2019

密級：公開

解決方案模板

等級保護合規(guī)性咨

詢服務產品

版權聲明

XXXX信息安全技術有限公司版權所有，并保留對本文檔及本聲明的最終解釋權和修改

權。

本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特

別注明外，其著作權或其他相關權利均屬于XXXX信息安全技術有限公司。未經XXXX信息安

全技術有限公司書面同意，任何人不得以任何方式或形式對本手冊內的任何部分進行復制、

摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途。

免責條款

本文檔依據(jù)現(xiàn)有信息制作，其內容如有更改，恕不另行通知。

XXXX信息安全技術有限公司在編寫該文檔的時候已盡最大努力保訐其內容準確可靠，

但XXXX信息安全技術有限公司不對本文檔中的遺漏、不準確或錯誤導致的損失和損害承擔

責任。

目錄

版權聲明...........................................................ii

免責條款...........................................................ii

信息反饋...........................................錯誤!未定義書簽。

1項目概述...........................................6

1.1項目背景.......................................................6

1.2需求分析.......................................................6

1.3項目周期.......................................................7

1.4項目范圍.......................................................7

2等級保護合規(guī)性服務方案.............................7

2.1服務依據(jù)........................................................7

2.2服務目標.......................................................8

2.3服務原則.......................................................9

2.4總體流程.......................................................1()

3等級保護合規(guī)性服務實施方案........................10

3.1計劃準備階段...................................................10

3.1.1工作目標...................................................10

3.1.2工作任務..................................................11

3.1.2.1召開啟動會...........................................11

3.1.2.2組建項目組...........................................11

3.1.2.3等級保護培訓.........................................12

3.1.2.4編制實施方案和計劃...................................12

3.1.2.5準備實旅工具和表單...................................12

3.1.3成果輸出..................................................12

3.2定級咨詢階段...................................................12

3.2.1工作目標...................................................13

3.2.2工作任務..................................................13

3.2.2.1定級準備.............................................13

3.2.2.2信息摸底調查.........................................14

3.2.2.3初步定級.................................................15

3.2.2.4評審、審批和備案........................................16

323成果輸出.......................................................17

3.3差距評估階段.......................................................18

3.3.1工作目標.......................................................18

3.3.2工作任務.......................................................19

3.3.2.1評估準備.................................................19

33.2.2編寫評估方案...........................................21

332.3現(xiàn)場評估分析...........................................23

3.3.2.4編制評估報告............................................24

3.3.3成果輸出......................................................31

3.4整改咨詢階段.......................................................31

3.4.1工作目標.......................................................31

3.4.2工作任務......................................................32

3.4.2.1安全建設方案............................................32

3.422安全技術整改............................................37

3.423安全管理制度建設........................................38

3.4.2.4輔助測評..............................................39

3.4.3成果輸出.......................................................39

3.5服務驗收階段.......................................................39

3.5.1工作目標.......................................................39

3.5.2工作任務......................................................39

3.5.3成果輸出......................................................40

3.6成果交付一覽表....................................................40

3.7項目實施計劃......................................................40

3.8項目組織管理......................................................45

3.8.1組織架構.......................................................45

3.8.2角色責任......................................................45

3.9項目主要成員......................................................47

3.9.1項目成員.......................................................47

3.9.2成員簡歷.......................................................47

3.9.2.1xxx................................................................................................47

