等级保护工作各环节服务方案
等级保护工作各环节服务方案
等级保护工作各环节服务方案等级保护工作开展参考资料文档说明1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法一.等级保护整体服务方案等保定级备案等保整改与安全建设等保测评等保检查1)分析信息系统特点2)对重要信息系统进行摸底调查,确定定级对象3)完成《定级报告》4)协助专家评审和审批5)完成定级备案工作1)明确整改思路2)进行风险评估3)通过现场访谈、现场测试等方式,完成差距分析报告》4)形成等保整改和XXX全建设方案5)进行等保整改建设1)制定测评咨询工作计划2)准备等保测评所需要的文档和资料3)配合测评机构的现场测评工作1)展开自查2)进行行业检查3)准备检查所需要的文档和资料4)配合公安机关的现场检查工作图1等级保护整体效劳方案工作流程图等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务XXX”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。
测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。
具体包括:1)等级保护定级备案对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。
word专业资料2)等级保护差距分析通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
3)等级保护整改建议方案测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。
等级保护安全解决方案
等级保护安全解决方案随着网络的普及和信息化的进程,网络安全问题日益突出。
特别是在当前互联网环境中,许多个人和组织的敏感和重要信息都通过网络进行传输和存储,因此需要采取有效的措施来确保数据的安全性。
等级保护安全是一种解决方案,它旨在通过评估信息系统的保护需求和建立相应的安全控制来确保信息的机密性、完整性和可用性。
以下是一个详细的等级保护安全解决方案的建议。
一、等级保护分类等级保护是通过对信息系统的敏感性进行分类来实现的。
根据信息系统存储和处理的数据的敏感性,可以将等级保护分为四个级别:一级、二级、三级和四级。
一级是最高级别,四级是最低级别。
对于不同等级的保护级别,应有不同的安全措施。
二、安全措施1.访问控制:建立适当的访问控制机制,确保只有经过授权的用户才能访问敏感信息。
常见的访问控制机制包括密码、双因素身份验证、访问权限等。
2.数据加密:对敏感信息进行加密,确保即使在数据传输或存储过程中被截获,也无法解密出有效的信息。
常见的数据加密算法有AES、DES 等。
3.安全审计:建立安全审计机制,对系统的使用情况进行监控和记录,及时发现和排查安全问题。
通过审计可以获取系统的使用情况,包括登录时间、操作行为等,并可以进行异常行为分析。
4.威胁检测和防御:部署有效的威胁检测和防御系统,及时发现和应对恶意攻击、病毒、木马等威胁。
5.系统备份与恢复:建立好系统备份与恢复机制,确保在系统故障或数据丢失时能够快速恢复。
定期进行系统备份,并将备份数据存储在安全的位置。
6.培训与意识:对系统用户进行安全培训,提高其安全意识和技能,防范各种网络攻击和安全威胁。
7.物理安全措施:加强对机房和服务器的物理安全控制,限制非授权人员的进入,防止物理攻击。
8.漏洞管理:定期对系统进行漏洞扫描和修复,确保系统的安全性。
三、等级保护评估1.等级保护目标:明确系统的保护目标,包括保护的信息、等级保护的级别和安全控制的需求等。
2.系统分析:对系统进行详细的分析,了解系统的架构、功能、数据流程和安全需求。
安全服务-等级保护咨询服务方案
等级保护咨询服务方案一.概述1.1基本概念信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2服务发展情况信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
我国信息安全等级保护制度的发展大致经历了以下几个重要阶段:1994年2月国务院颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确提出国家计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年制定了信息系统安全等级保护的第一个国家强制标准GB17859--《计算机信息系统安全保护划分准则》,明确将信息系统划分为五个等级,从最低的第一级的用户自主保护级到最高的第五级的访问验证保护级。
2003年出台的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确提出了“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月,由公安部、国家保密局、国家密码管理局、国务院信息办四部委联合印发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),提出了计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。
2007年6月四部委联合出台了《信息安全等级保护管理办法》(公通字[2007]43号),成为正式的信息安全等级保护管理办法。
43号文的出台,明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责和任务。
等级保护测评服务服务方案
等级保护测评服务服务方案等级保护测评服务服务方案一、服务背景和目标随着社会的不断进步和人们对个人发展的追求,等级保护测评服务成为了一种越来越受欢迎的服务方式。
