等级保护工作各环节服务方案.doc

等级保护工作开展参考资料

文档说明

目标对象： 客户单位的信息主管/计算机信息系统运维管理人员

文档功能： 与客户一起探讨“信息平安等级保护工作开展〞工作方法

等级保护整体效劳方案

图?1等级保护整体效劳方案工作流程图

?等级保护的建设是个长期的过程，需要花费大量的时间、精力和财力，本着为用户效劳的态度，“中国信息平安测评效劳方华中测评效劳中心〞推出了等级保护专业效劳，提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的效劳，通过自身的平安产品、平安效劳，可协助用户完成等级保护各个阶段的实施和建设，确保用户严格按照等级保护的过程规划并建设自己的平安保障体系，更好地支撑应用和业务的开展，为用户信息平安保障体系“保驾护航〞。

测评效劳方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括：?

等级保护定级备案

对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后测评效劳方将协助用户完成保护等级的备案工作。?

等级保护差距分析

通过风险评估可以发现信息系统的平安现状与需要到达的平安等级或目标的差异，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善，使单位的信息系统平安工作有的放矢。?

等级保护整改建议方案

测评效劳方根据评估的结果和信息系统确认的保护等级，结合?信息系统平安等级保护根本要求?以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求，制定相应的平安保护措施，完成等级保护整改建议方案的设计。

依据公通字[2024]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理标准和技术标准进行平安建设和整改，使用符合国家有关规定、满足信息系统平安保护等级需求的信息技术产品，进行信息系统平安建设或者改建工作。

等级保护整改的核心是根据用户的实际信息平安需求、业务特点及应用重点，在确定不同系统重要程度的根底上，进行重点保护。整改工作要遵循国家等级保护相关要求，将等级保护要求表到达方案、产品和平安效劳中去，并切实结合用户信息平安建设的实际需求，建设一套全面保护、重点突出、持续运行的平安保障体系，将等级保护制度确实落实到企业的信息平安规划、建设、评估、运行和维护等各个环节，保障企业的信息平安。?

等级保护整改实施

测评效劳方将依据规划向用户提供详细设计和等级保护系统建设效劳，确保保障等级能够到达信息系统所要求的保护等级，或者协助用户进行等级保护的实施，对承建商的工作进行监理。

等级保护测评咨询

在信息系统进行完成定级和整改实施之后，需要通过测试手段对信息系统的平安技术和平安管理上各个层面的平安控制进行整体性验证，测评效劳方提供的测评咨询效劳将协助用户通过等级保护测评工作。

等级保护检查咨询

在信息系统进行完成定级和整改实施之后，国家主管机关将对信息系统的平安技术和平安管理各个层面的平安控制进行检查，测评效劳方将协助用户准备检查所需要的文档和资料，配合公安机关开展现场的检查工作。

等级保护定级过程方法/方案

2.1.定级工作的重要性

信息系统的定级是等级保护工作的首要环节。从等级保护角度看，平安级别定不准，系统备案、建设整改、等级测评等工作就都失去了针对性，完整地理解国家等级保护政策、准确定级，是开展后续整改和测评工作的根底，可以防止后续工作走弯路，造成投资浪费或者平安程度过低；从定级单位自身的平安需求看，是本单位结合业务需求、信息平安建设现状，从自身平安需求出发，进行有针对性的信息平安规划、建设、运维的实际要求。?

2.2.定级过程

等级保护定级与备案工作是基于国家信息系统平安等级保护相关文件的要求，测评效劳方结合客户的组织架构、业务要求、信息系统的实际情况，协助客户进行信息系统的等级评定，并为客户制定适合自身行业特点的信息系统定级指导意见〔可选〕的效劳。共分为七个大的阶段：定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段〔可选〕、评审和审批阶段、协助备案阶段、工程总结阶段。

定级之后，随着业务的变化，信息系统的级别可能需要进行适当的调整、变更，此时需要进行等级变更。??

2.2.1.

在定级的过程中，不仅会涉及客户的信息管理部门，还会涉及到不同的业务部门，只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解，因此业务部门应参与、甚至主导对业务信息系统的定级工作。

初步明确定级范围，以便后续开展摸底调查和进行定级。定级范围包括本单位内部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。

测评效劳方根据已了解的初步根本信息、定级范围，按照国家等级保护相关文件〔如861号文、国家?定级指南?、测评效劳方定级方法等〕，制定本单位信息系统平安等级的定级工作方案。?

2.2.2.

由定级工作工程组中的信息管理部门相