3.10項目質量管理.....................................................48

3.10.1變更管理.....................................................48

3.10.2溝通管理.....................................................49

3.10.3會議管理.....................................................49

3.11風險管理..........................................................49

3.12保密控制..........................................................49

3.12.1保密承諾.....................................................49

3.12.2保密協(xié)議.....................................................50

3.12.3安全保密管理.................................................50

3.12.4文檔材料的安全管理...........................................50

3.12.5離場及項目結束的安全管理....................................50

3.12.6例外情況.....................................................50

4關于XX公司.......................................50

4.1公司介紹...........................................................50

4.2服務特點...........................................................53

4.2.1專業(yè)的安全服務團隊...........................................53

4.2.2豐富的等護技術積累...........................................53

4.2.3超千項的等保服務經驗.........................................53

4.2.4標準化項目管理................................................54

5客戶收益..........................................54

5.1.1滿足合規(guī)要求..................................................54

5.1.2識別安全風險..................................................54

5.1.3提升俁障能力..................................................54

5.1.4提高安全意識..................................................54

5.1.5合理科學投資..................................................54

等級保護合規(guī)性咨詢服務產品解決方案

1項目概述

1.1項目背景

V根據(jù)項H招標建議書中內容編寫項目目標,

1.2需求分析

2019年5月13日，國家市場監(jiān)督管理總局、國家標準化委員會召開新聞發(fā)布會，通報

國家標準制定流程改革的有關情況，同時發(fā)布了一批重要國家標準，即：《信息安全技術網

絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全

年技術網絡安全等級保護安全設計技術要求》，這標志著我國等級保護正式進入2.0時代。

網絡安全等級保護制度是國家網絡安全領域的基本國策、基本制度和基本方法。隨著信

息技術的發(fā)展和網絡安全形勢的變化，等級保護制度2.0在1.0的基礎上，注重全方位主動

防御、動態(tài)防御、整體防控和精準防護，實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)和工

業(yè)控制信息系統(tǒng)等保護對象全覆蓋，以及除個人及家庭自建網絡之外的領域全覆蓋。網絡安

全等級保護制度2.0國家標準的發(fā)布，對加強我國網絡安全保障工作，提升網絡安全保護能

力具有重要意義。

(1)法律法規(guī)要求

2。17年6月1日，《中華人民共和國網絡安全法》的正式實施，將網絡安全等級保護

由基本制度、基本國策，上升為法律，換句話說：網絡運營者不履行落實等級保護的義務就

是違法！

像一HJIdt.方

圖1網絡安全法中關于等級保護的要求

6

等級保護合規(guī)性咨詢服務產品解決方案

(2)行業(yè)主管單位要求

目前在金融、電力、廣電、醫(yī)療、教育等行業(yè)，主管單位明確要求從業(yè)機構的信息系統(tǒng)

要開展等級保護工作，因此落實等級保護已經是各行各業(yè)必須執(zhí)行的工作。

XX公司作為等級保護安全建設服務機構，始終踐行網絡安全等級保護，在等級保護2.0

時代，XX公司在多年積累的安全能力和等級保護系列標準相結合，推出一系列等級保護服

務，內容.上涵蓋了等級保護定級、差距評估、規(guī)劃、實施、測評等各個環(huán)節(jié)。協(xié)助用戶成功

實施等保，為用戶構建全面信息安全保證體系保駕護航。

(3)企業(yè)系統(tǒng)安全需求

落實等級保護2.0最重要的原因是通過開展等級保護工作，可發(fā)現(xiàn)系統(tǒng)與國家安全標準

之間存在的差距，查明系統(tǒng)內部存在的安全隱患與不足之處，通過安全整改，提升系統(tǒng)的安

全防護能力，降低被攻擊的風險。。

1.3項目周期

〈根據(jù)實際情況填寫項目實施時間范圍〉，示例

本次項目自X年X月X日起至X年X月X日結束。

1.4項目范圍

〈根據(jù)招標文件和具體合同編寫項目范圍》

2等級保護合規(guī)性服務方案

2.1服務依據(jù)

下列標準所包含的條文，通過在本文中引用而成為本方案的參考。

國家標準

?GB/T5271.8信息技術詞匯第8部分：安仝

?GBT17859-1999計算機信息系統(tǒng)安全保護等級劃分準則

?GBT25058-2010信息安全技術信息系統(tǒng)安全警級保護實施指南

?GBT22240-2008信息安全技術信息系統(tǒng)安全保護等級定級指南

?GBT22239-20I9信息安全技術網絡安全等級保護基本要求

?GBT28448-20I9信息安全技術網絡安全等級保護測評要求

7

等級保護合規(guī)性咨詢服務產品解決方案

?GBT28449-2018信息安全技術網絡安全等級保護測評過程指南

?GBT25070-2019信息安全技術網絡安全等級保護安全設計技術要求

政策要求

?《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院[1994J147號令）

?《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2OO3J27號）

?《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）

?《關于開展信息系統(tǒng)安全等級保護基礎調查工作的通知》（公信安[2005]1431號）

?《信息安全等級保護管理辦辦法（試行）》的通知（公通字[200617號）

?《信息安全等級保護管理辦法》（公通字[2007]43號）

?《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安12007]861

號）

?信息安全等級保護備案實施細則（公信安[2007]1360號）

?公安機關信息安全等級保護檢查工作規(guī)范（公信安[2008]736號）

?關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技

[2008]2071號）

?關于開展信息安全等級保護安全建設整改工作的指導意見（公信安[2009]1429號）

?信息系統(tǒng)安全等級測評報告模版（試行）（2015版）

2.2服務目標

通過等級保護合規(guī)性咨詢服務，可以幫助企業(yè)達到以下目標：

（1）落實國家等級保護紅頭文件

通過開展等級保護合規(guī)性工作，可以有效落實網絡安全法和等級保護文件精神。

（2）明確等保差距，及時發(fā)現(xiàn)安全問題

通過開展等級保護合規(guī)性咨詢工作，不僅對組織的關鍵信息資產進行全面梳理，識別資

產的重要性；還可以客戶確當前系統(tǒng)與相應保護等級要求之間的差距，為等級保護整改規(guī)

