信息安全等級保護(hù)安全整改方案模版

----信息安全等級保護(hù)安全整改方案xxx公司20xx年x月--------工作項目清單序號工作項目數(shù)量（人天）單價總價備注1物理安全差距分析2主機安全差距分析3網(wǎng)絡(luò)安全差距分析4應(yīng)用安全差距分析5數(shù)據(jù)安全差距分析6安全管理機構(gòu)差距分析7人員安全管理差距分析8安全管理制度差距分析9系統(tǒng)建設(shè)管理差距分析10系統(tǒng)運維管理差距分析11等級保護(hù)整改方案設(shè)計12安全管理組織及職責(zé)13人員安全管理14安全管理制度15系統(tǒng)建設(shè)管理16系統(tǒng)運維管理17物理安全整改18主機安全整改19網(wǎng)絡(luò)安全整改20指導(dǎo)完成應(yīng)用安全整改21數(shù)據(jù)安全整改22安裝和部署各項新增安全設(shè)備23安全培訓(xùn)？人次等級保護(hù)測評師（中級）合計(可根據(jù)實際情況完成該表 .)信息安全等級保護(hù)安全服務(wù)方案----------------目錄第一章概述...........................................................................................................................81.1項目背景...................................................................................................................81.2現(xiàn)狀描述...................................................................................................................8第二章總體設(shè)計.................................................................................................................152.1項目目標(biāo).................................................................................................................152.2項目原則.................................................................................................................162.3項目依據(jù).................................................................................................................172.3.1政策法規(guī).........................................................................................................172.3.2標(biāo)準(zhǔn)規(guī)范.........................................................................................................172.4實施策略.................................................................................................................182.4.1技術(shù)體系分析.................................................................................................182.4.2管理體系分析.................................................................................................182.4.3業(yè)務(wù)系統(tǒng)分析.................................................................................................192.4.4充分全面的培訓(xùn).............................................................................................202.5項目內(nèi)容.................................................................................................................212.5.1差距分析.........................................................................................................212.5.2整改方案設(shè)計.................................................................................................212.5.3安全優(yōu)化與調(diào)整.............................................................................................212.5.4等級保護(hù)管理制度建設(shè).................................................................................21第三章 差距分析.................................................................................................................23--------3.1工作目的.................................................................................................................233.2工作方式.................................................................................................................233.3工作內(nèi)容.................................................................................................................253.3.1物理安全.........................................................................................................263.3.2主機安全.........................................................................................................273.3.3網(wǎng)絡(luò)安全.........................................................................................................313.3.4應(yīng)用安全.........................................................................................................353.3.5數(shù)據(jù)安全及備份恢復(fù).....................................................................................393.3.6安全管理制度.................................................................................................433.3.7安全管理機構(gòu).................................................................................................473.3.8人員安全管理.................................................................................................513.3.9系統(tǒng)建設(shè)管理.................................................................................................553.3.10系統(tǒng)運維管理.........................................................................................593.4提交成果.................................................................................................................63第四章等級保護(hù)整改方案設(shè)計.........................................................................................644.1工作目的.................................................................................................................644.2工作方式.................................................................................................................654.3工作內(nèi)容.................................................................................................................654.4提交成果.................................................................................................................68第五章系統(tǒng)優(yōu)化及調(diào)整.....................................................................................................685.1工作目的.................................................................................................................685.2 