等级保护工作各环节服务方案.docx

等级保护工作开展参考资料
文档说明
目标对象:客户单位的信息主管/计算机信息系统运维管理人员
文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法
等级保护整体服务方案
等保定级备案
1) 分析信息系统特点
2) 对重等级保护工作开展参考资料
文档说明
目标对象:客户单位的信息主管/计算机信息系统运维管理人员
文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法
等级保护整体服务方案
等保定级备案
1) 分析信息系统特点
2) 对重要信息系统进行摸底调查,确定定级对象
3)完成《定级报告》
4) 协助专家评审和审批
5) 完成定级备案工作
等保整改与安全建设
1) 明确整改思路
2) 进行风险评估
3) 通过现场访谈、现场测试等方式,完成
《差距分析报告》
4) 形成等保整改和安全建设方案
5) 进行等保整改建设
等保测评
1) 制定测评咨询工作计划
2) 准备等保测评所需要的文档和资料
3) 配合测评机构的现场测评工作
等保检查
1)开展自查
2) 进行行业检查
3) 准备检查所需要的文档和资料
4) 配合公安机关的现场检查工作
图1等级保护整体服务方案工作流程图等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。
测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括:等级保护定级备案
对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。
等级保护差距分析通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
等级保护整改建议方案测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
等级保护整改实施测评服务方将依据规划向用户提供