等级保护工作各环节服务方案

等级保护工作各环节服务方案(总9页)-CAL-FENGHAL-(YICAI)-Company One 1CAL本页仅作为文档封面，使用请直接删除等级保护工作开展参考资料文档说明1）目标对象：客户单位的信息主管/计算机信息系统运维管理人员2）文档功能：与客户一起探讨"信息安全等级保护工作开展"工作方法等级保护整体服务方案图1等级保护整体服务方案工作流程图等级保护的建设是个长期的过程，需要花费大量的时间、精力和财力,本着为用户服务的态度，“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务，提供包括定级备案、差距分析、方案制订、实施、测 评、检查等各个环节的服务，通过自身的安全产品、安全服务，可协助用户完 成等级保护各个阶段的实施和建设，确保用户严格按照等级保护的过程规划并 建设自己的安全保障体系，更好地支撑应用和业务的开展，为用户信息安全保 障体系“保驾护航”。测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体 包括：1）等级保护定级备案对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级， 等级确定后测评服务方将协助用户完成保护等级的备案丄作。2）等级保护差距分析通过风险评佔可以发现信息系统的安全现状与需要达到的安全等级或LI标 的差异，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的 加强和完善，使单位的信息系统安全丄作有的放矢。3）等级保护整改建议方案测评服务方根据评佔的结果和信息系统确认的保护等级，结合信息系统安全等级保护基本要求以及其它相关整改标准中对各级别信息系统的技术、 管理和运维方面的要求，制定相应的安全保护措施，完成等级保护整改建议方 案的设计。依据公通字2007143号文的要求，信息系统定级工作完成后，运营、使用 单位首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国 家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统 安全建设或者改建匸作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重 点，在确定不同系统重要程度的基础上，进行重点保护。整改工作要遵循国家 等级保护相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切 实结合用户信息安全建设的实际需求，建设一套全面保护、重点突出、持续运 行的安全保障体系，将等级保护制度确实落实到企业的信息安全规划、建设、 评估、运行和维护等各个环节，保障企业的信息安全。4）等级保护整改实施测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务，确 保保障等级能够达到信息系统所要求的保护等级，或者协助用户进行等级保护 的实施，对承建商的工作进行监理。5）等级保护测评咨询在信息系统进行完成定级和整改实施之后，需要通过测试手段对信息系统 的安全技术和安全管理上各个层面的安全控制进行整体性验证，测评服务方提 供的测评咨询服务将协助用户通过等级保护测评工作。6）等级保护检査咨询在信息系统进行完成定级和整改实施之后，国家主管机关将对信息系统的 安全技术和安全管理各个层面的安全控制进行检查，测评服务方将协助用户准 备检查所需要的文档和资料，配合公安机关开展现场的检查工作。二.等级保护定级过程方法/方案2.1. 定级工作的重要性信息系统的定级是等级保护工作的首要环节。从等级保护角度看，安全级 别定不准，系统备案、建设整改、等级测评等工作就都失去了针对性，完整地 理解国家等级保护政策、准确定级，是开展后续整改和测评工作的基础，可以 避免后续工作走弯路，造成投资浪费或者安全程度过低；从定级单位自身的安 全需求看，是本单位结合业务需求、信息安全建设现状，从自身安全需求出 发，进行有针对性的信息安全规划、建设、运维的实际要求。2. 2.定级过程等级保护定级与备案工作是基于国家信息系统安全等级保护相关文件的要 求，测评服务方结合客户的组织架构、业务要求、信息系统的实际情况，协助 客户进行信息系统的等级评定，并为客户制定适合自身行业特点的信息系统定 级指导意见（可选）的服务。共分为七个大的阶段：定级准备阶段、摸底调查 阶段、初步定级阶段、行业化定级指导建议阶段（可选）、评审和审批阶段、 协助备案阶段、项目总结阶段。定级之后，随着业务的变化，信息系统的级别可能需要进行适当的调整、 变更，此时需要进行等级变更。2. 2.1.定级准备阶段在定级的过程中，不仅会涉及客户的信息管理部门，还会涉及到不同的业 务部门，只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为 了解，因此业务部门应参与、甚至主导对业务信息系统的定级工作。初步明确定级范围，以便后续开展摸底调查和进行定级。定级范圉包括本 单位内部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。测评服务方根据已了解的初步基本信息、定级范围，按照国家等级保护相 关文件（如861号文、国家定级指南、测评服务方定级方法等），制定本 单位信息系统安全等级的定级工作计划。2. 2. 2.信息系统识别山定级工作项LI组中的信息管理部门相关人员牵头，开展对所有需要定级 的信息系统的摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括 信息网络）的业务类型、应用或服务范圉、用户数量、系统结构、部署方式等 信息，为下一步明确定级范围、进行定级奠定基础。测评服务方会准备信息系统调查表，协助客户的信息管理部门开展信 息系统识别工作，组织相关业务部门填写调查表。在这个工作过程中，各业务部门的接口人根据信息系统的实际惜况填写调 查表，测评服务方通过邮件、电话等方式对各业务部门接口人提供技术支持， 支持解答定级范围、表格填写以及填报系统使用等问题。2. 2. 3.