等保整改与安全建设与方案.pdf

.. 等级保护整改与安全建设方案 前言 等级保护保护整改与安全建设工作重要性 依据公通字 [2007]43 号文的要求，信息系统定级工作完成后，运营、使用单位 首先要按照相关的管理规范和技术标准进行安全建设和整改， 使用符合国家有关 规定、满足信息系统安全保护等级需求的信息技术产品， 进行信息系统安全建设 或者改建工作。 等级保护整改的核心是根据用户的实际信息安全需求、 业务特点及应用重点， 在 确定不同系统重要程度的基础上， 进行重点保护。 整改工作要遵循国家等级保护 相关要求， 将等级保护要求体现到方案、 产品和安全服务中去， 并切实结合用户 信息安全建设的实际需求， 建设一套全面保护、 重点突出、 持续运行的安全保障 体系，将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维 护等各个环节，保障企业的信息安全。 等级保护整改与安全建设过程 等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的 要求，针对客户已定级备案的信息系统、 或打算按照等保要求进行安全建设的信 息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套规范的等 保整改过程， 协助客户进行风险评估和等级保护差距分析， 制定完整的安全整改 建议方案，并根据需要协助客户对落实整改实施方案或进行方案的评审、 招投标、 整改监理等工作，协助客户完成信息系统等级保护整改和安全建设工作。 等保整改与建设过程主要包括： 等级保护差距分析、 等级保护整改建议方案、 等 级保护整改实施三个阶段。 ( 一) 等级保护差距分析 1. 等级保护风险评估 1) 评估目的 对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节， 也是对 信息系统进行安全建设和管理的重要组成部分。 .. 等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深 入、详细地检查信息系统的安全风险状况， 而差距分析则是按照等保的所有要求 进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。可以说， 风险评估的结果更能体现是客户信息系统技术层面的安全现状， 比差距分析结果 在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。 通过专业的等级评估服务，协助用户完成以下的目标： ● 了解信息系统的管理、网络和系统安全现状； ● 确定可能对资产造成危害的威胁； ● 确定威胁实施的可能性； ● 对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别， 确定哪些资产是最重要的； ● 对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏； ● 明确信息系统的已有安全措施的有效性； ● 明晰信息系统的安全管理需求。 2) 评估内容 ● 资产识别与赋值 ● 主机安全性评估 ● 数据库安全性评估 ● 安全设备评估 现场风险评估用到的主要评估方法包括： ● 漏洞扫描 ● 控制台审计 ● 技术访谈 3) 评估分析 根据现场收集的信息及对这些信息的分析， 评估小组形成定级信息系统的弱点评 估报告、 风险评估报告等文档， 使客户充分了解信息系统存在的风险， 作为等保 差距分析的一项重要输入，并作为后续整改建设的重要依据。 2. 等保差距分析 通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护等级