第第頁2025年網(wǎng)絡(luò)安全等級(jí)保護(hù)項(xiàng)目建設(shè)技術(shù)方案XXX科技有限公司2025年09月18日目錄一項(xiàng)目依據(jù) 1.1實(shí)施依據(jù) 1.2實(shí)施原則 1.3實(shí)施步驟 二定級(jí)備案 2.1工作目的 2.2工作方式 2.3工作內(nèi)容2.4提交成果2.5輸出成果三差距分析3.1工作目的3.2工作方式3.3工作內(nèi)容3.4提交成果四等保建設(shè)整改4.1工作目的 4.2工作方式4.3工作流程4.4提交成果五等級(jí)保護(hù)管理制度建設(shè) 5.1工作目的 5.2工作方式 5.3工作內(nèi)容 5.4工作成果 六等級(jí)測評(píng) 6.1測評(píng)流程 6.2測評(píng)方法 七安全運(yùn)維 八項(xiàng)目管理與控制 8.1項(xiàng)目質(zhì)量保證與管理 8.2配置管理 8.3變更控制管理 8.4風(fēng)險(xiǎn)與應(yīng)對(duì)措施 8.5項(xiàng)目進(jìn)度的風(fēng)險(xiǎn) 8.6項(xiàng)目人力資源的風(fēng)險(xiǎn) 8.7對(duì)實(shí)際環(huán)境存在不熟悉的風(fēng)險(xiǎn) 8.8項(xiàng)目實(shí)施中的風(fēng)險(xiǎn)監(jiān)控 8.9系統(tǒng)備份與恢復(fù)措施 8.10項(xiàng)目保密措施 項(xiàng)目依據(jù)實(shí)施依據(jù)在本次項(xiàng)目中，我方項(xiàng)目組將依據(jù)國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展工作，依據(jù)標(biāo)準(zhǔn)包括但不限于如下國家標(biāo)準(zhǔn)：《信息安全等級(jí)保護(hù)管理辦法》；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》；GB/T28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》；GB/T28449-2018《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南》；《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》；適用于被測評(píng)方的行業(yè)法律法規(guī)；其他相關(guān)法律法規(guī)要求。實(shí)施原則根據(jù)對(duì)貴司的需求分析，在整個(gè)項(xiàng)目的設(shè)計(jì)與實(shí)施過程中將嚴(yán)格遵循國家關(guān)于信息安全等級(jí)保護(hù)測評(píng)的相關(guān)標(biāo)準(zhǔn)。同時(shí)遵循如下原則：保密性、可用性、安全性、規(guī)范性。規(guī)范性在本項(xiàng)目的設(shè)計(jì)與實(shí)施過程中，我方項(xiàng)目組將保證相關(guān)工作的規(guī)范性。測評(píng)工作將嚴(yán)格符合國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求，同時(shí)符合電力行業(yè)等級(jí)保護(hù)的相關(guān)行業(yè)標(biāo)準(zhǔn)，以期能夠交付一個(gè)合規(guī)、合理的優(yōu)質(zhì)項(xiàng)目。保密性對(duì)貴司敏感信息保密非工作常重視，貴司敏感信息視為最重要商業(yè)機(jī)密，針對(duì)本項(xiàng)目將實(shí)施相應(yīng)的保密措施以保證貴司相關(guān)敏感信息?？捎眯詫?duì)測評(píng)過程中出具的相關(guān)建設(shè)報(bào)告中所提出的整改措施力求切實(shí)可用，對(duì)于目前網(wǎng)絡(luò)安全領(lǐng)域不能實(shí)現(xiàn)的技術(shù)手段或因貴司行業(yè)特殊原因無法實(shí)現(xiàn)的整改措施應(yīng)進(jìn)行相關(guān)說明，保證所提出的整改建議具有可用性。安全性為保證本項(xiàng)目的實(shí)施過程中不影響原業(yè)務(wù)系統(tǒng)的可用性、實(shí)時(shí)性，應(yīng)在進(jìn)行工具測試等環(huán)節(jié)與貴司進(jìn)行充分溝通，在貴司許可及技術(shù)準(zhǔn)備充分的前提下進(jìn)行相關(guān)測評(píng)以保證本項(xiàng)目實(shí)施過程的安全性，若貴司不同意進(jìn)行工具測試，項(xiàng)目組需與貴司簽署《自愿放棄工具測試聲明》，由貴司方簽字并蓋章。實(shí)施步驟系統(tǒng)定級(jí)備案重要信息系統(tǒng)的定級(jí)備案工作，是開展等級(jí)保護(hù)的首要環(huán)節(jié)，是進(jìn)行信息系統(tǒng)建設(shè)、整改、測評(píng)、備案、監(jiān)督檢查等后續(xù)工作的前提。差距分析差距分析工作內(nèi)容就是根據(jù)網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)國家等級(jí)保護(hù)相應(yīng)等級(jí)的技術(shù)和管理要求，分析評(píng)價(jià)網(wǎng)絡(luò)和信息系統(tǒng)當(dāng)前的安全防護(hù)水平和措施與相應(yīng)等級(jí)要求之間的差距。