2、等级保护工作各环节服务方案.docx
等级爱护工作开展参考资料文档说B月1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨"信息平安等级爱护工作开展”工作方法-等级爰护整体服务方案等保定级备案1)分析信息系统特点2)对重要信息系统进行摸底调查,确定定始撼3)完成定级报告4)协助专家评审和审批5)完成定级备案工作等保整改与安全建设1)明确整改思路2)进行风险评估3)通过现场访谈、现场测试等方式,完成差距分析报告4)形成等保整改和安全建设方案5)进行等保整改建设等保检查1)开展自查2)进行行业检直3)准备检查所需要的文档和资料4)配合公安机关的现场检查工作等保测评1)制定测评咨询工作计划2)准备等保测评所需要的文档和资料3)配合测评机构的现场测评工作图1等级爱护整体服务方案工作流程图等级爱护的建设是个长期的过程,须要花费大量的时间、精力和财力,本着为用户服务的看法,“中国信息平安测评服务方华中测评服务中心”推出了等级爱护专业服务,供应包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的平安产品、平安服务,可帮助用户完成等级爱护各个阶段的实施和建设,确保用户严格依据等级爱护的过程规划并建设自己的平安保障体系,更好地支撑应用和业务的开展,为用户信息平安保障体系“保驾护航测评服务方在等级爱护各个阶段将帮助用户完成上图的任务和工作。具体包括:D等级爱护定级备案对信息系统进行划分,并依据信息系统的价值确定信息系统的爱护等级,等级确定后测评服务方将帮助用户完成爱护等级的备案工作。2)等级爱护差距分析通过风险评估可以发觉信息系统的平安现状与须要达到的平安等级或目标的差异,使信息系统的管理和运用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统平安工作有的放矢。3)等级爱护整改建议方案测评服务方依据评估的结果和信息系统确认的爱护等级,结合信息系统平安等级爱护基本要求以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的平安爱护措施,完成等级爱护整改建议方案的设计。依据公通字200743号文的要求,信息系统定级工作完成后,运营、运用单位首先要依据相关的管理规范和技术标准进行平安建设和整改,运用符合国家有关规定、满意信息系统平安爱护等级需求的信息技术产品,进行信息系统平安建设或者改建工作。等级爱护整改的核心是依据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点爱护。整改工作要遵循国家等级爱护相关要求,将等级爱护要求体现到方案、产品和平安服务中去,并切实结合用户信息平安建设的实际需求,建设一套全面爱护、重点突出、持续运行的平安保障体系,将等级爱护制度的确落实到企业的信息平安规划、建设、评估、运行和维护等各个环节,保障企业的信息平安。4)等级爱护整改实施测评服务方将依据规划向用户供应具体设计和等级爱护系统建设服务,确保保障等级能够达到信息系统所要求的爱护等级,或者帮助用户进行等级爱护的实施,对承建商的工作进行监理。5)等级爱护测评询问在信息系统进行完成定级和整改实施之后,须要通过测试手段对信息系统的平安技术和平安管理上各个层面的平安限制进行整体性验证,测评服务方供应的测评询问服务将帮助用户通过等级爱护测评工作。6)等级爱护检查询问在信息系统进行完成定级和整改实施之后,国家主管机关将对信息系统的平安技术和平安管理各个层面的平安限制进行检查,测评服务方将帮助用户准备检查所须要的文档和资料,协作公安机关开呈现场的检查工作。二.等级爰护定级过程方法/方案2.1.定级工作的重要性信息系统的定级是等级爱护工作的首要环节。从等级爱护角度看,平安级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级爱护政策、精确定级,是开展后续整改和测评工作的基础,可以避开后续工作走弯路,造成投资奢侈或者平安程度过低;从定级单位自身的平安需求看,是本单位结合业务需求、信息平安建设现状,从自身平安需求动身,进行有针对性的信息平安规划、建设、运维的实际要求。22.定级过程等级爱护定级与备案工作是基于国家信息系统平安等级爱护相关文件的要求,测评服务方结合客户的组织架构、业务要求、信息系统的实际状况,帮助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导看法(可选)的服务。