工作方式 .................................................................................................................68--------5.3 工作流程 695.4 工作內(nèi)容 705.5 提交成果 71第六章 等級保護(hù)管理制度建設(shè) 716.1 工作目的 716.2 工作方式 726.3 工作內(nèi)容 726.4 工作成果 74第七章 培訓(xùn)與驗收 777.1 培訓(xùn)內(nèi)容 777.1.1 等級保護(hù)整改培訓(xùn) 777.1.2 信息安全等級保護(hù)培訓(xùn) 787.1.3 認(rèn)證考試 787.2 項目驗收 797.2.1 驗收依據(jù)和標(biāo)準(zhǔn) 797.2.2 驗收內(nèi)容 80第八章 項目管理與組織 828.1 項目管理架構(gòu) 828.2 項目成員 848.3 項目進(jìn)度 88第九章 國都興業(yè)服務(wù)特色 909.1 豐富的服務(wù)經(jīng)驗 909.2 有保障的服務(wù)團(tuán)隊 .................................................................................................90--------9.3 嚴(yán)格明確的服務(wù)原則 ................................................................................................................................................................... 909.4 專業(yè)化的服務(wù)隊伍 ......................................................................................................................................................................... 91第十章 服務(wù)質(zhì)量保證 ..................................................................................................................................................................................... 9210.1 制定質(zhì)量計劃..................................................................................................................................................................................... 9210.2 規(guī)范質(zhì)量審核..................................................................................................................................................................................... 9310.3 質(zhì)量文檔管理..................................................................................................................................................................................... 9410.4 服務(wù)報告制度..................................................................................................................................................................................... 9510.5 客戶滿意度調(diào)查制度 ................................................................................................................................................................... 95--------概述項目背景信息安全等級保護(hù)是國家信息系統(tǒng)安全保障工作的基本制度和基本國策， 是國家對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實施重點保護(hù)的關(guān)鍵措施。 按照國家有關(guān)主管部門的要求， 某部委開展了等級保護(hù)相關(guān)工作。前期，某部委已對應(yīng)用系統(tǒng)進(jìn)行了定級，并邀請某評測機構(gòu)對相關(guān)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行了預(yù)測評， 已形成預(yù)測評報告。為了解決所存在的問題， 順利通過某評測機構(gòu)的等級保護(hù)測評， 擬開展某部委部本級信息安全等級保護(hù)安全建設(shè)整改工作?，F(xiàn)狀描述某部委開展信息安全等級保護(hù)工作的網(wǎng)絡(luò)系統(tǒng)有兩個， 一個是外網(wǎng)， 一個是業(yè)務(wù)專網(wǎng)，兩個網(wǎng)絡(luò)彼此物理隔離，外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。業(yè)務(wù)專網(wǎng)部機關(guān)局域網(wǎng)目前有用戶約 500個，橫向通過專線連接 130多個預(yù)算部門、代理銀行等?？v向通過專線連接 35個駐省市某專員辦和 36個省市某部委門。 業(yè)務(wù)專網(wǎng)局域網(wǎng)部署的安全設(shè)備類型包括防火墻、網(wǎng)絡(luò)入侵檢測、 漏洞掃描、網(wǎng)絡(luò)審計、防病毒系統(tǒng)、安全管理服務(wù)器等安全設(shè)備，制造廠商為國內(nèi)主流安全設(shè)備廠商。 業(yè)務(wù)專網(wǎng)的服務(wù)器主要為 IBM、HP的PCserver和小型機，服務(wù)器操作系統(tǒng)包括 WINDOWS 2003server、WINDOWS 2008 server、LINUX、UNIX 等操作系統(tǒng)，數(shù)據(jù)庫有 SQLSERVER、ORACLE等，中間件有JBOSS、WEBLOGIC、TOMCAT 等。網(wǎng)絡(luò)設(shè)備為主流交換機和路由器。--------業(yè)務(wù)專網(wǎng)中有共有安全設(shè)備約 11臺、網(wǎng)絡(luò)設(shè)備約40臺、服務(wù)器約70臺。外網(wǎng)局域網(wǎng)目前有用戶約 1000 個，通過租用 3條運營商專線接入互聯(lián)網(wǎng)，與互聯(lián)網(wǎng)邏輯隔離。外網(wǎng)局域網(wǎng)部署的安全設(shè)備主要包括防火墻、網(wǎng)絡(luò)入侵檢測、漏洞掃描、網(wǎng)絡(luò)審計、防病毒系統(tǒng)、防 DDOS 攻擊設(shè)備、 WEB 防纂改系統(tǒng)、安全管理服務(wù)器等安全設(shè)備， 制造廠商為國內(nèi)主流安全設(shè)備廠商。 外網(wǎng)服務(wù)器主要為IBM、HP的PC-server 和小型機，服務(wù)器操作系統(tǒng)包括 WINDOWS2003server、WINDOWS2008server 、LINUX、UNIX 等操作系統(tǒng)，數(shù)據(jù)庫有 SQLSERVER、ORACLE 等，中間件有 JBOSS、WEBLOGIC 、TOMCAT等。網(wǎng)絡(luò)設(shè)備為主流交換機和路由器。某部委設(shè)備具體情況見下表 :某部委設(shè)備情況說明表網(wǎng)絡(luò) 設(shè)備類型 用途 廠商 型號/操作系統(tǒng) 數(shù)量服務(wù)器服務(wù)器服務(wù)器服務(wù)器、數(shù)據(jù)庫 服務(wù)器數(shù)據(jù)庫交換機交換機交換機交換機業(yè)務(wù)交換機專網(wǎng)交換機交換機交換機網(wǎng)絡(luò)設(shè)備交換機交換機--------交換機路由器路由器路由器路由器交換機交換機交換機入侵檢測漏洞掃描審計系統(tǒng)安全設(shè)備萬兆防火墻IDSVPN外網(wǎng)中有安全設(shè)備約 10臺、網(wǎng)絡(luò)設(shè)備約 40臺、服務(wù)器約 60臺。