等保整改與安全建設(shè)方案

1、僅供個人參考等級保護整改與安全建設(shè)方案刖百等級保護保護整改與安全建設(shè)工作重要性依據(jù)公通字200743號文的要求，信息系統(tǒng)定級工作完成后，運營、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標準進行安全建設(shè)和整改，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，進行信息系統(tǒng)安全建設(shè)或者改建工作。等級保護整改的核心是根據(jù)用戶的實際信息安全需求、業(yè)務(wù)特點及應(yīng)用重點，在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進行重點保護。整改工作要遵循國家等級保護相關(guān)要求，將等級保護要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并切實結(jié)合用戶信息安全建設(shè)的實際需求，建設(shè)一套全面保護、重點突出、持續(xù)運行的安全保障體系，將等級保護

2、制度確實落實到企業(yè)的信息安全規(guī)劃、建設(shè)、評估、運行和維護等各個環(huán)節(jié)，保障企業(yè)的信息安全。?等級保護整改與安全建設(shè)過程等級保護整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級保護相關(guān)標準和文件的要求，針對客戶已定級備案的信息系統(tǒng)、或打算按照等保要求進行安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實際情況，通過一套規(guī)范的等保整改過程，協(xié)助客戶進行風險評估和等級保護差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對落實整改實施方案或進行方案的評審、招投標、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級保護整改和安全建設(shè)工作。等保整改與建設(shè)過程主要包括：等級保護差距分析、等級保護整改建議方案、等

3、級保護整改實施三個階段。（一）？等級保護差距分析1.?等級保護風險評估1）?評估目的對信息系統(tǒng)進行安全等級評估是國家推行等級保護制度的一個重要環(huán)節(jié)，也是對信息系統(tǒng)進行安全建設(shè)和管理的重要組成部分。等級評估不同于按照等級保護要求進行的等保差距分析。風險評估的目標是深入、詳細地檢查信息系統(tǒng)的安全風險狀況，而差距分析則是按照等保的所有要求進行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度?？梢哉f，風險評估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風險評估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。通過專業(yè)的等級評估服務(wù)，協(xié)助用戶完成以下的目標： 了解信

4、息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀； 確定可能對資產(chǎn)造成危害的威脅； 確定威脅實施的可能性； 對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的； 對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞； 明確信息系統(tǒng)的已有安全措施的有效性； 明晰信息系統(tǒng)的安全管理需求。2)?評估內(nèi)容 資產(chǎn)識別與賦值 主機安全性評估 數(shù)據(jù)庫安全性評估 安全設(shè)備評估現(xiàn)場風險評估用到的主要評估方法包括： 漏洞掃描 控制臺審計 技術(shù)訪談3)?評估分析根據(jù)現(xiàn)場收集的信息及對這些信息的分析，評估小組形成定級信息系統(tǒng)的弱點評估報告、風險評估報告等文檔，使客戶充分了解信息系統(tǒng)存在

5、的風險，作為等保差距分析的一項重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。2.?等保差距分析?通過差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當前系統(tǒng)與相應(yīng)保護等級要求之間的差距，確定不符合安全項。1)?準備差距分析表?項目組通過準備好的差距分析表，與客戶確認現(xiàn)場溝通的對象(部門和人員)，準備相應(yīng)的檢查內(nèi)容。?在整理差距分析表時，整改項目組會根據(jù)信息系統(tǒng)的安全等級從基本要求中選擇相應(yīng)等級的基本安全要求，根據(jù)及風險評估的結(jié)果進行調(diào)整，去掉不適用項，增加不能滿足客戶信息系統(tǒng)需求的安全要求。?差距分析表包含以下內(nèi)容： 安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)； 安全管理差距分

6、析：包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理； 系統(tǒng)運維差距分析：包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置； 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護。?不同安全保護級別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。2)?現(xiàn)場差距分析整改項目組依據(jù)差距分析表中的各項安全要求，對比信息系統(tǒng)現(xiàn)狀和安全要求之間的差距，確定不符合項?，F(xiàn)場工作階段，整改項目組可分為管理檢查組和技術(shù)檢查組兩個小

