等级保护技术方案模板.docx
《等级保护技术方案模板.docx》由会员分享,可在线阅读,更多相关《等级保护技术方案模板.docx(15页珍藏版)》请在冰豆网上搜索。
等级保护技术方案模板
等级保护技术方案模板
篇一:
等级保护整改方案模板(独创版本)
密级:
商密
文档编号:
等级保护整改方案-03项目代号:
中国××股份信息安全专项咨询项目等级保护整改方案
北京信息安全技术有限公司
XX年9月
仅供××股份信息安全专项咨询项目内部使用第1页共32页
保密申明
这份文件包含了来自××星辰的可靠、权威的信息,这些信息是作为××股份正在实施的信息安全专项咨询项目实施专用,接受这份计划书表示同意对其内容保密并且未经××公司书面请求和书面认可,不得复制,泄露或散布这份文件。
如果你不是有意接受者,请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
仅供××股份信息安全专项咨询项目内部使用
第2页共32页
文档信息表
仅供××股份信息安全专项咨询项目内部使用第3页共32页
目录
保密申明...........................................................................................................................................2文档信息表.......................................................................................................................................31
概述...........................................................................................................................................62
概述.........................................................................................................................................6主要内容.................................................................................................................................6目标读者.................................................................................................................................6
系统识别定级............................................................................................................................7
业务信息受到破坏时所侵害客体的确定..............................................................................7信息受到破坏后对侵害客体的侵害程度..............................................................................7系统定级.................................................................................................................................8
3现状概述...................................................................................................................................9
ERP系统..................................................................................................................................9资金系统...............................................................................................................................11OA系统.................................................................................................................................12
4安全管理.................................................................................................................................13
安全管理制度.......................................................................................................................14
现状的不足...................................................................................................................14
管理制度.........................................................................................................................................14
整改方案.......................................................................................................................14安全管理机构.......................................................................................................................15现状的不足...................................................................................................................15整改方案.......................................................................................................................15人员安全管理.......................................................................................................................16现状的不足...................................................................................................................16整改方案.......................................................................................................................17系统建设管理.......................................................................................................................17现状的不足...................................................................................................................17整改方案.......................................................................................................................18系统运维管理.......................................................................................................................19现状的不足...................................................................................................................19整改方案.......................................................................................................................21
5
安全技术.................................................................................................................................23
物理安全...............................................................................................................................23
现状的不足...................................................................................................................23整改方案.......................................................................................................................23网络安全...............................................................................................................................23现状的不足...................................................................................................................23
仅供××股份信息安全专项咨询项目内部使用第4页共32页
整改方案.......................................................................................................................24
主机安全...............................................................................................................................25现状的不足...................................................................................................................25整改方案.......................................................................................................................26应用安全...............................................................................................................................27现状的不足...................................................................................................................27整改方案.......................................................................................................................27数据安全及备份恢复...........................................................................................................28现状描述.......................................................................................................................28
6
整改方案总结..........................................................................................................................28
管理制度的建设和修订.......................................................................................................28管理机构和人员的设置.......................................................................................................30人员安全技能培训...............................................................................................................30技术修补...............................................................................................................................30日常安全管理控制...............................................................................................................31成熟产品的使用...................................................................................................................32
仅供××股份信息安全专项咨询项目内部使用第5页共32页
篇二:
2、等级保护工作各环节服务方案
等级保护工作开展参考资料
文档说明
1)目标对象:
客户单位的信息主管/计算机信息系统运维管理人员
2)文档功能:
与客户一起探讨“信息安全等级保护工作开展”工作方法
一.等级保护整体服务方案
图1等级保护整体服务方案工作流程图
等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。
测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。
具体包括:
1)等级保护定级备案
对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。
2)等级保护差距分析
通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息
系统安全工作有的放矢。
3)等级保护整改建议方案
测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。
依据公通字[XX]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
4)等级保护整改实施
测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。
5)等级保护测评咨询
在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,测评服务方提供的测评咨询服务将协助用户通过等级保护测评工作。
6)等级保护检查咨询
在信息系统进行完成定级和整改实施之后,国家主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查,测评服务方将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。
二.等级保护定级过程方法/方案
定级工作的重要性
信息系统的定级是等级保护工作的首要环节。
从等级保护角度看,安全级别定不准,系
统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级保护政策、准确定级,是开展后续整改和测评工作的基础,可以避免后续工作走弯路,造成投资浪费或者安全程度过低;从定级单位自身的安全需求看,是本单位结合业务需求、信息安全建设现状,从自身安全需求出发,进行有针对性的信息安全规划、建设、运维的实际要求。
定级过程
等级保护定级与备案工作是基于国家信息系统安全等级保护相关文件的要求,测评服务方结合客户的组织架构、业务要求、信息系统的实际情况,协助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导意见(可选)的服务。
共分为七个大的阶段:
定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、协助备案阶段、项目总结阶段。
定级之后,随着业务的变化,信息系统的级别可能需要进行适当的调整、变更,此时需要进行等级变更。
定级准备阶段
在定级的过程中,不仅会涉及客户的信息管理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解,因此业务部门应参与、甚至主导对业务信息系统的定级工作。
初步明确定级范围,以便后续开展摸底调查和进行定级。
定级范围包括本单位内部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。
测评服务方根据已了解的初步基本信息、定级范围,按照国家等级保护相关文件(如861号文、国家《定级指南》、测评服务方定级方法等),制定本单位信息系统安全等级的定级工作计划。
信息系统识别
由定级工作项目组中的信息管理部门相关人员牵头,开展对所有需要定级的信息系统的摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明确定级范围、进行定级奠定基础。
测评服务方会准备《信息系统调查表》,协助客户的信息管理部门开展信息系统识别工作,组织相关业务部门填写调查表。
在这个工作过程中,各业务部门的接口人根据信息系统的实际情况填写调查表,测评服务方通过邮件、电话等方式对各业务部门接口人提供技术支持,支持解答定级范围、表格
升级会员 