初步定级测评服务方准备信息系统安全等级保护定级报告模板，给出定级报告 示例。定级工作项LI组的信息管理部门和业务部门依据定级报告模板，起草 信息系统安全等级保护定级报告。虽然国家定级指南已经给出了定级的原则和指南，但在具体定级过程 中，由于各行业各单位的自身特点不同，加上信息系统的数量可能较多、涉及 单位或部门较多，业务单位则普遍缺少定级的经验，可能会导致定出来的安全 等级不合理、同类信息系统在不同单位定的级别不一致、下级单位定级高于上 级单位定级等不合理等情况。测评服务方根据已经掌握的信息系统情况，对各单位上传的定级报告的合 理性进行初步研究和审核把关，请相关单位派人共同讨论，按照系统类别梳理 定级报告，对照国家对不同等级的要求，在报告内容、行文格式、定级准确性 等方面给出修改意见。根据讨论的定级报告修改意见，各单位的定级工作组修改定级报告，并汇 总到定级工作项LI组，由定级工作项LI组统一汇总、整理后，形成定级报告的 专家评审稿。2. 2. 4.行业化定级指导建议依据对已定级信息系统的了解，根据客户单位的实际惜况，结合国家定 级指南的要求，测评服务方可协助客户制定行业化的某某行业等级保护定 级指导建议（可选），以指导本行业、本地区的定级工作。2. 2. 5.评审和审批初步确定信息系统安全保护等级后，测评服务方将协助客户聘请等级保护 专家、行业专家、主管机关领导等外部专家，召开信息系统定级评审会，对定 级报告进行外部评审，并形成评审意见。评审后，测评服务方将协助客户参考专家定级评审意见，最终确定信息系 统等级，进一步修改各信息系统的定级报告和行业化定级指导建议（若 有），形成最终的定级报告。若客户有上级主管部门或行业主管，并对定级报告具有审批要求的，测评 服务方将协助将信息系统安全保护等级定级报告报经上级主管部门审批同 意。2. 2. 6.协助备案根据43号文（信息安全等级保护管理办法），信息系统安全保护等级 为笫二级以上的信息系统运营使用单位或主管部门，应到公安部网站下载信 息系统安全等级保护备案表，持填写的备案表纸制版及其电子版（均为word 表格），到公安机关办理备案手续，提交有关备案材料。测评服务方将协助客户 填写信息系统安全等级保护备案表，协助完成备案工作。2. 2. 7.总结报告阶段各单位对本单位的定级工作进行总结并报给定级项目工作组。定级项目工 作组汇总整个单位的定级情况，对定级丄作进行总结，形成总结报告，提交信 息系统定级指导委员会、信息管理部门主管领导，并可同时报送给备案的公安 机关。三.整改与安全建设服务方案3.1. 等级保护整改与安全建设工作重要性依据公通字2007143号文的要求，信息系统定级工作完成后，运营、使用 单位首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国 家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统 安全建设或者改建匸作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重 点，在确定不同系统重要程度的基础上，进行重点保护。整改匸作要遵循国家 等级保护相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切 实结合用户信息安全建设的实际需求，建设一套全面保护、重点突出、持续运 行的安全保障体系，将等级保护制度确实落实到企业的信息安全规划、建设、 评估、运行和维护等各个环节，保障企业的信息安全。3. 2.等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文 件的要求，针对客户已定级备案的信息系统、或打算按照等保要求进行安全建 设的信息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套 规范的等保整改过程，协助客户进行风险评估和等级保护差距分析，制定完整 的安全整改建议方案，并根据需要协助客户对落实整改实施方案或进行方案的 评审、招投标、整改监理等工作，协助客户完成信息系统等级保护整改和安全 建设工作。等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方 案、等级保护整改实施三个阶段。3. 2.1.等级保护差距分析1. 等级保护风险评估1）评估目的对信息系统进行安全等级评佔是国家推行等级保护制度的一个重要环节， 也是对信息系统进行安全建设和管理的重要组成部分。等级评佔不同于按照等级保护要求进行的等保差距分析。风险评佔的U标 是深入、详细地检查信息系统的安全风险状况，而差距分析则是按照等保的所 有要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。 可以说，风险评估的结果更能体现是客户信息系统技术层面的安全现状，比差 距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议 方案的输入。测评服务方通过专业的等级评佔服务，协助用户完成以下的U标：了解信息系统的管理、网络和系统安全现状；确定可能对资产造成危害的威胁；确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敬感性和严重性，以及相应的 级别，确定哪些资产是最重要的：对最重要的、最敬感的资产，确定一旦威胁发生其潜在的损失或破 坏；明确信息系统的已有安全措施的有效性；明晰信息系统的安全管理需求。2）评估内容资产识别与赋值主机安全性评估数据库安全性评估安全设备评估现场风险评估用到的主要评估方法包括：漏洞扫描控制台审计技术访谈3）评估分析根据现场收集的信息及对这些信息的分析，评佔小组形成定级信息系统的 弱点评估报告、风险评估报告等文档，使客户充分了解信息系统存在的风险， 作为等保差距分析的一项重要输入，并作为后续整改建设的重要依据。2. 等保差距分析通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护 等级要求之间的差距，确定不符合安全项。1）准备差距分析表项U组通过准备好的差距分析表，与客户确认现场沟通的对象（部门和人 员），准备相应的检查内容。