可编辑等级保护整改与安全建设方案_ 、八 、, 前言等级保护保护整改与安全建设工作重要性依据公通字[2007]43 号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。等保整改与建设过程主要包括:等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。(一)等级保护差距分析1. 等级保护风险评估1)评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、可编辑详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说风险评估的结果更能体现是客户信息系统技术层面的安全现状比,差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入通过专业的等级评估服务,协助用户完成以下的目标:•了解信息系统的管理、网络和系统安全现状;•确定可能对资产造成危害的威胁;•确定威胁实施的可能性;•对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;•对最重要的...
