最重要的；对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏；？明确信息系统的已有平安举措的有效性；明晰信息系统的平安治理需求.2)?评估内容资产识别与赋值主机平安性评估数据库平安性评估平安设备评估现场风险评估用到的主要评估方法包括：漏洞扫描限制台审计技术访谈3)?评估分析根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统

16、的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据.2 .?等保差距分析通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合平安项.1)?准备差距分析表工程组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容.在整理差距分析表时,整改工程组会根据信息系统的平安等级从根本要求中选择相应等级的根本平安要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的平安要求.?差距分析表包含以下内容：平安技术差距分析：包括网络平安、

17、主机平安、应用平安、数据平安及备份恢复；平安治理差距分析：包括平安治理制度、平安治理机构、人员平安治理、系统建设管理；系统运维差距分析：包括环境治理、资产治理、介质治理、监控治理和平安治理中央、 网络平安治理、系统平安治理、恶意代码防范治理、密码治理、变更治理、备份与恢 复治理、平安事件处置；物理平安差距分析：包括物理位置的选择、物理访问限制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度限制、电力供给、电磁防护.不同平安保护级别的系统所使用的差距分析表的内容也不同.2)?现场差距分析整改工程组依据差距分析表中的各项平安要求,比照信息系统现状和平安要求之间的差距,确定不符合项.现场工

18、作阶段,整改工程组可分为治理检查组和技术检查组两个小组.在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析 所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的平安要求,需要进行哪些方面的整改.查验文档资料人员访谈现场测试3)?生成差距分析报告完成现场差距分析之后,整改工程组归纳整理、分析现场记录,找出目前信息系统与等级 保护平安要求之间的差距,明确不符合项,生成?等级保护差距分析报告?.3.2.2. 等级保护整改建议方案1 .?整改目标沟通确认通过与客户高层领导、相关业务部门和信息平安治理部门进行广泛的沟通协商,测评效劳 方会依据风险评估和差距分析的结果,

19、明确等级保护整改工作的工作目标,提出等级保护整改建议方案.？对暂时难以进行整改的局部内容,将在讨论后作为遗留问题,明确列在整改建议方案中.2 .?总体框架根据等保平安要求,测评效劳方提出如下的平安整改建议,其中PMOT体系是信息平安保障总体框架模型.图？信息平安PMOT体系模型测评效劳方根据建议方案的设计原那么,协助客户制定总体平安保证体系架构,包括制定安全策略,结合等级保护根本要求和平安保护特殊要求,来构建客户信息系统的平安技术体系、安全治理体系及平安运维体系,具体内容包括：？建立和完善平安策略：最高层次的平安策略文件,说明平安工作的使命和意愿,定义信息平安工作的总体目标.？平安技术体系：平

20、安技术的保证包括网络边界防御、平安通信网络、主机和应用系统平安、检测响应体系、冗余与备份以及平安治理中央.？建立和完善平安治理体系：建立平安治理制度,建立信息平安组织,标准人员治理和 系统建议治理.？平安运维体系：机房平安,资产及设备平安,网络与系统平安治理、监控和平安治理 等.展开后的等级保护整改与平安建设总体框架如下列图所示,从信息平安整体策略 Policy 平安治理体系Management、平安技术体系 Technology 平安运维Operation四个层面落实等级保护安 全根本要求.图4等级保护整改与平安建设总体框架3 .?方案说明？信息平安策略？信息平安策略是最高治理层对信息平安的

21、期望和承诺的表达,位于整个PMOT信息平安体系的顶层,也是平安治理体系的最高指导方针,明确了信息平安工作总体目标, 对技术和治理各方面的平安工作具有通用指导性. ？平安技术体系?测评效劳方根据整改目标提出整改方案的平安技术保证体系,将保证体系框架中要求实现 的网络、主机和应用平安落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档.使得在信息平安产品采购和平安限制开发阶段具有依据,主要内容包括：网络边界护御、平安通信网络、主机与应用防护体系、检测响应体系、冗余与备份、 信息平安治理中央.？平安治理体系?为满足等保根本要求,应建立和完善平安治理体系,包括：完善平安制度体系、完善平安 组织、标准人员