在整理差距分析表时，整改项目组会根据信息系统的安全等级从基本要求 中选择相应等级的基本安全要求，根据及风险评估的结果进行调整，去掉不适 用项，增加不能满足客户信息系统需求的安全要求。差距分析表包含以下内容：安全技术差距分析：包括网络安全、主机安全、应用安全、数据安全及 备份恢复；安全管理差距分析：包括安全管理制度、安全管理机构、人员安全管 理、系统建设管理；系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和 安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密 码管理、变更管理、备份与恢复管理、安全事件处置；物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防 破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、 电磁防护。不同安全保护级别的系统所使用的差距分析表的内容也不同。2）现场差距分析整改项口组依据差距分析表中的各项安全要求，对比信息系统现状和安全要求之间的差距，确定不符合项。现场工作阶段，整改项LI组可分为管理检查组和技术检查组两个小组。在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现 状，并通过分析所收集的资料和数据，以确认客户信息系统的建设是否符合该 等级的安全要求，需要进行哪些方面的整改。查验文档资料人员访谈现场测试3）生成差距分析报告完成现场差距分析之后，整改项口组归纳整理、分析现场记录，找出LT前 信息系统与等级保护安全要求之间的差距，明确不符合项，生成等级保护差 距分析报告。3. 2. 2.等级保护整改建议方案1. 整改目标沟通确认通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通 协商，测评服务方会依据风险评估和差距分析的结果，明确等级保护整改匸作 的丄作LI标，提出等级保护整改建议方案。对暂时难以进行整改的部分内容，将在讨论后作为遗留问题，明确列在整 改建议方案中。2. 总体框架根据等保安全要求，测评服务方提出如下的安全整改建议，其中PMOT体系 是信息安全保障总体框架模型。图 信息安全PMOT体系模型测评服务方根据建议方案的设讣原则，协助客户制定总体安全保障体系架 构，包括制定安全策略，结合等级保护基本要求和安全保护特殊要求，来构建 客户信息系统的安全技术体系、安全管理体系及安全运维体系，具体内容包 括：建立和完善安全策略：最高层次的安全策略文件，阐明安全工作的使命 和意愿，定义信息安全工作的总体标。安全技术体系：安全技术的保障包括网络边界防御、安全通信网络、主 机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。 建立和完善安全管理体系：建立安全管理制度，建立信息安全组织，规 范人员管理和系统建议管理。安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监 控和安全管理等。展开后的等级保护整改与安全建设总体框架如下图所示，从信息安全整体 策略Policy、安全管理体系Management安全技术体系Technology、安全运 维Operation四个层面落实等级保护安全基本要求。图4等级保护整改与安全建设总体框架3. 方案说明信息安全策略信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个 PMOT信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安 全工作总体LI标，对技术和管理各方面的安全工作具有通用指导性。安全技术体系测评服务方根据整改标提出整改方案的安全技术保障体系，将保障体 系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上，提 出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得 在信息安全产品采购和安全控制开发阶段具有依据，主要内容包括：网络边界 护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信 息安全管理中心。安全管理体系为满足等保基本要求，应建立和完善安全管理体系，包括：完善安全制 度体系、完善安全组织、规范人员管理、规范系统建设管理。安全运维体系为满足等保基本要求，应建立和完善安全运维体系，包括：环境管理、 资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份 与恢复、恶意代码防范、变更管理、信息安全事件管理等。3. 2. 3.等级保护整改实施为了更好地协助客户落实等保的整改工作，测评服务方可以作为集成 商、咨询方、或者监理方，协助客户落实整改实施方案，或协助进行整改实施 方案的评审、招投标、项LI监理等工作，以完成系统整改和安全建设工作。1. 制定整改实施方案在确定整改实施的承建单位后，测评服务方会提交相关的工程实施文 档，包括参照整改建议方案而编制的项LI实施技术规划等文档，其中涵盖安全 建设阶段的各项实施细节，主要有：项U产品配置清单实施设计方案实施准备工作描述，实施工作步骤实施风险规避方案实施验证方案现场培训方案工程实施文档应经客户方的项口负责人确认后，方可进行实施。2. 整改建设实施测评服务方承担项U实施的工作，确保落实客户信息系统的安全保护技术 措施，建立健全信息安全管理制度，全面贯彻落实信息安全等级保护制度。3. 整改实施项目验收整改实施工作完成后，测评服务方提出验收申请和工程测试验收方案，111 客户审批工程测试验收方案（验收LI标、责任双方、验收提交清单、验收标 准、验收方式、验收环境等）的符合性及可行性。4. 等级保护运维在整改建设与实施工作完成之后，测评服务方将协助用户完成安全运维 策略的制定，协助用户培养专业人才，进行运行管理和控制、安全状态监控、 安全事件处置和应急、安全检查和持续改进、等级保护测评和等级保护监督检 查的工作。