第一篇：信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表

附件 1 信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表
01 單位名稱 02 單位地址 姓 03 單位負(fù)責(zé)人 辦公電話 姓 04 單位聯(lián)系人 辦公電話 05 信息系統(tǒng)總數(shù) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 移動(dòng)電話 06 未定級(jí)備案信息 系統(tǒng)數(shù)量 第三級(jí)系統(tǒng) 合 計(jì) □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 第三級(jí)系統(tǒng) 合 計(jì) 名 職務(wù)/職稱 名 職務(wù)/職稱

07 已定級(jí)備案信息系 統(tǒng)數(shù)量

（1）是否明確主管領(lǐng)導(dǎo)、責(zé)任部門和具體負(fù)責(zé)人員（2）是否對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署 08 信 息 系統(tǒng)安全 建設(shè)整改 工作情況（3）是否對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)現(xiàn)狀分析（4）是否制定信息系統(tǒng)安全建設(shè)整改方案（5）是否組織開展信息系統(tǒng)安全建設(shè)整改工作（6）是否組織開展信息系統(tǒng)安全自查工作 09 已開展安全建設(shè)整 改的信息系統(tǒng)數(shù)量 10 已開展等級(jí)測評(píng)的 信息系統(tǒng)數(shù)量 11 信息系統(tǒng)發(fā)生安全事 件、事故數(shù)量 12 已達(dá)到等級(jí)保護(hù)要 求的信息系統(tǒng)數(shù)量 填表人： 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 第二級(jí)系統(tǒng) 第四級(jí)系統(tǒng) 審核人：

第三級(jí)系統(tǒng) 合 計(jì)

第三級(jí)系統(tǒng) 合 計(jì)

第三級(jí)系統(tǒng) 合 填表時(shí)間： 計(jì) 年 月 日
1

第二篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對(duì)防雷裝置的檢測報(bào)告

10、應(yīng)具有自動(dòng)檢測火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測和報(bào)警；防水檢測裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報(bào)告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測試驗(yàn)收方案（測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作（具有對(duì)系統(tǒng)測試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報(bào)告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測試驗(yàn)收方案（測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作（具有對(duì)系統(tǒng)測試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄

38、應(yīng)對(duì)惡意代碼庫的升級(jí)情況進(jìn)行記錄（代碼庫的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。

第三篇：信息安全等級(jí)保護(hù)工作實(shí)施方案

白魯?shù)A九年制學(xué)校

信息安全等級(jí)保護(hù)工作實(shí)施方案

為加強(qiáng)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號(hào)文件精神，結(jié)合我校實(shí)際，制訂本實(shí)施方案。

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會(huì)精神為指針，深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。

二、定級(jí)范圍

學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導(dǎo)

（一）工作分工。定級(jí)工作由電教組牽頭，會(huì)同學(xué)校辦公室、安全保衛(wèi)處等共同組織實(shí)施。

學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門間協(xié)調(diào)。

安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。

電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。

各部門依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求，開展信息系統(tǒng)自評(píng)工作。

（二）協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。

1、成立領(lǐng)導(dǎo)小組，校長任組長，副校長任副組長、各部門負(fù)責(zé)人為成員，負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門按照總體方案落實(shí)工作任務(wù)和責(zé)任，對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督，指導(dǎo)安全保密方案制定。

2、成立由電教組牽頭的工作機(jī)構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營使用部門參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議；組織開展政策和技術(shù)培訓(xùn)，掌握定級(jí)工作規(guī)范和技術(shù)要求，為定級(jí)工作打好基礎(chǔ)；全面掌握學(xué)校各部門定級(jí)保護(hù)工作的進(jìn)展情況和存在的問題，對(duì)存在的問題及時(shí)協(xié)調(diào)解決，形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。

3、成立由赴省參加過計(jì)算機(jī)培訓(xùn)的教師組成的評(píng)審組，主要負(fù)責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢；二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對(duì)所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求，確定定級(jí)對(duì)象。

（二）初步確定安全保護(hù)等級(jí)。各使用部門要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

（三）評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。

（四）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。

五、定級(jí)工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各部門要落實(shí)責(zé)任，并于12月15日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上報(bào)九年制學(xué)校。

（二）加強(qiáng)培訓(xùn)，嚴(yán)格定級(jí)。為切實(shí)落實(shí)評(píng)審工作，保證定級(jí)準(zhǔn)確，備案及時(shí)，全面提高我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平，保證定級(jí)工作順利進(jìn)行，各部門要認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》、《文保處教育系統(tǒng)單位信息分級(jí)培訓(xùn)材料》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（國標(biāo)）》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（報(bào)批）》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批）》等材料。