劃的實施提供科學依據(jù)，逐步完善防護能力、檢測能力、響應能力、恢復能力，實現(xiàn)整體安

全。

（3）科學地進行投資決策

8

等級保護合規(guī)性咨詢服務產品解決方案

通過開展等級保護合規(guī)性咨詢工作，客戶可以清晰地了解本單位信息系統(tǒng)與對應等級的

基本要求、技術要求之間的差距，明確需要在哪些方面做出改進，分析確定哪些方面是實際

需要整改的重點、哪些方面是具有本行業(yè)或單位特色的保護要求，從而更有的放矢地進行信

息安全建設，在符合等級保護要求的前提卜.，使投資決策更加科學有效，有助于您降低成本、

提高效率、提升業(yè)績。

(4)提高員工的安全意識，培養(yǎng)安全人才

在實施等級保護工作過程中，客戶信息安全管理人員了解和學習了信息系統(tǒng)等級保護相關

知識，協(xié)助用戶提高管理人員、業(yè)務人員、技術人員的安全意識，培養(yǎng)客戶自己的信息安全

隊伍。

2.3服務原則

(1)標準性原則

等級保護合規(guī)性咨詢服務實施應按照等級保護2.0最新發(fā)布標準進行實施。

(2)關鍵業(yè)務原則

等級保護合規(guī)性咨詢服務應以被評估組織的關鍵業(yè)務作為評估工作的核心，把涉及這些

業(yè)務的相關網絡與系統(tǒng)，包括基礎網絡、業(yè)務網絡、應用基礎平臺、業(yè)務應用平臺等作為評

估的重點。

(3)可控性原則

在等級保護合規(guī)性咨詢服務項目實施過程中，應嚴格按照標準的項目管理方法對服務過

程、人員和工具等進行控制，以保證風險評估實施過程的可控和安全。

?服務可控性：評估方應事先在評估工作溝通會議中向用戶介紹評估服務流程，明確

需要得到被評估組織協(xié)作的工作內容，確保安全評估服務工作的順利進行。

?人員與信息可控性:所有參與評估的人員應簽署保密協(xié)議，以保證項目信息的安全;

