等级保护工作各环节服务方案(总9页)-CAL-FENGHAI.-(YICAI)-CompanyOne1-CAL-本页仅作为文档封面,使用请直接删除等级保护工作开展参考资料文档说明1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法一.等级保护整体服务方案图1等级保护整体服务方案工作流程图等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括:1)等级保护定级备案对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。2)等级保护差距分析通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。3)等级保护整改建议方案测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。4)等级保护整改实施测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。5)等级保护测评咨询在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,测评服务方提供的测评咨询服务将协助用户通过等级保护测评工作。6)等级保护检查咨询在信息系统进行完成定级和整改实施之后,国家主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查,测评服务方将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。二.等级保护定级过程方法/方案2.1.定级工作的重要性信息系统的定级是等级保护工作的首要环节。从等级保护角度看,安全级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级保护政策、准确定级,是开展后续整改和测评工作的基础,可以避免后续工作走弯路,造成投资浪费或者安全程度过低;从定级单位自身的安全需求看,是本单位结合业务需求、信息安全建设现状,从自身安全需求出发,进行有针对性的信息安全规划、建设、运维的实际要求。2.2.定级过程等级保护定级与备案工作是基于国家信息系统安全等级保护相关文件的要求,测评服务方结合客户的组织架构、业务要求、信息系统的实际情况,协助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导意见(可选)的服务。共分为七个大的阶段:定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、协助备案阶段、项目总结阶段。定级之后,随着业务的变化,信息系统的级别可能需要进行适当的调整、变更,此时需要进行等级变更。2.2.1.定级准备阶段在定级的过程中,不仅会涉及客户的信息管理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解,因此业务部门应参与、甚至主导对业务信息系统的定级工作。初步明确定级范围,以便后续开展摸底调查和进行定级。定级范围包括本单位内部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。测评服务方根据已了解的初步基本信息、定级范围,按照国家等级保护相关文件(如861号文、国家《定级指南》、测评服务方定级方法等),制定本单位信息系统安全等级的定级工作计划。2.2.2.信息系统识别由定级工作项目组中的信息管理部门相关人员牵头,开展对所有需要定级的信息系统的摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明确定级范围、进行定级奠定基础。测评服务方会准备《信息系统调查表》,协助客户的信息管理部门开展信息系统识别工作,组织相关业务部门填写调查表。在这个工作过程中,各业务部门的接口人根据信息系统的实际情况填写调查表,测评服务方通过邮件、电话等方式对各业务部门接口人提供技术支持,支持解答定级范围、表格填写以及填报系统使用等问题。2.2.3.初步定级测评服务方准备《信息系统安全等级保护定级报告模板》,给出定级报告示例。定级工作项目组的信息管理部门和业务部门依据定级报告模板,起草《信息系统安全等级保护定级报告》。虽然国家《定级指南》已经给出了定级的原则和指南,但在具体定级过程中,由于各行业各单位的自身特点不同,加上信息系统的数量可能较多、涉及单位或部门较多,业务单位则普遍缺少定级的经验,可能会导致定出来的安全等级不合理、同类信息系统在不同单位定的级别不一致、下级单位定级高于上级单位定级等不合理等情况。测评服务方根据已经掌握的信息系统情况,对各单位上传的定级报告的合理性进行初步研究和审核把关,请相关单位派人共同讨论,按照系统类别梳理定级报告,对照国家对不同等级的要求,在报告内容、行文格式、定级准确性等方面给出修改意见。根据讨论的定级报告修改意见,各单位的定级工作组修改定级报告,并汇总到定级工作项目组,由定级工作项目组统一汇总、整理后,形成定级报告的专家评审稿。2.2.4.行业化定级指导建议依据对已定级信息系统的了解,根据客户单位的实际情况,结合国家《定级指南》的要求,测评服务方可协助客户制定行业化的《某某行业等级保护定级指导建议》(可选),以指导本行业、本地区的定级工作。2.2.5.评审和审批初步确定信息系统安全保护等级后,测评服务方将协助客户聘请等级保护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审意见。评审后,测评服务方将协助客户参考专家定级评审意见,最终确定信息系统等级,进一步修改各信息系统的《定级报告》和行业化定级指导建议(若有),形成最终的定级报告。若客户有上级主管部门或行业主管,并对定级报告具有审批要求的,测评服务方将协助将信息系统安全保护等级定级报告报经上级主管部门审批同意。2.2.6.协助备案根据43号文(《信息安全等级保护管理办法》),信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安部网站下载《信息系统安全等级保护备案表》,持填写的备案表纸制版及其电子版(均为word表格),到公安机关办理备案手续,提交有关备案材料。测评服务方将协助客户填写《信息系统安全等级保护备案表》,协助完成备案工作。2.2.7.总结报告阶段各单位对本单位的定级工作进行总结并报给定级项目工作组。定级项目工作组汇总整个单位的定级情况,对定级工作进行总结,形成总结报告,提交信息系统定级指导委员会、信息管理部门主管领导,并可同时报送给备案的公安机关。三.整改与安全建设服务方案3.1.等级保护整改与安全建设工作重要性依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。3.2.等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。3.2.1.等级保护差距分析1.等级保护风险评估1)评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。测评服务方通过专业的等级评估服务,协助用户完成以下的目标:了解信息系统的管理、网络和系统安全现状;确定可能对资产造成危害的威胁;确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;明确信息系统的已有安全措施的有效性;明晰信息系统的安全管理需求。2)评估内容资产识别与赋值主机安全性评估数据库安全性评估安全设备评估现场风险评估用到的主要评估方法包括:漏洞扫描控制台审计技术访谈3)评估分析根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。2.等保差距分析通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。1)准备差距分析表项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。差距分析表包含以下内容:安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防