等级保护测评服务通过对个人的能力、技能、知识和经验进行评估,为个人提供个人发展的方向和目标,帮助他们提升自己的职业能力和竞争力,实现自身价值的最大化。
本服务方案旨在提供一种全面、多层次的等级保护测评服务,帮助个人实现职业规划和个人发展目标。
二、服务内容和流程1.需求分析:与客户进行沟通,了解他们的需求和期望,确定测评的具体目标和要求。
2.测评工具选择:根据客户的需求,选择合适的测评工具,如能力测评、技能测评、知识测评等,确保测评结果的准确性和可靠性。
3.测评实施:根据测评工具的要求,对客户进行测评,收集相关数据和信息,评估客户的能力、技能、知识和经验水平。
4.数据分析:对收集到的数据进行分析和整理,将客户的测评结果转化为客观的评估报告,呈现客户的优势和不足之处。
5.结果反馈:将测评结果反馈给客户,让他们了解自己的能力强项和发展潜力,提供相应的职业规划和发展建议。
6.个性化咨询:根据客户的测评结果和特点,为他们提供个性化的职业咨询和发展建议,帮助他们制定职业发展计划和目标。
7.定期跟踪:与客户保持定期联系和跟踪,了解他们的发展情况和需求变化,为他们提供持续的职业咨询和支持。
三、服务特色和竞争优势1.多维度测评:本服务方案采用多种测评工具,包括能力、技能、知识等多个方面的评估,从多个维度全面评估客户的职业能力和潜力。
2.个性化咨询:根据客户的测评结果和特点,为他们提供个性化的咨询和建议,帮助他们制定个人职业发展计划和目标,实现个人发展的最大化。
3.专业团队:本服务方案由一支专业的团队提供服务,拥有丰富的测评经验和专业知识,能够为客户提供准确、可靠的测评结果和咨询建议。
4.持续支持:本服务方案提供定期跟踪和支持,与客户保持联系,了解他们的发展情况和需求变化,为他们提供持续的职业咨询和支持,帮助他们实现个人职业发展目标。
等保服务方案
等保服务方案第1篇等保服务方案一、方案背景随着信息技术的飞速发展,信息安全已成为我国经济社会发展的重要保障。
为提高我国信息安全保障能力,依据《中华人民共和国网络安全法》等相关法律法规,我国开展了网络安全等级保护工作。
本方案旨在为某单位提供一套合法合规的等保服务方案,确保其信息系统安全稳定运行。
二、方案目标1. 满足国家相关法律法规要求,确保信息系统安全合规。
2. 提高单位信息安全保障能力,降低安全风险。
3. 建立完善的等保服务体系,提升单位信息安全管理水平。
三、方案内容1. 等保建设(1)物理安全加强物理安全防护,确保信息系统运行环境安全。
具体措施如下:- 机房设施:按照国家标准建设机房,配备防火、防盗、防潮、防静电等设施。
- 供电保障:采用双路供电,配备不间断电源,确保信息系统稳定运行。
- 网络安全:采用物理隔离、防火墙等技术手段,确保网络边界安全。
(2)网络安全加强网络安全防护,保障信息系统安全稳定运行。
具体措施如下:- 网络架构:采用分层、分区的设计原则,提高网络的安全性和可扩展性。
- 访问控制:实施严格的访问控制策略,防止非法访问、控制、泄露、篡改等安全风险。
- 安全审计:建立安全审计制度,对网络设备、系统和用户行为进行审计,确保合规性。
(3)主机安全加强主机安全防护,防止恶意攻击和病毒感染。
具体措施如下:- 系统安全:定期更新操作系统、数据库等软件,修复安全漏洞。
- 权限管理:实施最小权限原则,限制用户对系统资源的访问。
- 防病毒:部署防病毒软件,定期更新病毒库,防止病毒感染。
(4)应用安全加强应用安全防护,确保应用系统的安全稳定运行。
具体措施如下:- 安全编码:遵循安全编码规范,提高应用系统安全性。
- 应用审计:对应用系统进行安全审计,发现并修复安全漏洞。
- 数据保护:采用加密、脱敏等技术手段,保护用户数据安全。
2. 等保运维(1)人员管理- 设立专门的等保运维团队,负责信息系统等保工作。
等级保护工作流程
等级保护工作流程等级保护,是指对不同级别的信息进行不同程度的保护,确保信息的机密性、完整性和可用性。
等级保护工作流程是指在保障信息传输安全的过程中,按照一定的规定和流程,对信息进行分类、审核、授权、加密、传输、存储等一系列工作的全过程。
本文将详细介绍等级保护工作流程的整体流程以及每个环节的详细描述。
一、等级保护工作流程的整体流程等级保护工作流程的整体流程包括四个主要环节:审批前准备、等级确认、保护方案设计及执行、监督和评估,下面将分别进行详细介绍。
1. 审批前准备在等级保护工作之前,需要对需要保护的信息进行分类,确定信息的保密级别、机密性质和保密期限,以及需要保密的具体内容等信息。
还需要确定信息的安全保护措施是否符合国家和行业的规定。
在此基础上,编制安全保密管理规定和工作程序,并确定相应的组织机构和人员职责。
2. 等级确认等级确认是指根据信息的重要程度和机密性质,确定信息的安全等级和保护要求。
在等级确认的过程中,需要进行系统性和科学性的评估和筛选,确保信息的等级保护工作符合国家和行业的相关要求。
3. 保护方案设计及执行在进行保护方案设计及执行的过程中,需要确定信息安全保护措施的具体实施方案,包括保护技术、保密设备和保密人员等方面。
针对不同级别的信息,采取相应的保密措施,包括加密、访问控制、审计跟踪等方面。
保护方案设计和执行需要严格按照国家和行业的规定和标准,确保信息安全性、完整性和可用性。
4. 监督和评估监督和评估是等级保护工作的重要环节,其目的是对等级保护工作的效果进行检查和评估,并发现和解决安全保护工作中的问题和隐患。
需要定期对等级保护工作进行评估和检查,并对安全保护措施的实际效果进行对比和分析,找出存在的问题,采取相应的措施和改进工作。
二、每个环节的详细描述1. 审批前准备在等级保护工作之前,需要对需要保护的信息进行分类和筛选,确定信息的保密级别。
确定保密级别需要参考国家和行业的相关规定和标准,根据信息的权重、机密性质、涉密人员和保密期限等要素,确定信息的保密级别。
三级等保服务实施方案