共分为七个大的阶段:定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、帮助备案阶段、项目总结阶段。定级之后,随着业务的改变,信息系统的级别可能须要进行适当的调整、变更,此时须要进行等级变更。2.2.1. 定级准备阶段在定级的过程中,不仅会涉及客户的信息管理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解,因此业务部门应参加、甚至主导对业务信息系统的定级工作。初步明确定级范围,以便后续开展摸底调查和进行定级。定级范围包括本单位内部建设、运用的承载生产、调度、管理、办公等重要业务的信息系统。测评服务方依据已了解的初步基本信息、定级范围,依据国家等级爱护相关文件(如861号文、国家定级指南、测评服务方定级方法等),制定本单位信息系统平安等级的定级工作安排。2.2.2. 信息系统识别由定级工作项目组中的信息管理部门相关人员牵头,开展对全部须要定级的信息系统的摸底调查工作,驾驭信息系统的基本状况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明确定级范围、进行定级奠定基础。测评服务方会准备信息系统调查表,帮助客户的信息管理部门开展信息系统识别工作,组织相关业务部门填写调查表。在这个工作过程中,各业务部门的接口人依据信息系统的实际状况填写调查表,测评服务方通过邮件、电话等方式对各业务部门接口人供应技术支持,支持解答定级范围、表格填写以及填报系统运用等问题。2.2.3. 初步定级测评服务方准备信息系统平安等级爱护定级报告模板,给出定级报告示例。定级工作项目组的信息管理部门和业务部门依据定级报告模板,起草信息系统平安等级爱护定级报告。虽然国家定级指南已经给出了定级的原则和指南,但在具体定级过程中,由于各行业各单位的自身特点不同,加上信息系统的数量可能较多、涉及单位或部门较多,业务单位则普遍缺少定级的阅历,可能会导致定出来的平安等级不合理、同类信息系统在不同单位定的级别不一样、下级单位定级高于上级单位定级等不合理等状况。测评服务方依据已经驾驭的信息系统状况,对各单位上传的定级报告的合理性进行初步探讨和审核把关,请相关单位派人共同探讨,依据系统类别梳理定级报告,比照国家对不同等级的要求,在报告内容、行文格式、定级精确性等方面给出修改看法。依据探讨的定级报告修改看法,各单位的定级工作组修改定级报告,并汇总到定级工作项目组,由定级工作项目组统一汇总、整理后,形成定级报告的专家评审稿。2.2.4. 化定级指导建议依据对已定级信息系统的了解,依据客户单位的实际状况,结合国家定级指南的要求,测评服务方可帮助客户制定行业化的某某行业等级爱护定级指导建议(可选),以指导本行业、本地区的定级工作。2.2.5. 和审批初步确定信息系统平安爱护等级后,测评服务方将帮助客户聘请等级爱护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审看法。评审后,测评服务方将帮助客户参考专家定级评审看法,最终确定信息系统等级,进一步修改各信息系统的定级报告和行业化定级指导建议(若有),形成最终的定级报告。若客户有上级主管部门或行业主管,并对定级报告具有审批要求的,测评服务方将帮助将信息系统平安爱护等级定级报告报经上级主管部门审批同意。2.2.6. 帮助备案依据43号文(信息平安等级爱护管理方法),信息系统平安爱护等级为其次级以上的信息系统运营运用单位或主管部门,应到公安部网站下载信息系统平安等级爱护备案表,持填写的备案表纸制版及其电子版(均为word表格),到公安机关办理备案手续,提交有关备案材料。测评服务方将帮助客户填写信息系统平安等级爱护备案表,帮助完成备案工作。2.2.7. 总结报告阶段各单位对本单位的定级工作进行总结并报给定级项目工作组。定级项目工作组汇总整个单位的定级状况,对定级工作进行总结,形成总结报告,提交信息系统定级指导委员会、信息管理部门主管领导,并可同时报送给备案的公安机关。=.整改与平安建设服务方案31.等级爱护整改与平安建设工作重要性依据公通字200743号文的要求,信息系统定级工作完成后,运营、运用单位首先要依据相关的管理规范和技术标准进行平安建设和整改,运用符合国家有关规定、满意信息系统平安爱护等级需求的信息技术产品,进行信息系统平安建设或者改建工作。