信息系统安全资质评审(三级)设计方案实施方案评审报告模板

信息安全等级保护三级建设方案（DOC44页）（正式版）Xx信息安全等级保护（三级）建设方案目录1. 前言 (3)1.1 概述 (3)1.2 相关政策及标准 (3)2. 现状及需求分析 (5)2.1. 现状分析 (5)2.2. 需求分析 (5)3. 等保三级建设总体规划 (6)3.1. 网络边界安全建设 (6)3.2. 日志集中审计建设 (6)3.3. 安全运维建设 (6)3.4. 等保及安全合规性自查建设 (6)3.5. 建设方案优势总结 (7)4. 等保三级建设相关产品介绍 (9)4.1. 网络边界安全防护 (9)4.1.1 标准要求 (9)4.1.2 明御下一代防火墙 (10)4.1.3 明御入侵防御系统（IPS） (13)4.2. 日志及数据库安全审计 (15)4.2.1 标准要求 (15)4.2.2 明御综合日志审计平台 (17)4.2.3 明御数据库审计与风险控制系统 (19)4.3. 安全运维审计 (22)4.3.1 标准要求 (22)4.3.2 明御运维审计和风险控制系统 (23)4.4. 核心WEB应用安全防护 (26)4.3.1 标准要求 (26)4.3.2 明御WEB应用防火墙 (27)4.3.3 明御网站卫士 (30)4.5. 等保及安全合规检查 (31)4.5.1 标准要求 (31)4.5.2 明鉴WEB应用弱点扫描器 (32)4.5.3 明鉴数据库弱点扫描器 (34)4.5.4 明鉴远程安全评估系统 (37)4.5.5 明鉴信息安全等级保护检查工具箱 (38)4.6. 等保建设咨询服务 (40)4.6.1 服务概述 (40)4.6.2 安全服务遵循标准 (41)4.6.3 服务内容及客户收益 (41)5. 等保三级建设配置建议 (42)1.前言1.1概述随着互联网金融的快速发展，金融机构对信息系统的依赖程度日益增高，信息安全的问题也越来越突出。

同时，由于利益的驱使，针对金融机构的安全威胁越来越多，尤其是涉及民生与金融相关的单位，收到攻击的次数日渐频繁，相关单位必须加强自身的信息安全保障工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。

XX单位网络安全及监控系统工程项目实施方案（模板）XX公司(承建方)XXX年X月目录第1章工程概况及施工方案概述 (1)1.1工程概况 (1)1.1.1项目背景 (1)1.1.2项目建设主要内容 (1)1.2实施方案概述 (1)1.2.1总体说明 (1)1.2.2编制依据 (2)1.2.3指导思想 (2)1.2.4施工组织目标 (2)第2章项目管理 (3)2.1项目组织机构 (3)2.2项目经理部职责范围 (3)2.3项目部组织人员名单 (3)2.4项目管理机构设置地点 (4)2.5项目工作流程 (4)2.5.1项目流程 (4)2.6项目实施进度计划 (4)2.6.1项目进度要求和控制原则 (4)2.6.2项目进度安排 (5)第3章工程准备 (8)3.1施工准备 (8)3.2施工过程管理 (9)第4章基础施工 (10)4.1.1取电线路原则 (10)4.1.2电缆技术规范 (10)4.1.3网线技术规范 (10)4.1.4其它方面要求 (10)4.2布线施工 (11)4.3供电 (11)4.4防雷 (11)4.4.1综合接地网 (11)4.4.2电源系统防雷 (11)4.4.3通讯系统防雷 (12)第5章安装、调试、试运行及验收方案 (14)5.1安装 (14)5.2系统调试 (14)5.2.1系统调试 (14)5.2.2系统联调 (15)5.3系统初验及试运行 (16)5.3.1系统初验 (16)5.3.2系统试运行 (16)5.4技术文档 (16)5.4.1技术文件 (17)5.4.2验收文档 (17)5.4.3用户手册 (17)5.5项目验收 (17)5.5.1初步验收 (17)5.5.2验收准则 (18)5.5.3最终验收 (19)第1章工程概况及施工方案概述1.1 工程概况1.1.1 项目背景XX单位计划对公司内部进行信息化建设，本项目公司投入资金进行网络安全升级改造，增加部分监控摄像枪对部分公司区域进行安全防控等。