三级等保服务实施方案一、引言三级等保是指在国家信息安全等级保护制度中,属于最高级别安全保护的等级。
为了确保信息系统的安全性,本文档旨在提供三级等保服务的实施方案。
二、目标和原则2.1 目标本方案的目标是确保信息系统达到三级等保标准,并提供一系列安全保障措施,以保护系统和数据的安全。
2.2 原则本方案的实施遵循以下原则:- 合规性:确保符合国家的相关法律法规和标准要求。
- 完整性:提供全面的安全保护,包括网络安全、数据安全和应用安全等方面。
- 可靠性:确保安全保障措施的可靠性和有效性。
- 灵活性:能够根据实际情况进行调整和改进。
三、实施步骤3.1 初步准备在实施三级等保服务之前,需要进行一些初步准备工作,包括:- 成立项目组,明确项目的组织架构和职责。
- 制定项目计划,包括工作分解、里程碑和时间进度。
- 分析现有信息系统的安全状态,确定需要采取的措施。
3.2 安全评估和风险评估对现有信息系统进行安全评估和风险评估,确定系统存在的安全风险和弱点,并制定相应的修复和改进计划。
3.3 安全设计和实施在安全评估和风险评估的基础上,进行安全设计和实施工作,包括:- 网络安全:建设安全防护体系,限制网络访问和加强边界安全防护。
- 数据安全:加密重要数据,建立备份和恢复机制,确保数据的完整性和可用性。
- 应用安全:加强应用程序的访问权限控制,防止未授权访问和操作。
3.4 安全运维和监控建立安全运维和监控机制,包括:- 安全事件的快速响应和处理。
- 定期进行安全测试和演练。
- 监控系统的安全状态和异常行为。
3.5 安全培训和意识提升针对员工进行安全培训,提高员工的信息安全意识和能力,包括:- 安全政策和规程的宣传和培训。
- 员工的安全知识和技能培训。
- 不定期进行安全意识测试和考核。
四、评估和改进在实施三级等保服务的过程中,需要进行评估和改进工作,包括:- 定期评估信息系统的安全状态和效果。
- 根据评估结果,对安全措施进行改进和完善。
等保服务流程及内容
等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。
4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。
在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。
在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1定级备案咨询1.1工作内容(1)系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。
系统边界调查:通过对系统边界的调查,确定各子系统边界情况。
(2)定级对象分析业务类型分析:通过对业务类型的分析,确定各系统的重要性。
管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护工作各环节服务方案-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN等级保护工作开展参考资料文档说明1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法一.等级保护整体服务方案图 1 等级保护整体服务方案工作流程图等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。
测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。
具体包括:1)等级保护定级备案对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。
2)等级保护差距分析通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
3)等级保护整改建议方案测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规和技术标准进行安全建设和整改,使用符合有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
4)等级保护整改实施测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。
5)等级保护测评咨询在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,测评服务方提供的测评咨询服务将协助用户通过等级保护测评工作。
6)等级保护检查咨询在信息系统进行完成定级和整改实施之后,主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查,测评服务方将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。
二.等级保护定级过程方法/方案.定级工作的重要性信息系统的定级是等级保护工作的首要环节。
从等级保护角度看,安全级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解等级保护政策、准确定级,是开展后续整改和测评工作的基础,可以避免后续工作走弯路,造成投资浪费或者安全程度过低;从定级单位自身的安全需求看,是本单位结合业务需求、信息安全建设现状,从自身安全需求出发,进行有针对性的信息安全规划、建设、运维的实际要求。
.定级过程等级保护定级与备案工作是基于信息系统安全等级保护相关文件的要求,测评服务方结合客户的组织架构、业务要求、信息系统的实际情况,协助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导意见(可选)的服务。
