等级保护咨询整改服务 背景介绍： 2020年4月28日，国家市场监督管理总局和国家标准化管理委员会发布了GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》（以下简称《定级指南》），将于2020年11月1日正式实施，该标准代替GB/T 22240-2008《信息安全技术 信息系统安全等级定级指南》。新版的《定级指南》在2008版的基础上，对等级保护对象进行重新定义，增加了特定定级对象的定级说明，明确了定级流程，为网络运营者开展非涉及国家秘密等级保护对象的定级工作提供了依据。 定级要素与安全保护等级的关系： 根据受侵害的客体和对客体的侵害程度，我们可以得到相应的安全保护等级，如一个系统遭受到破坏后对社会秩序和公共利益造成严重损害，那么这个系统应当定为第三级。在征求意见稿中，当对公民、法人和其他组织的合法权益造成特别严重损害时，对应的是第三级，但在正式发布的《定级指南》中，该项对应的是第二级。受侵害的客体和侵害程度在标准中也比较客观的给出了描述。 1.定级备案 依据等级保护2.0定级要求，参考等保定级指南帮助客户确定信息系统定级等级，组织协调三位专家对信息系统边界划分、等级设定、等级建设、定级材料提出评审意见，提交主管部门审核。 2.评估与差距分析 相关人员约访 就系统的技术管理措施与相关人员进行访谈 文档查阅审核 查阅被测系统的已有资料，掌握系统的组成情况，下发并完成《 信息系统基本情况调查表》和所需文档清单 上机配置核查 对网络、主机、应用的安全措施进行配置检查； 漏洞扫描检测 利用扫描工具对系统进行安全性测试 3.制度梳理 结合用户的管理制度以及等保安全相关要求，辅助用户完成管理制度相关文档、完善安全管理制度及流程，包括管理制度体系建设、人员管理制度建设、系统建设制度、系统运维制度 4.整改方案 安全整改需求分析 物理层安全需求、网络层安全需求、主机层安全需求、应用层安全需求、数据层安全需求、管理层安全需求 安全整改总体设计 安全体系框架设计、安全保护策略设计 安全整改详细设计 物理安全措施设计、网络安全措施设计、主机安全措施设计、应用安全措施设计、数据安全措施设计、管理安全措施设计 安全产品选型设计 产品技术要求指标、产品功能要求指标、产品性能要求指标、产品厂家选择、产品型号选择、产品预算报价 安全配置优化加固方案 含账户安全加固、访问策略加固、系统补丁加固、其他配置加固等 5.辅助测评 依据等级保护基本要求和测评要求，辅助客户开展等级保护测评工作，扮演客户单位与测评机构中间桥梁角色，协助等保测评机构对客户单位信息系统安全检查，保障信息系统安全防护措施在合理展示同时保障业务系统高可靠运行。