應對工作過程數(shù)據(jù)和結果數(shù)據(jù)嚴格管理，未經授權不得泄露給任何單位和個人。

?過程可控性：應校照項目管理要求，成立項FI實施團隊，項FI組長負責制，達到項

目過程的可控。

?工具可控性：安全評估人員所使用的評估工具應該事先通告用戶，并在項目實施前

獲得用戶的許可，包括產品本身、測試策略等。

(4)最小影響原則

9

等級保護合規(guī)性咨詢服務產品解決方案

對于在線業(yè)務系統(tǒng)的等級保護合規(guī)性咨詢服務，應興用最小影響原則，即首要保隙業(yè)務

系統(tǒng)的穩(wěn)定運行，而對于需要進行攻擊性測試的工作內容，需與用戶溝通并進行應急備份,

同時選擇避開業(yè)務的高峰時間進行。

2.4總體流程

XX公司等級保護合規(guī)性咨詢服務實施流程包括5個階段：計劃準備階段、定級咨詢階

段、差距評估階段、整改咨詢階段、服務驗收階段五個階段步驟，如下圖所示：

圖2等級保護通用差距評估實施流程

本服務以等級保護三級信息系統(tǒng)為例，其他等級信息系統(tǒng)等級保護工作流程與三級信息

系統(tǒng)基本一致，但是定級、差距評估等具體工作任務與三級信息系統(tǒng)的有所差異，如二級系

統(tǒng)等級保護差距評估的工作任務會在三級基礎上裁剪部分內容。

3等級保護合規(guī)性服務實施方案

3.1計劃準備階段

3.1.1工作目標

本階段是開展等級保護合規(guī)性咨詢服務工作的前提和基礎，是整個實施過程有效性的保

證。計劃準備階段工作是否充分直接關系到后續(xù)工作能否順利開展。

10

等級保護合規(guī)性咨詢服務產品解決方案

本階段的主要工作是根據(jù)項目合同和售前文檔，召開項目啟動會，制定項目實施計戈h

準備項目所需相關材料和工具等，為順利實施項目打好良好的基礎。

3.1.2工作任務

在項目啟動任務中主要是召開項FI啟動會、組建項FI組、從資料、人員、計劃等方面為

整個項目實施做好準備。

3.1.2.1召開啟動會

召開項目啟動會，向甲方介紹等級保護合規(guī)性咨詢服務的實施基本流程和工作方法，說

明實施過程可能的風險以及風險規(guī)避的方法。

3.1.2.2組建項目組

項目經理向售前和銷售人員了解項目情況，交接售前和實施義檔，并參考《項目組織架

構及職責》，組建項目組，項目組可分為領導小組、實施小組和專家組，其中：

?領導小組由甲方領導、相關部門負責人以及項目經理、項目總監(jiān)組成。

?實施小組由甲方信息技術、業(yè)務骨干?以及XX公司實施工程師組成。實施小組可劃

分為定級咨詢小組、差距評估小組和整改咨詢小組。其中：

＜定級咨詢小組：由客戶方信息系統(tǒng)所涉及的信念管理部門和各業(yè)務部門，以及XX

公司工程師共同組成。

?差距評估小組：由客戶方領導、相關部門負責人、以及XX公司工程師組成。

令整改咨詢小組：由客戶方領導、相關部門負責人、客戶方工程師及XX公司工程

師組成。

若項目為單一模塊實施，則僅需要成立相應的實施小組即可。

在所有人員開始工作前，雙方應簽署保密協(xié)議，根據(jù)實際情況簽署個人保密協(xié)議，輸出

《保密協(xié)議書》。

?聘請相關專業(yè)的技術專家和技術骨干組成專家組。

組建項目后，為方便項目溝通和協(xié)同，制定《項目組內部通訊錄》。

在所有人員開始工作前，雙方應簽署保密協(xié)議，根據(jù)實際情況簽署個人保密協(xié)議，輸出

《保密協(xié)議書》。

II

等級保護合規(guī)性咨詢服務產品解決方案

3.L2.3等級保護培訓

由XX公司提供等級保護合規(guī)性咨詢服務實施流程司相關政策解讀，確保項目組對等級

保護達成統(tǒng)一的認識和理解，為開展等保工作奠定基礎。

3.1.2.4編制實施方案和計劃

根據(jù)合同進度要求和項目成員情況，編制《等級保護合規(guī)性咨詢服務實施方案》和《等

級保護合規(guī)性咨詢服務實施計劃SOW》，實施方案應包括項目概述、T.作依據(jù)、工作內容

和項FI組織等。

每個實施模塊可根據(jù)實際情況，單獨制定實施”?劃。

在進入現(xiàn)場實施之前，XX公司項目經理應與客戶方簽訂《現(xiàn)場實施授權申請書》。

3.L2.5準備實施工具和表單

實施人員在進行實施之前，應準備實施工具和表單。

?實施工具包括漏洞掃描工具、配置核查工具、滲透評估工具、協(xié)議分析工具等。

