等级保护建设方案

建设背景：随着等级保护工作在我国的深入开展，各行业落实信息安全等级保护制度成为近期工作重点，政府、金融、能源等行业结合行业业务特点制定了本行业等级保护相关标准，有力推进了等级保护建设。等级保护近年来推进不仅有国家政策保证，而且实践推广全面加速。

等级保护制度已经推行十余年，尤其是近两年公安部牵头召开等级保护测评体系建设会议及等级保护技术研讨会议，本身也是非常强烈的信号释放。2009年《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)发布，标志着等级保护工作全面进入建设整改工作阶段；2011年是等级保护测评工作全面开展的一年；2012年政府、电力、金融等行业及央企的等级保护工作力度持续加大。随着电子政务外网建设等安全要求进一步明确，云计算、物联网等新技术在未来应用的范围将会逐步扩展，如何在新技术环境下开展等级保护建设是当前等级保护工作面临的一项挑战。与此同时，各行业等级保护建设整改和等级保护测评工作继续推进，未来几年内工作重点在建设整改和等级测评等方面，等级保护工作进入了新的篇章。

综合分析系统现状、行业相关要求及客户的安全现状

1.信息系统定级与定级变更：协助客户进行系统定级以及定级变更，视系统变更情况决定是否需要对系统进行重新定级备案，协助客户重新对信息进行定级备案。

2.等级保护差距分析：按照等级保护的基线，对信息系统进行等级保护差距分析，同时为后期的规划与整改做好调研工作。

3.整改与规划方案设计：根据定级和等级差距分析评估的结果，进行总体分析，分析客户的安全需求，然后根据公安部的等级保护基本要求，以及《信息安全等级保护安全建设整改工作指南》以及《信息系统等级保护安全设计技术要求》等标准，在满足客户信息系统在技术和管理层面的安全需求的前提下，进行安全规划和设计。

4.整改的落实：根据整改设计方案，进行技术整改（安全集成、安全加固）以及管理整改，从而满足等级保护要求。

5.等级保护合规审计：通过测试手段对对安全技术和安全管理上各个层面的安全控制进行整体性合规验证，查漏补缺。

6.协助测评：除了协助提供等级保护测评所需资料，还将配合测评机构的现场测评工作。陪同客户有关人员配合现场测评工作，协助回答测评人员问题，协助客户完成主要信息系统通过国家等级保护的相应测评。

7. 等级保护安全运维：对信息系统进行等级保护安全运维，将等级保护技术和管理要求落实在日常运维工作中，提供安全监控服务和驻场值守服务。

重要信息系统的定级工作，是开展等级保护的首要环节，是进行信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。如果信息系统有重大变更，将协助客户重新对信息系统进行定级备案工作。依据丰富的等级保护咨询经验，根据客户信息系统的业务要求、信息系统的实际情况，为客户提供定级咨询工作，具体包括：

沟通、培训国家等级保护相关政策精神、要求及最新进展；

分析客户的组织架构、业务要求、信息系统等内容，对重要信息系统进行摸底调查，确定定级对象；

针对定级对象，基于国家《定级指南》，协助客户初步确定客户重要信息系统的等级，完成《定级报告》；

编写《安全等级保护定级指南》；

协助进行专家评审和审批，协助完成定级备案工作；

进行定级工作总结。