服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器、數(shù)據(jù)庫存儲其他數(shù)據(jù)庫交換機交換機交換機交換機交換機路由器交換機交換機網(wǎng)絡(luò)設(shè)備交換機外網(wǎng)交換機路由器路由器交換機交換機交換機--------交換機防火墻防do（s電信）防do（s聯(lián)通）IDS漏掃安全設(shè)備 審計防火墻防火墻防火墻IPS萬兆防火墻應(yīng)用系統(tǒng)定級情況如下：某業(yè)務(wù)專網(wǎng)和外網(wǎng)整體定為三級。應(yīng)用系統(tǒng)已定為三級的系統(tǒng)15個，二級的系統(tǒng)32個，已進(jìn)行預(yù)測評的系統(tǒng)37個，在開發(fā)升級改造過程中而未預(yù)測評的系統(tǒng)10個，具體情況見下表。序號系統(tǒng)名稱等級用戶數(shù)量使用頻度預(yù)測評情況1系統(tǒng)1S3A2G3實時完成預(yù)測評2系統(tǒng)2S2A2G2實時完成預(yù)測評3系統(tǒng)3S2A1G2實時完成預(yù)測評4系統(tǒng)4S2A2G2實時完成預(yù)測評5系統(tǒng)5S3A3G3階段性頻繁完成預(yù)測評6系統(tǒng)6S3A3G3經(jīng)常完成預(yù)測評--------7系統(tǒng)7S3A2G3階段性頻繁完成預(yù)測評8系統(tǒng)8S3A3G3每月至少一次完成預(yù)測評9系統(tǒng)9S3A3G3經(jīng)常完成預(yù)測評10系統(tǒng)10S3A3G3經(jīng)常完成預(yù)測評11系統(tǒng)11S3A3G3實時完成預(yù)測評12系統(tǒng)12S3A3G3每天完成預(yù)測評13系統(tǒng)13S2A3G3實時完成預(yù)測評14系統(tǒng)14S3A3G3實時完成預(yù)測評15系統(tǒng)15S2A2G2每天完成預(yù)測評16系統(tǒng)16S2A1G2經(jīng)常完成預(yù)測評17系統(tǒng)17S2A1G2實時完成預(yù)測評18系統(tǒng)18S2A2G2每天完成預(yù)測評序號 系統(tǒng)名稱 等級 用戶數(shù)量 使用頻度 預(yù)測評情況19 系統(tǒng)19 S2A2G2 季報 完成預(yù)測評20 系統(tǒng)20 S2A2G2 實時 完成預(yù)測評21 系統(tǒng)21 S2A2G2 階段性頻繁 完成預(yù)測評22 系統(tǒng)22 S2A2G2 季度報表 完成預(yù)測評23 系統(tǒng)23 S2A2G2 實時 完成預(yù)測評24 系統(tǒng)24 S2A2G2 實時 完成預(yù)測評25 系統(tǒng)25 S2A2G2 實時 完成預(yù)測評--------26系統(tǒng)26S2A2G227系統(tǒng)27S2A2G228系統(tǒng)28S2A2G229系統(tǒng)29S2A2G230系統(tǒng)30S2A2G231系統(tǒng)31S2A2G232系統(tǒng)32S2A2G233系統(tǒng)33S2A2G234系統(tǒng)34S2A2G235系統(tǒng)35S2A2G236系統(tǒng)36S2A2G237系統(tǒng)37S2A2G238系統(tǒng)38S3A3G339系統(tǒng)39S3A3G340系統(tǒng)40S3A3G341系統(tǒng)41S3A3G342系統(tǒng)42S2A2G243系統(tǒng)43S2A2G244系統(tǒng)44S2A2G245系統(tǒng)45S2A2G246系統(tǒng)46S2A2G247系統(tǒng)47S2A2G2

實時 完成預(yù)測評階段性頻繁 完成預(yù)測評階段性頻繁 完成預(yù)測評經(jīng)常 完成預(yù)測評實時 完成預(yù)測評經(jīng)常 完成預(yù)測評經(jīng)常 完成預(yù)測評經(jīng)常 完成預(yù)測評經(jīng)常 完成預(yù)測評階段性頻繁 完成預(yù)測評經(jīng)常 完成預(yù)測評實時 完成預(yù)測評實時 未完成每天 未完成實時 未完成階段性頻繁 未完成實時 未完成實時 未完成經(jīng)常 未完成階段性頻繁 未完成經(jīng)常 未完成階段性頻繁 未完成----------------總體設(shè)計項目目標(biāo)根據(jù)某評測機構(gòu)提交的預(yù)測評報告， 對某部委現(xiàn)有各網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行深入調(diào)研，了解包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維建設(shè)等安全管理建設(shè)情況，針對安全管理機構(gòu)方面存在的人員配備、授權(quán)和審批、審核和檢查等問題，安全管理制度存在的管理制度、評審和修訂等問題，人員安全管理方面存在的人員考核問題，在系統(tǒng)建設(shè)管理方面存在的安全方案設(shè)計、外包軟件開發(fā)等問題，在系統(tǒng)運維建設(shè)方面存在的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份與恢復(fù)管理、應(yīng)急預(yù)案管理等問題。了解包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等安全技術(shù)建設(shè)情況，針對在物理安全方面存在的物理訪問控制問題，在網(wǎng)絡(luò)安全方面存在的訪問控制、網(wǎng)絡(luò)審計、邊界完整性、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等問題，在主機安全方面存在的身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等問題，應(yīng)用安全方面存在的身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、軟件容錯和資源控制等問題，在數(shù)據(jù)安全方面存在的數(shù)據(jù)完整性和數(shù)據(jù)保密性等問題， 根據(jù)某部委的實際情況， 分析研判在安全管理建設(shè)和安全技術(shù)建設(shè)兩方面與等級保護(hù)標(biāo)準(zhǔn)規(guī)范之間的差距和問題，提出各項整改建議， 設(shè)計各項整改措施和手段， 從技術(shù)和管理兩方面制定安全建設(shè)整改方案，提出包括產(chǎn)品類型、配置、數(shù)量、預(yù)計價格等在內(nèi)的整改所--------需產(chǎn)品清單。項目原則為實現(xiàn)本項目的總體目標(biāo)， 結(jié)合某部委現(xiàn)有各網(wǎng)絡(luò)與應(yīng)用系統(tǒng)和未來發(fā)展需求，總體應(yīng)貫徹以下項目原則。保密原則：國都興業(yè)公司在為某部委信息安全等級保護(hù)進(jìn)行整改實施的過程中，將嚴(yán)格遵循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第三方單位或個人，不得利用這些信息損害用戶利益。并與某部委簽訂保密協(xié)議，承諾未經(jīng)允許不向其他任何第三方泄露有關(guān)某部委的信息?；釉瓌t：國都興業(yè)公司在整個信息安全等級保護(hù)整改實施過程之中，將強調(diào)客戶的互動參與，不管是從準(zhǔn)備階段，還是差距分析階段。每個階段都能夠及時根據(jù)客戶的要求和實際情況對評估的內(nèi)容、方式作出相關(guān)調(diào)整，進(jìn)而更好的進(jìn)行等級保護(hù)整改工作。最小影響原則： 信息安全等級保護(hù)差距分析工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對業(yè)務(wù)的正常運行產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等） ，如無法避免，則應(yīng)對風(fēng)險進(jìn)行說明。規(guī)范性原則： 信息安全等級保護(hù)整改的實施必須由專業(yè)的信息安全服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對操作過程和結(jié)果要有相應(yīng)的記錄，提供完整的服務(wù)報告。質(zhì)量保障原則：國都興業(yè)公司在整個信息安全等級保護(hù)整改實施過程之--------中，將特別重視項目質(zhì)量管理。項目的實施將嚴(yán)格按照項目實施方案和流程進(jìn)行，并由項目協(xié)調(diào)小組從中監(jiān)督、控制項目的進(jìn)度和質(zhì)量。項目依據(jù)本項目方案編制依據(jù)和參考下列政策法規(guī)和標(biāo)準(zhǔn)規(guī)范。政策法規(guī)中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例 （1994國務(wù)院147號令）計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859－1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》 （中辦發(fā)[2003]27號）關(guān)于信息安全等級保護(hù)工作的實施意見（公通字[2004]66號）《信息安全等級保護(hù)管理辦法》公通字[2007]43號關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安[2007]861號）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》 （中辦發(fā)[2003]27號）標(biāo)準(zhǔn)規(guī)范《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》 （GB/T17859-1999 ）GBT22239-2008 《信息安全技術(shù) _信息系統(tǒng)安全等級保護(hù)基本要求》GBT22240-2008 《信息安全技術(shù) _信息系統(tǒng)安全等級保護(hù)定級指南》《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》--------《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》《信息安全技術(shù)信息安全等級保護(hù)整改規(guī)范》 （GB/T20984-2007 ）《信息系統(tǒng)安全等級保護(hù)整改實施指南》《信息技術(shù)安全技術(shù)信息安全管理體系要求》 （GB/T22080-2008 ）《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》 （GB/T22081-2008 ）《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南》 （ISO/IECTR13335 ）《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》 (GB/T18336-2001)《信息安全等級保護(hù)整改指南》《信息安全風(fēng)險管理指南》實施策略此次等級保護(hù)整改將采取如下策略， 來滿足某部委信息安全等級保護(hù)整改的需求。