等保建設(shè)整改等級(jí)保護(hù)建設(shè)整改是根據(jù)信息系統(tǒng)差距分析結(jié)果，對(duì)信息系統(tǒng)所依賴的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)及安全設(shè)備進(jìn)行配置安全加固，安裝和實(shí)施各項(xiàng)新增安全設(shè)備，保障信息系統(tǒng)的安全穩(wěn)定性。等保管理制度建設(shè)等級(jí)保護(hù)管理制度建設(shè)是根據(jù)信息安全等級(jí)保護(hù)安全管理的要求，編寫符合等級(jí)保護(hù)要求的信息安全管理規(guī)范和制度，通過安全管理的加強(qiáng)來規(guī)避管理風(fēng)險(xiǎn)。定級(jí)備案工作目的協(xié)助貴司完成安全等級(jí)保護(hù)的定級(jí)與備案。依據(jù)GBT22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》,對(duì)未定級(jí)、備案信息系統(tǒng)進(jìn)行梳理,完成信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)與備案工作。工作方式在定級(jí)咨詢過程中，咨詢顧問將通過現(xiàn)場調(diào)研的方式來全面了解主要信息系統(tǒng)的基本情況，如數(shù)量、類別、名稱、承載業(yè)務(wù)、服務(wù)范圍、用戶數(shù)量、部署方式，以進(jìn)行匯總分析，初步進(jìn)行系統(tǒng)歸類、重要性劃分，為下一步確定定級(jí)對(duì)象、確定級(jí)別、形成定級(jí)報(bào)告做準(zhǔn)備?，F(xiàn)場信息資料收集，以及對(duì)系統(tǒng)管理員進(jìn)行訪談及信息確認(rèn)，是現(xiàn)場調(diào)研的主要工作。通過現(xiàn)場的了解，可以較深入理解信息系統(tǒng)的重要程度，重要信息的分類情況，以及用戶分布情況。一般系統(tǒng)的定級(jí)結(jié)果，不依賴于現(xiàn)有保護(hù)措施，所以通過現(xiàn)場的工作，可以基本準(zhǔn)確理解信息系統(tǒng)及承載重要信息的侵害客體以及侵害程度，從而為進(jìn)一步定級(jí)報(bào)告的編寫打下良好基礎(chǔ)。工作內(nèi)容協(xié)助定級(jí)如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級(jí)，不必劃分業(yè)務(wù)子系統(tǒng)。如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)，信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。信息系統(tǒng)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。現(xiàn)場調(diào)研后，咨詢顧問會(huì)準(zhǔn)備《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告模板》，給出定級(jí)報(bào)告示例。信息管理部門和業(yè)務(wù)部門依據(jù)定級(jí)報(bào)告模板，起草各信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告，咨詢顧問根據(jù)已經(jīng)掌握的信息系統(tǒng)情況，對(duì)各信息系統(tǒng)定級(jí)報(bào)告的合理性進(jìn)行初步研究和審核把關(guān)，請(qǐng)相關(guān)單位派人共同討論，按照系統(tǒng)類別梳理定級(jí)報(bào)告，對(duì)照國家對(duì)不同等級(jí)的要求，在報(bào)告內(nèi)容、行文格式、定級(jí)準(zhǔn)確性等方面給出修改意見。根據(jù)討論的定級(jí)報(bào)告修改意見，統(tǒng)一匯總、整理后，形成定級(jí)報(bào)告的專家評(píng)審稿。專家評(píng)審咨詢顧問還將根據(jù)需要協(xié)助聘請(qǐng)等級(jí)保護(hù)專家、行業(yè)專家、主管機(jī)關(guān)領(lǐng)導(dǎo)等外部專家，召開信息系統(tǒng)定級(jí)評(píng)審會(huì)，對(duì)定級(jí)報(bào)告進(jìn)行外部評(píng)審，形成評(píng)審意見。咨詢顧問將參考專家定級(jí)評(píng)審意見，最終協(xié)助確定信息系統(tǒng)等級(jí)，協(xié)助將各信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告報(bào)經(jīng)上級(jí)主管部門審批同意。