下载文档原格式
等级保护保护整改与安全建设工作重要性随着科技的飞速发展,网络空间已经逐渐融入到了我们日常生活的方方面面中,我们离不开网络,社会离不开网络,经济离不开网络,文化离不开网络,国家离不开网络。
然而,网络空间的发展也带来了新的安全风险和威胁。
为了保障国家安全、经济繁荣、社会稳定和人民幸福,等级保护保护整改与安全建设工作显得尤为重要。
等级保护是保障国家网络空间安全的一种重要措施。
等级保护制度以信息系统的安全性为核心,是一个有机整体,由不同层次构成,体现不同保护需要的安全等级,不同等级之间有层次之分,各级别均有不同的安全保障要求和技术措施。
等级保护制度能够有效地提高信息系统的保密性、完整性、可用性和抗毁性,从源头上防止了网络攻击和恶意破坏。
保护整改是指对安全问题进行分析和评估,找出安全风险和漏洞,并采取相应措施进行整改,以达到提高在网络安全方面的防范能力和技术水平的目的。
保护整改为网络空间安全保驾护航,是防范网络安全事故的基本手段之一。
在保护整改中,需要依托先进的技术手段和专业的团队,遵循科学、严谨的工作流程,从根本上消除安全隐患,最大限度地减少信息安全事故的发生,为网络安全保障提供有力保证。
安全建设工作旨在建立健全的网络安全体系和安全机制,加强信息安全监管和监察,提高网络空间的安全防范和保障能力。
安全建设工作需要强调全面、系统和科学的思路,准确判断和把握形势,及时防范各种网络安全风险和威胁。
安全建设工作不仅需要政府、企业和行业主管部门的共同努力,也需要广大网络用户的积极参与和支持。
等级保护保护整改与安全建设工作的重要性不言而喻,它们是保障国家网络空间安全、维护国家安全、保障经济和社会发展的重要措施。
加强和完善等级保护保护整改与安全建设工作,宣传网民安全意识,提高安全防范和应急处理能力,是当今时代对于国家和社会的重要任务。
在等级保护保护整改与安全建设工作的实施过程中,需要充分发挥各方力量的积极作用,整合资源、携手合作,形成合力,才能更好地维护网络安全和国家安全。
网络安全等级保护工作网络安全等级保护工作是一项至关重要的任务,对于保障国家安全和个人隐私具有重要意义。
在当前高度互联的时代,网络空间的安全风险不断增加,面临着各种威胁和攻击,因此,完善网络安全等级保护工作显得尤为迫切。
首先,加强网络安全意识和培养网络安全人才是提升网络安全等级的关键。
通过开展网络安全教育和宣传活动,提高广大人民群众对网络安全的认知,培养遵守网络安全法律法规的意识。
此外,还需大力推进网络安全技术研发和创新,培养高水平的网络安全专业人才,提升网络安全保护能力。
只有全社会共同努力,才能建立起一个稳定、安全的网络空间。
其次,加强网络安全基础设施的建设和完善。
网络安全是建立在坚实的基础设施之上的,必须加强网络基础设施的保护。
对于关键信息基础设施,要建立完善的防护体系,采取必要的安全措施,确保其正常运行和信息安全。
同时,要加强网络信息系统的安全管理,建立健全的网络安全监测和应急响应机制,及时发现和应对安全威胁和事件,最大程度地减少损失。
第三,加强国际合作,共同应对网络安全威胁。
网络安全是全球性问题,任何一个国家都难以独自应对。
因此,各国应加强国际合作,共同制定网络安全的国际规则和标准,并且加强情报信息分享,共同应对网络安全威胁和挑战。
通过国际间的交流与合作,提高整体的网络安全等级,共同构建和平、安全、开放的网络空间。
作为网络安全的重要保障,网络安全等级保护工作不容忽视。
只有高度重视网络安全问题,并采取有效措施,才能确保网络空间安全稳定。
通过加强网络安全意识、促进技术创新、加强基础设施建设和国际合作,我们将能够更好地保护网络安全,实现信息化和数字化进程的安全发展。
关于信息安全等级保护的思考景乾元为什么要等级保护信息安全保护存在的主要问题与政策:正确的信息安全政策和策略是搞好国家信息安全保护工作的关键,而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。
社会发展的不同阶段有不同特质的信息安全问题,在社会发展要求网络化信息系统互连互通的信息化时代,信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。
引发信息安全问题的因素有多个方面,有外部因素和内部的,但最主要的因素在于内部。
信息安全政策不确定、信息安全发展方向不明朗;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系;信息安全市场和服务混乱、不规范;国家监管机制(执法队伍及其技术支撑体系)不健全,监管手段缺乏等。
因此导致:国家对信息安全状况很信有效把握;信息系统主管、建设、使用者对如何搞好信息系统安全建设和管理,信息系统安全窨存在什么问题、如何改进、需要多少投资等,心中无数;科研单位和企业对开发生产什么样的安全产品心中无数;信息安全专家对安全产品审查不好提出评审结果意见;信息安全职能部门对如何进行有效监督、检查评估、服务指导,如何处罚违规者等,也是心中无数。
进而导致国家信息安全科学技术水平和整体信息安全保护能力很难提高,国家信息安全只好看国外,依赖国外,受国外思潮主导。
对这些问题认识不足,不尽快采取有效的解决办法,势必影响信息化建设、经济发展、社会稳定、国防建设、国家安全。
