信息安全等級(jí)保護(hù)體系建設(shè)方案

1、PAGE 信息安全等級(jí)保護(hù)體系建設(shè)方案目錄TOC o 1-3 h z u HYPERLINK l _Toc58236486 第1章.項(xiàng)目概述 PAGEREF _Toc58236486 h 3 HYPERLINK l _Toc58236487 1.1.項(xiàng)目背景 PAGEREF _Toc58236487 h 3 HYPERLINK l _Toc58236488 1.2.項(xiàng)目依據(jù) PAGEREF _Toc58236488 h 4 HYPERLINK l _Toc58236489 1.3.項(xiàng)目建設(shè)內(nèi)容 PAGEREF _Toc58236489 h 4 HYPERLINK l _Toc58236490

2、第2章.安全管理體系建設(shè) PAGEREF _Toc58236490 h 5 HYPERLINK l _Toc58236491 2.1.總體安全體系建設(shè) PAGEREF _Toc58236491 h 5 HYPERLINK l _Toc58236492 2.2.安全管理層面 PAGEREF _Toc58236492 h 6 HYPERLINK l _Toc58236493 2.2.1.安全管理制度 PAGEREF _Toc58236493 h 6 HYPERLINK l _Toc58236494 2.2.2.安全管理機(jī)構(gòu) PAGEREF _Toc58236494 h 7 HYPERLINK l

3、_Toc58236495 2.2.3.人員安全管理 PAGEREF _Toc58236495 h 8 HYPERLINK l _Toc58236496 2.2.4.系統(tǒng)建設(shè)管理 PAGEREF _Toc58236496 h 8 HYPERLINK l _Toc58236497 2.2.5.系統(tǒng)運(yùn)維管理 PAGEREF _Toc58236497 h 8 HYPERLINK l _Toc58236498 第3章.項(xiàng)目規(guī)劃建設(shè) PAGEREF _Toc58236498 h 9 HYPERLINK l _Toc58236499 3.1.總體工作計(jì)劃 PAGEREF _Toc58236499 h 9 H

4、YPERLINK l _Toc58236500 3.2.系統(tǒng)差距評(píng)估 PAGEREF _Toc58236500 h 10 HYPERLINK l _Toc58236501 第4章.安全建設(shè)清單及預(yù)算 PAGEREF _Toc58236501 h 16項(xiàng)目概述項(xiàng)目背景省公安廳、省保密局、密碼管理局和省信息化工作領(lǐng)導(dǎo)小組聯(lián)合發(fā)文省深化信息安全等級(jí)保護(hù)工作方案(粵公通字200945號(hào))中又再次指出，“通過(guò)深化信息安全等級(jí)保護(hù)，全面推動(dòng)重要信息系統(tǒng)安全整改和測(cè)評(píng)工作，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，提高信息安全保障能力，維護(hù)國(guó)家安全、社

5、會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)”。由此可見(jiàn)，等級(jí)保護(hù)測(cè)評(píng)和等級(jí)保護(hù)安全整改工作已經(jīng)迫在眉睫。按照中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 HYPERLINK /lkwj/News_View.asp?NewsID=281 t _blank （國(guó)務(wù)院令第147號(hào)）、國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）、 HYPERLINK /art/2009/4/15/art_180_211119.html t _blank 信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）等文件要求，某市某單位積極響應(yīng)等級(jí)保護(hù)要求，將開(kāi)展等保定級(jí)、等保評(píng)估、等級(jí)保護(hù)整改、差距測(cè)評(píng)等評(píng)估

6、工作，切實(shí)將信息發(fā)布系統(tǒng)建成“信息公開(kāi)、在線辦事、公眾參與”三位一體的業(yè)務(wù)體系，為企業(yè)和社會(huì)公眾提供“一站式”電子政務(wù)公共服務(wù)政務(wù)目標(biāo)提供有力保障。目前，需要對(duì)現(xiàn)有的6個(gè)系統(tǒng)展開(kāi)等級(jí)保護(hù)工作， 7個(gè)系統(tǒng)分別是：某市某單位OA系統(tǒng)、某市某單位檔案系統(tǒng)、某市某單位大道班系統(tǒng)、某市某單位財(cái)務(wù)系統(tǒng)、某市某單位路政巡查系統(tǒng)、某市某單位網(wǎng)站。雖然系統(tǒng)各異，但是都在同一個(gè)物理地址，故此統(tǒng)一對(duì)6個(gè)系統(tǒng)進(jìn)行等級(jí)保護(hù)安全建設(shè)，使之更加安全、穩(wěn)定。某信息化公司信息安全技術(shù)有限公司（簡(jiǎn)稱(chēng)某信息化公司公司）通過(guò)多年來(lái)在信息安全咨詢(xún)、服務(wù)、建設(shè)中的積累和發(fā)展，逐步形成的一套完善的信息安全工程體系，以專(zhuān)業(yè)理論和技術(shù)為支撐；