最后，咨詢顧問將協(xié)助填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，若經(jīng)過專家評(píng)審目標(biāo)系統(tǒng)為第三級(jí)，還需要提供協(xié)助客戶提供《系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明》、《系統(tǒng)安全組織機(jī)構(gòu)及管理制度》、《系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案》、《系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明》。并由咨詢顧問在對(duì)接當(dāng)?shù)毓簿志W(wǎng)安支隊(duì)時(shí)提供必要的支持，了解當(dāng)?shù)毓舱?，依?jù)當(dāng)?shù)貤l例住準(zhǔn)備定級(jí)資料，最終完成目標(biāo)系統(tǒng)備案工作。提交成果《信息系統(tǒng)安全等級(jí)保護(hù)備案表》《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》《專家評(píng)審意見》《系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明》《系統(tǒng)安全組織機(jī)構(gòu)及管理制度》《系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案》《系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明》輸出成果公安局網(wǎng)安部門發(fā)放的《XX信息系統(tǒng)備案證明》差距分析根據(jù)國家等級(jí)保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，確定安全保護(hù)等級(jí)的信息系統(tǒng)應(yīng)該具有相應(yīng)級(jí)別的安全防護(hù)能力，其中主要是根據(jù)GBT22239-2019《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》來分析承載于互聯(lián)網(wǎng)和綜合安防網(wǎng)上的業(yè)務(wù)應(yīng)用系統(tǒng)目前的安全防護(hù)能力與基本要求中相應(yīng)級(jí)別之間的差距。工作目的根據(jù)國家等級(jí)保護(hù)要求，對(duì)于確定了安全保護(hù)等級(jí)的信息系統(tǒng)規(guī)定了基本的安全保護(hù)要求，規(guī)定了應(yīng)該具有的防護(hù)措施，以確保信息系統(tǒng)具有相當(dāng)水平的安全防護(hù)能力。差距分析就是根據(jù)GBT22239-2019《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，結(jié)合本項(xiàng)目的業(yè)務(wù)情況和行業(yè)要求，從安全技術(shù)和安全管理兩個(gè)方面，全面分析信息系統(tǒng)現(xiàn)有防護(hù)措施和能力與相應(yīng)等級(jí)基本要求之間存在的差距，用以為等級(jí)保護(hù)建設(shè)提供客觀依據(jù)并指導(dǎo)信息系統(tǒng)等級(jí)保護(hù)體系設(shè)計(jì)。工作方式業(yè)務(wù)系統(tǒng)差距分析工作計(jì)劃通過以下方式進(jìn)行。訪談訪談是指評(píng)估人員與信息系統(tǒng)有關(guān)人員就差距分析所關(guān)注的問題進(jìn)行有針對(duì)性的詢問和交流的過程，該過程可以幫助評(píng)估者了解現(xiàn)狀、澄清疑問或獲得證據(jù)。訪談深度（即訪談內(nèi)容的詳細(xì)程度）以及訪談的廣度（即對(duì)被評(píng)估組織中員工角色類型以及每種類型中人數(shù)的覆蓋程度）由評(píng)估人員依據(jù)不同的評(píng)估需要進(jìn)行選擇和判斷。檢查檢查是指對(duì)評(píng)估對(duì)象（如規(guī)范、機(jī)制或行為）進(jìn)行觀察、調(diào)查、評(píng)審、分析或核查的過程。與訪談?lì)愃疲撨^程可以幫助評(píng)估者了解現(xiàn)狀、澄清疑問或獲得證據(jù)。比較典型的檢查行為包括：對(duì)安全配置的核查、對(duì)安全策略的分析和評(píng)審等。測試測試是指在特定環(huán)境中運(yùn)行一個(gè)或多個(gè)評(píng)估對(duì)象（限于機(jī)制或行為）并將實(shí)際結(jié)果與預(yù)期結(jié)果進(jìn)行比較的過程。測試的目標(biāo)是判定對(duì)象是否符合預(yù)定的一組規(guī)格。測試過程可以幫助評(píng)估者獲得證據(jù)。調(diào)查表根據(jù)系統(tǒng)業(yè)務(wù)情況和系統(tǒng)現(xiàn)狀，制定詳細(xì)的調(diào)查表，并由相關(guān)人員進(jìn)行填寫，以獲得業(yè)務(wù)系統(tǒng)基礎(chǔ)數(shù)據(jù)。具體包括應(yīng)用信息系統(tǒng)調(diào)查表、物理資產(chǎn)調(diào)查表、軟件資產(chǎn)調(diào)查表、各相關(guān)設(shè)備資產(chǎn)調(diào)查表。工作內(nèi)容按照等級(jí)保護(hù)實(shí)施要求，不同安全等級(jí)的信息系統(tǒng)應(yīng)該具備相應(yīng)等級(jí)的安全防護(hù)能力，部署相應(yīng)的安全設(shè)備，制定相應(yīng)的安全管理機(jī)構(gòu)、制度、崗位等。