等级爱护整改的核心是依据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点爱护。整改工作要遵循国家等级爱护相关要求,将等级爱护要求体现到方案、产品和平安服务中去,并切实结合用户信息平安建设的实际需求,建设一套全面爱护、重点突出、持续运行的平安保障体系,将等级爱护制度的确落实到企业的信息平安规划、建设、评估、运行和维护等各个环节,保障企业的信息平安。3.2. 等级爰护整改与平安建设过程等级爱护整改与平安建设是基于国家信息系统平安等级爱护相关标准和文件的要求,针对客户已定级备案的信息系统、或准备依据等保要求进行平安建设的信息系统,结合客户组织架构、业务要求、信息系统实际状况,通过一套规范的等保整改过程,帮助客户进行风险评估和等级爱护差距分析,制定完整的平安整改建议方案,并依据须要帮助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,帮助客户完成信息系统等级爱护整改和平安建设工作。等保整改与建设过程主要包括等级爱护差距分析、等级爱护整改建议方案、等级爱护整改实施三个阶段。3.2.1. 等级爱护差距分析1 .等级爱护风险评估1)评估目的对信息系统进行平安等级评估是国家推行等级爱护制度的一个重要环节,也是对信息系统进行平安建设和管理的重要组成部分。等级评估不同于依据等级爱护要求进行的等保差距分析。风险评估的目标是深化、具体地检查信息系统的平安风险状况,而差距分析则是依据等保的全部要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的平安现状,比差距分析结果在技术上更加深化。风险评估的结果和差距分析结果都是整改建议方案的输入。测评服务方通过专业的等级评估服务,帮助用户完成以下的目标:令了解信息系统的管理、网络和系统平安现状;÷确定可能对资产造成危害的威逼;令确定威逼实施的可能性;令对可能受到威逼影响的资产确定其价值、敏感性和严峻性,以及相应的级别,确定哪些资产是最重要的:令对最重要的、最敏感的资产,确定一旦威逼发生其潜在的损失或破坏;令明确信息系统的已有平安措施的有效性:令明晰信息系统的平安管理需求。2)评估内容令资产识别与赋值Q主机平安性评估令数据库平安性评估令平安设备评估现场风险评估用到的主要评估方法包括:Q漏洞扫描令限制台审计令技术访谈3)评估分析依据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。2 .等保差距分析通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应爱护等级要求之间的差距,确定不符合平安项。1)准备差距分析表项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。在整理差距分析表时,整改项目组会依据信息系统的平安等级从基本要求中选择相应等级的基本平安要求,依据及风险评估的结果进行调整,去掉不适用项,增加不能满意客户信息系统需求的平安要求。差距分析表包含以下内容:令平安技术差距分析:包括网络平安、主机平安、应用平安、数据平安及备份复原:÷平安管理差距分析:包括平安管理制度、平安管理机构、人员平安管理、系统建设管理;令系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和平安管理中心、网络平安管理、系统平安管理、恶意代码防范管理、密码管理、变更管理、备份与复原管理、平安事务处置;令物理平安差距分析:包括物理位置的选择、物理访问限制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度限制、电力供应、电磁防护。令不同平安爱护级别的系统所运用的差距分析表的内容也不同。2)现场差距分析整改项目组依据差距分析表中的各项平安要求,对比信息系统现状和平安要求之间的差距,确定不符合项。现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。在差距分析阶段,可以通过以下方式收集信息,具体了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的平安要求,须要进行哪些方面的整改。