?實施表單包括：信息收集表、資產調研表、差距評估checklist、詳細操作手冊、報

告模板、項目管理文檔模板（例如會議紀要等）等。

?本步驟輸出《會議紀要》，其他評估手冊、表單及模板在后續(xù)階段中體現(xiàn)。

3.1.3成果輸出

本階段主要輸出文檔如下：

?《項目組織架構及職責》

?《項目組內部通訊錄》

?《保密協(xié)議書》

?《等級保護合規(guī)性咨詢服務實施方案》

?《等級保護合規(guī)性咨詢服務實施計劃sow》

?《會議記要》

?《現(xiàn)場實施授權申請書》

3.2定級咨詢階段

12

等級保護合規(guī)性咨詢服務產品解決方案

3.2.1工作目標

本階段是根據(jù)系統(tǒng)定級調研結果，結合等級保護定級指南和行業(yè)定級指導意見，協(xié)助系

統(tǒng)定級工作，編寫定級報告（按系統(tǒng)編寫），協(xié)助客戶組織定級報告專家評審會，編制備案

表并完成備案。

本階段的主要工作包括定級準備、信息系統(tǒng)摸底調查、初步定級、評審、審批和備案等,

具體服務流程如下圖所示：

,

定圾登不A>iVffi.審枇劃番案

?A>S>

召開自動會11■能W信JB][定徽時?||專本評審

安全保滬定g]|上業(yè)?審航

灌備定儂工1UQ表單ft*

?可定顛/告

圖3系統(tǒng)定級咨詢服務流程

3.2.2工作任務

3.2.2.1定級準備

定級準備的主要工作包括啟動定級項準備定級所需的相關材料，為順利實施等級保

護定級工作打好良好的基礎。

（1）項目啟動

■步驟一：召開定級啟動會

■步驟二：組建定級項目組

■步驟三：定級政策培訓

以上三個步驟參考“計劃準備階段”的實施方法。

（2）定級方案和計劃

■步驟一：確定定級范圍

13

等級保護合規(guī)性咨詢服務產品解決方案

與客戶確定信息系統(tǒng)定級范圍，其中范圍為大致范圍，具體定級對象需在信息系統(tǒng)調研

后確定。

■步驟二：初步信息調研

實施小組按照《初步信息調研表》(模板)，對定級范圍內的信息系統(tǒng)進行摸底調查，

全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況。輸出

《初步信息調研表》。

■步驟三：確定定級方案和計劃

根據(jù)合同進度要求和系統(tǒng)規(guī)模，編制定級實施方案和實施計劃表。該步驟參考“計劃準

備階段”3.1.2.4的實施方法。

(3)準備定級工具和表單

該步驟參考“計劃準備階段”3.125的實施方法。

322.2信息摸底調查

實施人員通過查閱已有資料或使用調杳表單的方式，了解整個系統(tǒng)的構成和保護情況,

為編寫定級報告奠定基礎，

實施人員按照資產調研表和應用系統(tǒng)詳細調研表，收集信息系統(tǒng)相關材料，輸出《資產

調研表》和《應用系統(tǒng)功能表》，收集信息包括但不限于以下內容：

?應用系統(tǒng)所涉及資產情況

?應用系統(tǒng)部署情況

?應用系統(tǒng)業(yè)務功能和流程

?應用系統(tǒng)邏輯關系圖

?應用系統(tǒng)立項、建設等文檔

?客戶方的方針文件、規(guī)章制度及相關過程管理記錄；

?信息系統(tǒng)總體描述文件；

?信息系統(tǒng)詳細描述文件：

?信息系統(tǒng)安全總體方案；

?安全現(xiàn)狀評價報告；

?信息系統(tǒng)安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔等。

14

等級保護合規(guī)性咨詢服務產品解決方案

并輸出《客戶方業(yè)務系統(tǒng)負責人聯(lián)系表》及其他材料。

3.2.2.3初步定級

（1）確定定級對象

等級保護對象是指網絡安全等級保護工作中的對象,通常是指由計算機或者其他信息終

端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系

統(tǒng)。

在等級保護2.0中，等級保護對象主要包括基礎信息網絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)

應用/平臺/資源、物聯(lián)網（IoT）、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術的系統(tǒng)等。