技術(shù)體系分析技術(shù)體系結(jié)構(gòu)分析主要針對某部委網(wǎng)絡(luò)和信息系統(tǒng)的總體安全架構(gòu)進(jìn)行靜態(tài)分析，通過分析某部委的整個網(wǎng)絡(luò)拓?fù)浼軜?gòu)，并深入了解各系統(tǒng)的業(yè)務(wù)狀況，從而發(fā)現(xiàn)某部委信息安全建設(shè)中存在的問題，并提出相應(yīng)的改進(jìn)建議。管理體系分析管理體系分析通過現(xiàn)場安全管理調(diào)查問卷表等形式進(jìn)行靜態(tài)分析， 從安全策略、安全管理制度、安全管理組織、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面，對某部委信息系統(tǒng)的現(xiàn)有安全管理措施進(jìn)行識別和分析， 提出管理規(guī)--------章制度和系統(tǒng)操作規(guī)程等方面的不足， 并針對業(yè)務(wù)系統(tǒng)管理體系的建設(shè)提出完善的建議。管理體系分析將結(jié)合某部委信息安全建設(shè)的具體情況，主要涵蓋如下內(nèi)容：物理安全策略：如機房環(huán)境、門禁系統(tǒng)、設(shè)備鎖、數(shù)據(jù)備份、 CMOS安全設(shè)置等。訪問控制策略：內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間、內(nèi)部不同安全域之間的訪問控制策略。安全配置及更新策略：對操作系統(tǒng)、應(yīng)用系統(tǒng)、安全產(chǎn)品等進(jìn)行升級更新、設(shè)置用戶訪問權(quán)限及信任關(guān)系等。管理員和用戶策略：制定機房出入管理制度、實行安全責(zé)任制等。安全管理策略：安全規(guī)則設(shè)置、安全審計、日志分析、漏洞檢測及修補等。密碼安全策略：密碼復(fù)雜度、密碼更改周期、密碼有效期等。緊急事件策略： 針對攻擊和入侵可能導(dǎo)致的結(jié)果制定應(yīng)急處理流程和災(zāi)難恢復(fù)計劃。業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)分析主要是分析信息系統(tǒng)承載的數(shù)據(jù)和業(yè)務(wù)流程， 只有圍繞著信息系統(tǒng)所承載的數(shù)據(jù)和業(yè)務(wù)進(jìn)行詳盡的分析， 才能夠準(zhǔn)確地識別關(guān)鍵資產(chǎn)， 才能明確要保護(hù)的對象，從而做到有的放矢。 在對關(guān)鍵資產(chǎn)進(jìn)行識別時， 不應(yīng)將資產(chǎn)的實際價格作為考慮重點， 更為重要的是要考慮資產(chǎn)對于業(yè)務(wù)的重要性， 也就是說根據(jù)資產(chǎn)損失所引發(fā)的潛在業(yè)務(wù)影響來決定關(guān)鍵資產(chǎn)。 因此所識別的關(guān)鍵資產(chǎn)不--------會是孤立的服務(wù)器、數(shù)據(jù)庫，而應(yīng)是這些設(shè)備所承載和保護(hù)的業(yè)務(wù)數(shù)據(jù)和對內(nèi)、對外提供的服務(wù)。以上提到的設(shè)備作為信息系統(tǒng)業(yè)務(wù)流程分析中的關(guān)鍵系統(tǒng)單元，它們在信息系統(tǒng)中的作用是承載業(yè)務(wù)數(shù)據(jù)， 保護(hù)系統(tǒng)提供的業(yè)務(wù)服務(wù)能夠安全、順利進(jìn)行。通過對某部委業(yè)務(wù)系統(tǒng)進(jìn)行詳盡的分析，才能了解應(yīng)用系統(tǒng)的部署模式、用戶認(rèn)證及訪問控制策略、 權(quán)限的授權(quán)方式及流程、 系統(tǒng)間的接口發(fā)布與調(diào)用模式，并分析其中的安全風(fēng)險，從而提出相應(yīng)的修改建議。充分全面的培訓(xùn)在此次等級保護(hù)整改實施過程中， 將結(jié)合某部委安全管理方面的具體情況，對某部委信息部門相關(guān)人員進(jìn)行多次、 全面的等級保護(hù)整改培訓(xùn)， 為今后實施等級保護(hù)自查工作奠定良好的基礎(chǔ)。--------項目內(nèi)容為實現(xiàn)項目目標(biāo)， 在本次等級保護(hù)咨詢項目中， 將包括系統(tǒng)定級、差距分析、等級保護(hù)整改、體系設(shè)計、等級保護(hù)管理制度建設(shè)、 安全優(yōu)化與調(diào)整以及信息安全服務(wù)七項工作內(nèi)容。差距分析差距分析工作內(nèi)容就是根據(jù)網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)等級， 根據(jù)國家等級保護(hù)相應(yīng)等級的技術(shù)和管理要求， 分析評價網(wǎng)絡(luò)和信息系統(tǒng)當(dāng)前的安全防護(hù)水平和措施與相應(yīng)等級要求之間的差距。整改方案設(shè)計整改方案設(shè)計工作內(nèi)容是根據(jù)信息系統(tǒng)差距分析結(jié)果，結(jié)合業(yè)務(wù)系統(tǒng)的使命、目標(biāo)和行業(yè)要求， 按照信息系統(tǒng)的不同安全等級， 設(shè)計合理的技術(shù)措施和管理措施，構(gòu)建結(jié)構(gòu)化的信息安全保障體系。安全優(yōu)化與調(diào)整安全優(yōu)化與調(diào)整是根據(jù)信息系統(tǒng)差距分析結(jié)果， 對信息系統(tǒng)所依賴的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)及安全設(shè)備進(jìn)行配置安全加固，安裝和實施各項新增安全設(shè)備，保障信息系統(tǒng)的安全穩(wěn)定性。等級保護(hù)管理制度建設(shè)等級保護(hù)管理制度建設(shè)是根據(jù)信息安全等級保護(hù)安全管理的要求， 編寫符合--------等級保護(hù)要求的信息安全管理規(guī)范和制度，通過安全管理的加強來規(guī)避管理風(fēng)險。--------差距分析根據(jù)國家等級保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，確定安全保護(hù)等級的信息系統(tǒng)應(yīng)該具有相應(yīng)級別的安全防護(hù)能力，其中主要是根據(jù) GBT22239-2008 《信息安全技術(shù)_信息系統(tǒng)安全等級保護(hù)基本要求》來分析某部委各信息系統(tǒng)目前的安全防護(hù)能力與基本要求中相應(yīng)級別之間的差距。工作目的根據(jù)國家等級保護(hù)要求，對于確定了安全保護(hù)等級的信息系統(tǒng)規(guī)定了基本的安全保護(hù)要求， 規(guī)定了應(yīng)該具有的防護(hù)措施， 以確保信息系統(tǒng)具有相當(dāng)水平的安全防護(hù)能力。差距分析就是根據(jù) GBT22239-2008 《信息安全技術(shù) _信息系統(tǒng)安全等級保護(hù)基本要求》， 結(jié)合某部委的業(yè)務(wù)情況和行業(yè)要求， 從安全技術(shù)和安全管理兩個方面，全面分析信息系統(tǒng)現(xiàn)有防護(hù)措施和能力與相應(yīng)等級基本要求之間存在的差距，用以為等級保護(hù)建設(shè)提供客觀依據(jù)并指導(dǎo)信息系統(tǒng)等級保護(hù)體系設(shè)計。工作方式某部委的業(yè)務(wù)系統(tǒng)差距分析工作主要通過以下方式進(jìn)行。訪談訪談是指評估人員與某部委的有關(guān)人員就差距分析所關(guān)注的問題進(jìn)行有針對性的詢問和交流的過程， 該過程可以幫助評估者了解現(xiàn)狀、 澄清疑問或獲得證--------據(jù)。訪談深度（即訪談內(nèi)容的詳細(xì)程度）以及訪談的廣度（即對被評估組織中員工角色類型以及每種類型中人數(shù)的覆蓋程度） 由評估人員依據(jù)不同的評估需要進(jìn)行選擇和判斷。檢查檢查是指對評估對象（如規(guī)范、機制或行為）進(jìn)行觀察、調(diào)查、評審、分析或核查的過程。與訪談類似， 該過程可以幫助評估者了解現(xiàn)狀、 澄清疑問或獲得證據(jù)。比較典型的檢查行為包括：對安全配置的核查、對安全策略的分析和評審等。測試測試是指在特定環(huán)境中運行一個或多個評估對象（限于機制或行為）并將實際結(jié)果與預(yù)期結(jié)果進(jìn)行比較的過程。 測試的目標(biāo)是判定對象是否符合預(yù)定的一組規(guī)格。測試過程可以幫助評估者獲得證據(jù)。調(diào)查表根據(jù)某部委業(yè)務(wù)情況和系統(tǒng)現(xiàn)狀，制定詳細(xì)的調(diào)查表，并由某部委相關(guān)人員進(jìn)行填寫，以獲得業(yè)務(wù)系統(tǒng)基礎(chǔ)數(shù)據(jù)。 具體包括應(yīng)用信息系統(tǒng)調(diào)查表、 物理資產(chǎn)調(diào)查表、軟件資產(chǎn)調(diào)查表、各相關(guān)設(shè)備資產(chǎn)調(diào)查表。 33--------工作內(nèi)容按照等級保護(hù)實施要求，不同安全等級的信息系統(tǒng)應(yīng)該具備相應(yīng)等級的安全防護(hù)能力，部署相應(yīng)的安全設(shè)備，制定相應(yīng)的安全管理機構(gòu)、制度、崗位等。