等級(jí)保護(hù)工作各環(huán)節(jié)服務(wù)方案

1、等級(jí)保護(hù)工作開展參考資料文檔說(shuō)明1）目標(biāo)對(duì)象：客戶單位的信息主管/計(jì)算機(jī)信息系統(tǒng)運(yùn)維管理人員2） 文檔功能：與客戶一起探討“信息安全等級(jí)保護(hù)工作開展”工作方法等保定級(jí)備案1）分析信息系統(tǒng)特點(diǎn)2）對(duì)重要信息系統(tǒng)進(jìn) 行摸底調(diào)查，確定定 級(jí)對(duì)象3）完成定級(jí)報(bào)告4）協(xié)助專家評(píng)審和審 批5）完成定級(jí)備案工作等保整改與安全建設(shè)1）明確整改思路2）進(jìn)行風(fēng)險(xiǎn)評(píng)估3）通過(guò)現(xiàn)場(chǎng)訪談、現(xiàn) 場(chǎng)測(cè)試等方式，完成差距分析報(bào)告4）形成等保整改和安 全建設(shè)方案5）進(jìn)行等保整改建設(shè)等保檢查1）開展自查2）進(jìn)行行業(yè)檢查3）準(zhǔn)備檢查所需要的 文檔和資料4）配合公安機(jī)關(guān)的現(xiàn) 場(chǎng)檢查工作等保測(cè)評(píng)1）制定測(cè)評(píng)咨詢工作 計(jì)劃一.等級(jí)保護(hù)整

2、體服務(wù)方案2）準(zhǔn)備等保測(cè)評(píng)所需 要的文檔和資料3）配合測(cè)評(píng)機(jī)構(gòu)的現(xiàn) 場(chǎng)測(cè)評(píng)工作圖1等級(jí)保護(hù)整體服務(wù)方案工作流程圖等級(jí)保護(hù)的建設(shè)是個(gè)長(zhǎng)期的過(guò)程，需要花費(fèi)大量的時(shí)間、精力和財(cái)力，本著為用戶服務(wù)的態(tài)度，“中國(guó)信息安全測(cè)評(píng)服務(wù)方華中測(cè)評(píng)服務(wù)中心”推出了等級(jí)保護(hù)專業(yè)服務(wù)，提供 包括定級(jí)備案、差距分析、方案制訂、實(shí)施、測(cè)評(píng)、檢查等各個(gè)環(huán)節(jié)的服務(wù)，通過(guò)自身的安全產(chǎn)品、安全服務(wù)，可協(xié)助用戶完成等級(jí)保護(hù)各個(gè)階段的實(shí)施和建設(shè)，確保用戶嚴(yán)格按照等級(jí)保護(hù)的過(guò)程規(guī)劃并建設(shè)自己的安全保障體系，更好地支撐應(yīng)用和業(yè)務(wù)的開展，為用戶信息 安全保障體系“保駕護(hù)航”。測(cè)評(píng)服務(wù)方在等級(jí)保護(hù)各個(gè)階段將協(xié)助用戶完成上圖的任務(wù)和工作。具體

3、包括: 1）等級(jí)保護(hù)定級(jí)備案對(duì)信息系統(tǒng)進(jìn)行劃分，并根據(jù)信息系統(tǒng)的價(jià)值確定信息系統(tǒng)的保護(hù)等級(jí)，等級(jí)確定后測(cè)評(píng)服務(wù)方將協(xié)助用戶完成保護(hù)等級(jí)的備案工作。2）等級(jí)保護(hù)差距分析通過(guò)風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級(jí)或目標(biāo)的差異，使信息系統(tǒng)的管理和使用單位可以在技術(shù)和管理方面進(jìn)行有針對(duì)性的加強(qiáng)和完善，使單位的信息系統(tǒng)安全工作有的放矢。3）等級(jí)保護(hù)整改建議方案測(cè)評(píng)服務(wù)方根據(jù)評(píng)估的結(jié)果和信息系統(tǒng)確認(rèn)的保護(hù)等級(jí)，結(jié)合信息系統(tǒng)安全等級(jí)保護(hù)基本要求以及其它相關(guān)整改標(biāo)準(zhǔn)中對(duì)各級(jí)別信息系統(tǒng)的技術(shù)、管理和運(yùn)維方面的要求，制定相應(yīng)的安全保護(hù)措施，完成等級(jí)保護(hù)整改建議方案的設(shè)計(jì)。依據(jù)公通字200743 號(hào)

