2023年等级保护保护整改与安全建设工作重要性新编.docx

等级保护保护整改与平安建设工作重要性 依据公通字[202223]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理标准和技术标准进行平安建设和整改，使用符合国家有关规定、满足信息系统平安保护等级需求的信息技术产品，进行信息系统平安建设或者改建工作。 等级保护整改的核心是根据用户的实际信息平安需求、业务特点及应用重点，在确定不同系统重要程度的根底上，进行重点保护。整改工作要遵循国家等级保护相关要求，将等级保护要求表到达方案、产品和平安效劳中去，并切实结合用户信息平安建设的实际需求，建设一套全面保护、重点突出、持续运行的平安保障体系，将等级保护制度确实落实到企业的信息平安规划、建设、评估、运行和维护等各个环节，保障企业的信息平安。 启明星辰等级保护整改与平安建设过程 启明星辰等级保护整改与平安建设是基于国家信息系统平安等级保护相关标准和文件的要求，针对客户已定级备案的信息系统、或打算按照等保要求进行平安建设的信息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套标准的等保整改正程，协助客户进行风险评估和等级保护差距分析，制定完整的平安整改建议方案，并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作，协助客户完成信息系统等级保护整改和平安建设工作。 启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。 （一）等级保护差距分析 1.等级保护风险评估 1）评估目的 对信息系统进行平安等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行平安建设和管理的重要组成局部。 等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的平安风险状况，而差距分析那么是按照等保的所有要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。可以说，风险评估的结果更能表达是客户信息系统技术层面的平安现状，比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。 启明星辰通过专业的等级评估效劳，协助用户完成以下的目标： ●了解信息系统的管理、网络和系统平安现状； ●确定可能对资产造成危害的威胁； ●确定威胁实施的可能性； ●对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的； ●对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏； ●明确信息系统的已有平安措施的有效性； ●明晰信息系统的平安管理需求。 2）评估内容 ●资产识别与赋值 ●主机平安性评估 ●数据库平安性评估 ●平安设备评估 现场风险评估用到的主要评估方法包括： ●漏洞扫描 ●控制台审计 ●技术访谈 3）评估分析 根据现场收集的信息及对这些信息的分析，评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档，使客户充分了解信息系统存在的风险，作为等保差距分析的一项重要输入，并作为后续整改建设的重要依据。 2.等保差距分析 通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护等级要求之间的差距，确定不符合平安项。 1）准备差距分析表 工程组通过准备好的差距分析表，与客户确认现场沟通的对象（部门和人员），准备相应的检查内容。 在整理差距分析表时，整改工程组会根据信息系统的平安等级从根本要求中选择相应等级的根本平安要求，根据及风险评估的结果进行调整，去掉不适用项，增加不能满足客户信息系统需求的平安要求。 差距分析表包含以下内容： ●平安技术差距分析：包括网络平安、主机平安、应用平安、数据平安及备份恢复； ●平安管理差距分析：包括平安管理制度、平安管理机构、人员平安管理、系统建设管理； ●系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和平安管理中心、网络平安管理、系统平安管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、平安事件处置； ●物理平安差距分析。包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 不同平安保护级别的系统所使用的差距分析表的内容也不同。 2）现场差距分析 整改工程组依据差距分析表中的各项平安要求，比照信息系统现状和平安要求之间的差距，确定不符合项。 现场工作阶段，整改工程组可分为管理检查组和技术检查组两个小组。 在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并通过分析所收集的资料和数据，以确认客户信息系统的建设是否符合该等级的平安要求，需要进行哪些方面的整改。 ●查验文档资料 ●人员访谈 ●现场测试 3）生成差距分析报告 完成现场差距分析之后，整改工程组归纳整理、分析现场记录，找出目前信息系统与等级保护平安要求之间的差距，明确不符合项，生成等级保护差距分析报告。 （二）等级保护整改建议方案 1.整改目标沟通确认 通过与客户高层领导、相关业务部门和信息平安管理部门进行广泛的沟通协商，启明星辰会依据风险评估和差距分析的结果，明确等级保护整改工作的工作目标，提出等级保护整改建议方案。 