按照《信息系統(tǒng)定級指南》，對現(xiàn)場收集的資料進行分析并對信息系統(tǒng)管理員進行訪談,

確定等級保護定級對象。定級對象的確定遵循以下原則：

?可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對

象。

?定級對象的信息系統(tǒng)應具有唯一確定的安全責任單位。

?定級對象的信息系統(tǒng)應具信息系統(tǒng)的基本要素

?定級對象的信息系統(tǒng)承載單一或相對獨立的業(yè)務應用。

?確定好定級對象后，輸出《定級對象?應用系統(tǒng)清單》和《定級需求和確認表》，

為進一步定級打好良好基礎。

（2）確定安全保護等級

確定定級對象后，依據(jù)等級保護定級指南，結合行業(yè)定級指導意見（若有），從業(yè)務信

息安全角度和系統(tǒng)服務安全角度確定安全保護等級，具體流程如下圖所示：

15

等級保護合規(guī)性咨詢服務產品解決方案

最后，將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者確定為定級對象的安

全保護等級。

（3）填寫定級材料

確定定級對象的安全保護等級后，為每個信息系統(tǒng)填寫相關材料，包括《備案表》表2、

表3和表4。

（4）編寫定級報告

根據(jù)現(xiàn)場收集及確認的資料，以及行業(yè)定級指導意見，依據(jù)定級指南，進行定級報告的

編寫。定級報告是以單個系統(tǒng)的報告方式進行呈現(xiàn)。定級報告模板和樣稿參考《信息系統(tǒng)安

全等級保護定級報告（模板）》和《信息系統(tǒng)安全等級保護定級報告（樣稿）》。

（5）確認定級報告

初次編寫的定級報告，需要提交給客戶進行確認，以便收集反饋意見，進行適當修改。

3.2.2.4評審、審批和備案

（1）專家評審

對于信息系統(tǒng)的定級結果，需要客戶邀請專家進行定級結果評審。主要工作如下：

?提前與銷售溝通評審專家名單及聯(lián)系方式，由甲方發(fā)出專家邀請函；

?準備會議議程以及專家簽到表、會議紀要模板；

?準備方案評審的匯報PPT：

16

等級保護合規(guī)性咨詢服務產品解決方案

?準備方案評審的專家評審意見模板。

最后輸出《信息系統(tǒng)等級保護定級專家評審報告》。

(2)上級主管審批

專家評審后，需要定級結果上報給上級主管部門，并輸出《信息系統(tǒng)上級主管部門等級

審核表》

(3)備案審查

備案的原則是：

?“屬地”備案原則。

?二級以上信息系統(tǒng)，在安全保護等級確定后10日內到所在地設區(qū)的市級以上公安

機關辦理備案手續(xù)。具體依據(jù)《信息安全等級保護備案實施細則》(公信安

[2007]1360號)進行備案。

?協(xié)助客戶完成備案表填寫及相關材料準備工作。

備案前需要將《備案表》中表1、表2、表3和表4均準備好，其中：

?表1為單位信息，每個單位填寫一張。

?表2為信息系統(tǒng)基本信息，表3為信息系統(tǒng)定級信息，表2和表3每個信息系統(tǒng)均

需要填寫一張。

?表4為第三級以上信息系統(tǒng)需要同時提交的材卻，由每個三級以上信息系統(tǒng)填寫一

張。

?備案需要經過公安機關審核，若公安機關認為定級不合理，則需重新定級。

(5)總結報告

定級工作結束后，組織召開定級報告的匯報。

3.2.3成果輸出

本階段主要輸出文檔如下：

?《初步信息調研表》

?《資產調研表》

?《應用系統(tǒng)功能表》

?《客戶方業(yè)務系統(tǒng)負責人聯(lián)系表》

《定級對象-應用系統(tǒng)清單》

17

等級保護合規(guī)性咨詢服務產品解決方案

?《定級需求和確認表格》

?《信息系統(tǒng)安全等級保護定級報告（模板）》

?《信息系統(tǒng)安全等級保護定級報告（樣稿）》

?《信息系統(tǒng)等級保護定級專家評審報告》

?《信息系統(tǒng)上級主管部門等級審核表》

?《備案表》

3.3差距評估階段

3.3.1工作目標

依據(jù)GBT22239-2019《信息安全技術網絡安全等級保護基本要求》，從安全技術和安

全管理兩個層面，對客戶信息系統(tǒng)進行差距評估，發(fā)現(xiàn)客戶信息系統(tǒng)安全現(xiàn)狀與相應安全等

級之間存在的差距，明確客戶在安全技術和安全管理兩個層面應采取的改進措施。

XX公司通過專業(yè)的差距評估咨詢服務，協(xié)助用戶完成以下的目標：

?了解信息系統(tǒng)安全技術和安全管理現(xiàn)狀；

?確定可能對資產造成危害的威脅；

?確定威脅實施的可能性；

?對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定

哪些資產是最重要的；

?對最重要的、最敏感的資產，確定一旦威脅發(fā)生其潛在的損失或破壞；