差距分析就是依據(jù)等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，比較分析信息系統(tǒng)安全防護(hù)能力與等級(jí)要求之間的差距，為等級(jí)化體系設(shè)計(jì)提供依據(jù)。提交成果差距分析過程中將產(chǎn)生眾多文檔，其中包括過程文檔和結(jié)果文檔，過程文檔用以支持咨詢?nèi)藛T進(jìn)行差距分析，并形成結(jié)果文檔《等級(jí)保護(hù)差距分析報(bào)告》。信息系統(tǒng)等級(jí)保護(hù)差距分析報(bào)告主要內(nèi)容：差距分析是以現(xiàn)場調(diào)查和測試所收集的信息為依據(jù)，滿足等級(jí)保護(hù)要求為目標(biāo)，對(duì)現(xiàn)有系統(tǒng)安全做出的一種客觀的、真實(shí)的評(píng)價(jià)。報(bào)告內(nèi)容包括對(duì)各信息系統(tǒng)現(xiàn)有安全防護(hù)水平與相應(yīng)等級(jí)之間差距的描述和整改建議等。差距分析是制定信息系統(tǒng)安全等級(jí)保護(hù)體系設(shè)計(jì)方案前的一個(gè)非常關(guān)鍵的環(huán)節(jié)，為信息系統(tǒng)安全等級(jí)保護(hù)體系設(shè)計(jì)方案的撰寫提供參考。等保建設(shè)整改工作目的根據(jù)前期等級(jí)保護(hù)整改、差距分析結(jié)果，結(jié)合項(xiàng)目的業(yè)務(wù)需求，對(duì)信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫進(jìn)行安全策略加強(qiáng)、調(diào)優(yōu)等，加強(qiáng)網(wǎng)絡(luò)、系統(tǒng)和設(shè)備抵御攻擊和威脅的能力，整體提高網(wǎng)絡(luò)安全防護(hù)水平。工作方式安全加固與優(yōu)化將采用如下工作方式：會(huì)議交流：項(xiàng)目組將根據(jù)脆弱性檢測結(jié)果，提出安全加固與優(yōu)化建議，并通過組織交流會(huì)的形式，與相關(guān)負(fù)責(zé)人就每臺(tái)主機(jī)、網(wǎng)絡(luò)與安全設(shè)備的具體加固內(nèi)容進(jìn)行協(xié)商，明確操作風(fēng)險(xiǎn)，探討利害關(guān)系，確定加固方式，最終確定安全加固方案；現(xiàn)場實(shí)施：項(xiàng)目組將赴現(xiàn)場，以安全加固方案為依據(jù)，協(xié)助和指導(dǎo)系統(tǒng)運(yùn)維人員進(jìn)行加固與優(yōu)化操作，逐項(xiàng)實(shí)施每臺(tái)設(shè)備的安全加固項(xiàng)目。工作流程系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器操作系統(tǒng)以及數(shù)據(jù)庫等配置安全加固與優(yōu)化的工作流程如下圖所示：配置加固流程描述如下（項(xiàng)目實(shí)施中，可以根據(jù)實(shí)際情況需要，對(duì)流程進(jìn)行調(diào)整、合并和展開等）：確定加固范圍：確定實(shí)施范圍，如應(yīng)用系統(tǒng)、資產(chǎn)等；制定加固實(shí)施方案：確定實(shí)施人員、加固工具、進(jìn)度計(jì)劃等，為實(shí)施提供指導(dǎo)；向項(xiàng)目負(fù)責(zé)人匯報(bào)：就配置加固實(shí)施方案向項(xiàng)目負(fù)責(zé)人匯報(bào)，并得到同意；系統(tǒng)備份：對(duì)配置加固涉及的系統(tǒng)和數(shù)據(jù)進(jìn)行備份；加固實(shí)施：根據(jù)配置加固實(shí)施方案進(jìn)行加固實(shí)施；檢驗(yàn)加固結(jié)果：驗(yàn)證配置加固的有效性；提交加固報(bào)告、總結(jié)匯報(bào)：總結(jié)配置加固實(shí)施情況，并進(jìn)行匯報(bào)。提交成果《系統(tǒng)安全掃描人工分析報(bào)告》、《安全配置檢查和加固建議報(bào)告》、《系統(tǒng)主機(jī)設(shè)備加固報(bào)告》、《網(wǎng)絡(luò)設(shè)備加固實(shí)施報(bào)告》。通過對(duì)系統(tǒng)相關(guān)主機(jī)、網(wǎng)絡(luò)與安全設(shè)備配置的加固與優(yōu)化，將會(huì)減少安全漏洞和設(shè)備配置策略的不合理性，提高系統(tǒng)抗攻擊的能力，從而可有效防范攻擊、限制危害蔓延，充分發(fā)揮各項(xiàng)安全措施的作用，增強(qiáng)系統(tǒng)的安全性和穩(wěn)定性。等級(jí)保護(hù)管理制度建設(shè)工作目的以等級(jí)保護(hù)差距分析結(jié)果為依據(jù)，依照安全保障體系設(shè)計(jì)所提及的建設(shè)內(nèi)容，按照等級(jí)保護(hù)標(biāo)準(zhǔn)要求，制定等級(jí)保護(hù)管理體系框架，明確管理方針、策略，以及相應(yīng)的規(guī)定、操作規(guī)程、業(yè)務(wù)流程和記錄表單；從貼合業(yè)務(wù)流程的原則出發(fā)，指導(dǎo)系統(tǒng)運(yùn)維方按照等級(jí)保護(hù)三級(jí)系統(tǒng)的管理標(biāo)準(zhǔn)，編寫管理制度文件，并進(jìn)行反復(fù)溝通和修訂，確保所制定的文件的適用性，且滿足各系統(tǒng)相應(yīng)保護(hù)等級(jí)的安全管理要求。