等级保护项目技术方案

1、构建安全能力 提升业务价值等级保护项目技术方案TOPSEC1背景简介2等级保护服务建设资质3成功案例介绍5目 录4等级保护服务介绍等级保护安全产品概括信息安全等级保护安全建设服务机构能力评估合格证书等级保护建设资质一览测评机构及授权（上海市计算机软件技术开发中心）等级保护建设资质一览CISSP/CISP培训资质ITIL管理体系认证ISO27001资质认证等级保护安全服务资质一级信息系统安全集成资质一级应急处理服务一级风险评估服务1背景简介2等级保护服务建设资质及人员安排3成功案例介绍5目 录4等级保护服务介绍等级保护安全产品概括成功案例用户名称备案系统等保级别中国人保资产门户网站二级英大泰和人

2、寿保险全网生产系统三级上海清算所交易系统三级中国外汇交易中心同业拆借三级中国期货协会OA、文件系统二级广东银监局全网业务系统1个三级、3个二级黄金交易所交易系统三级北京农村商业银行综合业务系统，网络银行业务系统、OA系统、支付业务系统、柜面通业务系统、中间业务系统、凤凰卡业务系统、自助终端系统、电话银行系统等9个系统三级人民银行清算所核心业务系统三级摩根华鑫证券OA系统二级中原证券全网生产系统三级湘财期货门户网站二级中海信托OA系统二级兴证期货网站系统二级东吴期货全网生产系统三级成功案例用户名称备案系统等保级别大陆期货全网生产系统三级兴业期货全网生产系统三级浙商基金全网生产系统三级国联安基金全

3、网生产系统三级中海基金全网生产系统三级徐汇公安信息发布系统三级崇明公安信息发布系统三级水利部太湖局视频会商数据中心管理 三级电机学院门户网站二级海关学院门户网站二级同济大学门户网站三级1背景简介2等级保护服务建设资质及人员安排3成功案例介绍5目 录4等级保护服务介绍等级保护安全产品概括等级保护介绍27号文“谁主管谁负责，谁运营谁负责”147号：明确了公安部的牵头地位66号文信息系统分等级保护、信息安全产品分等级管理、信息安全事件分等级响应、处置等级保护介绍党政机关、事业单位和国有企业互联网网站安全专项整治行动方案（公信安【2015】2562号）上海市党政机关、事业单位和国有企业互联网网站安全专

4、项整治行动方案（沪公通字【2015】65号）等级保护介绍等级保护是对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化的国家层面的信息安全制度。进而牵动经济发展，提高综合国力。针对等级保护，国家陆续出台了一系列的标准、制度，使其作为国家层面的信息安全保障基本制度在全社会广泛执行。等级测评协助 向测评机构介绍本单位的信息化建设状况与发展情况准备测评机构需要的资料为测评

5、人员的信息收集提供支持和协调准确填写调查表格根据被测系统的具体情况，如业务运行高峰期等，为测评时间安排提供适宜的建议制定应急预案现场测评:访谈文档审查配置检查工具测试实地察看系统定级安全建设整改等级测评安全自查与监督检查系统备案信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。定级工作流程：摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。等级保护实施过程系统定级等级保护定级依据业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社

6、会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级业务信息安全被破坏时所侵害的客体系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务被破坏时所侵害的客体专家评审会组成专家组成员网安总队（或各区分队）同行业平行单位相关负责人测评机构相关负责人上级主管单位系统定级安全建设整改等级测评安全自查与监督检查系统备案等级保护实施过程系统备案 协助完成信息系统等级保护定级、备案工作系统定级安全建设整改等级测评安全自查与监督检查系统备案等级保护实施过程建设整

7、改渗透测试方式：工具扫描手工验证 开展信息系统渗透测试，收集系统中存在的风险、漏洞，并协助用户单位完成中高风险漏洞的整改渗透测试服务系统定级安全建设整改等级测评安全自查与监督检查系统备案等级保护实施过程建设整改二级三级网络拓扑区别系统定级安全建设整改等级测评安全自查与监督检查系统备案信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。在公安部备案的信息系统应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统，备案单位应选择本省（区、市）

8、信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。目前国家级7家，上海市级4家。测评时机：建设整改后开展等级测评，检验整改效果。测评频率：第三级以上定期；第二级参照。测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。测评目的一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。等级保护实施过程等级测评系统定级安全建设整改等级测评安全自查与监督检查系统备案备案单位应定期开展自查，掌握信息系

9、统安全状况、安全管理制度及技术保护措施的落实情况等。行业主管部门定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。 第三级、第四级信息系统，由受理备案的公安机关进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。公安机关监督检查内容包括：等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息安全设施建设情况和信息安全整改情况运营、使用单位信息安全管理制度建立和措施落实情况信息安全产品选择和使用情况聘请测评机构开展技术测评工作

10、情况运营、使用单位对信息系统安全状况定期自查情况及其主管部门督导检查情况等级保护实施过程安全自查与监督检查备案证（样版）1背景简介2等级保护服务建设资质及实施安排3成功案例介绍5目 录4等级保护服务介绍等级保护安全产品概括物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术