等保整改与安全建设方案

等级保护整治与安全建设方案前言等级保护保护整治与安全建设工作重要性

根据公通字[]43号文的规定，信息系统定级工作完毕后，运行、使用单位首先要按照有关的管理规范和技术原则进行安全建设和整治，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。

等级保护整治的核心是根据顾客的实际信息安全需求、业务特点及应用重点，在拟定不同系统重要程度的基础上，进行重点保护。整治工作要遵照国家等级保护有关规定，将等级保护规定体现到方案、产品和安全服务中去，并切实结合顾客信息安全建设的实际需求，建设一套全方面保护、重点突出、持续运行的安全保障体系，将等级保护制度确实贯彻到公司的信息安全规划、建设、评定、运行和维护等各个环节，保障公司的信息安全。

等级保护整治与安全建设过程等级保护整治与安全建设是基于国家信息系统安全等级保护有关原则和文献的规定，针对客户已定级备案的信息系统、或打算按照等保规定进行安全建设的信息系统，结合客户组织架构、业务规定、信息系统实际状况，通过一套规范的等保整治正程，协助客户进行风险评定和等级保护差距分析，制订完整的安全整治建议方案，并根据需要协助客户对贯彻整治实施方案或进行方案的评审、招投标、整治监理等工作，协助客户完毕信息系统等级保护整治和安全建设工作。

等保整治与建设过程重要涉及：等级保护差距分析、等级保护整治建议方案、等级保护整治实施三个阶段。

(一)

等级保护差距分析

1.

等级保护风险评定

1)

评定目的

对信息系统进行安全等级评定是国家推行等级保护制度的一种重要环节，也是对信息系统进行安全建设和管理的重要构成部分。

等级评定不同于按照等级保护规定进行的等保差距分析。风险评定的目的是进一步、具体地检查信息系统的安全风险状况，而差距分析则是按照等保的全部规定进行符合性检查，检查信息系统现状与国家等保规定之间的符合程度。能够说，风险评定的成果更能体现是客户信息系统技术层面的安全现状，比差距分析成果在技术上更加进一步。风险评定的成果和差距分析成果都是整治建议方案的输入。通过专业的等级评定服务，协助顾客完毕下列的目的：●理解信息系统的管理、网络和系统安全现状；

●拟定可能对资产造成危害的威胁；

●拟定威胁实施的可能性；

●对可能受到威胁影响的资产拟定其价值、敏感性和严重性，以及对应的级别，拟定哪些资产是最重要的；

●对最重要的、最敏感的资产，拟定一旦威胁发生其潜在的损失或破坏；●明确信息系统的已有安全方法的有效性；

●明晰信息系统的安全管理需求。

2)

评定内容

●资产识别与赋值

●主机安全性评定

●数据库安全性评定

●安全设备评定

现场风险评定用到的重要评定办法涉及：

●漏洞扫描

●控制台审计

●技术访谈

3)

评定分析

根据现场收集的信息及对这些信息的分析，评定小组形成定级信息系统的弱点评定报告、风险评定报告等文档，使客户充足理解信息系统存在的风险，作为等保差距分析的一项重要输入，并作为后续整治建设的重要根据。

2.

等保差距分析

通过差距分析，能够理解客户信息系统的现状，拟定现在系统与对应保护等级规定之间的差距，拟定不符合安全项。

1)

准备差距分析表

项目组通过准备好的差距分析表，与客户确认现场沟通的对象（部门和人员），准备对应的检查内容。

在整顿差距分析表时，整治项目组会根据信息系统的安全等级从基本规定中选择对应等级的基本安全规定，根据及风险评定的成果进行调节，去掉不合用项，增加不能满足客户信息系统需求的安全规定。

差距分析表包含下列内容：

●安全技术差距分析：涉及网络安全、主机安全、应用安全、数据安全及备份恢复；

●安全管理差距分析：涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理；

●系统运维差距分析：涉及环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防备管理、密码管理、变更管理、备份与恢复管理、安全事件处置；