通過制定和完善管理制度，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)對(duì)人員、設(shè)備和業(yè)務(wù)系統(tǒng)的管理，完備應(yīng)急響應(yīng)機(jī)制，將顯著提升信息安全管理水平，有效控制信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，從而確保業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行。工作方式等級(jí)制度建設(shè)的工作方式主要如下：調(diào)研訪談：采用定制的調(diào)研問卷進(jìn)行訪談，了解本項(xiàng)目的詳細(xì)情況，如組織機(jī)構(gòu)（部門設(shè)置、人員職務(wù)、外部聯(lián)系和接口）、業(yè)務(wù)流程（目標(biāo)、流程、人員、物理位置、外部聯(lián)系和接口）、信息資產(chǎn)（網(wǎng)絡(luò)拓?fù)?、主機(jī)和設(shè)備資料）、內(nèi)部文件（運(yùn)維程序、安全管理制度、建設(shè)方案）、原有管理相關(guān)文件及需遵守的法律法規(guī)文件等。項(xiàng)目會(huì)議：召開會(huì)議，以調(diào)研訪談?dòng)涗浐筒罹喾治鼋Y(jié)果為依據(jù)，研究制定安全管理制度框架和編寫相應(yīng)的管理制度。交流：與相關(guān)人員就管理制度框架、管理制度內(nèi)容進(jìn)行反復(fù)的溝通、討論和修訂，確保安全管理制度貼合業(yè)務(wù)實(shí)際，并滿足等級(jí)保護(hù)標(biāo)準(zhǔn)和相關(guān)政策要求。工作內(nèi)容制定和本項(xiàng)目相關(guān)的安全保護(hù)等級(jí)相適應(yīng)的配套管理制度，制度相關(guān)內(nèi)容如下：安全管理機(jī)構(gòu)：加強(qiáng)和完善安全機(jī)構(gòu)的建設(shè)，設(shè)立指導(dǎo)和管理信息安全工作的信息安全領(lǐng)導(dǎo)小組，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人，明確定義各個(gè)工作崗位的職責(zé)。建立各種安全管理活動(dòng)的審批程序，明確對(duì)內(nèi)對(duì)外的溝通協(xié)作方式，建立對(duì)各項(xiàng)安全管理活動(dòng)的監(jiān)督審核機(jī)制。安全管理制度：在差距分析的基礎(chǔ)上，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范，由專門的組織機(jī)構(gòu)負(fù)責(zé)管理制度的制訂、發(fā)布和貫徹落實(shí)。定期對(duì)制度進(jìn)行評(píng)審和修訂，確保安全管理制度的適用性。人員安全管理：主要涉及兩方面，對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問管理等方面。系統(tǒng)建設(shè)管理：為了建設(shè)符合安全等級(jí)保護(hù)要求的信息系統(tǒng)、系統(tǒng)建設(shè)管理主要關(guān)注的是信息系統(tǒng)生命周期中的前三個(gè)階段（即設(shè)計(jì)、采購、實(shí)施）中各項(xiàng)安全管理活動(dòng)，實(shí)現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期。系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測評(píng)和安全服務(wù)商選擇等方面。系統(tǒng)運(yùn)維管理：系統(tǒng)運(yùn)行涉及到很多管理方面，要保證系統(tǒng)始終處于相應(yīng)安全保護(hù)等級(jí)的安全狀態(tài)中。要監(jiān)控系統(tǒng)發(fā)生的重大變化，以便修改對(duì)應(yīng)的安全措施。系統(tǒng)運(yùn)維管理主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等方面。工作成果依照等級(jí)保護(hù)標(biāo)準(zhǔn)，綜合考慮安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理各方面的具體要求，建立安全管理框架，如圖所示：以安全管理框架為基礎(chǔ)，本次制度建設(shè)具體內(nèi)容包括（不限于以下文件）：《信息安全管理手冊(cè)》：規(guī)定了本項(xiàng)目安全管理的方針、目標(biāo)和策略，明確應(yīng)采取的相應(yīng)控制措施，并對(duì)整套文檔進(jìn)行解釋說明?！