等保服务流程及内容

等保服务内容及报价

一、信息安全等级保护服务流程及内容

信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段，各阶段工作内容如下：

1. 定级备案咨询阶段：通过定级对象分析、定级要素分析，初步确定系统保护等级，协助召开定级专家咨询会议，确定系统保护等级，协助撰写定级报告、协助联络公安机关，完成定级备案工作。

2. 安全建设规划阶段：协助建设单位按照同步规划、同步建设、同步运行的原则，做好项目建设的安全规划。

3. 安全等级现状测评阶段：详实调研业务系统，了解系统边界、功能、服务范围、涉及部门、重要程度，全面进行差距分析和脆弱性评估；找出不足之处和安全漏洞，为等级保护体系设计提供客观依据；将根据之前的项目成果，制定合理安全管理措施和技术措施，形成等级化的信息安全保障体系。

4. 信息系统安全整改咨询阶段：依据脆弱性评估结果，弥补技术层面的安全漏洞；建立健全信息安全管理制度；根据前期信息安全保障体系设计方案，指导系统运维方落实相关安全保障措施。

5. 信息安全等级测评阶段：实施等级测评，以满足国家信息安全监管的相关政策要求。

等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。在系统整改完成后2周内完成信息安全等级测评工作，出具等保测评报告。

1定级备案咨询

1.1工作内容

（1）系统梳理

网络拓扑调查：通过对系统网络拓扑结构的调查，确定各个网络安全域，分析网络拓扑结构安全。

资产信息调查：通过对资产信息的调查，确定系统中重要资产，比如服务器、核心交换机、边界防火墙、IDS等。

服务信息调查：通过对服务信息的调查，确定系统服务对象。

系统边界调查：通过对系统边界的调查，确定各子系统边界情况。

（2）定级对象分析

业务类型分析：通过对业务类型的分析，确定各系统的重要性。

管理机构分析：通对管理机构的分析，确定安全管理机构设置的合理性。

（3）定级要素分析

业务信息分析：通过以上调查与分析，明确业务信息（系统数据）被破坏后受侵害的客体（公民、法人和其他组织的合法权益，社会秩序、公共利益，国家安全）和侵害程度。

系统服务分析：通过以上调查与分析，明确系统被破坏或者中断服务后受侵害的客体（公民、法人和其他组织的合法权益，社会秩序、公共利益，国家安全）和侵害程度。

综合分析：通过对业务信息分析与系统服务分析，分别确定其安全等级

确定等级：取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。

（4）撰写定级报告

撰写定级报告：通过以上调查与分析，撰写系统定级报告，包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。

（5）协助定级备案

协助填写备案表：协助业主完成系统安全等级保护备案表的填写。

协助评审审批：协助业主组织召开系统定级结果评审会，协助业主完成整个定级审批过程。

1.2交付成果

信息系统安全等级保护定级报告

信息系统定级备案表

2安全建设规划

2.1工作内容

根据等级化安全保障体系的设计思路，等级保护的安全建设规划包括以下内容：

1.安全域设计：根据系统定级情况，通过分析系统业务流程、功能模块，根

据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多

个层次，为下一步安全保障体系框架设计提供基础框架。

2.确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全域

的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级，明

确各安全域所需采用的安全指标。

3.安全保障体系方案设计：根据安全域框架，设计系统各个层次的安全保障

体系框架以及具体方案。包括：各层次的安全保障体系框架形成系统整体

的安全保障体系框架；物理安全、网络安全、服务器安全等安全技术设计，

安全管理制度规划与设计。

通过如上内容的规划，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障系统整体的安全。

2.2交付成果

信息系统安全等级保护建设规划方案

3安全等级现状测评

为确保信息系统的安全保护措施符合相应安全等级的基本安全要求，需要实施安全等级现状测评，以提出合理、有效的安全整改建议，为信息系统制定信息安全规划和决策提供依据。

测评机构将指导系统运维方开展安全评估工作，简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距，制定信息安全规划方案；同时检查系统在技术层面存在的脆弱性漏洞，为后续安全加固工作奠定基础。

3.1等级保护差距分析

按照等级保护实施要求，信息系统应该具备相应等级的安全防护能力，部署相应的安全设备，制定相应的安全管理机构、制度、岗位等。

差距分析就是依据等级保护技术标准和管理规范，比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。

3.1.1工作内容

差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为：

1、技术差距检测：

(1)物理安全：针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

(2)网络安全：对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含：结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。

(3)主机安全：评估信息系统的主机系统安全保障情况。主要包含：身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。

(4)应用安全：对信息系统进行应用安全符合性调查。主要包含：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。

(5)数据安全：评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。

2、管理差距检测：

(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。