7、以多種專(zhuān)業(yè)測(cè)試工具為手段；以國(guó)際和國(guó)家信息安全標(biāo)準(zhǔn)為實(shí)施規(guī)范。某信息化公司信息安全技術(shù)股份有限公司為客戶(hù)提供全面的，專(zhuān)業(yè)的安全支持。項(xiàng)目依據(jù)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）2004年9月四部委局聯(lián)合簽發(fā)的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20082071號(hào)）GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T 25058-2010 信息安

8、全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則GB/T 20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20271-2006信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求GB/T 20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求GB/T 21052-2006 等級(jí)保護(hù)系列安全產(chǎn)品技術(shù)要求國(guó)家標(biāo)準(zhǔn)電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范（GB50174-93）國(guó)家標(biāo)準(zhǔn)計(jì)算站場(chǎng)地安全技術(shù)（GB9361-88）中

9、國(guó)工程建設(shè)標(biāo)準(zhǔn)化協(xié)會(huì)標(biāo)準(zhǔn)建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范（CECS72：95）項(xiàng)目建設(shè)內(nèi)容首先，本次項(xiàng)目以滿足國(guó)家信息系統(tǒng)等級(jí)保護(hù)的相關(guān)要求為實(shí)施指導(dǎo)原則，某信息化公司公司對(duì)某市某單位OA系統(tǒng)、某市某單位檔案系統(tǒng)、某市某單位大道班系統(tǒng)、某市某單位財(cái)務(wù)系統(tǒng)、某市某單位路政巡查系統(tǒng)、某市某單位網(wǎng)站這6個(gè)系統(tǒng)業(yè)務(wù)系統(tǒng)進(jìn)行協(xié)助等保定級(jí)，并開(kāi)展等保評(píng)估工作，對(duì)以后的人員組織結(jié)構(gòu)調(diào)整、安全制度提供相應(yīng)建議，并對(duì)其網(wǎng)絡(luò)、應(yīng)用和主機(jī)等方面進(jìn)行整改規(guī)劃實(shí)施，來(lái)使其具備良好的保密性、完整性、可用性。通過(guò)對(duì)國(guó)家等級(jí)保護(hù)測(cè)評(píng)單位的測(cè)評(píng)；再次，某信息化公司公司可配合用戶(hù)單位，完成第三方測(cè)評(píng)單位對(duì)全部6個(gè)系統(tǒng)進(jìn)行驗(yàn)收

10、測(cè)評(píng)。具體來(lái)講，本項(xiàng)目的建設(shè)內(nèi)容包括：依據(jù)國(guó)家信息系統(tǒng)等級(jí)保護(hù)要求，協(xié)助對(duì)某市某單位OA系統(tǒng)、某市某單位檔案系統(tǒng)、某市某單位大道班系統(tǒng)、某市某單位財(cái)務(wù)系統(tǒng)、某市某單位路政巡查系統(tǒng)、某市某單位網(wǎng)站進(jìn)行定級(jí)，并開(kāi)展等保評(píng)估工作。落實(shí)對(duì)該系統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)安全整改規(guī)劃和安全設(shè)備部署，配合用戶(hù)完善安全管理制度、安全管理機(jī)構(gòu)、人員安全管理等。安全管理體系建設(shè)總體安全體系建設(shè)網(wǎng)絡(luò)安全系統(tǒng)是整體的、動(dòng)態(tài)的。網(wǎng)絡(luò)安全系統(tǒng)符合MPDRR模型（M-management，P-protect，D-detection，R1-response，R2-recovery），因此，要真正實(shí)現(xiàn)一個(gè)系統(tǒng)的安全，就需要建立一個(gè)從保護(hù)

11、、檢測(cè)、響應(yīng)到恢復(fù)的一套全方位的安全保障體系。建立安全整改方案正是基于信息系統(tǒng)安全等級(jí)保護(hù)要求及MPDRR模型構(gòu)建的，符合網(wǎng)絡(luò)安全系統(tǒng)整體性和動(dòng)態(tài)性的特點(diǎn)。它集各種安全技術(shù)產(chǎn)品和安全管理措施于一體，將多種網(wǎng)絡(luò)安全技術(shù)和安全管理體系有機(jī)集成，實(shí)現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動(dòng)，是一個(gè)統(tǒng)一的、可擴(kuò)展的安全體系平臺(tái)。信息安全一般都是三分技術(shù)，七分管理。管理是相當(dāng)重要的。安全管理層面基于信息系統(tǒng)安全二級(jí)等級(jí)保護(hù)要求，對(duì)某市某單位的安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理進(jìn)行管理體系建設(shè)。以下為安全管理建議，僅供參考。安全管理制度序號(hào)安全管理制度建立信息安全工作的總體方針和安全策略