?明確信息系統(tǒng)已有安全措施的有效性；

?明晰信息系統(tǒng)的安全管理需求；

?最終匯總現(xiàn)狀與等級保護基本要求的差距分析結果。

XX公司提供的差距評估咨詢服務基本流程如下：

18

等級保護合規(guī)性咨詢服務產品解決方案

圖4差距評估咨詢服務流程

3.3.2工作任務

3.3.2.1評估準備

評估準備的主要工作包括啟動評估項目，準備評估所需的相關材料，為順利實施差距評

估工作打好良好的基礎。

(1)項目啟動

■步驟一：召開評估項目啟動會

19

等級保護合規(guī)性咨詢服務產品解決方案

■步驟二：組建評估項目組

■步驟三：差距評估培訓

以上三個步驟參考“計劃準備階段”3.121、3.122、3.123的實施方法。

（2）評估方案和計劃

■步驟一：確定評估范圍

通過對客戶方單位人員訪談和調查，初步了解評估范圍和保護等級，客戶方提供被評

估系統(tǒng)總體描述文件、詳細描述文件、等級定級報告、系統(tǒng)驗收報告、安全需求分析報

告、安全總體方案等。

■步驟二：初步信息系統(tǒng)調查

實施小組對評估范圍內的信息系統(tǒng)進行摸底調查，全面掌握信息系統(tǒng)的數(shù)量、分布、

業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，輸出《初步信息調研表》。

■步驟三：確定評估方案和計劃

根據(jù)合同進度要求和系統(tǒng)規(guī)模，編制評估實施方案和實施計劃表。該步驟參考“計劃

準備階段”3.124的實施方法。

（3）準備評估工具和表單

該步驟參考“計劃準備階段”3.125的實施方法。

（4）信息收集與分析

實施人員通過查閱已有資料或使用調查表單的方式，了解整個系統(tǒng)的構成和保護情

況，為編寫評估方案和開展評估工作奠定基礎。

實施人員按照資產調研表和應用系統(tǒng)詳細調研表，收集信息系統(tǒng)相關材料，輸出《資產

調研表》和《應用系統(tǒng)詳細調研表》，收集信息包括但不限于以下內容：

?被評估系統(tǒng)所涉及資產情況；

?被評估系統(tǒng)應用系統(tǒng)部署情況；

?被評估單位的各種方針文件、規(guī)章制度及相關過程管理記錄；

?被評估系統(tǒng)總體描述文件；

?被評估系統(tǒng)詳細描述文件；

?被評估系統(tǒng)安全保護等級定級報告；

?安全需求分析報告；

20

等級保護合規(guī)性咨詢服務產品解決方案

?被評估系統(tǒng)安全總體方案；

?安全現(xiàn)狀評價報告；

?被評估系統(tǒng)安全詳細設計方案、用戶指南、運行步驟、網絡圖表、配置管理文檔

等。

并輸出《客戶方業(yè)務系統(tǒng)負責人聯(lián)系表》及其他材科。

3.322編寫評估方案

編寫評估方案是整理評估準備階段中獲取的信息系統(tǒng)相關資料，是開展等級保護差距評

估工作的關鍵活動，為現(xiàn)場評估提供最基本的文檔和指導方案。編寫評估方案的工作流程下

圖所示：

圖5編寫討估方案的工作流程

（1）確定評估對象

評估對象是等級保護差距評估的直接工作對象，選擇評估對象是編制評估方案的必要步

驟，是整個差距評估的重要環(huán)節(jié)。恰當選擇評估對象的種類和數(shù)量是整個評估工作的重要保

證。評估對象的確定一般選擇抽查的方式。

在確定評估對象時，可以根據(jù)已經了解到的被評估系統(tǒng)信息，分析整個被評估系統(tǒng)及

其涉及的業(yè)務系統(tǒng)，包括整體結構、系統(tǒng)邊界、網絡區(qū)域、重要節(jié)點等信息，確定出本次評

估的評估對象。

?整體結構包括：極評估系統(tǒng)的標識（名稱）、物理環(huán)境、網絡拓撲結構及外部邊界

連接情況；

?系統(tǒng)邊界包括：被評估系統(tǒng)與其他網絡進行外部連接的邊界連接方式（光纖、無線

和專線）、邊界設備（防火墻、路由器或服務器）等；

21

等級保護合規(guī)性咨詢服務產品解決方案

?網絡區(qū)域包括：業(yè)務應用、業(yè)務流程、區(qū)域的邊界以及它們之間的連接情況等；

?重要節(jié)點包括：區(qū)域內計算機硬件設備（包括服務器、客戶端等外圍設備）、網絡

硬件設備（包括交換機、路由器、各種適配器等）、通信線路等和應用系統(tǒng)軟件等。

（2）確定評估指標

根據(jù)已經了解到的被評估系統(tǒng)定級結果，確定出本次評估的評估指標。從GB/T

22239-2019中選擇相應等級的安全要求作為評估指標，包括對SAG三類安全要求的選擇。

（3）確定評估工具接入點

在等級保護差距評估中，需要對信息系統(tǒng)應進行漏洞掃描、配置核查、滲透性測試等，

這些都可能用到評估工具，因此需要確定評估工具接入點：

?從被評估系統(tǒng)邊界外接入時，評估工具一般接在系統(tǒng)邊界設備（通常為交換機）上.