（三）積極配合、認(rèn)真整改。各部門要認(rèn)真按照評(píng)級(jí)要求，組織開展等級(jí)保護(hù)工作，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。

（四）自查自糾、完善制度。此次定級(jí)工作完成后，請(qǐng)各部門按照《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，依據(jù)系統(tǒng)所定保護(hù)等級(jí)的要求，定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應(yīng)及時(shí)進(jìn)行變更備案

第四篇：網(wǎng)站系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)整改方案

網(wǎng)站系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)整改方案

隨著互聯(lián)網(wǎng)應(yīng)用和門戶網(wǎng)站系統(tǒng)的不斷發(fā)展和完善，網(wǎng)站系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)也備受關(guān)注。網(wǎng)站系統(tǒng)一方面要加強(qiáng)落實(shí)國家信息安全等級(jí)保護(hù)制度要求的各項(xiàng)保障措施，另一方面要加強(qiáng)系統(tǒng)自身抵抗威脅的能力，同時(shí)結(jié)合國辦2011年40號(hào)文件《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》的相關(guān)要求，網(wǎng)站系統(tǒng)要切實(shí)進(jìn)行防攻擊、防篡改、防病毒各項(xiàng)防護(hù)措施的部署和實(shí)施，綜合提升網(wǎng)站系統(tǒng)的安全保障能力。

根據(jù)國家等級(jí)保護(hù)有關(guān)要求，省級(jí)政府門戶網(wǎng)站系統(tǒng)的信息安全保護(hù)等級(jí)應(yīng)定為三級(jí)，建立符合三級(jí)等級(jí)保護(hù)相關(guān)要求的安全防護(hù)措施，能夠形成在同一安全策略的指導(dǎo)下，網(wǎng)站系統(tǒng)應(yīng)建立綜合的控制措施，形成防護(hù)、檢測、響應(yīng)和恢復(fù)的保障體系。通過采用信息安全風(fēng)險(xiǎn)分析和等級(jí)保護(hù)差距分析，形成網(wǎng)站系統(tǒng)的安全需求，從而建立有針對(duì)性的安全保障體系框架和安全防護(hù)措施。

網(wǎng)站系統(tǒng)安全需求

根據(jù)網(wǎng)站系統(tǒng)的應(yīng)用情況，針對(duì)網(wǎng)站系統(tǒng)的安全需求可以從系統(tǒng)業(yè)務(wù)流程、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和物理幾個(gè)方面進(jìn)行綜合分析，具體需求如下：

1、業(yè)務(wù)流程安全需求

針對(duì)網(wǎng)站類業(yè)務(wù)重點(diǎn)需要關(guān)注發(fā)布信息的準(zhǔn)確性，采集分析和匯總信息的可控性，以及服務(wù)平臺(tái)的可用性，系統(tǒng)可能面臨的威脅包括網(wǎng)絡(luò)攻擊、越權(quán)、濫用、篡改、抗抵賴和物理攻擊，應(yīng)加強(qiáng)對(duì)于這些威脅的對(duì)抗和防護(hù)能力，通過嚴(yán)格控制業(yè)務(wù)流程中的各個(gè)環(huán)節(jié)，包括信息采集、分析、匯總、發(fā)布等過程中的人員訪問身份、訪問控制、審批審核等需求，同時(shí)要加強(qiáng)系統(tǒng)自身的完整性保護(hù)和抗抵賴機(jī)制的實(shí)現(xiàn)。