为此,国家高度重视信息安全保护工作。
经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。
这一重大决定,明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定安全发展主线、中心任务,提出了总要求。
某医院信息系统等级保护安全建设整改方案一、背景说明某医院信息系统是医院重要的管理与运营工具,涉及患者的个人隐私和医疗信息的保护,对医院的运行及服务质量有着重要的影响。
然而,随着信息化进程的加快和网络攻击的日益增多,医院信息系统安全面临较大挑战。
在此背景下,为了提高医院信息系统安全等级保护,制定整改方案势在必行。
二、存在问题1. 信息系统管理不到位:缺乏系统的信息系统管理规范和流程,导致信息系统运作混乱。
2. 安全意识薄弱:大部分员工对信息系统安全认识不足,存在一定的安全风险。
3. 安全措施落后:医院信息系统的安全措施滞后,存在重大安全隐患。
4. 安全漏洞频出:由于系统升级不及时和漏洞修复不完善,导致安全漏洞频繁出现。
三、整改方案1. 建立信息系统管理规范: 制定医院信息系统管理规范,明确信息系统使用、管理、运维等流程,确保信息系统安全稳定运行。
2. 提升安全意识:开展定期的信息安全培训,提高员工对信息安全的认识和重视程度。
3. 加强安全技术措施:更新信息系统安全设备和软件,强化系统防火墙、入侵检测系统、加密技术等安全措施,提高信息系统的安全性。
4. 完善安全管理机制:建立健全的信息安全管理机制,明确安全管理责任,加强对信息系统的监控和审计,及时发现并处理安全事件。
5. 加强漏洞管理:建立漏洞管理制度,及时对系统进行漏洞扫描和修复,提高信息系统的稳定性和安全性。
四、落实措施1.成立信息安全部门,负责信息系统安全管理工作。
2.制定并落实信息系统管理规范,加强对信息系统的日常监管和管理。
3.定期开展信息安全培训,提高员工的安全意识和应对能力。
4.更新信息安全设备和软件,加强对信息系统的安全防护。
5.建立安全事件应急预案,提高对安全事件的响应效率。
五、预期效果1. 提升医院信息系统安全等级保护,确保患者信息的安全和隐私。
2. 减少安全事件的发生,降低信息系统遭受攻击的风险。
3. 提高医院信息系统运行效率和服务质量,为患者提供更安全、便捷的医疗服务。
等级保护/分级保护目录1等级保护FAQ (3)1。
1什么是等级保护、有什么用? (3)1.2信息安全等级保护制度的意义与作用? (3)1。
3等级保护与分级保护各分为几个等级,对应关系是什么? (3)1。
4等级保护的重要信息系统(8+2)有哪些? (4)1.5等级保护的主管部门是谁? (4)1。
6国家密码管理部门在等级保护/分级保护工作中的职责是什么? (4)1.7等级保护的政策依据是哪个文件? (4)1。
8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? (5)1.9等级保护是否是强制性的,可以不做吗? (5)1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? (5)1。
11哪些单位可以做等级保护的测评? (6)1。
12做了等级测评之后,是否会给发合格证书? (6)1。
13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? (6)1。
14等级保护检查的责任单位是谁? (7)2分级保护FAQ (7)2。
1分级保护是什么? (7)2.2分级保护的主管部门是谁? (7)2.3分级保护定级到哪里备案? (7)2.4分级保护的政策依据是哪个文件? (7)2。
5分级保护与等级保护的适用对象分别是什么? (7)2.6分级保护有关信息安全的标准相互关系是什么? (8)2。
7分级保护与等级保护的定级依据有何区别? (8)2。
8分级保护的建设依据、方案设计、测评分别依据哪些标准? (8)2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批? (8)2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批? (8)2.11分级保护系统测评的作用是什么,是否必须做? (9)2。
12哪些单位可以做分级保护的测评,有什么资质要求? (9)2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? (9)2.14涉密系统分级保护多长时间需进行一次安全保密检查? (9)2.15各级保密局与各单位保密办的关系是什么? (10)2.16分级保护的系统集成对厂商的资质有什么要求? (10)2。
等保建设工作计划范文大全一、背景介绍随着信息技术的不断发展和应用,网络安全问题越来越受到重视。
在保障国家信息安全和促进网络经济发展方面,信息系统等级保护(以下简称等保)已经成为一项重要的工作。
等保建设是指依据国家有关法律法规和标准规范,通过采取技术、管理和组织等多种措施,确保信息系统安全可靠的过程。
制定等保建设工作计划,对于保障信息系统安全,保护国家安全和社会稳定,促进网络经济发展有着重要的意义。