4、文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營(yíng)、使用單位首先要 按照相關(guān)的管理規(guī)和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改，使用符合有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)， 在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去， 并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息 安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。4）等級(jí)保護(hù)整改

5、實(shí)施測(cè)評(píng)服務(wù)方將依據(jù)規(guī)劃向用戶提供詳細(xì)設(shè)計(jì)和等級(jí)保護(hù)系統(tǒng)建設(shè)服務(wù)，確保保障等級(jí)能夠達(dá)到信息系統(tǒng)所要求的保護(hù)等級(jí)， 或者協(xié)助用戶進(jìn)行等級(jí)保護(hù)的實(shí)施， 對(duì)承建商的工作進(jìn) 行監(jiān)理。5）等級(jí)保護(hù)測(cè)評(píng)咨詢?cè)谛畔⑾到y(tǒng)進(jìn)行完成定級(jí)和整改實(shí)施之后，需要通過(guò)測(cè)試手段對(duì)信息系統(tǒng)的安全技術(shù)和安全管理上各個(gè)層面的安全控制進(jìn)行整體性驗(yàn)證,測(cè)評(píng)服務(wù)方提供的測(cè)評(píng)咨詢服務(wù)將協(xié)助用戶通過(guò)等級(jí)保護(hù)測(cè)評(píng)工作。6）等級(jí)保護(hù)檢查咨詢?cè)谛畔⑾到y(tǒng)進(jìn)行完成定級(jí)和整改實(shí)施之后，主管機(jī)關(guān)將對(duì)信息系統(tǒng)的安全技術(shù)和安全管理各個(gè)層面的安全控制進(jìn)行檢查，測(cè)評(píng)服務(wù)方將協(xié)助用戶準(zhǔn)備檢查所需要的文檔和資料，配合公安機(jī)關(guān)開展現(xiàn)場(chǎng)的檢查工作。二.等級(jí)保護(hù)定級(jí)過(guò)程

6、方法/方案2.1. 定級(jí)工作的重要性信息系統(tǒng)的定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)。從等級(jí)保護(hù)角度看，安全級(jí)別定不準(zhǔn)，系統(tǒng)備案、建設(shè)整改、 等級(jí)測(cè)評(píng)等工作就都失去了針對(duì)性，完整地理解等級(jí)保護(hù)政策、準(zhǔn)確定級(jí)，是開展后續(xù)整改和測(cè)評(píng)工作的基礎(chǔ)，可以避免后續(xù)工作走彎路， 造成投資浪費(fèi)或者安全程度過(guò)低；從定級(jí)單位自身的安全需求看，是本單位結(jié)合業(yè)務(wù)需求、信息安全建設(shè)現(xiàn)狀，從 自身安全需求出發(fā)，進(jìn)行有針對(duì)性的信息安全規(guī)劃、建設(shè)、運(yùn)維的實(shí)際要求。22定級(jí)過(guò)程等級(jí)保護(hù)定級(jí)與備案工作是基于信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)文件的要求，測(cè)評(píng)服務(wù)方結(jié)合客戶的組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)的實(shí)際情況，協(xié)助客戶進(jìn)行信息系統(tǒng)的等級(jí)評(píng)定， 并為

7、客戶制定適合自身行業(yè)特點(diǎn)的信息系統(tǒng)定級(jí)指導(dǎo)意見（可選）的服務(wù)。共分為七個(gè)大的階段：定級(jí)準(zhǔn)備階段、摸底調(diào)查階段、初步定級(jí)階段、行業(yè)化定級(jí)指導(dǎo)建議階段（可選）、評(píng)審和審批階段、協(xié)助備案階段、項(xiàng)目總結(jié)階段。定級(jí)之后，隨著業(yè)務(wù)的變化，信息系統(tǒng)的級(jí)別可能需要進(jìn)行適當(dāng)?shù)恼{(diào)整、變更，此時(shí)需 要進(jìn)行等級(jí)變更。2.2.1. 定級(jí)準(zhǔn)備階段在定級(jí)的過(guò)程中，不僅會(huì)涉及客戶的信息管理部門，還會(huì)涉及到不同的業(yè)務(wù)部門，只有業(yè)務(wù)部門對(duì)信息系統(tǒng)的業(yè)務(wù)要求、信息系統(tǒng)受損害后的程度最為了解，因此業(yè)務(wù)部門應(yīng)參與、甚至主導(dǎo)對(duì)業(yè)務(wù)信息系統(tǒng)的定級(jí)工作。初步明確定級(jí)圍，以便后續(xù)開展摸底調(diào)查和進(jìn)行定級(jí)。定級(jí)圍包括本單位部建設(shè)、使用的承載生產(chǎn)、

