《2、等级保护工作各环节服务方案.docx》由会员分享,可在线阅读,更多相关《2、等级保护工作各环节服务方案.docx(11页珍藏版)》请在优知文库上搜索。
1、等级爱护工作开展参考资料文档说B月1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨信息平安等级爱护工作开展”工作方法-等级爰护整体服务方案等保定级备案1)分析信息系统特点2)对重要信息系统进行摸底调查,确定定始撼3)完成定级报告4)协助专家评审和审批5)完成定级备案工作等保整改与安全建设1)明确整改思路2)进行风险评估3)通过现场访谈、现场测试等方式,完成差距分析报告4)形成等保整改和安全建设方案5)进行等保整改建设等保检查1)开展自查2)进行行业检直3)准备检查所需要的文档和资料4)配合公安机关的现场检查工作等保测评1)制定测评咨询工作计划2)准备等保
2、测评所需要的文档和资料3)配合测评机构的现场测评工作图1等级爱护整体服务方案工作流程图等级爱护的建设是个长期的过程,须要花费大量的时间、精力和财力,本着为用户服务的看法,“中国信息平安测评服务方华中测评服务中心”推出了等级爱护专业服务,供应包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的平安产品、平安服务,可帮助用户完成等级爱护各个阶段的实施和建设,确保用户严格依据等级爱护的过程规划并建设自己的平安保障体系,更好地支撑应用和业务的开展,为用户信息平安保障体系“保驾护航测评服务方在等级爱护各个阶段将帮助用户完成上图的任务和工作。具体包括:D等级爱护定级备案对信息系统
3、进行划分,并依据信息系统的价值确定信息系统的爱护等级,等级确定后测评服务方将帮助用户完成爱护等级的备案工作。2)等级爱护差距分析通过风险评估可以发觉信息系统的平安现状与须要达到的平安等级或目标的差异,使信息系统的管理和运用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统平安工作有的放矢。3)等级爱护整改建议方案测评服务方依据评估的结果和信息系统确认的爱护等级,结合信息系统平安等级爱护基本要求以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的平安爱护措施,完成等级爱护整改建议方案的设计。依据公通字200743号文的要求,信息系统定级工作完成后,运营、
4、运用单位首先要依据相关的管理规范和技术标准进行平安建设和整改,运用符合国家有关规定、满意信息系统平安爱护等级需求的信息技术产品,进行信息系统平安建设或者改建工作。等级爱护整改的核心是依据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点爱护。整改工作要遵循国家等级爱护相关要求,将等级爱护要求体现到方案、产品和平安服务中去,并切实结合用户信息平安建设的实际需求,建设一套全面爱护、重点突出、持续运行的平安保障体系,将等级爱护制度的确落实到企业的信息平安规划、建设、评估、运行和维护等各个环节,保障企业的信息平安。4)等级爱护整改实施测评服务方将依据规划向用户供应具体
5、设计和等级爱护系统建设服务,确保保障等级能够达到信息系统所要求的爱护等级,或者帮助用户进行等级爱护的实施,对承建商的工作进行监理。5)等级爱护测评询问在信息系统进行完成定级和整改实施之后,须要通过测试手段对信息系统的平安技术和平安管理上各个层面的平安限制进行整体性验证,测评服务方供应的测评询问服务将帮助用户通过等级爱护测评工作。6)等级爱护检查询问在信息系统进行完成定级和整改实施之后,国家主管机关将对信息系统的平安技术和平安管理各个层面的平安限制进行检查,测评服务方将帮助用户准备检查所须要的文档和资料,协作公安机关开呈现场的检查工作。二.等级爰护定级过程方法/方案2.1.定级工作的重要性信息系
6、统的定级是等级爱护工作的首要环节。从等级爱护角度看,平安级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级爱护政策、精确定级,是开展后续整改和测评工作的基础,可以避开后续工作走弯路,造成投资奢侈或者平安程度过低;从定级单位自身的平安需求看,是本单位结合业务需求、信息平安建设现状,从自身平安需求动身,进行有针对性的信息平安规划、建设、运维的实际要求。22.定级过程等级爱护定级与备案工作是基于国家信息系统平安等级爱护相关文件的要求,测评服务方结合客户的组织架构、业务要求、信息系统的实际状况,帮助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指
7、导看法(可选)的服务。共分为七个大的阶段:定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、帮助备案阶段、项目总结阶段。定级之后,随着业务的改变,信息系统的级别可能须要进行适当的调整、变更,此时须要进行等级变更。2.2.1. 定级准备阶段在定级的过程中,不仅会涉及客户的信息管理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解,因此业务部门应参加、甚至主导对业务信息系统的定级工作。初步明确定级范围,以便后续开展摸底调查和进行定级。定级范围包括本单位内部建设、运用的承载生产、调度、管理、办公等重要业务的信息系统
8、。测评服务方依据已了解的初步基本信息、定级范围,依据国家等级爱护相关文件(如861号文、国家定级指南、测评服务方定级方法等),制定本单位信息系统平安等级的定级工作安排。2.2.2. 信息系统识别由定级工作项目组中的信息管理部门相关人员牵头,开展对全部须要定级的信息系统的摸底调查工作,驾驭信息系统的基本状况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明确定级范围、进行定级奠定基础。测评服务方会准备信息系统调查表,帮助客户的信息管理部门开展信息系统识别工作,组织相关业务部门填写调查表。在这个工作过程中,各业务部门的接口人依据信息系统的实际状