二、等保建设目标1. 确保信息系统安全可靠,提升信息系统抗风险能力。
2. 促进信息系统与信息技术的融合发展,提升信息系统运行效率。
3. 保障国家信息安全和社会稳定,维护国家利益和公民权益。
4. 提升公司形象,增强竞争实力,推动公司健康发展。
三、等保建设工作计划1. 制定等保建设规划(1)明确等保建设目标,确定等保建设时间节点和阶段目标。
(2)全面评估当前信息系统的安全状况和存在的风险,确定等保建设的重点和难点。
(3)综合考虑国家有关法律法规和标准规范,制定公司等保建设的具体政策和措施。
2. 落实等保管理措施(1)建立健全信息系统安全管理制度,明确各级责任人和操作程序。
(2)加强信息系统安全意识培训,提升全员信息安全保护意识。
(3)强化运维管理,确保信息系统的正常运行和稳定性。
3. 加强信息系统安全防护(1)建立完善的网络安全防护体系,包括网络拦截、防火墙、入侵检测等设备。
(2)加密关键数据和信息,确保数据的安全性和完整性。
(3)加强对外部网络攻击的防范和应对能力,随时保护信息系统不受恶意破坏和攻击。
4. 提升信息系统运行效率(1)优化信息系统架构和技术方案,提高系统的可用性和稳定性。
(2)采用先进的技术手段,提升系统的处理能力和响应速度。
(3)建立完善的应急预案和备份措施,确保系统在突发情况下的恢复能力。
5. 完善信息系统监测和审计(1)建立信息系统的实时监测和审计机制,对系统进行全面的监控和审计。
(2)定期对系统进行安全检查和漏洞修复,确保系统的安全性和稳定性。
国家信息安全等级制度与等级保护公需课1. 信息安全意识的重要性在当今数字化社会,信息安全已经成为了必不可少的一部分。
随着互联网的快速发展,我们的生活离不开手机、电脑和其他智能设备,而这些设备无时无刻不在接收和传输着各种信息。
信息安全不仅仅关乎个人隐私,还关系到国家安全、经济安全以及社会稳定。
国家信息安全等级制度和等级保护公需课就显得尤为重要。
2. 国家信息安全等级制度的意义国家信息安全等级制度是为了更好地保护信息系统、网络和信息资源的安全而建立的。
该制度通过对不同信息系统和网络进行等级划分,标准化不同级别的信息系统和网络的安全防护要求,以确保各级信息系统和网络的安全性和稳定性。
这不仅有助于加强信息安全管理,还有助于提高国家信息基础设施的整体安全水平。
3. 国家信息安全等级制度的体系建设国家信息安全等级制度的体系建设包括等级划分、等级保护和等级评定三个方面。
等级划分是按照信息系统或网络的功能、重要性和风险程度将其划分为不同的安全等级。
等级保护是按照信息系统或网络的安全等级要求,采取相应的安全防护措施,确保其安全可靠运行。
等级评定是通过对信息系统或网络的安全性能进行评估,确认其安全等级和安全保护水平。
4. 等级保护公需课的意义和作用等级保护公需课是国家对信息系统和网络进行等级保护的重点领域和重点对象。
它包括政府机关、重要行业部门、关键信息基础设施等领域。
这些领域的信息系统和网络一旦受到破坏或泄露,将给国家安全和社会稳定带来严重的危害。
对这些领域的信息系统和网络进行等级保护,不仅有利于保障国家安全,还有利于促进经济社会发展。
5. 个人观点和理解作为一名信息安全专家,我认为国家信息安全等级制度和等级保护公需课的建设是非常必要的。
这不仅有助于规范信息安全管理,提高信息安全防护能力,还有助于保障国家信息基础设施的安全稳定运行。
在信息化快速发展的今天,我们每个人都应该增强信息安全意识,积极参与信息安全工作,共同为国家信息安全事业做出贡献。
深度剖析⽹络安全等级保护2.0的意义深度剖析⽹络安全等级保护2.0意义LOGO时代新威等级保护组前⾔⾃《⽹络安全法》颁布实施之后,等级保护的变化和差异较之前相⽐还是⾮常明显的。
以前我们感受最深的是⽀撑等级保护的都是政令、条例等形式的⾏政管理规范和标准,现如今,等级保护上升到了法律层⾯,也是从政府层⾯上升到国家层⾯的⼀个跃升。
今天时代新威为您带来⽹络安全等级保护系列国家标准的解读,帮助⼤家将⽹络安全⼯作落到实处。
《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息系统安全等级保护测评要求》(GB/T22239-2008)、《信息系统安全等级保护设计技术要求》(GB/T25070-2010)在我国推⾏信息安全等级保护制度的过程中起到了⾮常重要的作⽤,被⼴泛应⽤于各个⾏业或领域指导⽤户开展信息系统安全等级保护的建设整改、等级测评等⼯作。
但是随着信息技术的发展,采⽤新技术、新应⽤构建的云计算平台、移动互联接⼊、物联⽹、⼯业控制系统和⼤数据应⽤等系统的⼤量出现,已有10年历史的这三项标准在时效性、易⽤性、可操作性上需要进⼀步修订完善。
同时,2017年6⽉1⽇,《⽹络安全法》正式实施,进⼀步明确了⽹络安全等级保护制度的法律地位,⽹络安全等级保护对象、保护措施要求、范围等都发⽣了很⼤的变化,需要修订原来的标准,以适应⽹络安全等级保护制度要求。
⽬录1⽹络安全等级保护基本要求01022⽹络安全等级保护测评要求3⽹络安全等级保护安全设计技术要求等级保护主要内容等级保护⽬的意义等级保护⽬的意义《⽹络安全法》明确了“国家实⾏⽹络安全等级保护制度”、“关键信息基础设施,在⽹络安全等级保护制度的基础上,实⾏重点保护”等内容,为⽹络安全等级保护⼯作赋予了新的内涵。