差距分析就是依據(jù)等級保護(hù)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范， 比較分析信息系統(tǒng)安全防護(hù)能力與等級要求之間的差距，為等級化體系設(shè)計提供依據(jù)。差距分析將對每個定級對象按照其確定的安全保護(hù)等級，從以下方面進(jìn)行評估分析。序號 測評類 測評項1 物理安全2 網(wǎng)絡(luò)安全3 技術(shù)要求 主機安全4 應(yīng)用安全5 數(shù)據(jù)安全6 安全管理制度7 安全管理機構(gòu)8 管理要求 人員安全管理9 系統(tǒng)建設(shè)管理10 系統(tǒng)運維管理--------在這一階段，針對每個信息系統(tǒng)所定的安全等級，國都興業(yè)對信息系統(tǒng)進(jìn)行相應(yīng)級別要求的差距分析工作， 按照信息系統(tǒng)測評的要求， 進(jìn)行信息系統(tǒng)等級差距分析，對每個信息系統(tǒng)安全等級要求項進(jìn)行判定，判定是否符合要求。 在進(jìn)行符合性判定時，依據(jù)現(xiàn)場調(diào)查和測試所獲得的基本信息進(jìn)行判斷。在評估中，國都興業(yè)將從物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理10個方面進(jìn)行等級保護(hù)差距分析。物理安全分析內(nèi)容物理環(huán)境安全調(diào)查主要是針對信息系統(tǒng)所處的物理環(huán)境即機房、線路、客戶端的支撐設(shè)施等進(jìn)行符合性識別， 為后續(xù)物理環(huán)境安全符合性分析提供參考數(shù)據(jù)。分析工具物理環(huán)境符合性檢查主要是檢查機房、線路、客戶端的支撐設(shè)施，列表如下：序號 保護(hù)措施1 門禁系統(tǒng)2 報警系統(tǒng)--------3 監(jiān)控系統(tǒng)4 防雷擊接地5 防靜電6 UPS7 消防系統(tǒng)8 防電磁泄露9 弱電系統(tǒng)、防塵、溫濕控制和機房容災(zāi)備份?? ??分析結(jié)果物理安全調(diào)查表主機安全分析內(nèi)容主機安全主要從以下 9個方面調(diào)查測試被評估信息系統(tǒng)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫安全等級符合性：身份鑒別、自主訪問控制、強制訪問控制、安全審計、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防護(hù)、惡意代碼防護(hù)、資源控制。為后續(xù)主機安全等級保護(hù)差距分析及主機安全防護(hù)設(shè)計提供參考數(shù)據(jù)。--------分析工具問卷調(diào)查(部分)測試類別 等級測評（三級）測試對象 Windows 主機系統(tǒng)測試類 主機系統(tǒng)安全測試項 身份鑒別測試要求：操作系統(tǒng)用戶的身份標(biāo)識應(yīng)具有唯一性；應(yīng)對登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；操作系統(tǒng)的身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期更新等；應(yīng)具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時，自動退出。應(yīng)具有警示功能；重要的主機系統(tǒng)應(yīng)與之相連的服務(wù)器或中斷設(shè)備進(jìn)行身份標(biāo)識和鑒別。--------測試方法：“開始”︱“運行”︱ 輸入“cmd”︱輸入“netlocalgroupadministrators ”。查看其輸出結(jié)果在administrators 組里面是否只具有唯一的用戶名。登錄操作系統(tǒng)，在登錄的過程中查看是否需要輸入用戶名和密碼等，來檢驗是否對用戶的身份進(jìn)行標(biāo)示和鑒別。“開始”|“程序”|“管理工具”|“本地安全設(shè)置”|“安全設(shè)置”|“帳戶策略”|“密碼策略：”密碼必須符合復(fù)雜性要求； “開始”|“程序”|“管理工具”|“本地安全設(shè)置” |“安全設(shè)置”|“帳戶策略”|“密碼策略：”密碼長度最小值；“開始|”“程序”|“管理工具”|“本地安全設(shè)置” |“安全設(shè)置”|“帳戶策略”|“密碼策略?！贝蜷_“控制面板”︱ “管理工具”︱ “本地安全設(shè)置”︱ “賬戶策略”︱ 單擊“賬戶鎖定策略”：賬戶鎖定閥值、賬戶鎖定時間等；在此基礎(chǔ)上，打開“本地策略” ︱ 單擊“安全選項夾”：查看是否具有登錄超時時間和自動退出等登錄失敗處理功能?！伴_始”|“程序”|“管理工具”|事件查看器 ︱ 應(yīng)用程序，查看其是否具有警示信息。測試windows 操作系統(tǒng)，可通過使用未進(jìn)行身份標(biāo)識和鑒別的主機連接該服務(wù)器，驗證主機系統(tǒng)能否正確地對與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識和鑒別。--------測試記錄：Administrators 組里面有：□唯一的一個用戶。操作系統(tǒng)的身份標(biāo)示具有唯一性。□二個或者二個以上的用戶。操作系統(tǒng)身份標(biāo)示不具有唯一性。登錄操作系統(tǒng)，在登錄的過程中查看是否需要輸入用戶名和密碼等：否□是□密碼必須符合復(fù)雜性要求是否啟用：□否□是，用戶身份不易被冒用密碼長度最少值密碼最長存留期強制密碼歷史復(fù)位帳戶鎖定計數(shù)器：啟用□分鐘停用□是否設(shè)定了賬戶鎖定閥值：是□否□是否設(shè)定了賬戶鎖定時間：是□否□是否啟用了登錄超時時間：是□否□是否啟用了登錄超時自動退出功能：是□否□強制密碼歷史：個用可還原的加密來儲存密碼：啟用□停用□是否有警示信息：是□否□--------測試結(jié)果：主機系統(tǒng)能否正確地對與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識和鑒別：--------備注：分析結(jié)果《信息系統(tǒng)等級保護(hù) *級windows/Linux類操作系統(tǒng)主機安全檢查表》網(wǎng)絡(luò)安全分析內(nèi)容采用安全掃描、手工檢查、問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)安全符合性調(diào)查。主要包含： 結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù) 7個方面的符合性。 同時為后續(xù)網(wǎng)絡(luò)安全符合性分析及網(wǎng)絡(luò)安全設(shè)計提供參考數(shù)據(jù)。分析工具網(wǎng)絡(luò)安全符合性檢查包括手工登陸網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，同時設(shè)計問卷對網(wǎng)絡(luò)管理員進(jìn)行訪談，并采用工具對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象測試類 網(wǎng)路安全-總體--------測試項 結(jié)構(gòu)安全測試要求：應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。測試方法：訪談網(wǎng)絡(luò)管理員，詢問是否保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；訪談網(wǎng)絡(luò)管理員，詢問是否保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；訪談網(wǎng)絡(luò)管理員，詢問是否在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；訪談網(wǎng)絡(luò)管理員，詢問是否繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段， 并按照方便管理和控制的原則為各子網(wǎng)、 網(wǎng)段分配地址段；--------測試記錄：是否保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要是□否□、是否保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要是□否□、是否在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑是□否□、是否繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是□否□、是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段是□否□--------備注：測試類別 等級測評（三級）測試對象測試類 網(wǎng)路安全 -總體測試項 結(jié)構(gòu)安全 -續(xù)測試要求：應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主機。測試方法：訪談網(wǎng)絡(luò)管理員，詢問是否避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；訪談網(wǎng)絡(luò)管理員，詢問是否按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主機；--------測試記錄：、是否避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段是□否□、是否按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主機是□否□備注：分析結(jié)果《網(wǎng)絡(luò)安全調(diào)查表》應(yīng)用安全分析內(nèi)容采用手工檢查、問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行應(yīng)用安全符合性調(diào)查。主要包含：身份鑒別、訪問控制、安全審計、剩余信--------息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制、代碼安全個方面的符合性。