2、軟件安全需求

網(wǎng)站系統(tǒng)軟件架構(gòu)一般包括接入層、展現(xiàn)層、應(yīng)用層、基礎(chǔ)應(yīng)用支撐層、信息資源層和基礎(chǔ)支撐運(yùn)行環(huán)境等幾個(gè)層面，由于幾個(gè)層面涉及的主要功能和軟件實(shí)現(xiàn)存在一定的差異性，因此要通過分析不同層次可能面臨的威脅。接入層是目標(biāo)用戶和接入媒介共同構(gòu)建而成，針對(duì)業(yè)務(wù)系統(tǒng)此層面是一個(gè)訪問入口，從安全需求方面應(yīng)當(dāng)減少入口對(duì)于系統(tǒng)的攻擊可能性，對(duì)于指定的接入和入口可以通過建立可信機(jī)制進(jìn)行保護(hù)，對(duì)于非指定的接口可以通過控制權(quán)限進(jìn)行防護(hù)；展現(xiàn)層是系統(tǒng)內(nèi)容的展示區(qū)域，要確保系統(tǒng)展示信息的完整性，降低被篡改的風(fēng)險(xiǎn)；應(yīng)用層是對(duì)數(shù)據(jù)信息進(jìn)行處理的核心部分，應(yīng)加強(qiáng)系統(tǒng)自身的安全性和軟件編碼的安全性，減少系統(tǒng)自身的脆弱性；基礎(chǔ)應(yīng)用支撐層主要包括通用組件、用戶管理、目錄服務(wù)和交換組件等通用應(yīng)用服務(wù)，該層次重點(diǎn)是確保系統(tǒng)組件自身的安全性，同時(shí)要加強(qiáng)與應(yīng)用之間接口的安全性；信息資源層是由業(yè)務(wù)數(shù)據(jù)庫和平臺(tái)數(shù)據(jù)庫共同構(gòu)成，此層次重點(diǎn)的安全在于數(shù)據(jù)庫安全；基礎(chǔ)支撐運(yùn)行環(huán)境層，支撐應(yīng)用系統(tǒng)運(yùn)行的操作系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全防護(hù)等共同構(gòu)筑成基礎(chǔ)支撐運(yùn)行環(huán)境，該層次面臨的主要威脅包括物理攻擊、網(wǎng)絡(luò)攻擊、軟硬件故障、管理不到位、惡意代碼等多類型威脅，應(yīng)加強(qiáng)資產(chǎn)的綜合管理。

3、數(shù)據(jù)安全需求

網(wǎng)站系統(tǒng)的數(shù)據(jù)主要包括互聯(lián)網(wǎng)讀取、錄入、管理、審核的數(shù)據(jù)信息，以及前臺(tái)的交互信息和后臺(tái)的數(shù)據(jù)交換信息，針對(duì)這些信息各個(gè)環(huán)節(jié)中的訪問關(guān)系不同，信息的敏感和重要程度不同，可能面臨威脅也存在一定的差異性，其中讀取過程要結(jié)合信息的敏感和重要程度進(jìn)行訪問控制，降低越權(quán)、濫用等威脅的發(fā)生；錄入關(guān)注信息自身的完整性和合法性，注意防止惡意代碼和木馬對(duì)系統(tǒng)造成的攻擊；管理和審核涉及信息系統(tǒng)的關(guān)鍵性信息，所以基本屬于系統(tǒng)中的敏感信息或關(guān)鍵流程管理，加強(qiáng)人員的安全管理；交互和數(shù)據(jù)交換要通過系統(tǒng)自身的安全防護(hù)機(jī)制，抵抗網(wǎng)絡(luò)攻擊和加強(qiáng)抗抵賴機(jī)制。

4、網(wǎng)絡(luò)和物理安全需求

網(wǎng)絡(luò)層面重點(diǎn)在于設(shè)計(jì)合理的網(wǎng)絡(luò)架構(gòu)，部署冗余的網(wǎng)絡(luò)設(shè)備，形成可以建立不同安全策略的安全域，從而確保網(wǎng)站系統(tǒng)能夠正常穩(wěn)定運(yùn)行。

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面的需求，應(yīng)確保機(jī)房的建設(shè)符合國家相關(guān)要求。

5、IT資產(chǎn)安全需求

IT資產(chǎn)重點(diǎn)關(guān)注資產(chǎn)本身的漏洞風(fēng)險(xiǎn)，同時(shí)根據(jù)資產(chǎn)類型的不同，可以區(qū)分成硬件資產(chǎn)、軟件資產(chǎn)，其中硬件資產(chǎn)可能面臨的關(guān)鍵威脅是軟硬件故障、物理攻擊等；軟件資產(chǎn)可能面臨的威脅包括篡改、泄密、網(wǎng)絡(luò)攻擊、惡意代碼和抗抵賴。

