2024网络安全等级保护咨询工作规范.pdf

网络安全

等级保护咨询工作规范

2024

目次

前言3

1范围4

2规范性引用文件4

3术语和定义4

4人员管理5

4.1素质要求5

4.2技术学习5

4.3工作安排5

5过程管理6

5.1阶段划分6

5.2整体流程6

6技术管理7

6.1定级备案7

6.2差距分析11

6.3规划设计13

6.4系统建设25

6.5安全整改39

7风险管理41

7.1风险分析41

7.2风险规避41

—第2页—

—第3页—

网络安全等级保护咨询工作规范

1范围

本规范确立了开展等级保护咨询工作时应遵循的基本原则和策略，给出了在开展定级备

案、差距分析、规划设计、系统建设和安全整改等咨询服务时的工作指南。

本规范适用于咨询人员，在服务过程中遵循本标准的要求开展工作。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅该日期对应的版

本适用于本文件；不注明日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T25058-2019信息安全技术网络安全等级保护实施指南

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T20984-2007信息安全技术信息安全风险评估规范

GB/T30276-2020信息安全技术网络安全漏洞管理规范

GB/T30279-2020信息安全技术网络安全漏洞分类分级指南

GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范

GB/T29246-2017信息安全管理体系概述和词汇

GB/T22081-2016信息安全管理体系实践指南

GB/T24405.1-2009信息技术服务管理第1部分：规范

GB/T24405.2-2010信息技术服务管理第2部分：实践规则

3术语和定义

3.1

网络安全cybersecurity

通过采取必要的措施，防范对网络的攻击、侵入、干扰、破坏、非法使用和意外事故，

使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、机密性、可用性的能力。

3.2

等级保护对象targetOSclassifiedprotection

网络安全等级保护工作直接作用的对象。主要包括信息系统、通信网络设施和数据资源等。

3.3

信息系统informationsystem

应用、服务、信息技术资产或其他信息处理组件。通常由计算机或者其他信息终端及相

—第4页—

关设备组成，并按照一定的应用目标和规则进行信息处理或过程控制。

3.4

通信网络设施networkinfrastructure

为信息流通、网络运行等起基础支撑作用的网络设备设施。

3.5

数据资源dataresources

具有或预期具有价值的数据集合。

4人员管理

4.1素质要求

为保证工作质量，咨询人员应熟悉网络安全等级保护体系要求及相关标准文件，研究网

络安全知识，掌握常见信息资产的配置管理，具备较高水平的写作和演讲能力，能够在项目

管理的约束下按模板完成文档和报告的编制工作。

4.2技术学习

咨询人员在开展工作前，应接受咨询服务和等级保护体系知识的岗前培训，掌握相关网

络安全法规、标准和企业制度体系要求等。获取学习客