12、文件，明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等建立和完善各項(xiàng)安全管理制度，且覆蓋范圍包括物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的各類(lèi)管理內(nèi)容建立全面的信息安全管理制度體系，由總體方針、安全策略、管理制度、操作規(guī)程等構(gòu)成由專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)制定安全管理制度對(duì)相關(guān)的管理制度制定統(tǒng)一的格式，并且進(jìn)行版本控制對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式可通過(guò)會(huì)議或座談會(huì)的形式進(jìn)行，并且按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定安全管理機(jī)構(gòu)序號(hào)安全管理機(jī)構(gòu)建立專(zhuān)門(mén)的信息安全領(lǐng)導(dǎo)小組（即信息安全管理工作的職能部門(mén)），且明確小組成員的崗位及要求建立崗位職責(zé)明確設(shè)置安全主管、安全管理各個(gè)方面的

13、負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等各個(gè)崗位，對(duì)對(duì)關(guān)鍵事務(wù)的管理人員配備配備2人或2人以上共同管理，例如：安全主管、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等配備專(zhuān)職安全管理員，且不能與其它關(guān)鍵崗位兼任規(guī)定對(duì)信息系統(tǒng)中的重要活動(dòng)進(jìn)行審批，包括審批部門(mén)、批準(zhǔn)人，審批活動(dòng)是否得到授權(quán)；定期審查、更新審批項(xiàng)目建立信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)，并定期召開(kāi)例會(huì)，共同協(xié)助處理信息安全問(wèn)題聘請(qǐng)安全顧問(wèn)指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審定期對(duì)信息系統(tǒng)進(jìn)行全面安全檢查，明確檢查周期、檢查內(nèi)容有哪些建立安全檢查制度，檢查內(nèi)容包括：安全技術(shù)措施的有效性、安全配置與安全策略的一致

14、性、安全管理制度的執(zhí)行情況等制定安全檢查表格實(shí)施安全檢查，并記錄歸檔以備后查人員安全管理序號(hào)人員安全管理對(duì)從事關(guān)鍵崗位的人員需要簽署崗位安全協(xié)議并明確安全責(zé)任定期對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，內(nèi)容包括：安全知識(shí)、安全技能等，對(duì)關(guān)鍵崗位人員特殊的考核內(nèi)容等，并保存考核內(nèi)容及記錄文檔制定培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，并保存安全教育和培訓(xùn)記錄系統(tǒng)建設(shè)管理序號(hào)系統(tǒng)建設(shè)管理制定工程實(shí)施管理制度，內(nèi)容包括：工程實(shí)施過(guò)程的控制方法、實(shí)施參與人員的行為準(zhǔn)則等方面內(nèi)容委托第三方測(cè)試機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試，且保留評(píng)審、測(cè)試驗(yàn)收?qǐng)?bào)告等文檔對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法

15、和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定，包括交付過(guò)程的控制方法和對(duì)交付參與人員的行為限制等方面內(nèi)容系統(tǒng)運(yùn)維管理序號(hào)系統(tǒng)運(yùn)維管理建立相關(guān)安全管理制度，加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為對(duì)未對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷(xiāo)毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)；但規(guī)定對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷(xiāo)毀建立相關(guān)安全管理制度，對(duì)存儲(chǔ)地的環(huán)境要求和管理方法制定詳細(xì)的規(guī)定建立相關(guān)安全管理制度，對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)建立相關(guān)安全管理制度，定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)建立相關(guān)安全管理制度，對(duì)

16、定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為做出明確規(guī)定定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)建立相關(guān)安全管理制度，對(duì)外來(lái)計(jì)算機(jī)做出詳細(xì)的防病毒規(guī)定建立相關(guān)安全管理制度，對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定建立相關(guān)安全管理制度，定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況建立變更控制的申報(bào)和審批文件化程序?qū)τ?jì)算機(jī)事件按等級(jí)劃分建立相關(guān)安全管理制度，定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案的培訓(xùn)建立相關(guān)安全管理制度，定期組織對(duì)應(yīng)急預(yù)案進(jìn)行演練建立相關(guān)安全管理制度，明確規(guī)定應(yīng)急預(yù)案的審查周期項(xiàng)目規(guī)劃建設(shè)總體工作計(jì)劃某信息化公司公司可協(xié)助某市某單位定級(jí)備