6、綜合安全需求

通過對(duì)各個(gè)方面綜合的安全風(fēng)險(xiǎn)和需求分析，網(wǎng)站系統(tǒng)相關(guān)的業(yè)務(wù)、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和相關(guān)IT資產(chǎn)，由于其應(yīng)用類型、環(huán)境等因素導(dǎo)致主要威脅分布在網(wǎng)絡(luò)攻擊、篡改、物理攻擊、惡意代碼、越權(quán)、濫用和抗抵賴等幾個(gè)方面，由于其威脅發(fā)生的可能性較高，威脅利用后影響較大，導(dǎo)致其安全風(fēng)險(xiǎn)較高，因此應(yīng)形成對(duì)抗這些威脅的必要的安全措施，加強(qiáng)對(duì)系統(tǒng)自身的安全性。同時(shí)結(jié)合信息安全等級(jí)保護(hù)基本要求的相關(guān)技術(shù)和管理控制點(diǎn)，進(jìn)一步完善物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全的相關(guān)控制措施，并要能夠落實(shí)組織、制度、人員、建設(shè)和運(yùn)維相關(guān)的管理要求。

網(wǎng)站系統(tǒng)安全方案設(shè)計(jì)

根據(jù)對(duì)網(wǎng)站系統(tǒng)安全需求的分析，對(duì)于網(wǎng)站系統(tǒng)的安全防護(hù)主要從以下兩個(gè)方面進(jìn)行設(shè)計(jì)，一方面是系統(tǒng)的安全保護(hù)對(duì)象，合理分析系統(tǒng)的安全計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)，形成清晰的保護(hù)框架；另一方面還是要建立綜合的安全保障體系框架，形成對(duì)網(wǎng)站系統(tǒng)綜合的控制措施架構(gòu)，同時(shí)加強(qiáng)網(wǎng)站系統(tǒng)可能面臨威脅的各項(xiàng)防護(hù)機(jī)制。

1、安全保護(hù)對(duì)象

根據(jù)網(wǎng)站系統(tǒng)的IT資產(chǎn)和業(yè)務(wù)功能，網(wǎng)站系統(tǒng)的安全保護(hù)對(duì)象和防護(hù)等級(jí)如下表所示：

安全計(jì)算環(huán)境：重點(diǎn)落實(shí)等級(jí)保護(hù)基本要求的主機(jī)、應(yīng)用、數(shù)據(jù)部分的安全控制項(xiàng)，結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括用戶身份鑒別、主機(jī)和應(yīng)用訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、主機(jī)入侵、防病毒等措施；

安全區(qū)域邊界：重點(diǎn)落實(shí)等級(jí)保護(hù)基本要求的網(wǎng)絡(luò)部分的安全控制項(xiàng)，結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括邊界訪問控制、網(wǎng)絡(luò)安全審計(jì)和完整性保護(hù)等；

安全通信網(wǎng)絡(luò)：重點(diǎn)落實(shí)等級(jí)保護(hù)基本要求的網(wǎng)絡(luò)和數(shù)據(jù)部分的安全控制項(xiàng)，結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、數(shù)據(jù)傳輸完整性保護(hù)和可信接入保護(hù)。

2、安全保障框架

結(jié)合等級(jí)保護(hù)基本要求的整體框架以及安全需求分析的成果，設(shè)計(jì)安全保障框架如下：

圖1：安全保護(hù)體系框架

結(jié)合網(wǎng)站系同自身的安全需求，應(yīng)加強(qiáng)對(duì)于網(wǎng)站系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，同時(shí)建立配套的安全管理體系和安全技術(shù)體系，其中安全管理體系包括安全策略、安全組織和安全運(yùn)作的相關(guān)控制管理；安全技術(shù)體系結(jié)合等級(jí)保護(hù)的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全，進(jìn)一步加強(qiáng)系統(tǒng)的軟件架構(gòu)安全、業(yè)務(wù)流程安全和信息訪問安全的控制，確保系統(tǒng)自身的防病毒、防篡改、方攻擊能力的提升。

結(jié)合網(wǎng)站系統(tǒng)的具體實(shí)施，具體的措施部署和網(wǎng)絡(luò)示意圖如下所示：

圖2：部署和網(wǎng)絡(luò)示意圖

通過加強(qiáng)對(duì)互聯(lián)網(wǎng)邊界的安全防護(hù)機(jī)制落實(shí)，建立與網(wǎng)站系統(tǒng)相配套的互聯(lián)網(wǎng)服務(wù)區(qū)、業(yè)務(wù)服務(wù)區(qū)、數(shù)據(jù)庫區(qū)、備份區(qū)和安全管理區(qū)的安全防護(hù)措施，建立網(wǎng)站系統(tǒng)的綜合防護(hù)措施。