督M織機(jī)構(gòu)及職責(zé)》明確安全管理機(jī)構(gòu)及各成員職責(zé)，規(guī)定機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員和安全管理員的崗位職責(zé)，并對(duì)單位對(duì)內(nèi)對(duì)外的溝通等方面作出要求?！稒C(jī)房管理》對(duì)機(jī)房環(huán)境要求、人員與設(shè)備進(jìn)出、工作人員管理、日常監(jiān)控管理、系統(tǒng)上線及變更管理等做出明確規(guī)定?！掇k公場所保護(hù)》對(duì)辦公場所安全管理和消防安全進(jìn)行規(guī)定，以加強(qiáng)辦公場所的防火、防盜、防信息泄露等工作。《病毒防范》對(duì)防病毒的控制措施和操作程序制定管理規(guī)范，以預(yù)防病毒與各種惡意軟件的入侵，提高對(duì)病毒的防御能力，保障本項(xiàng)目和日常工作的正常進(jìn)行?！顿Y產(chǎn)分類分級(jí)》對(duì)資產(chǎn)進(jìn)行分類和統(tǒng)一化標(biāo)識(shí)，使本項(xiàng)目的資產(chǎn)受到有效的保護(hù)。《介質(zhì)管理》為加強(qiáng)對(duì)介質(zhì)的使用控制和物理上的保護(hù)，防止其承載的敏感信息遭泄漏、篡改、丟失或破壞，對(duì)介質(zhì)的處置做出明確規(guī)定?！稇?yīng)用系統(tǒng)運(yùn)維管理》對(duì)應(yīng)用系統(tǒng)日常維護(hù)所涉及的巡檢、配置管理、故障處置、系統(tǒng)優(yōu)化、軟件維護(hù)等工作進(jìn)行相應(yīng)規(guī)定，并明確考核措施?！毒W(wǎng)絡(luò)設(shè)備配置管理》對(duì)網(wǎng)絡(luò)、安全設(shè)備配置的管理，以及配置變更所涉及的申請(qǐng)、審批和實(shí)施等事項(xiàng)作出明確規(guī)定。《終端安全》規(guī)范終端的應(yīng)用，對(duì)終端的使用和聯(lián)網(wǎng)進(jìn)行明確規(guī)定，以防止病毒、網(wǎng)絡(luò)攻擊及失泄密事件的發(fā)生。《網(wǎng)站管理》對(duì)網(wǎng)站建設(shè)、信息發(fā)布、網(wǎng)站監(jiān)控與維護(hù)作出明確規(guī)定，確保網(wǎng)站的安全性與可靠性?！杜嘤?xùn)管理》要求定期開展培訓(xùn)，并對(duì)培訓(xùn)流程進(jìn)行規(guī)范，對(duì)培訓(xùn)效果進(jìn)行考核，確保人員的安全意識(shí)和技術(shù)水平得以有效提升?！锻獍藛T管理》對(duì)外包服務(wù)人員的派遣、監(jiān)督和考核作出明確規(guī)定，確保外保服務(wù)質(zhì)量?！断到y(tǒng)安全建設(shè)》以等級(jí)保護(hù)要求為依據(jù)，對(duì)信息系統(tǒng)建設(shè)的各階段作出了相應(yīng)規(guī)定，以提高本項(xiàng)目的安全保障能力和水平，保障并促進(jìn)信息化建設(shè)?！蹲兏芾怼访鞔_需要執(zhí)行申報(bào)審批手續(xù)的重要變更事項(xiàng)，如補(bǔ)丁更新、軟件升級(jí)、設(shè)備更換等，并對(duì)變更的執(zhí)行流程進(jìn)行規(guī)定?！对O(shè)備管理》對(duì)設(shè)備的獲取、接收、入賬、維護(hù)、用途變更、報(bào)廢處理等環(huán)節(jié)做出明確規(guī)定，防止因資產(chǎn)的丟失、損壞、失竊、使用不當(dāng)而導(dǎo)致業(yè)務(wù)系統(tǒng)正常運(yùn)行的中斷?！毒W(wǎng)絡(luò)監(jiān)控審計(jì)》監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，對(duì)安全審計(jì)、IDS等設(shè)備的使用作出明確規(guī)定，以保云平臺(tái)網(wǎng)絡(luò)安全、高效運(yùn)行。《補(bǔ)丁管理》對(duì)服務(wù)器操作系統(tǒng)、小型機(jī)操作系統(tǒng)、終端計(jì)算機(jī)操作系統(tǒng)、應(yīng)用中間件和數(shù)據(jù)庫軟件的補(bǔ)丁更新要求和操作流程進(jìn)行規(guī)范，確保系統(tǒng)防御病毒和網(wǎng)絡(luò)攻擊的能力?！秱浞莼謴?fù)》確定業(yè)務(wù)數(shù)據(jù)的備份策略，并從數(shù)據(jù)恢復(fù)的申請(qǐng)、申請(qǐng)的審批、實(shí)施數(shù)據(jù)恢復(fù)、結(jié)果檢查等方面做出明確規(guī)定，以保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性和可用性。《帳戶/口令管理》明確帳戶的角色及權(quán)限管理，并對(duì)口令的設(shè)置、保管與更新進(jìn)行了明確規(guī)定，以防止非授權(quán)訪問?！栋踩矙z》對(duì)網(wǎng)絡(luò)與安全設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)和機(jī)房基礎(chǔ)環(huán)境的巡檢工作進(jìn)行規(guī)范，以保證本項(xiàng)目業(yè)務(wù)應(yīng)用系統(tǒng)的安全運(yùn)行，有效消除安全隱患。