《信息系统安全等级保护定级报告》一、NG-CRM信息系统描述中国移动CRM系统是基于计算机应用技术，用以支撑中国移动以客户为导向的运营体系的信息系统。

中国移动各省公司的CRM系统包含市场营销、销售管理、客户服务、渠道管理、客户管理、产品管理、资源管理等多方面的功能。

简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、NG-CRM信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述CRM系统包含市场营销、销售管理、客户服务、渠道管理、客户管理、产品管理、资源管理等多方面的功能，处理以上所有业务的相关信息。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述CRM系统的服务对象为所有在网的移动客户。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

附件3：《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件4：信息系统安全等级保护备案表备 案 单 位： （盖章） 备 案 日 期：受理备案单位： （盖章） 受 理 日 期：中华人民共和国公安部监制备案表编号：填表说明一、制表依据。

信息系统安全三级等保建设方案1. 引言信息系统安全是企业发展和运营的重要保障，随着信息技术的不断发展，信息系统面临越来越多的安全威胁和风险。

为了确保企业的信息系统安全和业务的持续稳定运行，需要进行信息系统安全三级等保建设。

本文档旨在提供一个详细的建设方案，帮助企业规范信息系统安全管理，提升信息系统的安全性能。

2. 三级等保标准概述三级等保标准是针对信息系统安全而制定的国家标准，具体分为三个级别：一级等保、二级等保和三级等保。

每个等级都有相应的安全要求、管理措施和评估指标。

建设一个符合三级等保标准的信息系统需要以下几个方面的工作：1.信息系统的安全基础工作：包括安全方针与目标的确定、安全机构建设、安全资源配置等。

2.信息系统的安全管理与运维：包括安全运维管理、风险评估与控制、安全事件响应等。

3.信息系统的安全技术保障：包括网络安全、数据安全、应用安全等技术措施。

3. 建设方案3.1 信息系统的安全基础工作在进行信息系统的安全建设之前，需要确定安全方针与目标，并建立一个安全管理机构。

安全方针与目标应与企业的发展战略和业务需求相一致，确保信息系统安全与企业发展的有机结合。

安全管理机构应由专业的安全团队负责，负责监督和执行信息系统的安全管理工作。

此外，还需要合理配置安全资源，包括物理设备、人员和资金。

安全资源的配置应根据风险评估和安全需求进行，确保足够的安全力量和经费支持建设。

3.2 信息系统的安全管理与运维信息系统的安全管理与运维是保障信息系统安全的基础，包括以下几个方面的内容：3.2.1 安全运维管理安全运维管理包括安全策略与规范制定、安全漏洞扫描与修复、日志分析与管理等。