为配合《⽹络安全法》的实施和落地,指导⽹络运营者按照⽹络安全等级保护制度的要求,履⾏⽹络安全保护义务,重新调整和修订等级保护系列标准意义重⼤。
尤其是等级保护对象已经从狭义的信息系统,扩展到⽹络基础设施、云计算平台、⼤数据平台、物联⽹、⼯业控制系统、采⽤移动互联技术的系统等,重新调整和修订等级保护系列标准,基于新技术和新要求提出新的技术防护体系和管理措施、安全建设设计实现⽅式以及等级测评⽅法等⾮常必要,可有效指导⽹络运营者、⽹络安全企业、⽹络安全服务机构开展⽹络安全等级保护安全技术⽅案的设计和实施,指导测评机构更加规范化和标准化的开展等级测评⼯作,进⽽全⾯提升⽹络运营者的⽹络安全防护能⼒。
信息安全等级保护建设方案随着信息技术的飞速发展,网络安全问题日益严重,信息安全等级保护建设成为了各国政府和企业关注的焦点。
本文将从理论和实践两个方面,对信息安全等级保护建设方案进行深入探讨。
一、理论层面1.1 信息安全等级保护的概念信息安全等级保护是指根据国家相关法律法规和政策要求,对信息系统的安全等级进行划分和管理,确保信息系统在一定的安全范围内运行,防止信息泄露、篡改和破坏,保障国家安全、公共利益和公民个人信息安全的一项重要工作。
1.2 信息安全等级保护的基本原则(1)合法性原则:信息安全等级保护工作必须遵循国家相关法律法规和政策要求,不得违反法律规定。
(2)全面性原则:信息安全等级保护工作要全面覆盖信息系统的所有环节,确保信息系统的整体安全。
(3)有序性原则:信息安全等级保护工作要按照规定的程序和标准进行,确保工作的有序进行。
(4)持续性原则:信息安全等级保护工作要形成长效机制,持续推进,不断完善。
1.3 信息安全等级保护的分类与评定根据国家相关法律法规和政策要求,信息系统的安全等级分为五个等级:一级信息系统、二级信息系统、三级信息系统、四级信息系统和五级信息系统。
信息系统的安全等级评定主要包括以下几个方面:信息系统的安全风险评估、信息系统的安全防护措施、信息系统的安全管理人员和信息系统的安全应急预案。
二、实践层面2.1 信息安全等级保护建设的组织与管理为了有效开展信息安全等级保护建设工作,需要建立健全组织管理体系,明确各级领导和管理人员的职责,加强对信息安全等级保护工作的领导和监督。
还需要建立信息安全等级保护工作小组,负责制定具体的实施方案和技术标准,组织开展培训和宣传工作。
2.2 信息安全等级保护建设的技术支持为了保障信息系统的安全运行,需要采用先进的技术手段进行支撑。
主要包括:防火墙、入侵检测系统、数据加密技术、安全审计系统等。
这些技术手段可以有效地防范网络攻击、数据泄露等安全风险,确保信息系统的安全运行。
一、信息系统安全等级保护建设的必要性信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。
为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
二、确定综合经营管理系统的保护级别根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
三、建设目标在今年的《信息系统安全等级保护基本要求(报批稿)》中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”,这说明公司的等级保护平台建设走在了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。
等级保护保护整改与安全建设工作重要性依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
启明星辰等级保护整改与安全建设过程启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一) 等级保护差距分析1. 等级保护风险评估1) 评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。
风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。
可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。
风险评估的结果和差距分析结果都是整改建议方案的输入。
启明星辰通过专业的等级评估服务,协助用户完成以下的目标:●了解信息系统的管理、网络和系统安全现状;●确定可能对资产造成危害的威胁;●确定威胁实施的可能性;●对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;●对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;●明确信息系统的已有安全措施的有效性;●明晰信息系统的安全管理需求。
2) 评估内容●资产识别与赋值●主机安全性评估●数据库安全性评估●安全设备评估现场风险评估用到的主要评估方法包括:●漏洞扫描●控制台审计●技术访谈3) 评估分析根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。
