信息安全等级保护工作详解

1.  系统定级

根据业务信息和系统服务两方面评定对客体的侵害程度，确定定级对象的安全保护等级；

三级以上系统需要开专家会评审。

2.  申请备案

向信息安全管理部门备案（经信局信息安全协调处or网安）；

提交备案材料（系统备案表、系统定级报告；三级以上系统需提供网络拓扑图、安全建设方案、信息安全管理制度、安全产品清单及认证证书和销售许可证、专家评审意见）；

取得备案证书。

3.  申请测评  3.1. 填写测评委托书

向有资质的测评机关申请等保测评，签订合同；

填写测评委托书（加盖公章）。

  3.2. 差距分析（建议入场测评前进行自测评）

    3.2.1 物理安全

根据物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、电力供应、电磁防护等几方面进行评估。

  3.2.2 网络安全

根据网络结构、访问控制、安全审计边界完整性检测、入侵防范、恶意代码防范、网络设备防护等几方面进行评估。

    3.2.3 主机安全

根据身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等几方面进行评估。

    3.2.4 应用安全

根据身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等几方面进行评估。

    3.2.5 数据安全

根据数据完整性、数据保密性、备份与恢复等几方面进行评估。    3.2.6 信息安全管理检查信息安全管理制度是否齐备、过程记录是否完整。

安全子类相关制度或规定相关记录

管理制度

《XX单位信息安全总体方针和安全策略》

安全策略、管理制度、操作规程等纸质或电子版文档

制定和发布

（管理制度的版本控制、发布范围等规定）

制度论证审定记录、正式发布证明、收发文登记记录

评审和修订

（定期对制度进行检查和审定的有关规定）

制度评审记录、修订记录（会议签到表、电子邮件等）

岗位设置

《XX单位组织管理规定》
 （明确部门和岗位职责）
 （明确信息安全工作委员会或领导小组职责和Zui高领导岗位职责）

各岗位人员执行日常管理工作的文件或工作记录、成立信息安全工作委员会或领导小组的正式文件、委员会或领导小组职责文件

人员配备

《岗位职责书》

《员工信息表》或人员名册

授权和审批

审批程序、（针对重要活动）逐级审批制度

审批记录（如外部网络接入、核心设备配置变更等）、审批事项的更新记录

沟通和合作

（部门内部、外联单位之间的沟通机制）

内部会议相关记录、《外联单位联系列表》、聘请常年安全顾问的记录、安全专家参与安全评审的记录

审核和检查

《安全审核和检查制度》

安全管理员的检查记录、《安全检查表格》、《安全检查报告》

人员录用

《人员安全管理制度》

录用考核记录、《保密协议》、《岗位安全协议》

人员离岗

（人员离岗方面的相关规定）

《离岗申请书》、岗位调离手续等相关材料

人员考核

（人员考核方面的相关规定）

人员考核和审查的相关记录（如《在岗人员考核表》）、关键岗位人员的安全审查和技能考核记录

安全意识教育和培训

（安全责任和惩戒措施的书面规定）
 （定期安全教育和培训的书面规定）

安全意识教育和培训计划、人员培训相关记录

外部人员
 访问管理

（外部人员允许访问的区域、系统、设备、信息等内容的书面规定）

外部人员访问受控区域的书面申请、登记记录（如《机房出入登记表》等）

系统定级

《系统建设管理制度》/《项目管理规定》

《系统定级报告》、报告的论证和审定记录、批准记录

安全方案
 设计

（近期或远期的安全建设工作计划）

《（配套的）安全建设方案》、方案的论证和审定记录、方案的调整和修订记录（初次等级测评、风险评估不要求）

产品采购

（产品采购流程相关规定）

产品采购清单、产品选型测试结果记录、候选产品名单的审定和更新记录

自行软件
 开发

（代码编写安全规范）

软件设计的相关文档、软件使用指南或操作、维护手册

外包软件
 开发

（外包软件开发过程相关规定）

软件包恶意代码检测记录、软件源代码审查记录

工程实施

（工程实施方面的管理制度）

工程实施方案、阶段性报告

测试验收

（测试验收方面的相关规定）

测试验收方案、测试验收报告（需签字确认）

系统交付

（系统交付方面的相关规定）

（详细的）系统交付清单、系统建设过程文档、指导用户进行系统运行维护文档

系统备案

/

系统定级及其他相关文档、系统备案编号

等级测评

/

测评机构资质、《等级测评报告》（初测不做要求）

安全服务商选择

/

安全服务商的资质证明、服务合同、安全方面的协议