其中，安全策略与规范的制定是基础，应根据具体的业务需求和三级等保标准制定相应的要求。

安全漏洞扫描与修复是确保系统安全的重要环节，应定期对系统进行漏洞扫描，并及时修复漏洞。

日志分析与管理可以帮助发现异常行为和安全事件，及时做出相应的响应措施。

网络信息安全等保三级设计方案北京XX科技有限公司2019年X月目录第1章项目概述 (5)第2章等级保护建设流程 (8)第3章方案参照标准 (11)第4章安全区域框架 (13)第5章安全等级划分 (14)5.1.1 定级流程 (14)5.1.2 定级结果 (16)第6章安全风险与需求分析 (17)6.1 安全技术需求分析 (17)6.1.1 物理安全风险与需求分析 (17)6.1.2 计算环境安全风险与需求分析 (18)6.1.3 区域边界安全风险与需求分析 (22)6.1.4 通信网络安全风险与需求分析 (24)6.2 安全管理需求分析 (26)第7章技术体系方案设计 (27)7.1 方案设计目标 (27)7.2 方案设计框架 (27)7.3 安全技术体系设计 (29)7.3.1 物理安全设计 (29)7.3.2 计算环境安全设计 (32)7.3.3 区域边界安全设计 (46)7.3.4 通信网络安全设计 (52)7.3.5 安全管理中心设计 (57)第8章安全管理体系设计 (64)第9章安全运维服务设计 (67)9.1 安全扫描 (67)9.2 人工检查 (68)9.3 安全加固 (69)9.3.1 流程 (70)9.3.2 内容 (70)9.3.3 风险规避 (72)9.4 日志分析 (75)9.4.1 流程 (75)9.5 补丁管理 (77)9.5.1 流程 (78)9.5.2 内容 (78)9.6 安全监控 (79)9.6.1 流程 (80)9.6.2 内容 (80)9.7 安全通告 (81)9.8 应急响应 (83)9.8.1 入侵调查 (84)9.8.2 主机、网络异常响应 (84)9.8.3 其他紧急事件 (84)9.8.4 响应流程 (85)9.9 安全运维服务的客户价值 (86)第10章工程建设 (88)10.1 工程一期建设 (88)10.1.1 区域划分 (88)10.1.2 网络环境改造 (89)10.1.3 网络边界安全加固 (89)10.1.4 网络及安全设备部署 (90)10.1.5 安全管理体系建设服务 (127)10.1.6 安全加固服务 (145)10.1.7 应急预案和应急演练 (152)10.1.8 安全等保认证协助服务 (152)10.2 工程二期建设 (154)10.2.1 安全运维管理平台（soc） (154)10.2.2 APT高级威胁分析平台 (158)10.3 产品清单 (160)10.4 安全、文明施工及环保措施 (160)10.5 项目管理班子配备 (177)10.6 质量保证体系及措施 (187)10.7 施工配合及施工界面的划分 (212)第11章售后服务计划 (224)第12章方案合规性分析 (233)12.2 管理部分 (266)第13章附录： (296)13.1 等级划分标准 (296)13.2 技术要求组合确定 (298)13.3 安全域划分方法 (299)第1章项目概述“电子政务”是在海洋相关科学长期积累的基础上，依托信息科学与空间技术的发展，利用天基、空基、海基、陆基等海洋数据获取更新监视监测手段，利用3S等技术，构建多分辨率、多时相、多类型的动态海洋时空数据平台，以空间位置为核心关联点，对海洋各种信息进行实时采集、有序处理、快速传递、多维显示、逼真描述的综合性数字化信息系统。

信息安全等级保护三级建设项目设计方案随着信息技术的快速发展，信息系统的应用日益广泛，信息安全问题也日益突出。

为了保护信息系统的安全，加强信息安全管理，根据国家有关法律法规和标准要求，本单位决定进行信息安全等级保护三级建设项目设计方案的编制。

二、建设目标本项目的建设目标是实施信息安全等级保护三级建设，进一步加强信息系统的安全保护能力，保障信息系统和数据的安全，提高信息系统的安全稳定性和可靠性。

三、建设内容（一）制定信息安全管理制度和规范，建立健全信息安全管理体系，确保信息系统的安全性和可用性；（二）开展信息系统的风险评估和安全评估，识别和评估信息系统的安全风险，制定相应的安全防护措施；（三）加强信息系统的访问控制和权限管理，建立完善的身份识别和访问控制机制，保障信息系统的安全访问；（四）加强信息系统的安全监控和事件响应，建立有效的安全监控机制，及时识别和响应安全事件；（五）加强信息系统的网络安全防护，建立完善的网络安全防护体系，保障信息系统的网络安全。

四、项目实施方案（一）项目组织架构：成立项目组，明确项目组成员的职责和任务分工；（二）项目进度计划：制定项目的实施计划和进度安排，确保项目按时完成；（三）项目预算安排：合理安排项目的经费预算和使用；（四）项目风险管理：建立项目风险管理机制，识别和评估项目的风险，并采取相应的措施进行管理；（五）项目验收评估：制定项目验收标准和评估指标，确保项目达到设计要求。

五、项目效益通过信息安全等级保护三级建设项目的实施，可以有效加强信息系统的安全保护能力，提高信息系统的安全稳定性和可靠性，保障信息系统和数据的安全，提高本单位信息系统的整体安全水平，为本单位的信息化发展提供有力保障。

六、项目风险项目实施过程中可能遇到的风险包括资金不足、技术不成熟、人员变动等，需要建立相应的风险管理机制，及时识别和解决项目实施中的风险问题。

七、项目总结本项目的实施对于加强信息系统的安全保护能力，提高信息系统的安全稳定性和可靠性，保障信息系统和数据的安全具有重要意义。