7、組。在差距分析階段，可以通過以下方式收集信息，詳細了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料和數(shù)據(jù)，以確認客戶信息系統(tǒng)的建設(shè)是否符合該等級的安全要求，需要進行哪些方面的整改。 查驗文檔資料 人員訪談 現(xiàn)場測試3)?生成差距分析報告不得用于商業(yè)用途僅供個人參考完成現(xiàn)場差距分析之后，整改項目組歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級保護安全要求之間的差距，明確不符合項，生成等級保護差距分析報告。（二）？等級保護整改建議方案1 .?整改目標溝通確認通過與客戶高層領(lǐng)導、相關(guān)業(yè)務(wù)部門和信息安全管理部門進行廣泛的溝通協(xié)商，會依據(jù)風險評估和差距分析的結(jié)果，明確等級保護整改工作的工作目標，提出等級保護

8、整改建議方案。對暫時難以進行整改的部分內(nèi)容，將在討論后作為遺留問題，明確列在整改建議萬案中。2 .?總體框架根據(jù)等保安全要求，提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。1PolicyjMiin咤管理Operation運維Technology技術(shù)?圖？信息安全PMOT體系模型根據(jù)建議方案的設(shè)計原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級保護基本要求和安全保護特殊要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運維體系，具體內(nèi)容包括：建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標。安全技術(shù)體

9、系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系、冗余與備份以及安全管理中心。 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規(guī)范人員管理和系統(tǒng)建議管理。 安全運維體系：機房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。展開后的等級保護整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運維Operation四個層面落實等級保護安全基本要求。圖4等級保護整改與安全建設(shè)總體框架3.?方案說明 信息安全策略信息安全策略是最高管理層對信息安全的期望和承諾

10、的表達，位于整個PMOT信息安全體系的頂層，也是安全管理體系的最高指導方針，明確了信息安全工作總體目標，對技術(shù)和管理各方面的安全工作具有通用指導性。 安全技術(shù)體系根據(jù)整改目標提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實現(xiàn)的網(wǎng)絡(luò)、主機和應(yīng)用安全落實到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護御、安全通信網(wǎng)絡(luò)、主機與應(yīng)用防護體系、檢測響應(yīng)體系、冗余與備份、信息安全管理中心。 安全管理體系為滿足等?；疽螅瑧?yīng)建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、

11、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。 安全運維體系為滿足等保基本要求，應(yīng)建立和完善安全運維體系，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。?（三）?等級保護整改實施為了更好地協(xié)助客戶落實等保的整改工作，可以作為集成商、咨詢方、或者監(jiān)理方，協(xié)助客戶落實整改實施方案，或協(xié)助進行整改實施方案的評審、招投標、項目監(jiān)理等工作，以完成系統(tǒng)整改和安全建設(shè)工作。?1.?制定整改實施方案在確定整改實施的承建單位后，會提交相關(guān)的工程實施文檔，包括參照整改建議方案而編制的項目實施技術(shù)規(guī)劃等文檔，其中涵蓋安全建設(shè)階段的各項實施細

12、節(jié)，主要有： 項目產(chǎn)品配置清單 實施設(shè)計方案 實施準備工作描述，實施工作步驟 實施風險規(guī)避方案 實施驗證方案 現(xiàn)場培訓方案工程實施文檔應(yīng)經(jīng)客戶方的項目負責人確認后，方可進行實施。2 .?整改建設(shè)實施承擔項目實施的工作，確保落實客戶信息系統(tǒng)的安全保護技術(shù)措施，建立健全信息安全管理制度，全面貫徹落實信息安全等級保護制度。3 .?整改實施項目驗收整改實施工作完成后，提出驗收申請和工程測試驗收方案，由客戶審批工程測試驗收方案（驗收目標、責任雙方、驗收提交清單、驗收標準、驗收方式、驗收環(huán)境等）的符合性及可行性。4 .?等級保護運維在整改建設(shè)與實施工作完成之后，將協(xié)助用戶完成安全運維策略的制定，協(xié)助用戶培養(yǎng)專業(yè)人才，進行運行管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急、安全檢查和持續(xù)改進、等級保護測評和等級保護監(jiān)督檢查的工作。不得用于商業(yè)用途僅供個人參考僅供個人用于學習、研究；不得用于商業(yè)用途Forpersonaluseonlyinstudyandresearch;notforcommercialuse.Nurfurdenpers?nlichenfurStudien,Forschung,zukommerziellenZwecke