對(duì)于這些威脅的對(duì)抗和防護(hù)能力，通過嚴(yán)格控制業(yè)務(wù)流程中的各個(gè)環(huán)節(jié)，包括信息采集、分析、匯總、發(fā)布等過程中的人員訪問身份、訪問控制、審批審核等需求，同時(shí)要加強(qiáng)系統(tǒng)自身的完整性保護(hù)和抗抵賴機(jī)制的實(shí)現(xiàn)。

2、軟件安全需求

網(wǎng)站系統(tǒng)軟件架構(gòu)一般包括接入層、展現(xiàn)層、應(yīng)用層、基礎(chǔ)應(yīng)用支撐層、信息資源層和基礎(chǔ)支撐運(yùn)行環(huán)境等幾個(gè)層面，由于幾個(gè)層面涉及的主要功能和軟件實(shí)現(xiàn)存在一定的差異性，因此要通過分析不同層次可能面臨的威脅。接入層是目標(biāo)用戶和接入媒介共同構(gòu)建而成，針對(duì)業(yè)務(wù)系統(tǒng)此層面是一個(gè)訪問入口，從安全需求方面應(yīng)當(dāng)減少入口對(duì)于系統(tǒng)的攻擊可能性，對(duì)于指定的接入和入口可以通過建立可信機(jī)制進(jìn)行保護(hù)，對(duì)于非指定的接口可以通過控制權(quán)限進(jìn)行防護(hù)；展現(xiàn)層是系統(tǒng)內(nèi)容的展示區(qū)域，要確保系統(tǒng)展示信息的完整性，降低被篡改的風(fēng)險(xiǎn)；應(yīng)用層是對(duì)數(shù)據(jù)信息進(jìn)行處理的核心部分，應(yīng)加強(qiáng)系統(tǒng)自身的安全性和軟件編碼的安全性，減少系統(tǒng)自身的脆弱性；基礎(chǔ)應(yīng)用支撐層主要包括通用組件、用戶管理、目錄服務(wù)和交換組件等通用應(yīng)用服務(wù)，該層次重點(diǎn)是確保系統(tǒng)組件自身的安全性，同時(shí)要加強(qiáng)與應(yīng)用之間接口的安全性；信息資源層是由業(yè)務(wù)數(shù)據(jù)庫和平臺(tái)數(shù)據(jù)庫共同構(gòu)成，此層次重點(diǎn)的安全在于數(shù)據(jù)庫安全；基礎(chǔ)支撐運(yùn)行環(huán)境層，支撐應(yīng)用系統(tǒng)運(yùn)行的操作系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全防護(hù)等共同構(gòu)筑成基礎(chǔ)支撐運(yùn)行環(huán)境，該層次面臨的主要威脅包括物理攻擊、網(wǎng)絡(luò)攻擊、軟硬件故障、管理不到位、惡意代碼等多類型威脅，應(yīng)加強(qiáng)資產(chǎn)的綜合管理。

3、數(shù)據(jù)安全需求 網(wǎng)站系統(tǒng)的數(shù)據(jù)主要包括互聯(lián)網(wǎng)讀取、錄入、管理、審核的數(shù)據(jù)信息，以及前臺(tái)的交互信息和后臺(tái)的數(shù)據(jù)交換信息，針對(duì)這些信息各個(gè)環(huán)節(jié)中的訪問關(guān)系不同，信息的敏感和重要程度不同，可能面臨威脅也存在一定的差異性，其中讀取過程要結(jié)合信息的敏感和重要程度進(jìn)行訪問控制，降低越權(quán)、濫用等威脅的發(fā)生；錄入關(guān)注信息自身的完整性和合法性，注意防止惡意代碼和木馬對(duì)系統(tǒng)造成的攻擊；管理和審核涉及信息系統(tǒng)的關(guān)鍵性信息，所以基本屬于系統(tǒng)中的敏感信息或關(guān)鍵流程管理，加強(qiáng)人員的安全管理；交互和數(shù)據(jù)交換要通過系統(tǒng)自身的安全防護(hù)機(jī)制，抵抗網(wǎng)絡(luò)攻擊和加強(qiáng)抗抵賴機(jī)制。

4、網(wǎng)絡(luò)和物理安全需求

網(wǎng)絡(luò)層面重點(diǎn)在于設(shè)計(jì)合理的網(wǎng)絡(luò)架構(gòu)，部署冗余的網(wǎng)絡(luò)設(shè)備，形成可以建立不同安全策略的安全域，從而確保網(wǎng)站系統(tǒng)能夠正常穩(wěn)定運(yùn)行。