同時為后續(xù)應(yīng)用安全符合性分析及應(yīng)用安全設(shè)計提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象 應(yīng)用系統(tǒng)測試類 應(yīng)用安全測試項 身份鑒別測試要求：系統(tǒng)用戶的身份標(biāo)識應(yīng)具有唯一性；應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別；系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期的更新等；應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；應(yīng)具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時，自動退出；應(yīng)具有鑒別警示功能；應(yīng)用系統(tǒng)應(yīng)及時清除存儲空間中動態(tài)使用的鑒別信息。--------測試方法：訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否采取身份標(biāo)識和鑒別措施，具體措施有哪些。訪談系統(tǒng)管理員，檢查總體規(guī)劃、設(shè)計文檔和檢查重要應(yīng)用系統(tǒng)。訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)對用戶標(biāo)識是否具有唯一性，檢查總體規(guī)劃 /設(shè)計文檔，查看其是否對系統(tǒng)采取了唯一標(biāo)識；檢查重要應(yīng)用系統(tǒng)，查看其是否配備身份標(biāo)識（如建立賬號）和鑒別（如口令等）功能；查看其身份鑒別信息是否具有不易被冒用的特點，例如復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符）或為了便于記憶使用了令牌。檢查重要應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能；檢查和測試主要應(yīng)用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別；對有抗抵賴要求的系統(tǒng)，查看其是否采用數(shù)字證書方式的身份鑒別技術(shù)；檢查主要應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能。測試主要應(yīng)用系統(tǒng)，驗證其是否及時清除存儲空間中動態(tài)使用的鑒別信息（如登錄系統(tǒng)，退出系統(tǒng)后重新登錄系統(tǒng)，查看上次登錄的鑒別信息是否存在） ；測試重要應(yīng)用系統(tǒng)，驗證其登錄失敗處理，非法登錄次數(shù)限制，登錄連接超時自動退出等功能是否有效。測試主要應(yīng)用系統(tǒng)，驗證其是否及時清除存儲空間中動態(tài)使用的鑒別信息（如登錄系統(tǒng)，退出系統(tǒng)后重新登錄系統(tǒng)，查看上次登錄的鑒別信息是否存在） ；--------測試記錄：應(yīng)用系統(tǒng)是否采用身份標(biāo)示和鑒別措施？否□是□〇口令 〇證書〇生物是否提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能？否□是□〇帳號唯一性檢查 〇口令復(fù)雜度要求2.1應(yīng)用系統(tǒng)是否提供對鑒別信息強度檢查功能：是〇具體內(nèi)容：（1）應(yīng)用系統(tǒng)中是否有相應(yīng)的功能模塊保證管理賬號口令、普通賬號口令長度：是〇管理賬號：；普通賬號：；否〇（2）應(yīng)用系統(tǒng)中是否有相應(yīng)的功能模塊保證口令復(fù)雜度：是〇具體內(nèi)容：否〇--------否〇--------能否根據(jù)安全策略配置失敗處理參數(shù)：是〇具體內(nèi)容：否〇主要應(yīng)用系統(tǒng)是否有鑒別警示功能:是〇具體內(nèi)容：否〇、同一用戶是否采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別：否□是□有：、是否及時清除存儲空間中動態(tài)使用的鑒別信息：否□是□備注：分析結(jié)果《信息系統(tǒng)應(yīng)用安全調(diào)查表》數(shù)據(jù)安全及備份恢復(fù)分析內(nèi)容采用手工檢查、問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)--------進(jìn)行數(shù)據(jù)安全符合性調(diào)查。主要包含：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)3個方面的符合性。同時為后續(xù)數(shù)據(jù)安全符合性分析及數(shù)據(jù)安全設(shè)計提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象 應(yīng)用系統(tǒng)測試類 應(yīng)用安全測試項 身份鑒別測試要求：應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)能夠檢測到重要系統(tǒng)的完整性受到破壞，并在檢測到完整性錯誤時采取必復(fù)措施。--------測試方法：可訪談安全員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在存儲、傳輸過程中是否有完整性保證措施，具體措施有哪些；在檢測到完整性錯誤時是否能恢復(fù)，恢復(fù)措施有哪些；檢查操作系統(tǒng)、 網(wǎng)絡(luò)設(shè)備、 數(shù)據(jù)庫管理系統(tǒng)的設(shè)計 /驗收文檔或相關(guān)證明性材料 （如證書、檢驗報告等）等，查看其是否有能檢測 /驗證到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞， 能檢測到系統(tǒng)管理數(shù)據(jù)、 身份鑒別信息和用戶數(shù)據(jù)， 在存儲過程中完整性受到破壞， 能檢測到重要系統(tǒng)完整性受到破壞， 在檢測到完整性錯誤時采取必要的恢復(fù)措施的描述；如果有相關(guān)信息，查看其配置是否正確；檢查主要應(yīng)用系統(tǒng)， 查看其是否配備檢測 /驗證系統(tǒng)管理數(shù)據(jù)、 鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能；是否配備檢測 /驗證重要系統(tǒng) /模塊完整性受到破壞的功能；在檢測 /驗證到完整性錯誤時能采取必要的恢復(fù)措施；應(yīng)檢查主要應(yīng)用系統(tǒng)，查看其是否配備檢測系統(tǒng)完整性受到破壞的功能；并在檢測到完整性錯誤時采取必要的恢復(fù)措施。--------測試記錄：業(yè)務(wù)數(shù)據(jù)系統(tǒng)數(shù)據(jù)在儲存、傳輸過程中是否有完整性保證措施：是具體措施是：否檢測到完整性錯誤時是否能恢復(fù)：是恢復(fù)措施是：否操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)的設(shè)計 /驗收文檔或相關(guān)證明性材料（如證書、檢驗報告等）等，是否有能檢測 /驗證到系統(tǒng)管理數(shù)據(jù)（如 WINDOWS 域管理、目錄管理數(shù)據(jù)）、鑒別信息（如用戶名和口令）和用戶數(shù)據(jù)（如用戶數(shù)據(jù)文件）在傳輸過程中完整性受到破壞，能檢測到系統(tǒng)管理數(shù)據(jù)、身份鑒別信息和用戶數(shù)據(jù)（如防火墻的訪問控制規(guī)則）在存儲過程中完整性受到破壞， 能檢測到重要系統(tǒng)完整性受到破壞， 在檢測到完整性錯誤時采取必要的恢復(fù)措施的描述：有其配置是否正確：○是○否無主要應(yīng)用系統(tǒng)是否配備檢測 /驗證系統(tǒng)管理數(shù)據(jù)、 鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能：是□否是否配備檢測 /驗證重要系統(tǒng) /模塊完整性受到破壞的功能：是在檢測/驗證到完整性錯誤時能否采取必要的恢復(fù)措施：○是○否--------備注：分析結(jié)果《信息系統(tǒng)數(shù)據(jù)安全調(diào)查表》安全管理制度分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：管理制度、制定和發(fā)布、評審和修訂 3個方面的符合性。同時為后續(xù)安全管理制度符合性分析及安全管理制度設(shè)計提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象測試類 安全管理制度測試項 管理制度--------測試要求：應(yīng)制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；建立操作規(guī)程， 以規(guī)范操作行為，應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作，防止操作失誤；應(yīng)形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系；應(yīng)由安全管理職能部門定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。--------測試方法：應(yīng)訪談安全主管，詢問機構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對安全管理制度體系進(jìn)行評審，評審周期多長；應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文件是否明確機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等，是否明確信息系統(tǒng)的安全策略；應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等；應(yīng)檢查是否具有安全管理制度體系的評審記錄，查看記錄日期與評審周期是否一致，是否記錄了相關(guān)人員的評審意見。--------測試記錄：機構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成？否□是□是否定期對安全管理制度體系進(jìn)行評審？否□是□〇評審周期多長？信息安全工作的總體方針、政策性文件和安全策略文件是否明確機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等？