共分为七个大的阶段:定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、协助备案阶段、项目总结阶段。
定级之后,随着业务的变化,信息系统的级别可能需要进行适当的调整、变更,此时需要进行等级变更。
2.2.1.定级准备阶段在定级的过程中,不仅会涉及客户的信息管理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解,因此业务部门应参与、甚至主导对业务信息系统的定级工作。
初步明确定级围,以便后续开展摸底调查和进行定级。
定级围包括本单位部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。
测评服务方根据已了解的初步基本信息、定级围,按照等级保护相关文件(如861号文、《定级指南》、测评服务方定级方法等),制定本单位信息系统安全等级的定级工作计划。
2.2.2.信息系统识别由定级工作项目组中的信息管理部门相关人员牵头,开展对所有需要定级的信息系统的摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务围、用户数量、系统结构、部署方式等信息,为下一步明确定级围、进行定级奠定基础。
测评服务方会准备《信息系统调查表》,协助客户的信息管理部门开展信息系统识别工作,组织相关业务部门填写调查表。
在这个工作过程中,各业务部门的接口人根据信息系统的实际情况填写调查表,测评服务方通过、等方式对各业务部门接口人提供技术支持,支持解答定级围、表格填写以及填报系统使用等问题。
2.2.3.初步定级测评服务方准备《信息系统安全等级保护定级报告模板》,给出定级报告示例。
定级工作项目组的信息管理部门和业务部门依据定级报告模板,起草《信息系统安全等级保护定级报告》。
虽然《定级指南》已经给出了定级的原则和指南,但在具体定级过程中,由于各行业各单位的自身特点不同,加上信息系统的数量可能较多、涉及单位或部门较多,业务单位则普遍缺少定级的经验,可能会导致定出来的安全等级不合理、同类信息系统在不同单位定的级别不一致、下级单位定级高于上级单位定级等不合理等情况。
测评服务方根据已经掌握的信息系统情况,对各单位上传的定级报告的合理性进行初步研究和审核把关,请相关单位派人共同讨论,按照系统类别梳理定级报告,对照对不同等级的要求,在报告容、行文格式、定级准确性等方面给出修改意见。
根据讨论的定级报告修改意见,各单位的定级工作组修改定级报告,并汇总到定级工作项目组,由定级工作项目组统一汇总、整理后,形成定级报告的专家评审稿。
2.2.4.行业化定级指导建议依据对已定级信息系统的了解,根据客户单位的实际情况,结合《定级指南》的要求,测评服务方可协助客户制定行业化的《某某行业等级保护定级指导建议》(可选),以指导本行业、本地区的定级工作。
2.2.5.评审和审批初步确定信息系统安全保护等级后,测评服务方将协助客户聘请等级保护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审意见。
评审后,测评服务方将协助客户参考专家定级评审意见,最终确定信息系统等级,进一步修改各信息系统的《定级报告》和行业化定级指导建议(若有),形成最终的定级报告。
若客户有上级主管部门或行业主管,并对定级报告具有审批要求的,测评服务方将协助将信息系统安全保护等级定级报告报经上级主管部门审批同意。
2.2.6.协助备案根据43号文(《信息安全等级保护管理办法》),信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安部下载《信息系统安全等级保护备案表》,持填写的备案表纸制版及其电子版(均为word表格),到公安机关办理备案手续,提交有关备案材料。
测评服务方将协助客户填写《信息系统安全等级保护备案表》,协助完成备案工作。
2.2.7.总结报告阶段各单位对本单位的定级工作进行总结并报给定级项目工作组。
定级项目工作组汇总整个单位的定级情况,对定级工作进行总结,形成总结报告,提交信息系统定级指导委员会、信息管理部门主管领导,并可同时报送给备案的公安机关。
三.整改与安全建设服务方案.等级保护整改与安全建设工作重要性依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规和技术标准进行安全建设和整改,使用符合有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
.等级保护整改与安全建设过程等级保护整改与安全建设是基于信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
3.2.1.等级保护差距分析1. 等级保护风险评估1) 评估目的对信息系统进行安全等级评估是推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。
风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与等保要求之间的符合程度。
可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。
风险评估的结果和差距分析结果都是整改建议方案的输入。
测评服务方通过专业的等级评估服务,协助用户完成以下的目标:了解信息系统的管理、网络和系统安全现状;确定可能对资产造成危害的威胁;确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;明确信息系统的已有安全措施的有效性;明晰信息系统的安全管理需求。
2) 评估容资产识别与赋值主机安全性评估数据库安全性评估安全设备评估现场风险评估用到的主要评估方法包括:漏洞扫描控制台审计技术访谈3) 评估分析根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。