8、調(diào)度、管理、辦公等重要業(yè)務(wù)的信息系統(tǒng)。測(cè)評(píng)服務(wù)方根據(jù)已了解的初步基本信息、定級(jí)圍，按照等級(jí)保護(hù)相關(guān)文件（如861號(hào)文、定級(jí)指南、測(cè)評(píng)服務(wù)方定級(jí)方法等），制定本單位信息系統(tǒng)安全等級(jí)的定級(jí)工作計(jì)劃。222信息系統(tǒng)識(shí)別由定級(jí)工作項(xiàng)目組中的信息管理部門相關(guān)人員牽頭，開展對(duì)所有需要定級(jí)的信息系統(tǒng)的摸底調(diào)查工作，掌握信息系統(tǒng)的基本情況，了解信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng) 用或服務(wù)圍、用戶數(shù)量、系統(tǒng)結(jié)構(gòu)、部署方式等信息，為下一步明確定級(jí)圍、進(jìn)行定級(jí)奠定 基礎(chǔ)。測(cè)評(píng)服務(wù)方會(huì)準(zhǔn)備信息系統(tǒng)調(diào)查表，協(xié)助客戶的信息管理部門開展信息系統(tǒng)識(shí)別工作，組織相關(guān)業(yè)務(wù)部門填寫調(diào)查表。在這個(gè)工作過(guò)程中，各業(yè)務(wù)部門的接口人根

9、據(jù)信息系統(tǒng)的實(shí)際情況填寫調(diào)查表，測(cè)評(píng)服務(wù)方通過(guò)、等方式對(duì)各業(yè)務(wù)部門接口人提供技術(shù)支持，支持解答定級(jí)圍、表格填寫以及填報(bào)系統(tǒng)使用等問題。2.2.3.初步定級(jí)測(cè)評(píng)服務(wù)方準(zhǔn)備信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告模板，給出定級(jí)報(bào)告示例。定級(jí)工作項(xiàng)目組的信息管理部門和業(yè)務(wù)部門依據(jù)定級(jí)報(bào)告模板，起草信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)扌艮告。雖然定級(jí)指南已經(jīng)給出了定級(jí)的原則和指南，但在具體定級(jí)過(guò)程中，由于各行業(yè)各單位的自身特點(diǎn)不同， 加上信息系統(tǒng)的數(shù)量可能較多、涉及單位或部門較多， 業(yè)務(wù)單位則普遍缺少定級(jí)的經(jīng)驗(yàn)，可能會(huì)導(dǎo)致定出來(lái)的安全等級(jí)不合理、同類信息系統(tǒng)在不同單位定的級(jí)別不一致、下級(jí)單位定級(jí)高于上級(jí)單位定級(jí)等不合理等情況

10、。測(cè)評(píng)服務(wù)方根據(jù)已經(jīng)掌握的信息系統(tǒng)情況，對(duì)各單位上傳的定級(jí)報(bào)告的合理性進(jìn)行初步研究和審核把關(guān)，請(qǐng)相關(guān)單位派人共同討論，按照系統(tǒng)類別梳理定級(jí)報(bào)告，對(duì)照對(duì)不同等級(jí)的要求，在報(bào)告容、行文格式、定級(jí)準(zhǔn)確性等方面給出修改意見。根據(jù)討論的定級(jí)報(bào)告修改意見，各單位的定級(jí)工作組修改定級(jí)報(bào)告，并匯總到定級(jí)工作項(xiàng)目組，由定級(jí)工作項(xiàng)目組統(tǒng)一匯總、整理后，形成定級(jí)報(bào)告的專家評(píng)審稿。2.2.4. 行業(yè)化定級(jí)指導(dǎo)建議依據(jù)對(duì)已定級(jí)信息系統(tǒng)的了解，根據(jù)客戶單位的實(shí)際情況，結(jié)合定級(jí)指南的要求，測(cè)評(píng)服務(wù)方可協(xié)助客戶制定行業(yè)化的某某行業(yè)等級(jí)保護(hù)定級(jí)指導(dǎo)建議（可選），以指導(dǎo)本行業(yè)、本地區(qū)的定級(jí)工作。2.2.5. 評(píng)審和審批初步確定信

