等级保护工作各环节服务方案.pdf

等级保护工作各环节服务方案

等级保护工作开展参考资料

文档说明

1)目标对象：客户单位的信息主管/计算机信息系统运维

管理人员

2)文档功能：与客户一起探讨“信息安全等级保护工作开

展”工作方法

一.等级保护整体服务方案

等保定级备案等保整改与安全建设等保测评等保检查1）

分析信息系统特点

2）对重要信息系统进

行摸底调查，确定定

级对象

3）完成《定级报告》

4）协助专家评审和审

批

5）完成定级备案工作

1）明确整改思路

2）进行风险评估

3）通过现场访谈、现

场测试等方式，完成

差距分析报告》

4）形成等保整改和XXX

全建设方案

5）进行等保整改建设

1）制定测评咨询工作

计划

2）准备等保测评所需

要的文档和资料

3）配合测评机构的现

场测评工作

1）展开自查

2）进行行业检查

3）准备检查所需要的

文档和资料

4）配合公安机关的现

场检查工作

图1等级保护整体效劳方案工作流程图

等级保护的建设是个长期的过程，需要花费大量的时间、

精力和财力，本着为用户服务的态度，“中国信息安全测评服

务XXX”推出了等级保护专业服务，提供包括定级备案、差距

分析、方案制订、实施、测评、检查等各个环节的服务，通过

自身的安全产品、安全服务，可协助用户完成等级保护各个阶

段的实施和建设，确保用户严格按照等级保护的过程规划并建

设自己的安全保障体系，更好地支撑应用和业务的开展，为用

户信息安全保障体系“保驾护航”。

测评服务方在等级保护各个阶段将协助用户完成上图的任

务和工作。具体包括：1)等级保护定级备案

对信息系统进行划分，并根据信息系统的价值确定信息系

统的保护等级，等级确定后测评服务方将协助用户完成保护等

级的备案工作。

word专业资料

2)等级保护差距分析

通过风险评估可以发现信息系统的安全现状与需要达到的

安全等级或目标的差异，使信息系统的管理和使用单位可以在

技术和管理方面进行有针对性的加强和完善，使单位的信息系

统安全工作有的放矢。

3)等级保护整改建议方案

测评服务方根据评估的结果和信息系统确认的保护等级，

结合《信息系统安全等级保护基本要求》以及其它相关整改标

准中对各级别信息系统的技术、管理和运维方面的要求，制定

相应的安全保护措施，完成等级保护整改建议方案的设计。

根据公通字[2007]43号文的要求，信息系统定级工作完成

后，运营、使用单位首先要按照相关的办理规和技术标准进行

安全建设和整改，使用符合有关划定、满足信息系统安全保护

等级需求的信息技术产品，进行信息系统安全建设或者改建工

作。

等级保护整改的核心是根据用户的实际信息安全需求、业

务特点及应用重点，在确定不同系统重要程度的基础上，进行

重点保护。整改工作要遵循等级保护相关要求，将等级保护要

求体现到方案、产品和安全服务中去，并切实结合用户信息安

全建设的实际需求，建设一套全面保护、重点突出、持续运行

的安全保障体系，将等级保护制度确实落实到企业的信息安全

规划、建设、评估、运行和维护等各个环节，保障企业的信息

安全。

4)等级保护整改施行

测评服务方将依据规划向用户提供详细设计和等级保护系

统建设服务，确保保障等级能够达到信息系统所要求的保护等

级，或者协助用户进行等级保护的实施，对承建商的工作进行

监理。

5)等级保护测评征询

在信息系统进行完成定级和整改实施之后，需要通过测试

手段对信息系统的安全技术和word专业资料

安全管理上各个层面的安全控制进行整体性验证，测评服

务方提供的测评咨询服务将协助用户通过等级保护测评工作。

6)等级保护检查咨询

在信息系统进行完成定级和整改实施之后，主管机关将对

信息系统的安全技术和安全管理各个层面的安全控制进行检查，

测评服务方将协助用户准备检查所需要的文档和资料，配合公

安机关开展现场的检查工作。

二.等级保护定级过程方法/方案

2.1.定级工作的重要性

信息系统的定级是等级保护工作的首要环节。从等级保护

角度看，安全级别定不准，系统备案、建设整改、等