9、况填写调查表,测评服务方通过邮件、电话等方式对各业务部门接口人供应技术支持,支持解答定级范围、表格填写以及填报系统运用等问题。2.2.3. 初步定级测评服务方准备信息系统平安等级爱护定级报告模板,给出定级报告示例。定级工作项目组的信息管理部门和业务部门依据定级报告模板,起草信息系统平安等级爱护定级报告。虽然国家定级指南已经给出了定级的原则和指南,但在具体定级过程中,由于各行业各单位的自身特点不同,加上信息系统的数量可能较多、涉及单位或部门较多,业务单位则普遍缺少定级的阅历,可能会导致定出来的平安等级不合理、同类信息系统在不同单位定的级别不一样、下级单位定级高于上级单位定级等不合理等状况。测评服
10、务方依据已经驾驭的信息系统状况,对各单位上传的定级报告的合理性进行初步探讨和审核把关,请相关单位派人共同探讨,依据系统类别梳理定级报告,比照国家对不同等级的要求,在报告内容、行文格式、定级精确性等方面给出修改看法。依据探讨的定级报告修改看法,各单位的定级工作组修改定级报告,并汇总到定级工作项目组,由定级工作项目组统一汇总、整理后,形成定级报告的专家评审稿。2.2.4. 化定级指导建议依据对已定级信息系统的了解,依据客户单位的实际状况,结合国家定级指南的要求,测评服务方可帮助客户制定行业化的某某行业等级爱护定级指导建议(可选),以指导本行业、本地区的定级工作。2.2.5. 和审批初步确定信息系统
11、平安爱护等级后,测评服务方将帮助客户聘请等级爱护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审看法。评审后,测评服务方将帮助客户参考专家定级评审看法,最终确定信息系统等级,进一步修改各信息系统的定级报告和行业化定级指导建议(若有),形成最终的定级报告。若客户有上级主管部门或行业主管,并对定级报告具有审批要求的,测评服务方将帮助将信息系统平安爱护等级定级报告报经上级主管部门审批同意。2.2.6. 帮助备案依据43号文(信息平安等级爱护管理方法),信息系统平安爱护等级为其次级以上的信息系统运营运用单位或主管部门,应到公安部网站下载信息系统平安等级
12、爱护备案表,持填写的备案表纸制版及其电子版(均为word表格),到公安机关办理备案手续,提交有关备案材料。测评服务方将帮助客户填写信息系统平安等级爱护备案表,帮助完成备案工作。2.2.7. 总结报告阶段各单位对本单位的定级工作进行总结并报给定级项目工作组。定级项目工作组汇总整个单位的定级状况,对定级工作进行总结,形成总结报告,提交信息系统定级指导委员会、信息管理部门主管领导,并可同时报送给备案的公安机关。=.整改与平安建设服务方案31.等级爱护整改与平安建设工作重要性依据公通字200743号文的要求,信息系统定级工作完成后,运营、运用单位首先要依据相关的管理规范和技术标准进行平安建设和整改,运
13、用符合国家有关规定、满意信息系统平安爱护等级需求的信息技术产品,进行信息系统平安建设或者改建工作。等级爱护整改的核心是依据用户的实际信息平安需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点爱护。整改工作要遵循国家等级爱护相关要求,将等级爱护要求体现到方案、产品和平安服务中去,并切实结合用户信息平安建设的实际需求,建设一套全面爱护、重点突出、持续运行的平安保障体系,将等级爱护制度的确落实到企业的信息平安规划、建设、评估、运行和维护等各个环节,保障企业的信息平安。3.2. 等级爰护整改与平安建设过程等级爱护整改与平安建设是基于国家信息系统平安等级爱护相关标准和文件的要求,针对客户
14、已定级备案的信息系统、或准备依据等保要求进行平安建设的信息系统,结合客户组织架构、业务要求、信息系统实际状况,通过一套规范的等保整改过程,帮助客户进行风险评估和等级爱护差距分析,制定完整的平安整改建议方案,并依据须要帮助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,帮助客户完成信息系统等级爱护整改和平安建设工作。等保整改与建设过程主要包括等级爱护差距分析、等级爱护整改建议方案、等级爱护整改实施三个阶段。3.2.1. 等级爱护差距分析1 .等级爱护风险评估1)评估目的对信息系统进行平安等级评估是国家推行等级爱护制度的一个重要环节,也是对信息系统进行平安建设和管理的重要组成部分。
15、等级评估不同于依据等级爱护要求进行的等保差距分析。风险评估的目标是深化、具体地检查信息系统的平安风险状况,而差距分析则是依据等保的全部要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的平安现状,比差距分析结果在技术上更加深化。风险评估的结果和差距分析结果都是整改建议方案的输入。测评服务方通过专业的等级评估服务,帮助用户完成以下的目标:令了解信息系统的管理、网络和系统平安现状;确定可能对资产造成危害的威逼;令确定威逼实施的可能性;令对可能受到威逼影响的资产确定其价值、敏感性和严峻性,以及相应的级别,确定哪些资产是最重要的:令对最重要的、最敏感的资产,确定一旦威逼发生其潜在的损失或破坏;令明确信息系统的已有平安措施的有效性:令明晰信息系统的平安管理需求。2)评估内容令资产识别与赋值Q主机平安性评估令数据库平安性评估令平安设备评估现场风险评估用到的主要评估方法包括:Q漏洞扫描令限制台审计令技术访谈3)评估分析依据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。2 .等保差距分析通过差距分
免费区 