11、息系統(tǒng)安全保護(hù)等級(jí)后， 測(cè)評(píng)服務(wù)方將協(xié)助客戶聘請(qǐng)等級(jí)保護(hù)專家、 行業(yè)專 家、主管機(jī)關(guān)領(lǐng)導(dǎo)等外部專家， 召開信息系統(tǒng)定級(jí)評(píng)審會(huì)，對(duì)定級(jí)報(bào)告進(jìn)行外部評(píng)審，并形成評(píng)審意見。評(píng)審后，測(cè)評(píng)服務(wù)方將協(xié)助客戶參考專家定級(jí)評(píng)審意見，最終確定信息系統(tǒng)等級(jí)， 進(jìn)一步修改各信息系統(tǒng)的定級(jí)報(bào)告和行業(yè)化定級(jí)指導(dǎo)建議（若有），形成最終的定級(jí)報(bào)告。若客戶有上級(jí)主管部門或行業(yè)主管，并對(duì)定級(jí)報(bào)告具有審批要求的，測(cè)評(píng)服務(wù)方將協(xié)助將信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告報(bào)經(jīng)上級(jí)主管部門審批同意。2.2.6. 協(xié)助備案根據(jù)43號(hào)文（信息安全等級(jí)保護(hù)管理辦法），信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門，應(yīng)到公安部下載信息

12、系統(tǒng)安全等級(jí)保護(hù)備案表持填寫的備案表紙制版及其電子版（均為word表格），到公安機(jī)關(guān)辦理備案手續(xù)，提交有關(guān)備案材料。測(cè)評(píng)服務(wù)方將協(xié)助客戶填寫信息系統(tǒng)安全等級(jí)保護(hù)備案表，協(xié)助完成備案工作。2.2.7.總結(jié)報(bào)告階段各單位對(duì)本單位的定級(jí)工作進(jìn)行總結(jié)并報(bào)給定級(jí)項(xiàng)目工作組。定級(jí)項(xiàng)目工作組匯總整個(gè)單位的定級(jí)情況，對(duì)定級(jí)工作進(jìn)行總結(jié)，形成總結(jié)報(bào)告，提交信息系統(tǒng)定級(jí)指導(dǎo)委員會(huì)、信息管理部門主管領(lǐng)導(dǎo)，并可同時(shí)報(bào)送給備案的公安機(jī)關(guān)。三.整改與安全建設(shè)服務(wù)方案3.1. 等級(jí)保護(hù)整改與安全建設(shè)工作重要性依據(jù)公通字200743 號(hào)文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營(yíng)、使用單位首先要 按照相關(guān)的管理規(guī)和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全

13、建設(shè)和整改，使用符合有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)， 在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息 安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。3.2. 等級(jí)保護(hù)整改與安全建設(shè)過(guò)程等級(jí)保護(hù)整改與安全建設(shè)是基于信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針

14、對(duì)客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況， 通過(guò)一套規(guī)的等保整改過(guò)程， 協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對(duì)落實(shí)整改實(shí)施方 案或進(jìn)行方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安 全建設(shè)工作。等保整改與建設(shè)過(guò)程主要包括等級(jí)保護(hù)差距分析、等級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。3.2.1.等級(jí)保護(hù)差距分析1. 等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估1）評(píng)估目的對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成

15、部分。等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)行的等保差距分析。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是深入、 詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，而差距分析則是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與等保要求之間的符合程度?？梢哉f(shuō)，風(fēng)險(xiǎn)評(píng)估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。測(cè)評(píng)服務(wù)方通過(guò)專業(yè)的等級(jí)評(píng)估服務(wù)，協(xié)助用戶完成以下的目標(biāo)：了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；確定可能對(duì)資產(chǎn)造成危害的威脅；確定威脅實(shí)施的可能性；對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；對(duì)最重