●物理安全差距分析：涉及物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

不同安全保护级别的系统所使用的差距分析表的内容也不同。

2)

现场差距分析

整治项目组根据差距分析表中的各项安全规定，对比信息系统现状和安全规定之间的差距，拟定不符合项。

现场工作阶段，整治项目组可分为管理检查组和技术检查组两个小组。

在差距分析阶段，能够通过下列方式收集信息，具体理解客户信息系统现状，并通过分析所收集的资料和数据，以确认客户信息系统的建设与否符合该等级的安全规定，需要进行哪些方面的整治。

●查验文档资料

●人员访谈

●现场测试

3)

生成差距分析报告

完毕现场差距分析之后，整治项目组归纳整顿、分析现场统计，找出现在信息系统与等级保护安全规定之间的差距，明确不符合项，生成《等级保护差距分析报告》。

(二)

等级保护整治建议方案

1.

整治目的沟通确认

通过与客户高层领导、有关业务部门和信息安全管理部门进行广泛的沟通协商，会根据风险评定和差距分析的成果，明确等级保护整治工作的工作目的，提出等级保护整治建议方案。对临时难以进行整治的部分内容，将在讨论后作为遗留问题，明确列在整治建议方案中。

2.

总体框架

根据等保安全规定，提出以下的安全整治建议，其中PMOT体系是信息安全保障总体框架模型。

图

信息安全PMOT体系模型

根据建议方案的设计原则，协助客户制订总体安全保障体系架构，涉及制订安全方略，结合等级保护基本规定和安全保护特殊规定，来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系，具体内容涉及：●建立和完善安全方略：最高层次的安全方略文献，阐明安全工作的使命和意愿，定义信息安全工作的总体目的。●安全技术体系：安全技术的保障涉及网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。●建立和完善安全管理体系：建立安全管理制度，建立信息安全组织，规范人员管理和系统建议管理。●安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监控和安全管理等。

展开后的等级保护整治与安全建设总体框架以下图所示，从信息安全整体方略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面贯彻等级保护安全基本规定。图4等级保护整治与安全建设总体框架3.

方案阐明●信息安全方略信息安全方略是最高管理层对信息安全的盼望和承诺的体现，位于整个PMOT信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安全工作总体目的，对技术和管理各方面的安全工作含有通用指导性。●安全技术体系根据整治目的提出整治方案的安全技术保障体系，将保障体系框架中规定实现的网络、主机和应用安全贯彻到产品功效或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功效特性整顿成文档。使得在信息安全产品采购和安全控制开发阶段含有根据，重要内容涉及：网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。●安全管理体系为满足等保基本规定，应建立和完善安全管理体系，涉及：完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。●安全运维体系为满足等保基本规定，应建立和完善安全运维体系，涉及：环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防备、变更管理、信息安全事件管理等。

(三)

等级保护整治实施为了更加好地协助客户贯彻等保的整治工作，能够作为集成商、咨询方、或者监理方，协助客户贯彻整治实施方案，或协助进行整治实施方案的评审、招投标、项目监理等工作，以完毕系统整治和安全建设工作。

1.

制订整治实施方案在拟定整治实施的承建单位后，会提交有关的工程实施文档，涉及参考整治建议方案而编制的项目实施技术规划等文档，其中涵盖安全建设阶段的各项实施细节，重要有：●项目产品配备清单●实施设计方案●实施准备工作描述，实施工作环节●实施风险规避方案●实施验证方案●现场培训方案工程实施文档应经客户方的项目负责人确认后，方可进行实施。2.

整治建设实施承当项目实施的工作，确保贯彻客户信息系统的安全保护技术方法，建立健全信息安全管理制度，全方面贯彻贯彻信息安全等级保护制度。3.

整治实施项目验收整治实施工作完毕后，提出验收申请和工程测实验收方案，由客户审批工程测实验收方案（验收目的、责任双方、验收提交清单、验收原则、验收方式、验收环境等）的符合性及可行性。4.

等级保护运维在整治建设与实施工作完毕之后，将协助