?從系統(tǒng)內部跨網段接入時,評估工具一般接在與被評估對象不在同一網段的內部核

心交換機上。

?在同一網段內接入時，評估工具一般接在與被評估對象在同一網段的交換機上。

?結合網絡拓撲圖，采用圖示的方式描述評估工具的接入點、評估目的、評估途徑和

評估對象等相關內容。

（4）確定評估內容

本部分確定現(xiàn)場評估為具體實施內容，包括單元評估和系統(tǒng)整體評估。

■步驟一：確定單元評估內容

依據(jù)GB/T28449-2018,將前面已經得到的評估指標和評估對象結合起來，然后再將評

估對象與具體的評估方法結合起來，這也是編制評估實施手冊的第一步。

■步驟二：確定系統(tǒng)整體評估內容

依據(jù)GB/T28449-2018中的系統(tǒng)評估方法，結合被評估系統(tǒng)的實際情況以及以往評估經

驗，開發(fā)出相應的系統(tǒng)評估內容。系統(tǒng)評估內容一般以文字描述形式表述。

（5）評估方案編制

評估方案是等級評估工作實施的基礎，指導等級評估工作的現(xiàn)場實施活動。評估方案應

包括但不局限于以下內容：項目概述、評估對象、評估指標、評估工具的接入點、單元評估

實施、系統(tǒng)整體評估實施以及配套的評估實施手冊等。

22

等級保護合規(guī)性咨詢服務產品解決方案

3.3.2.3現(xiàn)場評估分析

現(xiàn)場評估分析的主要任務是按照評估方案的總體要求，嚴格執(zhí)行評估實施手冊，分步實

施所有評估項目，包括單獨評估、單元評估、系統(tǒng)整體評估等方面，以了解系統(tǒng)的真實保護

情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

現(xiàn)場評估分析的基本工作流程如下圖所示：

評估實施準備

▼二

現(xiàn)場評估和結果記錄

結果確認和資料歸還

圖6現(xiàn)場評估階段的基本工作流程

（1）評估實施準備

評估實施準備是保證能夠順利實施評估的前提。現(xiàn)場評估實施準備主要是確認評估內

容、評估時間、評估所需各種資源、人員配合以及取得客戶的書面授權等。

（2）現(xiàn)場評估和結果記錄

實施人員參考差距分析記錄表中評估指標、評估方法，通過訪談、文檔審杳、配置檢查、

工具測試、實地勘察等手段，將系統(tǒng)現(xiàn)狀與評估指標逐一對比，記錄結果，找出與評估指標

之間的差距，并輸出《差距評估記錄表》（結果記錄部分）、漏洞掃描原始報告、配置核查

原始報告、滲透測試報告（可參考滲透測試服務包中滲透測試報告模板）或其他表單。

在實施過程中每個評估指標的具體實施方法，可參考《差距評估記錄表》（測評方法）

部分。

（3）結果確認和資料歸還

實施人員在現(xiàn)場評估完成之后，應首先匯總現(xiàn)場評估的評估記錄，對漏掉和需要進一步

驗證的內容實施補充評估，歸還評估過程中借閱的所有文檔資料。

23

等級保護合規(guī)性咨詢服務產品解決方案

3.3.2.4編制評估報告

編制評估報告的主要任務是根據(jù)現(xiàn)場評估結果和GB/T22239-2019的有關要求，通過單

項評估結果判定、單項評估結果匯總分析、單元評估結具匯總分析、系統(tǒng)整體評估分析、威

脅和風險分析等方法，分析整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，綜

合評價被評估信息系統(tǒng)保護狀況，形成綜合評估結論和評估報告。

編制評估報告的基本工作流程如下圖所示：

一單項評估

整體評估

編制評估4人、1際八9

報告:安全I可題風險分析

+一

綜合評估結論

、—編制評估報告

（含整改建議）

單項評估：針對各安全要求項的評估，支持評估結果的可重復性和可再現(xiàn)性，單項評估

由評估指標、評估對象、評估實施和單元判定結果構成。

整體評估：在單項評估基礎上，對等級保護對?象整體安全保護能力的判斷，整體安全保

護能力從縱深防護和措施互補兩個角度評判。

（1）單項評估

單項評估主要包括五個評估步驟：單項評估結果判定、單元評估結果匯總、單元評估結

果判定、控制點符合情況匯總、安全問題匯總。

■步驟一：單項評估結果判定

該步驟主要是針對單個要求項，結合具體評估時象，客觀、準確地分析評估證據(jù)，形成

初步評估結果，是形成等級評估結論的基礎，該步驟輸出《差距評估記錄表》（XX對象-

結果記錄、符合情況、符合程度）。

單項評估結果判定方法：

24

等級保護合規(guī)性咨詢服務產品解決方案

?針對單個評估項，分析該評估項所對抗的威脅是否存在，若存在，則判定評估結果

（按符合情況分為符合、部分符合和不符合三種情況），若不存在，則判定為不適

用；

?判定評估項符合情況的同時，應判定每個評估項的符合程度（分為0、1、2、3、4、

5）o

?若評估項的評估結果出現(xiàn)矛盾時，采取“優(yōu)勢證據(jù)”法進行判定，即人工配置核查

結果〉工具測試結果,實地察看結果＞文檔審查結果,訪談結果。

表1（XX對象）單項評估結果

安全大編安全控制評估單結果記符合符合

評估指標評估方法

類號點元編號錄情況程度

8.1.18.1a）機房場地應選擇在具

物理位置

安全物.1.有防震、防風和防雨等能符合5

選擇（G）

理環(huán)境1力的建筑內

■步驟二：單項評估結果匯總

按照類別，分別匯總不同評估對象對應評估指標的邑項評估結果情況，包括每個控制點

符合多少項，不符合多少項等內容，本步驟輸出《差距評估記錄表》（單項評估結果匯總）。

表2（XX類）單項評估結果匯總

安全控制點

防盜

序評估符合物理物理防水溫濕

竊和防雷防靜電力電磁

號對象情況位置訪問防火和防度控

防破擊電供應防護

選擇控制潮制

壞

符合10

部分

10

符合

對象

1不符

101

合

不適

00

用

符合01

對象部分

120

2符合

不符00

25

等級保護合規(guī)性咨