等保整改方案.docxVIP

等保整改方案 篇一：等保整改与安全建设方案 等级保护整改与安全建设方案前言 等级保护保护整改与安全建设工作重要性 依据公通字[XX]43 号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理规范和技术标准 进行安全建设和整改，使用符合国家有关规定、满足信息系 统安全保护等级需求的信息技术产品，进行信息系统安全建 设或者改建工作。 等级保护整改的核心是根据用户的实际信息安全需求、 业务特点及应用重点，在确定不同系统重要程度的基础上， 进行重点保护。整改工作要遵循国家等级保护相关要求，将 等级保护要求体现到方案、产品和安全服务中去，并切实结 合用户信息安全建设的实际需求，建设一套全面保护、重点 突出、持续运行的安全保障体系，将等级保护制度确实落实 到企业的信息安全规划、建设、评估、运行和维护等各个环 节，保障企业的信息安全。 等级保护整改与安全建设过程 等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求，针对客户已定级备案的信息 系统、或打算按照等保要求进行安全建设的信息系统，结合 客户组织架构、业务要求、信息系统实际情况，通过一套规 范的等保整改过程，协助客户进行风险评估和等级保护差距 分析，制定完整的安全整改建议方案，并根据需要协助客户 对落实整改实施方案或进行方案的评审、招投标、整改监理 等工作，协助客户完成信息系统等级保护整改和安全建设工 作。 等保整改与建设过程主要包括：等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。 (一) 等级保护差距分析 等级保护风险评估 评估目的 对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的 重要组成部分。 等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风 险状况，而差距分析则是按照等保的所有要求进行符合性检 查，检查信息系统现状与国家等保要求之间的符合程度。可 以说，风险评估的结果更能体现是客户信息系统技术层面的 安全现状，比差距分析结果在技术上更加深入。风险评估的 结果和差距分析结果都是整改建议方案的输入。 通过专业的等级评估服务，协助用户完成以下的目标： 了解信息系统的管理、网络和系统安全现状； 确定可能对资产造成危害的威胁； 确定威胁实施的可能性； 对可能受到威胁影响的资产确定其价值、敏感性和 严重性，以及相应的级别，确定哪些资产是最重要的； 对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏； ● 明确信息系统的已有安全措施的有效性； 明晰信息系统的安全管理需求。 评估内容 资产识别与赋值 主机安全性评估 数据库安全性评估 安全设备评估 现场风险评估用到的主要评估方法包括： 漏洞扫描 控制台审计 技术访谈 评估分析 根据现场收集的信息及对这些信息的分析，评估小组形 成定级信息系统的弱点评估报告、风险评估报告等文档，使 客户充分了解信息系统存在的风险，作为等保差距分析的一 项重要输入，并作为后续整改建设的重要依据。 等保差距分析 通过差距分析，可以了解客户信息系统的现状，确定当 前系统与相应保护等级 要求之间的差距，确定不符合安全项。 准备差距分析表 项目组通过准备好的差距分析表，与客户确认现场沟通的对象（部门和人员），准备相应的检查内容。 在整理差距分析表时，整改项目组会根据信息系统的安 全等级从基本要求中选择相应等级的基本安全要求，根据及 风险评估的结果进行调整，去掉不适用项，增加不能满足客 户信息系统需求的安全要求。 差距分析表包含以下内容： 安全技术差距分析：包括网络安全、主机安全、应 用安全、数据安全及备份恢复； 安全管理差距分析：包括安全管理制度、安全管理 机构、人员安全管理、系统建设管理； 系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安 全管理、恶意代码防范管理、密码管理、变更管理、备份与 恢复管理、安全事件处置； 物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防 静电、温湿度控制、电力供应、电磁防护。 不同安全保护级别的系统所使用的差距分析表的内容也不同。 现场差距分析 整改项目组依据差距分析表中的各项安全要求，对比信 息系统现状和安全要求之间 的差距，确定不符合项。 现场工作阶段，整改项目组可分为管理检查组和技术检 查组两个小组。 在差距分析阶段，可以通过以下方式收集信息，详细了 解客户信息系统现状，并通过分析所收集的资料和数据，以 确认客户信息系统的建设是否符合该等级的安全要求，需要 进行哪些方面的整改。 查验文档资料 人员访谈 现场测试 生成差距分析报告 完成现场差距分析之后，整改项目组归纳整理、分析