16、要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；明確信息系統(tǒng)的已有安全措施的有效性；明晰信息系統(tǒng)的安全管理需求。2）評(píng)估容資產(chǎn)識(shí)別與賦值主機(jī)安全性評(píng)估數(shù)據(jù)庫(kù)安全性評(píng)估安全設(shè)備評(píng)估現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估用到的主要評(píng)估方法包括：漏洞掃描控制臺(tái)審計(jì)技術(shù)訪談3）評(píng)估分析根據(jù)現(xiàn)場(chǎng)收集的信息及對(duì)這些信息的分析，評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn)，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。2. 等保差距分析通過(guò)差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間 的差距，確定不符合安全項(xiàng)。1）準(zhǔn)備差距分析表項(xiàng)目組

17、通過(guò)準(zhǔn)備好的差距分析表，與客戶確認(rèn)現(xiàn)場(chǎng)溝通的對(duì)象（部門和人員），準(zhǔn)備相應(yīng)的檢查容。在整理差距分析表時(shí)，整改項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從基本要求中選擇相應(yīng)等 級(jí)的基本安全要求，根據(jù)及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。差距分析表包含以下容：安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；安全管理差距分析：包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè) 管理；系統(tǒng)運(yùn)維差距分析： 包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中 心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防管理、密碼管理、變更管理、備份 與恢復(fù)管理、安

18、全事件處置；物理安全差距分析： 包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷 擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的容也不同。2）現(xiàn)場(chǎng)差距分析整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求，對(duì)比信息系統(tǒng)現(xiàn)狀和安全要求之間的差距，確定不符合項(xiàng)?，F(xiàn)場(chǎng)工作階段，整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。在差距分析階段，可以通過(guò)以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過(guò)分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)行哪些方面的整改。查驗(yàn)文檔資料人員訪談現(xiàn)場(chǎng)測(cè)試3）生成差距分析報(bào)告完成現(xiàn)

19、場(chǎng)差距分析之后，整改項(xiàng)目組歸納整理、 分析現(xiàn)場(chǎng)記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成等級(jí)保護(hù)差距分析報(bào)告。3.2.2.等級(jí)保護(hù)整改建議方案1. 整改目標(biāo)溝通確認(rèn)通過(guò)與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)行廣泛的溝通協(xié)商，測(cè)評(píng)服務(wù)方會(huì)依據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析的結(jié)果，明確等級(jí)保護(hù)整改工作的工作目標(biāo)， 提出等級(jí)保護(hù)整改建議方案。對(duì)暫時(shí)難以進(jìn)行整改的部分容，將在討論后作為遺留問題，明確列在整改建議方案中。2. 總體框架根據(jù)等保安全要求，測(cè)評(píng)服務(wù)方提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。PolicyMitnagement i/fl1Oj

20、ieration 運(yùn) 緋Technology 技術(shù)圖信息安全PMOT體系模型測(cè)評(píng)服務(wù)方根據(jù)建議方案的設(shè)計(jì)原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，來(lái)構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體容包括：建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定 義信息安全工作的總體目標(biāo)。安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系 統(tǒng)安全、檢測(cè)響應(yīng)體系、冗余與備份以及安全管理中心。建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規(guī)人員管理和 系統(tǒng)建議管理。安全運(yùn)維體系

21、：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。展開后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Ma nageme nt 、安全技術(shù)體系Techno logy、安全運(yùn)維Operatio n 四個(gè)層面 落實(shí)等級(jí)保護(hù)安全基本要求。變迅計(jì).里等級(jí)保護(hù)整改與安全建設(shè)總體框架人訃安今晉理安個(gè)誓珈泅度條統(tǒng)建復(fù)肯理圖4等級(jí)保護(hù)整改與安全建設(shè)總體框架3. 方案說(shuō)明信息安全策略信息安全策略是最高管理層對(duì)信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂層，也是安全管理體系的最高指導(dǎo)方針， 明確了信息安全工作總體目標(biāo)， 對(duì)技術(shù) 和管理各方面的安全工作具有通用指導(dǎo)性。安全技術(shù)體系測(cè)評(píng)服務(wù)方根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購(gòu)和安全控制開發(fā)階段具有依 據(jù)，主要容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測(cè)響應(yīng)體系、冗 余與備份、信息安全管理中心。安全管理體系為滿