17、案，首先對(duì)其系統(tǒng)現(xiàn)場(chǎng)等保評(píng)估，會(huì)對(duì)以后的組織結(jié)構(gòu)調(diào)整、業(yè)務(wù)擴(kuò)展有前瞻性的角度考慮，先對(duì)其進(jìn)行等保評(píng)估，再進(jìn)行整改實(shí)施，接著進(jìn)行第三方測(cè)評(píng)，測(cè)評(píng)通過(guò)再驗(yàn)收。但是本次項(xiàng)目主要對(duì)其進(jìn)行定級(jí)配合工作和等測(cè)評(píng)評(píng)估，不包括等保整改。系統(tǒng)差距評(píng)估通過(guò)類(lèi)似規(guī)模項(xiàng)目的經(jīng)驗(yàn)，初步判斷該項(xiàng)目協(xié)助定級(jí)工作為8人日（平均一個(gè)系統(tǒng)1個(gè)人日，還需2個(gè)人日進(jìn)行整理）；測(cè)評(píng)評(píng)估總工時(shí)為48個(gè)工作日，投入人力為3個(gè)工程師。該項(xiàng)目總計(jì)152人日，下面為系統(tǒng)定級(jí)差距測(cè)評(píng)計(jì)劃（注6個(gè)系統(tǒng)在同一個(gè)物理地址）。二級(jí)系統(tǒng)定級(jí)、測(cè)評(píng)評(píng)估工作預(yù)計(jì)計(jì)劃日期(工作日)時(shí)間評(píng)估活動(dòng)/評(píng)估單元涉及部門(mén)/人員系統(tǒng)定級(jí)（預(yù)計(jì)實(shí)施周期：8天,1人投入） 30

18、00*60=18萬(wàn) 25萬(wàn)。8個(gè)工作日09：00-17：00協(xié)助主方系統(tǒng)負(fù)責(zé)人編寫(xiě)定級(jí)報(bào)告等資料。業(yè)主方系統(tǒng)負(fù)責(zé)人、項(xiàng)目人員測(cè)評(píng)評(píng)估（預(yù)計(jì)實(shí)施周期：48天,3人投入）1個(gè)工作日09：00-17：00項(xiàng)目啟動(dòng)，項(xiàng)目人員會(huì)面，交流后面工作，協(xié)商交流，資料整理。業(yè)主方系統(tǒng)負(fù)責(zé)人、項(xiàng)目人員6個(gè)工作日09：00-17：00基本信息調(diào)研表1-1. 單位基本情況(業(yè)主方)表1-2. 參與人員名單（業(yè)主方）表1-3. 物理環(huán)境情況（機(jī)房管理員）表1-4. 信息系統(tǒng)基本情況（業(yè)主方、原系統(tǒng)單位）表1-5. 承載業(yè)務(wù)（服務(wù)）情況調(diào)查（業(yè)主方、原系統(tǒng)單位）表1-6. 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況調(diào)查（網(wǎng)絡(luò)管理員）表

19、1-7. 外聯(lián)線路與設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查（網(wǎng)絡(luò)管理員）表1-8. 網(wǎng)絡(luò)設(shè)備情況調(diào)查（網(wǎng)絡(luò)管理員）表1-9. 安全設(shè)備情況調(diào)查（網(wǎng)絡(luò)管理員）表1-10. 服務(wù)器設(shè)備情況調(diào)查（系統(tǒng)管理員）表1-11. 終端設(shè)備情況調(diào)查（系統(tǒng)管理員）表1-12. 系統(tǒng)軟件情況調(diào)查（系統(tǒng)管理員）表1-13. 應(yīng)用系統(tǒng)軟件情況調(diào)查（業(yè)務(wù)系統(tǒng)管理員）表1-14. 業(yè)務(wù)數(shù)據(jù)情況調(diào)查（業(yè)務(wù)系統(tǒng)管理員）表1-15. 數(shù)據(jù)備份情況調(diào)查（系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員）表1-16. 應(yīng)用系統(tǒng)軟件處理流程調(diào)查（原系統(tǒng)單位）表1-17. 業(yè)務(wù)數(shù)據(jù)流程調(diào)查（業(yè)務(wù)系統(tǒng)管理員）表1-18. 管理文檔情況調(diào)查（業(yè)務(wù)方）表1-19. 信息系統(tǒng)安全等級(jí)備案表（業(yè)主方）表1-20. 等級(jí)保護(hù)工作小組名單（業(yè)主方）系統(tǒng)單位、機(jī)房管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員3個(gè)工作日09：00-17：00表2-1.物理安全物理位置的選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)機(jī)房管理員6個(gè)工作日09：00-17：00表2-2. 網(wǎng)絡(luò)安全結(jié)構(gòu)安全訪問(wèn)控制安全審計(jì)邊界完整性檢測(cè)入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)管理員6個(gè)工作日09：00-17：0