等級(jí)測評(píng)等級(jí)測評(píng)過程中將對(duì)系統(tǒng)的技術(shù)體系和管理體系進(jìn)行全方位的安全測評(píng)。其中，技術(shù)體系包含：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)5個(gè)方面安全測評(píng)。管理體系包含：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理5個(gè)方面的安全測評(píng)。本期測評(píng)對(duì)象包括：表1測評(píng)對(duì)象序號(hào)名稱部署位置等保級(jí)別備注1設(shè)計(jì)開發(fā)平臺(tái)本地云三級(jí)2生產(chǎn)管理平臺(tái)本地云三級(jí)3銷售管理平臺(tái)本地云二級(jí)4倉儲(chǔ)綜合平臺(tái)本地云二級(jí)5輔助監(jiān)管業(yè)務(wù)服務(wù)平臺(tái)本地云二級(jí)6應(yīng)用支撐平臺(tái)本地云二級(jí)測評(píng)流程依據(jù)國家等級(jí)保護(hù)相關(guān)政策標(biāo)準(zhǔn)及行業(yè)相關(guān)政策要求，測評(píng)過程按如下思路進(jìn)行：收集被測系統(tǒng)信息，識(shí)別信息系統(tǒng)結(jié)構(gòu)、業(yè)務(wù)、邊界、區(qū)域等內(nèi)容。了解信息系統(tǒng)定級(jí)情況，根據(jù)《基本要求》的要求，選擇測評(píng)指標(biāo)，并根據(jù)《測評(píng)要求》的要求，選擇測評(píng)對(duì)象，對(duì)系統(tǒng)實(shí)施安全測評(píng)。制定測評(píng)方案，并實(shí)施現(xiàn)場測評(píng)活動(dòng)。通過現(xiàn)場測評(píng)收集的證據(jù)，進(jìn)行單項(xiàng)測評(píng)、單元測評(píng)和整體測評(píng)，并對(duì)測評(píng)結(jié)果進(jìn)行分析，得出信息系統(tǒng)安全現(xiàn)狀與《基本要求》的差距，對(duì)于不達(dá)標(biāo)項(xiàng)目，進(jìn)行風(fēng)險(xiǎn)分析，評(píng)估當(dāng)前安全保護(hù)能力是否會(huì)造成信息系統(tǒng)面臨較高的風(fēng)險(xiǎn)。最終形成等級(jí)測評(píng)結(jié)論。本項(xiàng)目的測評(píng)過程主要分為測評(píng)準(zhǔn)備、方案編制、現(xiàn)場測評(píng)、報(bào)告編制4個(gè)階段進(jìn)行。詳細(xì)過程依照GB/T28449-2018《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南》以及公司制度《等保測評(píng)管理制度》執(zhí)行。本次項(xiàng)目工作流程圖如下所示：測評(píng)準(zhǔn)備活動(dòng)：等級(jí)測評(píng)項(xiàng)目確定后雙方成立測評(píng)項(xiàng)目組，雙方協(xié)同梳理信息系統(tǒng)基本要素，完成客戶單位信息系統(tǒng)基本要素和定級(jí)情況。方案編制活動(dòng)：在獲取客戶單位信息系統(tǒng)基本要素和定級(jí)情況后，電子項(xiàng)目組明確項(xiàng)目內(nèi)容、實(shí)施安排、人員配備、配合內(nèi)容、注意事項(xiàng)、材料準(zhǔn)備、測評(píng)指導(dǎo)書等內(nèi)容完成測評(píng)方案編制，并與客戶確認(rèn)測評(píng)方案和測評(píng)時(shí)間安排，確認(rèn)正式現(xiàn)場測評(píng)步驟?，F(xiàn)場測評(píng)活動(dòng)：通過項(xiàng)目啟動(dòng)會(huì)議，雙方人員準(zhǔn)備相關(guān)材料、工具等，進(jìn)入信息系統(tǒng)現(xiàn)場進(jìn)行信息系統(tǒng)調(diào)查；根據(jù)各信息系統(tǒng)現(xiàn)場調(diào)查的結(jié)果，分別對(duì)各信息系統(tǒng)的物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、管理等方面進(jìn)行安全測評(píng)，并且通過技術(shù)手段對(duì)信息系統(tǒng)測評(píng)對(duì)象實(shí)施安全測試和掃描，獲取信息系統(tǒng)最真實(shí)的數(shù)據(jù)。此外利用風(fēng)險(xiǎn)評(píng)估的方法對(duì)信息系統(tǒng)進(jìn)行合理的信息系統(tǒng)風(fēng)險(xiǎn)分析。針對(duì)測評(píng)過程中的問題，我方項(xiàng)目組向用戶提交《不符合項(xiàng)及整改建議》，用戶整改完成后，我方項(xiàng)目組進(jìn)行問題整改確認(rèn)。報(bào)告編制活動(dòng)：根據(jù)現(xiàn)場測評(píng)實(shí)施獲取的材料、信息、記錄等進(jìn)行統(tǒng)一匯總，分析得到單項(xiàng)測評(píng)結(jié)果，根據(jù)得到的單項(xiàng)測評(píng)結(jié)果計(jì)算得到安全類測評(píng)結(jié)果。