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面的需求，應(yīng)確保機(jī)房的建設(shè)符合國家相關(guān)要求。

5、IT資產(chǎn)安全需求

IT資產(chǎn)重點(diǎn)關(guān)注資產(chǎn)本身的漏洞風(fēng)險(xiǎn)，同時(shí)根據(jù)資產(chǎn)類型的不同，可以區(qū)分成硬件資產(chǎn)、軟件資產(chǎn)，其中硬件資產(chǎn)可能面臨的關(guān)鍵威脅是軟硬件故障、物理攻擊等；軟件資產(chǎn)可能面臨的威脅包括篡改、泄密、網(wǎng)絡(luò)攻擊、惡意代碼和抗抵賴。

6、綜合安全需求

通過對(duì)各個(gè)方面綜合的安全風(fēng)險(xiǎn)和需求分析，網(wǎng)站系統(tǒng)相關(guān)的業(yè)務(wù)、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和相關(guān)IT資產(chǎn)，由于其應(yīng)用類型、環(huán)境等因素導(dǎo)致主要威脅分布在網(wǎng)絡(luò)攻擊、篡改、物理攻擊、惡意代碼、越權(quán)、濫用和抗抵賴等幾個(gè)方面，由于其威脅發(fā)生的可能性較高，威脅利用后影響較大，導(dǎo)致其安全風(fēng)險(xiǎn)較高，因此應(yīng)形成對(duì)抗這些威脅的必要的安全措施，加強(qiáng)對(duì)系統(tǒng)自身的安全性。同時(shí)結(jié)合信息安全等級(jí)保護(hù)基本要求的相關(guān)技術(shù)和管理控制點(diǎn)，進(jìn)一步完善物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全的相關(guān)控制措施，并要能夠落實(shí)組織、制度、人員、建設(shè)和運(yùn)維相關(guān)的管理要求。

網(wǎng)站系統(tǒng)安全方案設(shè)計(jì)

根據(jù)對(duì)網(wǎng)站系統(tǒng)安全需求的分析，對(duì)于網(wǎng)站系統(tǒng)的安全防護(hù)主要從以下兩個(gè)方面進(jìn)行設(shè)計(jì)，一方面是系統(tǒng)的安全保護(hù)對(duì)象，合理分析系統(tǒng)的安全計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)，形成清晰的保護(hù)框架；另一方面還是要建立綜合的安全保障體系框架，形成對(duì)網(wǎng)站系統(tǒng)綜合的控制措施架構(gòu)，同時(shí)加強(qiáng)網(wǎng)站系統(tǒng)可能面臨威脅的各項(xiàng)防護(hù)機(jī)制。

1、安全保護(hù)對(duì)象

根據(jù)網(wǎng)站系統(tǒng)的IT資產(chǎn)和業(yè)務(wù)功能，網(wǎng)站系統(tǒng)的安全保護(hù)對(duì)象和防護(hù)等級(jí)如下表所示：

安全計(jì)算環(huán)境：重點(diǎn)落實(shí)等級(jí)保護(hù)基本要求的主機(jī)、應(yīng)用、數(shù)據(jù)部分的安全控制項(xiàng)，結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括用戶身份鑒別、主機(jī)和應(yīng)用訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、主機(jī)入侵、防病毒等措施；

安全區(qū)域邊界：重點(diǎn)落實(shí)等級(jí)保護(hù)基本要求的網(wǎng)絡(luò)部分的安全控制項(xiàng)，結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括邊界訪問控制、網(wǎng)絡(luò)安全審計(jì)和完整性保護(hù)等；

安全通信網(wǎng)絡(luò)：重點(diǎn)落實(shí)等級(jí)保護(hù)基本要求的網(wǎng)絡(luò)和數(shù)據(jù)部分的安全控制項(xiàng)，結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、數(shù)據(jù)傳輸完整性保護(hù)和可信接入保護(hù)。