否□是□〇是否明確信息系統(tǒng)的安全策略？否□是□安全管理制度清單是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面？否□是□是否具有重要管理操作的操作規(guī)程？（如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等）否□是□是否具有安全管理制度體系的評審記錄？--------備注：分析結(jié)果《信息安全管理制度調(diào)查表》安全管理機構(gòu)分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。 主要包含：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查 5個方面的符合性。同時為后續(xù)安全管理機構(gòu)符合性分析及安全管理機構(gòu)設(shè)計提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象 機構(gòu)安全測試類 安全管理機構(gòu)測試項 崗位設(shè)置--------測試要求：應(yīng)設(shè)立信息安全管理工作的職能部門， 設(shè)立安全主管人、 安全管理各個方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；應(yīng)設(shè)立系統(tǒng)管理人員、 網(wǎng)絡(luò)管理人員、 安全管理人員崗位， 定義各個工作崗位的職責(zé)；應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。--------測試方法：應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；應(yīng)訪談安全主管，詢問是否設(shè)立專職的安全管理機構(gòu)（即信息安全管理工作的職能部門）；機構(gòu)內(nèi)部門設(shè)置情況如何，是否明確各部門職責(zé)分工；應(yīng)訪談安全主管， 詢問是否設(shè)立安全管理各個方面的負(fù)責(zé)人， 設(shè)置了哪些工作崗位 （如安全主管、安全管理各個方面的負(fù)責(zé)人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位），是否明確各個崗位的職責(zé)分工；應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容；應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機構(gòu)的職責(zé)，是否明確機構(gòu)內(nèi)各部門的職責(zé)和分工， 部門職責(zé)是否涵蓋物理、 網(wǎng)絡(luò)和系統(tǒng)等各個方面； 查看文件是否明確設(shè)置安全主管、安全管理各個方面的負(fù)責(zé)人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個崗位， 各個崗位的職責(zé)范圍是否清晰、 明確； 查看文件是否明確各個崗位人員應(yīng)具有的技能要求；應(yīng)檢查信息安全管理委員會或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對其最高領(lǐng)導(dǎo)的委任授權(quán)書；應(yīng)檢查信息安全管理委員會職責(zé)文件，查看是否明確描述委員會的職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；應(yīng)檢查安全管理各部門和信息安全管理委員會或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會議記錄 /紀(jì)要和信息安全工作決策文檔等） 。--------測試記錄：是否設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組？否□是□〇最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任？否□是□是否設(shè)立專職的安全管理機構(gòu)（即信息安全管理工作的職能部門）？否□是□〇機構(gòu)內(nèi)部門設(shè)置情況如何？〇是否明確各部門職責(zé)分工 ?否□是□是□是否設(shè)立安全管理各個方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位〇安全主管□ 〇安全管理各個方面的負(fù)責(zé)人□〇機房管理員□ 〇系統(tǒng)管理員□〇網(wǎng)絡(luò)管理員□ 〇安全員□〇是否明確各個崗位的職責(zé)分工 ?否□--------?--------備注：分析結(jié)果《安全管理機構(gòu)調(diào)查表》人員安全管理分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、第三方人員訪問管理 5個方面的符合性。 同時為后續(xù)人員安全管理符合性分析提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象 人員安全測試類 人員安全管理測試項 人員錄用--------測試要求：應(yīng)保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識；應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查；應(yīng)對被錄用人所具備的技術(shù)技能進(jìn)行考核；應(yīng)對被錄用人說明其角色和職責(zé)；應(yīng)簽署保密協(xié)議；對從事關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員選拔，并定期進(jìn)行信用審查；對從事關(guān)鍵崗位的人員應(yīng)簽署崗位安全協(xié)議。--------測試方法：應(yīng)訪談人事負(fù)責(zé)人，詢問在人員錄用時對人員條件有哪些要求，目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對應(yīng)的工作；應(yīng)訪談人事工作人員，詢問在人員錄用時是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查， 對技術(shù)人員的技術(shù)技能進(jìn)行考核， 錄用后是否與其簽署保密協(xié)議， 是否對其說明工作職責(zé)；應(yīng)訪談人事負(fù)責(zé)人，詢問對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全安全協(xié)議，是否定期對關(guān)鍵崗位人員進(jìn)行信用審查，審查周期多長；應(yīng)檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等；應(yīng)檢查是否具有人員錄用時對錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；應(yīng)檢查技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容；應(yīng)檢查信用審查記錄，查看是否記錄了審查內(nèi)容和審查結(jié)果等，查看審查時間與審查周期是否一致。--------測試記錄：在人員錄用時對人員條件有哪些要求？目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對應(yīng)的工作？否□是□在人員錄用時是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查？否□是□〇對技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與其簽署保密協(xié)議？否□是□〇是否對其說明工作職責(zé)？否□是□對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔？否□是□是否要求其簽署崗位安全安全協(xié)議？否□是□是否定期對關(guān)鍵崗位人員進(jìn)行信用審查？否□是□〇審查周期多長？人員錄用要求管理文檔是否說明錄用人員應(yīng)具備的條件？（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等）--------備注：分析結(jié)果《人員安全管理調(diào)查表》系統(tǒng)建設(shè)管理分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案 9個方面的符合性。同時為后續(xù)系統(tǒng)建設(shè)管理符合性分析提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象 系統(tǒng)建設(shè)測試類 系統(tǒng)建設(shè)管理測試項 系統(tǒng)定級--------測試要求：應(yīng)明確信息系統(tǒng)劃分的方法；應(yīng)確定信息系統(tǒng)的安全保護(hù)等級；包括使命、 業(yè)務(wù)、網(wǎng)絡(luò)、應(yīng)以書面的形式定義確定了安全保護(hù)等級的信息系統(tǒng)的屬性，硬件、軟件、數(shù)據(jù)、邊界、人員等；應(yīng)以書面的形式說明確定一個信息系統(tǒng)為某個安全保護(hù)等級的方法和理由；應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)的定級結(jié)果的合理性和正確性進(jìn)行論證和審定；應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。