Q查验文档资料令人员访谈令现场测试3)生成差距分析报告完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级爱护平安要求之间的差距,明确不符合项,生成等级爱护差距分析报告。3.22等级爱护整改建议方案1 .整改目标沟通确认通过与客户高层领导、相关业务部门和信息平安管理部门进行广泛的沟通协商,测评服务方会依据风险评估和差距分析的结果,明确等级爱护整改工作的工作目标,提出等级爱护整改建议方案。对短暂难以进行整改的部分内容,将在探讨后作为遗留问题,明确列在整改建议方案中。2 .总体框架依据等保平安要求,测评服务方提出如下的平安整改建议,其中PMOT体系是信息平安保障总体框架模型。测评服务方依据建议方案的设计原则,帮助客户制定总体平安保障体系架构,包括制定平安策略,结合等级爱护基本要求和平安爱护特别要求,来构建客户信息系统的平安技术体系、平安管理体系及平安运维体系,具体内容包括:令建立和完善平安策略:最高层次的平安策略文件,阐明平安工作的使命和意愿,定义信息平安工作的总体目标。÷平安技术体系:平安技术的保障包括网络边界防卫、平安通信网络、主机和应用系统平安、检测响应体系、冗余与备份以及平安管理中心。令建立和完善平安管理体系:建立平安管理制度,建立信息平安组织,规范人员管理和系统建议管理。令平安运维体系:机房平安,资产及设备平安,网络与系统平安管理、监控和平安管理等。绽开后的等级爱护整改与平安建设总体框架如下图所示,从信息平安整体策略Policy.平安管理体系Management%平安技术体系TeChnoIogy、平安运维OPeratiOn四个层面落实等级爱护平安基本要求。等级保护整改与安全建设总体框架信息安全策略安全管理体系安全运维体系机店环境安全安全管理纨织人员安全管理安全管理制度系统隹设首理安全管理中心安全技术体系安全管理中心费产设备安仝安全事件管珅变更好理网络安全管理在机安全管理缶份恢复管理网络边界防御内M区域出界保护1:机与应川防护冗余备份检测1.j响应安全通信网络图4等级爱护整改与平安建设总体框架3 .方案说明令信息平安策略信息平安策略是最高管理层对信息平安的期望和承诺的表达,位于整个PMOT信息平安体系的顶层,也是平安管理体系的最高指导方针,明确了信息平安工作总体目标,对技术和管理各方面的平安工作具有通用指导性。令平安技术体系测评服务方依据整改目标提出整改方案的平安技术保障体系,将保障体系框架中要求实现的网络、主机和应用平安落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息平安产品选购和平安限制开发阶段具有依据,主要内容包括:网络边界护御、平安通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息平安管理中心。令平安管理体系为满意等保基本要求,应建立和完善平安管理体系,包括:完善平安制度体系、完善平安组织、规范人员管理、规范系统建设管理。÷平安运维体系为满意等保基本要求,应建立和完善平安运维体系,包括:环境管理、资产管理、介质管理、设备管理、网络与系统平安管理、系统平安管理、备份与复原、恶意代码防范、变更管理、信息平安事务管理等。323.等级爱护整改实施为了更好地帮助客户落实等保的整改工作,测评服务方可以作为集成商、询问方、或者监理方,帮助客户落实整改实施方案,或帮助进行整改实施方案的评审、招投标、项目监理等工作,以完成系统整改和平安建设工作。1 .制定整改实施方案在确定整改实施的承建单位后,测评服务方会提交相关的工程实施文档,包括参照整改建议方案而编制的项目实施技术规划等文档,其中涵盖平安建设阶段的各项实施细微环节,主要有:令项目产品配置清单Q实施设计方案令实施准备工作描述,实施工作步骤令实施风险规避方案令实施验证方案令现场培训方案令工程实施文档应经客户方的项目负责人确认后,方可进行实施。2 .整改建设实施测评服务方担当项目实施的工作,确保落实客户信息系统的平安爱护技术措施,建立健全信息平安管理制度,全面实行信息平安等级爱护制度。3 .整改实施项目验收整改实施工作完成后,测评服务方提出验收申请和工程测试验收方案,由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。4 .等级爱护运维在整改建设与实施工作完成之后,测评服务方将帮助用户完成平安运维策略的制定,帮助用户培育专业人才,进行运行管理和限制、平安状态监控、平安事务处置和应急、平安检查和持续改进、等级爱护测评和等级爱护监督检查的工作。