环境管理

《机房安全管理制度》
 （办公场所的安全管理办法）

机房基础设施（供配电、空调、温湿度控制等）维护记录、《机房出入登记表》、《机房设备进入进出记录》

资产管理

《资产安全管理制度》
 （信息分类与标识方法相关规定）
 （信息使用、传输和存储方面的规定）

资产清单（责任部门、重要程度、所处位置等）

介质管理

《介质安全管理制度》

介质使用/归档/查询/维修/销毁登记记录

设备管理

《设备管理制度》
 （设备维护方面的规定）

设备操作规程、设备购买申请表、设备维护/报废记录

监控管理和安全管理中心

/

监控记录、报警记录的分析汇总报告

网络安全管理

《网络安全管理制度》
 （Zui小配置、接入控制、违规行为等规定）

网络运行日志、监控记录、网络设备配置等相关记录、
 网络漏洞扫描报告、外联授权书、接入申请表、违规行为处理情况报告

系统安全管理

《系统安全管理制度》
 （划分系统管理员角色以及Zui小授权原则方面的规定）

系统漏洞扫描报告、维护操作的详细记录、审批记录
 系统日志和审计数据的定期分析记录

恶意代码防范管理

《防病毒管理规定》
 （定期检查恶意代码防范情况的相关规定）

恶意代码检测记录、恶意代码库升级记录和分析报告、定期的恶意代码防范情况检查记录

密码管理

《密码管理制度》/《密码产品使用规范》

密码产品（如数字证书、USBKey等）厂商的资质证明

变更管理

《系统变更管理制度》
 （变更控制的申报和审批文件化程序或相关规定）（中止变更并从失败变更中恢复的文件化程序或相关规定）

变更方案（重大变更要有）、变更申报和审批记录（或《变更申请表》）、中止变更并从失败变更中恢复过程记录、恢复过程的演练记录

备份与恢复管理

备份策略和恢复策略、《备份与恢复管理制度》（控制数据备份和恢复过程的程序或相关规定）（定期执行恢复程序的相关规定）

《备份识别清单》、数据备份过程记录、数据恢复和测试过程记录

安全事件处置

《信息安全事件处置管理规定》
 安全事件报告和响应处理程序

《信息安全事件报告表》、《安全事件处理结果报告》

应急预案管理

《XX信息安全应急预案管理规定》或《XX系统应急预案》
 （定期对应急预案进行演练的相关规定）（应急预案定期审查和更新的相关规定）

《应急预案框架》、应急预案培训记录、应急预案演练记录、应急预案更新记录

3.3.  安全整改

根据差距分析的结果进行安全整改和加固。

4. 入场测评并出具初测结果

测评机构入场测评，从信息安全管理、物理安全、网络安全、主机安全、应用安全、数据安全进行评测。测评机构根据初测情况出具初测报告（技术检测记录、不符项列表）。

5. 不符项整改

被测单位根据初测结果进行整改。

6.  复测并出具安全等级测评报告

测评机构入场进行复测并出具Zui终《安全等级测评报告》。

7. 相关技术工作  7.1 管理安全

定期对信息安全管理制度进行修订、评审、发布，并留存工作过程文档。

7.2.  应用安全  7.2.1. 渗透测试

模拟外部攻击，查找应用层面的安全漏洞。

7.2.2. 代码审计

对源代码进行安全审计，查找代码层面的安全漏洞。

7.3.  主机安全  7.3.1. 安全巡检

定期对主机操作系统进行安全巡检，已了解主机运行情况、资源使用情况等。

  7.3.2. 漏洞扫描

定期对操作系统、中间件、数据库进行漏洞扫描，此类扫描基于端口实现，对标CVE漏洞库，查找版本缺陷。

7.3.3. 安全基线核查（脆弱性检查）

对操作系统、中间件、数据库以及网络安全设备进行安全基线核查，查找安全策略配置层面的不符项及安全漏洞。

7.4.  数据安全

数据传输的保密性需要传输敏感数据时使用加密通道；数据存储的保密性可借助第三方工具实现。

7.5.  安全监控体系

搭建多维度的安全监控体系，对应用的可用性、安全漏洞、网页挂马、网页篡改、内容等方面进行监控；对整体网络节点进行监控；对主机的可用性、资源使用情况、网络流量进行监控。

7.6. 信息安全培训

根据管理规定，定期定向对信息化工作人员进行不同种类的安全培训，留存培训记录等相关文档。

7.7.  应急响应体系

应急预案的维护：定期修订应急预案及专项预案，并组织对应急预案的培训和贯宣。应急演练：定期根据应急预案及专项预案内容进行应急演练，旨在验证应急预案的有效性，演练后对应急预案进行修订。应急响应：发生应急事件时及时按照预案内容进行响应，如确认为安全事件，需对现场证据进行取证、留存、备查。

7.8.备份体系建立适合自身的备份体系，对系统代码、文件、数据库进行定期或实时备份，三级系统要求异地备份。

日志备份：按照网安法规定网络、安全核心设备和主要系统的日志要求留存180日。