--------測試方法：應(yīng)訪談安全主管，詢問劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo)， 是否對其進(jìn)行明確描述； 是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果進(jìn)行論證和審定，定級結(jié)果是否獲得了相關(guān)部門（如上級主管部門）的批準(zhǔn)；應(yīng)檢查系統(tǒng)劃分文檔，查看文檔是否明確描述信息系統(tǒng)劃分的方法和理由；應(yīng)檢查系統(tǒng)定級文檔，查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級，是否明確描述確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由，是否給出安全等級保護(hù)措施組成 SxAyGz值；查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章；應(yīng)檢查專家論證文檔，查看是否有專家對定級結(jié)果的論證意見；業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、應(yīng)檢查系統(tǒng)屬性說明文檔，查看文檔是否明確了系統(tǒng)使命、數(shù)據(jù)、邊界、人員等。--------測試記錄：劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo) ?否□是□〇是否對其進(jìn)行明確描述 ?否□是□〇是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果進(jìn)行論證和審定 ?否□是□〇定級結(jié)果是否獲得了相關(guān)部門（如上級主管部門）的批準(zhǔn) ?否□是□系統(tǒng)劃分文檔是否明確描述信息系統(tǒng)劃分的方法和理由 ?否□是□系統(tǒng)定級文檔 :〇是否給出信息系統(tǒng)的安全保護(hù)等級 ?否□是□--------〇是否明確描述確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由 ?--------備注：分析結(jié)果《系統(tǒng)建設(shè)管理調(diào)查表》系統(tǒng)運維管理分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行系統(tǒng)運維管理符合性調(diào)查。主要包含：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理 13個方面的符合性。同時為后續(xù)系統(tǒng)運維管理符合性分析提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級測評（三級）測試對象 系統(tǒng)運維測試類 系統(tǒng)運維管理測試項 環(huán)境管理--------測試要求：應(yīng)對機房供配電、 空調(diào)、溫濕度控制等設(shè)施指定專人或?qū)ｉT的部門定期進(jìn)行維護(hù)管理；應(yīng)配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進(jìn)行管理；應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進(jìn)、帶出機房和機房環(huán)境安全等方面作出規(guī)定；應(yīng)加強對辦公環(huán)境的保密性管理，包括如工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等；應(yīng)有指定的部門負(fù)責(zé)機房安全，并配置電子門禁系統(tǒng)，對機房來訪人員實行登記記錄和電子記錄雙重備案管理；應(yīng)對辦公環(huán)境的人員行為，如工作人員離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等作出規(guī)定。--------測試方法：應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定專人或部門對機房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門 /何人負(fù)責(zé)，維護(hù)周期多長；應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定人員負(fù)責(zé)機房安全管理工作，對機房進(jìn)出管理是否要求制度化和文檔化；應(yīng)訪談機房值守人員，詢問對外來人員進(jìn)出機房是否采用人工記錄和電子記錄雙重控制；應(yīng)訪談工作人員，詢問對辦公環(huán)境的保密性要求事項；應(yīng)檢查機房安全管理制度， 查看其內(nèi)容是否覆蓋機房物理訪問、 物品帶進(jìn)、 帶出機房、機房環(huán)境安全等方面；應(yīng)檢查辦公環(huán)境管理文檔，查看其內(nèi)容是否對工作人員離開座位后的保密行為（如清理桌面文件和屏幕鎖定等） 、人員調(diào)離辦公室后的行為等方面進(jìn)行規(guī)定；應(yīng)檢查機房進(jìn)出登記表，查看是否記錄外來人員進(jìn)出時間、人員姓名、訪問原因等內(nèi)容；查看是否具有電子門禁系統(tǒng)，電子記錄文檔是否有時間、人員等信息；應(yīng)檢查機房基礎(chǔ)設(shè)施維護(hù)記錄，查看是否記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容。--------測試記錄：是否指定專人或部門對機房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)？否□是□〇由何部門 /何人負(fù)責(zé)？〇維護(hù)周期多長？是否指定人員負(fù)責(zé)機房安全管理工作，對機房進(jìn)出管理是否要求制度化和文檔化？否□是□對外來人員進(jìn)出機房是否采用人工記錄和電子記錄雙重控制？否□是□對辦公環(huán)境的保密性要求事項？機房安全管理制度內(nèi)容是否覆蓋機房物理訪問、物品帶進(jìn)、帶出機房、機房環(huán)境安全等方面？否□是□辦公環(huán)境管理文檔是否對工作人員離開座位后的保密行為（如清理桌面文件和屏幕鎖定等）、人員調(diào)離辦公室后的行為等方面進(jìn)行規(guī)定？否□--------備注：分析結(jié)果《系統(tǒng)運維管理調(diào)查表》提交成果某部委信息系統(tǒng)差距分析過程中將產(chǎn)生眾多文檔，其中包括過程文檔和結(jié)果文檔，過程文檔用以支持咨詢?nèi)藛T進(jìn)行差距分析，并形成結(jié)果文檔 《信息系統(tǒng)等級保護(hù)差距分析報告》。信息系統(tǒng)等級保護(hù)差距分析報告主要內(nèi)容：差距分析是以現(xiàn)場調(diào)查和測試所收集的信息為依據(jù)， 滿足等級保護(hù)要求為目標(biāo)， 對現(xiàn)有系統(tǒng)安全做出的一種客觀的、真實的評價。 報告內(nèi)容包括對各信息系統(tǒng)現(xiàn)有安全防護(hù)水平與相應(yīng)等級之間差距的描述和整改建議等。 差距分析是制定信息系統(tǒng)安全等級保護(hù)體系設(shè)計方案前的一個非常關(guān)鍵的環(huán)節(jié)， 為信息系統(tǒng)安全等級保護(hù)體系設(shè)計方案的撰寫提供參考。--------等級保護(hù)整改方案設(shè)計隨著信息技術(shù)的發(fā)展和信息化的深入應(yīng)用，各行各業(yè)尤其是在某，業(yè)務(wù)自動化的實現(xiàn)有效提高了職能部門工作效率、 節(jié)省了大量人力物力， 但是隨之而來的信息安全問題也給信息系統(tǒng)運營使用單位帶來嚴(yán)重的負(fù)面影響和經(jīng)濟損失。在信息安全建設(shè)的過程中，管理人員和技術(shù)人員逐步發(fā)現(xiàn)，信息安全不僅僅是技術(shù)問題，更多是管理問題，如人員安全意識不高、操作不規(guī)范等，再加上沒有完善的安全運維體系，一旦發(fā)生安全事件，沒有成熟有效的機制進(jìn)行處理，導(dǎo)致安全事件產(chǎn)生較嚴(yán)重的后果，帶來較嚴(yán)重的負(fù)面影響。因此，有必要結(jié)合某部委實際網(wǎng)絡(luò)狀況、業(yè)務(wù)情況等，參考國際信息安全管理成熟理論和方法， 根據(jù)國家信息安全保障政策法規(guī)和標(biāo)準(zhǔn)規(guī)范， 其中主要是等級保護(hù)相關(guān)的有關(guān)政策和標(biāo)準(zhǔn)，建立某部委等級化的信息安全保障體系。工作目的等級保護(hù)體系設(shè)計的工作目的是根據(jù)前期系統(tǒng)定級、差距分析和等級保護(hù)整改結(jié)果，結(jié)合某部委的實際網(wǎng)絡(luò)和系統(tǒng)情況以及業(yè)務(wù)現(xiàn)狀， 參考國內(nèi)外成熟的信息安全管理理論和實踐，以國家信息安全等級保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范為指導(dǎo)，從安全技術(shù)、安全管理和安全服務(wù)三個維度，設(shè)計合理的信息安全策略，以及安全技術(shù)措施、安全管理組織、 安全管理制度等， 建立結(jié)構(gòu)化的信息安全管理體系，整體提高某部委信息安全防護(hù)能力，滿足國家等級保護(hù)要求， 切實保障信息系統(tǒng)安全穩(wěn)定運行，建立信息安全長久機制。--------工作方式等級保護(hù)體系設(shè)計的工作方式主要如下。項目會議：等級保護(hù)體系設(shè)計項目小組通過組織系統(tǒng)定級實施人員、差距分析實施人員以及等級保護(hù)整改實施人員召開會議，了解某部委網(wǎng)絡(luò)和系統(tǒng)現(xiàn)狀，從實際需求和政策符合性等多個方面挖掘安全需求，分析某部委的行業(yè)要求和業(yè)務(wù)要求，確定等級保護(hù)體系設(shè)計依據(jù)的政策法規(guī)和標(biāo)準(zhǔn)規(guī)范等，為體系設(shè)計方案編寫提供依據(jù)。方案設(shè)計：由資深安全咨詢顧問組織人員力量進(jìn)行方案編制。內(nèi)部評審：由國都興業(yè)專家組對體系設(shè)計方案進(jìn)行評審，評審內(nèi)容包括方案的合理性、先進(jìn)性、可行性等?？蛻艚涣鳎和ㄟ^內(nèi)部評審后，與某部委相關(guān)人員就方案設(shè)計進(jìn)行深入溝通和交流，針對某部委的個性化需求，調(diào)整方案設(shè)計。專家評審：最后由國都興業(yè)公司組織外部專家對方案的合理性、先進(jìn)性和可行性進(jìn)一步進(jìn)行評審。工作內(nèi)容體系設(shè)計的工作內(nèi)容主要包括方案設(shè)計項目小組組織會議了解某部委及其被評估網(wǎng)絡(luò)和系統(tǒng)的現(xiàn)狀、需求等，然后進(jìn)行方案設(shè)計，在方案設(shè)計過程中，反復(fù)與某部委進(jìn)行交流和內(nèi)部評審， 最終通過外部專家評審，提交給