2、安全保障框架

結(jié)合等級(jí)保護(hù)基本要求的整體框架以及安全需求分析的成果，設(shè)計(jì)安全保障框架如下：

圖1：安全保護(hù)體系框架

結(jié)合網(wǎng)站系同自身的安全需求，應(yīng)加強(qiáng)對(duì)于網(wǎng)站系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，同時(shí)建立配套的安全管理體系和安全技術(shù)體系，其中安全管理體系包括安全策略、安全組織和安全運(yùn)作的相關(guān)控制管理；安全技術(shù)體系結(jié)合等級(jí)保護(hù)的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全，進(jìn)一步加強(qiáng)系統(tǒng)的軟件架構(gòu)安全、業(yè)務(wù)流程安全和信息訪問安全的控制，確保系統(tǒng)自身的防病毒、防篡改、方攻擊能力的提升。

結(jié)合網(wǎng)站系統(tǒng)的具體實(shí)施，具體的措施部署和網(wǎng)絡(luò)示意圖如下所示：

圖2：部署和網(wǎng)絡(luò)示意圖

通過加強(qiáng)對(duì)互聯(lián)網(wǎng)邊界的安全防護(hù)機(jī)制落實(shí)，建立與網(wǎng)站系統(tǒng)相配套的互聯(lián)網(wǎng)服務(wù)區(qū)、業(yè)務(wù)服務(wù)區(qū)、數(shù)據(jù)庫區(qū)、備份區(qū)和安全管理區(qū)的安全防護(hù)措施，建立網(wǎng)站系統(tǒng)的綜合防護(hù)措施。

第五篇：等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性

等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性

依據(jù)公通字[2007]43號(hào)文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和整改，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)安全建設(shè)或者改建工作。

等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，在確定不同系統(tǒng)重要程度的基礎(chǔ)上，進(jìn)行重點(diǎn)保護(hù)。整改工作要遵循國家等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求體現(xiàn)到方案、產(chǎn)品和安全服務(wù)中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。

啟明星辰等級(jí)保護(hù)整改與安全建設(shè)過程

啟明星辰等級(jí)保護(hù)整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對(duì)客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)行安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況，通過一套規(guī)范的等保整改過程，協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對(duì)落實(shí)整改實(shí)施方案或進(jìn)行方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安全建設(shè)工作。

啟明星辰等保整改與建設(shè)過程主要包括等級(jí)保護(hù)差距分析、等級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。

(一)等級(jí)保護(hù)差距分析

1.等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估

1)評(píng)估目的

對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是國家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。

等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)行的等保差距分析。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，而差距分析則是按照等保的所有要求進(jìn)行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度?？梢哉f，風(fēng)險(xiǎn)評(píng)估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。

啟明星辰通過專業(yè)的等級(jí)評(píng)估服務(wù)，協(xié)助用戶完成以下的目標(biāo)：

● 了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；

● 確定可能對(duì)資產(chǎn)造成危害的威脅；

● 確定威脅實(shí)施的可能性；

● 對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；

● 對(duì)最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；

● 明確信息系統(tǒng)的已有安全措施的有效性；

● 明晰信息系統(tǒng)的安全管理需求。

2)評(píng)估內(nèi)容

● 資產(chǎn)識(shí)別與賦值

● 主機(jī)安全性評(píng)估

● 數(shù)據(jù)庫安全性評(píng)估

● 安全設(shè)備評(píng)估

現(xiàn)場風(fēng)險(xiǎn)評(píng)估用到的主要評(píng)估方法包括：

● 漏洞掃描

● 控制臺(tái)審計(jì)

● 技術(shù)訪談

3)評(píng)估分析

根據(jù)現(xiàn)場收集的信息及對(duì)這些信息的分析，評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn)，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。

2.等保差距分析

通過差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間的差距，確定不符合安全項(xiàng)。

1)準(zhǔn)備差距分析表

項(xiàng)目組通過準(zhǔn)備好的差距分析表，與客戶確認(rèn)現(xiàn)場溝通的對(duì)象（部門和人員），準(zhǔn)備相應(yīng)的檢查內(nèi)容。

在整理差距分析表時(shí)，整改項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從基本要求中選擇相應(yīng)等級(jí)的基本安全要求，根據(jù)及風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。

差距分析表包含以下內(nèi)容：

● 安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；

● 安全管理差距分析：包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理；

● 系統(tǒng)運(yùn)維差距分析：包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置；

● 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。

不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。

2)現(xiàn)場差距分析

整改項(xiàng)目組依據(jù)差距分析表中的各項(xiàng)安全要求，對(duì)比信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距，確定不符合項(xiàng)。

現(xiàn)場工作階段，整改項(xiàng)目組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。

在差距分析階段，可以通過以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)行哪些方面的整改。

● 查驗(yàn)文檔資料

● 人員訪談

● 現(xiàn)場測試

3)生成差距分析報(bào)告

完成現(xiàn)場差距分析之后，整改項(xiàng)目組歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成《等級(jí)保護(hù)差距分析報(bào)告》。