在安全類測評(píng)的基礎(chǔ)上，進(jìn)一步分析信息系統(tǒng)已有安全措施的整體相關(guān)性，對(duì)信息系統(tǒng)實(shí)施整體測評(píng)，主要包括安全控制點(diǎn)間、安全類間和區(qū)域間相互作用的安全測評(píng)，并且結(jié)合標(biāo)準(zhǔn)和行業(yè)特殊需求合理分析相關(guān)數(shù)據(jù)形成最終的等級(jí)測評(píng)結(jié)論，出具符合信息系統(tǒng)安全等級(jí)保護(hù)要求的信息安全等級(jí)保護(hù)測評(píng)報(bào)告（提交成果《測評(píng)報(bào)告》）。測評(píng)方法安全測評(píng)的主要方式包括：訪談、檢查和測試。訪談訪談是指測評(píng)人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)表明信息系統(tǒng)安全保護(hù)措施是否落實(shí)的一種方法。在訪談的范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。檢查檢查是指測評(píng)人員通過對(duì)測評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對(duì)象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。測試測試是指測評(píng)人員通過對(duì)測評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量上可以抽樣。表2測評(píng)方式管理測評(píng)訪談文檔審核實(shí)地察看安全物理環(huán)境測評(píng)訪談文檔審核實(shí)地察看安全區(qū)域邊界測評(píng)訪談文檔審核配置檢查工具測試安全通信網(wǎng)絡(luò)測評(píng)訪談文檔審核配置檢查工具測試設(shè)備計(jì)算環(huán)境測評(píng)訪談文檔審核配置檢查工具測試安全管理中心測評(píng)訪談文檔審核配置檢查安全運(yùn)維主要工作為推動(dòng)安全管理制度的落實(shí)工作，包括但不限于以下工作內(nèi)容：定期安全漏洞掃描工作；定期進(jìn)行設(shè)備安全基線核查工作；組織安全整改工作；組織安全培訓(xùn)；其他安全管理工作。項(xiàng)目管理與控制項(xiàng)目質(zhì)量保證與管理根據(jù)項(xiàng)目的具體需要，本項(xiàng)目的整個(gè)管理過程將參考美國項(xiàng)目管理協(xié)會(huì)PMI提出的項(xiàng)目管理方法學(xué)、我方項(xiàng)目組項(xiàng)目管理辦法、ISO9000體系以及一些顧問管理規(guī)范實(shí)施。通過規(guī)范化的項(xiàng)目管理，保證項(xiàng)目過程的質(zhì)量。配置管理在項(xiàng)目進(jìn)程中的項(xiàng)目組將維護(hù)一個(gè)項(xiàng)目文檔輸出的基線。所有的文檔的版本修改和更新將在配置管理的版本控制和變更控制之下，并將所有文檔的最新版本維護(hù)在基線中。變更控制管理不受控制的項(xiàng)目變更，包括目標(biāo)變更、范圍變更、人員變更、環(huán)境變更、文檔修改等等是對(duì)項(xiàng)目質(zhì)量的重大威脅。在項(xiàng)目中，將圍繞實(shí)施方案和計(jì)劃的維護(hù)為核心，對(duì)實(shí)施方案和計(jì)劃及其衍生文檔進(jìn)行正規(guī)的變更控制管理。風(fēng)險(xiǎn)與應(yīng)對(duì)措施不同類型的項(xiàng)目有不同類型的風(fēng)險(xiǎn)，安全項(xiàng)目實(shí)施的風(fēng)險(xiǎn)同樣有其特殊性。本項(xiàng)目中信息安全等級(jí)保護(hù)項(xiàng)目實(shí)施及安全評(píng)估過程中的主要風(fēng)險(xiǎn)管理措施如下。項(xiàng)目進(jìn)度的風(fēng)險(xiǎn)我方項(xiàng)目組將充分考慮各種潛在因素，適當(dāng)留有余地；任務(wù)分解詳細(xì)度適中，便于考核；在執(zhí)行過程中，強(qiáng)調(diào)項(xiàng)目按進(jìn)度執(zhí)行的重要性，在考慮任何問題時(shí)，都將保持進(jìn)度作為先決條件；同時(shí)，合理利用趕工及快速跟進(jìn)等方法，充分利用資源。項(xiàng)目人力資源的風(fēng)險(xiǎn)人力資源將是信息安全等級(jí)保護(hù)項(xiàng)目中最為關(guān)鍵的資源。保證合適的人員以足夠的精力參與到項(xiàng)目中來，是項(xiàng)目成功實(shí)施的基本保證。我方項(xiàng)目組在此項(xiàng)目實(shí)施中將調(diào)動(dòng)公司骨干服務(wù)人員和工程技術(shù)人員，保證進(jìn)入到項(xiàng)目中并承擔(dān)角色的各類人員滿足項(xiàng)目要求。同時(shí)，保證項(xiàng)目人員對(duì)項(xiàng)目的投入程度。將參與本信息安全等級(jí)保護(hù)項(xiàng)目人員的業(yè)績?cè)u(píng)估與該項(xiàng)目實(shí)施的狀況相關(guān)聯(lián)，明確本信息安全等級(jí)保護(hù)項(xiàng)目是在該階段項(xiàng)目相關(guān)人員最