2. 等保差距分析通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。
1) 准备差距分析表项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。
在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。
差距分析表包含以下内容:●安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;●安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;●系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;●物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
不同安全保护级别的系统所使用的差距分析表的内容也不同。
2) 现场差距分析整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间的差距,确定不符合项。
现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
●查验文档资料●人员访谈●现场测试3) 生成差距分析报告完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》。
(二) 等级保护整改建议方案1. 整改目标沟通确认通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,启明星辰会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案。
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中。
2. 总体框架根据等保安全要求,启明星辰提出如下的安全整改建议,其中PMOT体系是信息安全保障总体框架模型。
图信息安全PMOT体系模型启明星辰根据建议方案的设计原则,协助客户制定总体安全保障体系架构,包括制定安全策略,结合等级保护基本要求和安全保护特殊要求,来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系,具体内容包括:●建立和完善安全策略:最高层次的安全策略文件,阐明安全工作的使命和意愿,定义信息安全工作的总体目标。
●安全技术体系:安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。
●建立和完善安全管理体系:建立安全管理制度,建立信息安全组织,规范人员管理和系统建议管理。
●安全运维体系:机房安全,资产及设备安全,网络与系统安全管理、监控和安全管理等。
展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。
图4 等级保护整改与安全建设总体框架3. 方案说明●信息安全策略信息安全策略是最高管理层对信息安全的期望和承诺的表达,位于整个PMOT 信息安全体系的顶层,也是安全管理体系的最高指导方针,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性。
●安全技术体系启明星辰根据整改目标提出整改方案的安全技术保障体系,将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。
使得在信息安全产品采购和安全控制开发阶段具有依据,主要内容包括:网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。
●安全管理体系为满足等保基本要求,应建立和完善安全管理体系,包括:完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。
●安全运维体系为满足等保基本要求,应建立和完善安全运维体系,包括:环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。
(三) 等级保护整改实施为了更好地协助客户落实等保的整改工作,启明星辰可以作为集成商、咨询方、或者监理方,协助客户落实整改实施方案,或协助进行整改实施方案的评审、招投标、项目监理等工作,以完成系统整改和安全建设工作。
1. 制定整改实施方案在确定整改实施的承建单位后,启明星辰会提交相关的工程实施文档,包括参照整改建议方案而编制的项目实施技术规划等文档,其中涵盖安全建设阶段的各项实施细节,主要有:●项目产品配置清单●实施设计方案●实施准备工作描述,实施工作步骤●实施风险规避方案●实施验证方案●现场培训方案工程实施文档应经客户方的项目负责人确认后,方可进行实施。
2. 整改建设实施启明星辰承担项目实施的工作,确保落实客户信息系统的安全保护技术措施,建立健全信息安全管理制度,全面贯彻落实信息安全等级保护制度。
3. 整改实施项目验收整改实施工作完成后,启明星辰提出验收申请和工程测试验收方案,由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
