等级保护工作各环节服务方案.docx

等级保护工作开展参考资料文档说明1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法等保定级备案1) 分析信息系统特点2) 对重要信息系统进行摸底调查,确定定级对象3) 完成〈〈定级报告》4) 协助专家评审和审批5) 完成定级备案工作等保整改与安全建设1) 明确整改思路2) 进行风险评估3) 通过现场访谈、现场测试等方式,完成〈〈差距分析报告》4) 形成等保整改和安全建设方案5) 进行等保整改建设等保检查1) 开展自查2) 进行行业检查3) 准备检查所需要的文档和资料4) 配合公安机关的现场检查工作等保测评1)) 准备等保测评所需要的文档和资料3) 配合测评机构的现场测评工作图1等级保护整体服务方案工作流程图等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设, 确保用户严格按照等级保护的过程规划并建设自己的安全保障体系, 更好地支撑应用和业务的开展, 为用户信息安全保障体系“保驾护航”。测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括:1)等级保护定级备案对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级, 等级确定后测评服务方将协助用户完成保护等级的备案工作。2)等级保护差距分析通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异, 使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善, 使单位的信息系统安全工作有的放矢。3) 等级保护整改建议方案测评服务方根据评估的结果和信息系统确认的保护等级, 结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、 管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改, 使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、 业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求, 将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求, 建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。4) 等级保护整改实施测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务, 确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。5) 等级保护测评咨询在信息系统进行完成定级和整改实施之后, 需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,测评服务方提供的测评咨询服务将协助用户通过等级保护测评工作。6)等级保护检查咨询在信息系统进行完成定级和整改实施之后, 国家主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查,测评服务方将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。。 从等级保护角度看,安全级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性, 完整地理解国家等级保护政策、准确定级,是开展后续整改和测评工作的基础, 可以避免后续工作走弯路, 造成投资浪费或者安全程度过低;从定级单位自身的安全需求看, 是本单位结合业务需求、信息安全建设现状,从自身安全需求出发,进行有针对性的信息安全规划、建设、运维的实际要求。22定级过程等级保护定级与备案工作是基于国家信息系统安全等级保护相关文件的要求, 测评服务方结合客户的组织架构、业务要求、信息系统的实际情况,协助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导意见 (可选)的服务。共分为七个大的阶段:定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、协助备案阶段、项目总结阶段。定级之后,随着业务的变化,信息系统的级别可能需要进行适当的调整、变更,此时需要进行等级变更。定级准备阶段在定级的过程中,不仅会涉及客户的信