对暂时难以进行整改的局部内容，将在讨论后作为遗留问题，明确列在整改建议方案中。 2.总体框架 根据等保平安要求，启明星辰提出如下的平安整改建议，其中pmot体系是信息平安保障总体框架模型。 图信息平安pmot体系模型 启明星辰根据建议方案的设计原那么，协助客户制定总体平安保障体系架构，包括制定平安策略，结合等级保护根本要求和平安保护特殊要求，来构建客户信息系统的平安技术体系、平安管理体系及平安运维体系，具体内容包括： ●建立和完善平安策略。最高层次的平安策略文件，说明平安工作的使命和意愿，定义信息平安工作的总体目标。 ●平安技术体系。平安技术的保障包括网络边界防御、平安通信网络、主机和应用系统平安、检测响应体系、冗余与备份以及平安管理中心。 ●建立和完善平安管理体系：建立平安管理制度，建立信息平安组织，标准人员管理和系统建议管理。●平安运维体系：机房平安，资产及设备平安，网络与系统平安管理、监控和平安管理等。 展开后的等级保护整改与平安建设总体框架如以下列图所示，从信息平安整体策略policy、平安管理体系management、平安技术体系technology、平安运维operation四个层面落实等级保护平安根本要求。 图4等级保护整改与平安建设总体框架3.方案说明 ●信息平安策略 信息平安策略是最高管理层对信息平安的期望和承诺的表达，位于整个pmot信息平安体系的顶层，也是平安管理体系的最高指导方针，明确了信息平安工作总体目标，对技术和管理各方面的平安工作具有通用指导性。●平安技术体系 启明星辰根据整改目标提出整改方案的平安技术保障体系，将保障体系框架中要求实现的网络、主机和应用平安落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体标准，并将产品功能特征整理成文档。使得在信息平安产品采购和平安控制开发阶段具有依据，主要内容包括：网络边界护御、平安通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息平安管理中心。 ●平安管理体系 为满足等保根本要求，应建立和完善平安管理体系，包括。完善平安制度体系、完善平安组织、标准人员管理、标准系统建设管理。 ●平安运维体系 为满足等保根本要求，应建立和完善平安运维体系，包括。环境管理、资产管理、介质管理、设备管理、网络与系统平安管理、系统平安管理、备份与恢复、恶意代码防范、变更管理、信息平安事件管理等。 （三）等级保护整改实施 为了更好地协助客户落实等保的整改工作，启明星辰可以作为集成商、咨询方、或者监理方，协助客户落实整改实施方案，或协助进行整改实施方案的评审、招投标、工程监理等工作，以完成系统整改和平安建设工作。 1.制定整改实施方案 在确定整改实施的承建单位后，启明星辰会提交相关的工程实施文档，包括参照整改建议方案而编制的工程实施技术规划等文档，其中涵盖平安建设阶段的各项实施细节，主要有： ●工程产品配置清单 ●实施设计方案 ●实施准备工作描述，实施工作步骤 ●实施风险躲避方案 ●实施验证方案 ●现场培训方案 工程实施文档应经客户方的工程负责人确认后，方可进行实施。 2.整改建设实施 启明星辰承担工程实施的工作，确保落实客户信息系统的平安保护技术措施，建立健全信息平安管理制度，全面贯彻落实信息平安等级保护制度。 3.整改实施工程验收 整改实施工作完成后，启明星辰提出验收申请和工程测试验收方案，由客户审批工程测试验收方案（验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等）的符合性及可行性。 4.等级保护运维 在整改建设与实施工作完成之后，启明星辰将协助用户完成平安运维策略的制定，协助用户培养专业人才，进行运行管理和控制、平安状态监控、平安事件处置和应急、平安检查和持续改进、等级保护测评和等级保护监督检查的工作。 第二篇：信息平安等级保护平安建设整改工作情况统计表附件1信息平安等级保护平安建设整改工作情况统计表 01单位名称02单位地址姓03单位负责人办公 姓04单位联系人办公 05信息系统总数第二级系统第四级系统移动 06未定级备案信息系统数量第三级系统合计□是□否□是□否□是□否□是□否□是□否□是□否第三级系统合计名职务/职称名职务/职称 2023已定级备案信息系统数量 （1）是否明确主管领导、责任部门和具体负责人员（2）是否对信息系统平安建设整改工作进行总体部署2023信息系统平安建设整改工作情况（3）是否对信息系统进行平安保护现状分析（4）是否制定信息系统平安建设整改方案（5）是否组织开展信息系统平安建设整改工作（6）是否组织开展信息系统平安自查工作2023已开展平安建设整改的信息系统数量2023已开展等级测评的信息系统数量11信息系统发生平安事件、事故数量12已到达等级保护要求的信息系统数量填表人：第二级系统第四级系统第二级系统第四级系统第二级系统第四级系统第二级系统第四级系统审核人： 第三级系统合计 第三级系统合计 第三级系统合填表时间：计年月日 1 第三篇：网站系统信息平安等级保护建设整改方案网站系统信息平安等级保护建设整改方案 随着互联网应用和门户网站系统的不断开展和完善，网站系统面临的平安威胁和风险也备受关注。网站系统一方面要加强落实国家信息平安等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2023年40号文件关于进一步加强政府网站管理工作的通知的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的平安保障能力。