(二)等級(jí)保護(hù)整改建議方案

1.整改目標(biāo)溝通確認(rèn)

通過與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)行廣泛的溝通協(xié)商，啟明星辰會(huì)依據(jù)風(fēng)險(xiǎn)評(píng)估和差距分析的結(jié)果，明確等級(jí)保護(hù)整改工作的工作目標(biāo)，提出等級(jí)保護(hù)整改建議方案。

對(duì)暫時(shí)難以進(jìn)行整改的部分內(nèi)容，將在討論后作為遺留問題，明確列在整改建議方案中。

2.總體框架

根據(jù)等保安全要求，啟明星辰提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。

圖 信息安全PMOT體系模型

啟明星辰根據(jù)建議方案的設(shè)計(jì)原則，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體內(nèi)容包括：

● 建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。

● 安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系、冗余與備份以及安全管理中心。

● 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規(guī)范人員管理和系統(tǒng)建議管理?！?安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。

展開后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)等級(jí)保護(hù)安全基本要求。

圖4 等級(jí)保護(hù)整改與安全建設(shè)總體框架 3.方案說明

● 信息安全策略

信息安全策略是最高管理層對(duì)信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂層，也是安全管理體系的最高指導(dǎo)方針，明確了信息安全工作總體目標(biāo)，對(duì)技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性?！?安全技術(shù)體系

啟明星辰根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測響應(yīng)體系、冗余與備份、信息安全管理中心。

● 安全管理體系

為滿足等保基本要求，應(yīng)建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規(guī)范人員管理、規(guī)范系統(tǒng)建設(shè)管理。

● 安全運(yùn)維體系

為滿足等?；疽?，應(yīng)建立和完善安全運(yùn)維體系，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。

(三)等級(jí)保護(hù)整改實(shí)施

為了更好地協(xié)助客戶落實(shí)等保的整改工作，啟明星辰可以作為集成商、咨詢方、或者監(jiān)理方，協(xié)助客戶落實(shí)整改實(shí)施方案，或協(xié)助進(jìn)行整改實(shí)施方案的評(píng)審、招投標(biāo)、項(xiàng)目監(jiān)理等工作，以完成系統(tǒng)整改和安全建設(shè)工作。

1.制定整改實(shí)施方案

在確定整改實(shí)施的承建單位后，啟明星辰會(huì)提交相關(guān)的工程實(shí)施文檔，包括參照整改建議方案而編制的項(xiàng)目實(shí)施技術(shù)規(guī)劃等文檔，其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié)，主要有：

● 項(xiàng)目產(chǎn)品配置清單

● 實(shí)施設(shè)計(jì)方案

● 實(shí)施準(zhǔn)備工作描述，實(shí)施工作步驟

● 實(shí)施風(fēng)險(xiǎn)規(guī)避方案

● 實(shí)施驗(yàn)證方案

● 現(xiàn)場培訓(xùn)方案

工程實(shí)施文檔應(yīng)經(jīng)客戶方的項(xiàng)目負(fù)責(zé)人確認(rèn)后，方可進(jìn)行實(shí)施。

2.整改建設(shè)實(shí)施

啟明星辰承擔(dān)項(xiàng)目實(shí)施的工作，確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施，建立健全信息安全管理制度，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。

3.整改實(shí)施項(xiàng)目驗(yàn)收

整改實(shí)施工作完成后，啟明星辰提出驗(yàn)收申請(qǐng)和工程測試驗(yàn)收方案，由客戶審批工程測試驗(yàn)收方案（驗(yàn)收目標(biāo)、責(zé)任雙方、驗(yàn)收提交清單、驗(yàn)收標(biāo)準(zhǔn)、驗(yàn)收方式、驗(yàn)收環(huán)境等）的符合性及可行性。

4.等級(jí)保護(hù)運(yùn)維

在整改建設(shè)與實(shí)施工作完成之后，啟明星辰將協(xié)助用戶完成安全運(yùn)維策略的制定，協(xié)助用戶培養(yǎng)專業(yè)人才，進(jìn)行運(yùn)行管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急、安全檢查和持續(xù)改進(jìn)、等級(jí)保護(hù)測評(píng)和等級(jí)保護(hù)監(jiān)督檢查的工作。