依據公通字[2007]43號文的要求，信息系統定級工作完成后，運營、使用單位首先要按照相關的管理規范和技術標準進行安全建設和整改，使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品，進行信息系統安全建設或者改建工作。
??????? 等級保護整改的核心是根據用戶的實際信息安全需求、業務特點及應用重點，在確定不同系統重要程度的基礎上，進行重點保護。整改工作要遵循國家等級保護相關要求，將等級保護要求體現到方案、產品和安全服務中去，并切實結合用戶信息安全建設的實際需求，建設一套全面保護、重點突出、持續運行的安全保障體系，將等級保護制度確實落實到企業的信息安全規劃、建設、評估、運行和維護等各個環節，保障企業的信息安全。
??????? 啟明星辰等級保護整改與安全建設過程
??????? 啟明星辰等級保護整改與安全建設是基于國家信息系統安全等級保護相關標準和文件的要求，針對客戶已定級備案的信息系統、或打算按照等保要求進行安全建設的信息系統，結合客戶組織架構、業務要求、信息系統實際情況，通過一套規范的等保整改過程，協助客戶進行風險評估和等級保護差距分析，制定完整的安全整改建議方案，并根據需要協助客戶對落實整改實施方案或進行方案的評審、招投標、整改監理等工作，協助客戶完成信息系統等級保護整改和安全建設工作。
??????? 啟明星辰等保整改與建設過程主要包括等級保護差距分析、等級保護整改建議方案、等級保護整改實施三個階段。
??????? (一) 等級保護差距分析
??????? 1. 等級保護風險評估
??????? 1) 評估目的
??????? 對信息系統進行安全等級評估是國家推行等級保護制度的一個重要環節，也是對信息系統進行安全建設和管理的重要組成部分。
??????? 等級評估不同于按照等級保護要求進行的等保差距分析。風險評估的目標是深入、詳細地檢查信息系統的安全風險狀況，而差距分析則是按照等保的所有要求進行符合性檢查，檢查信息系統現狀與國家等保要求之間的符合程度。可以說，風險評估的結果更能體現是客戶信息系統技術層面的安全現狀，比差距分析結果在技術上更加深入。風險評估的結果和差距分析結果都是整改建議方案的輸入。
??????? 啟明星辰通過專業的等級評估服務，協助用戶完成以下的目標：
??????? ● 了解信息系統的管理、網絡和系統安全現狀；
??????? ● 確定可能對資產造成危害的威脅；
??????? ● 確定威脅實施的可能性；
??????? ● 對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產是最重要的；
??????? ● 對最重要的、最敏感的資產，確定一旦威脅發生其潛在的損失或破壞；
??????? ● 明確信息系統的已有安全措施的有效性；
??????? ● 明晰信息系統的安全管理需求。
??????? 2) 評估內容
??????? ● 資產識別與賦值
??????? ● 主機安全性評估
??????? ● 數據庫安全性評估
??????? ● 安全設備評估
??????? 現場風險評估用到的主要評估方法包括：
??????? ● 漏洞掃描
??????? ● 控制臺審計
??????? ● 技術訪談
??????? 3) 評估分析
??????? 根據現場收集的信息及對這些信息的分析，評估小組形成定級信息系統的弱點評估報告、風險評估報告等文檔，使客戶充分了解信息系統存在的風險，作為等保差距分析的一項重要輸入，并作為后續整改建設的重要依據。
??????? 2. 等保差距分析
???????? 通過差距分析，可以了解客戶信息系統的現狀，確定當前系統與相應保護等級要求之間的差距，確定不符合安全項。
??????? 1) 準備差距分析表
???????? 項目組通過準備好的差距分析表，與客戶確認現場溝通的對象（部門和人員），準備相應的檢查內容。
???????? 在整理差距分析表時，整改項目組會根據信息系統的安全等級從基本要求中選擇相應等級的基本安全要求，根據及風險評估的結果進行調整，去掉不適用項，增加不能滿足客戶信息系統需求的安全要求。
???????? 差距分析表包含以下內容：
??????? ● 安全技術差距分析：包括網絡安全、主機安全、應用安全、數據安全及備份恢復；
??????? ● 安全管理差距分析：包括安全管理制度、安全管理機構、人員安全管理、系統建設管理；
??????? ● 系統運維差距分析：包括環境管理、資產管理、介質管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置；
??????? ● 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。
???????? 不同安全保護級別的系統所使用的差距分析表的內容也不同。
??????? 2) 現場差距分析
??????? 整改項目組依據差距分析表中的各項安全要求，對比信息系統現狀和安全要求之間 的差距，確定不符合項。
??????? 現場工作階段，整改項目組可分為管理檢查組和技術檢查組兩個小組。
??????? 在差距分析階段，可以通過以下方式收集信息，詳細了解客戶信息系統現狀，并通過分析所收集的資料和數據，以確認客戶信息系統的建設是否符合該等級的安全要求，需要進行哪些方面的整改。
??????? ● 查驗文檔資料
??????? ● 人員訪談
??????? ● 現場測試
??????? 3) 生成差距分析報告
??????? 完成現場差距分析之后，整改項目組歸納整理、分析現場記錄，找出目前信息系統與等級保護安全要求之間的差距，明確不符合項，生成《等級保護差距分析報告》。
??????? (二) 等級保護整改建議方案
??????? 1. 整改目標溝通確認
??????? 通過與客戶高層領導、相關業務部門和信息安全管理部門進行廣泛的溝通協商，啟明星辰會依據風險評估和差距分析的結果，明確等級保護整改工作的工作目標，提出等級保護整改建議方案。
??????? 對暫時難以進行整改的部分內容，將在討論后作為遺留問題，明確列在整改建議方案中。
??????? 2. 總體框架
??????? 根據等保安全要求，啟明星辰提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。
????????????????????????????????????????????????????????????????????????????? 圖? 信息安全PMOT體系模型
??????? 啟明星辰根據建議方案的設計原則，協助客戶制定總體安全保障體系架構，包括制定安全策略，結合等級保護基本要求和安全保護特殊要求，來構建客戶信息系統的安全技術體系、安全管理體系及安全運維體系，具體內容包括：
??????? ● 建立和完善安全策略：最高層次的安全策略文件，闡明安全工作的使命和意愿，定義信息安全工作的總體目標。
??????? ● 安全技術體系：安全技術的保障包括網絡邊界防御、安全通信網絡、主機和應用系統安全、檢測響應體系、冗余與備份以及安全管理中心。
??????? ● 建立和完善安全管理體系：建立安全管理制度，建立信息安全組織，規范人員管理和系統建議管理。
??????? ● 安全運維體系：機房安全，資產及設備安全，網絡與系統安全管理、監控和安全管理等。
??????? 展開后的等級保護整改與安全建設總體框架如下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術體系Technology、安全運維Operation四個層面落實等級保護安全基本要求。
???????????????????????????????????????????????????????????????????? 圖4 等級保護整改與安全建設總體框架
??????? 3. 方案說明
??????? ● 信息安全策略
??????? 信息安全策略是最高管理層對信息安全的期望和承諾的表達，位于整個PMOT信息安全體系的頂層，也是安全管理體系的最高指導方針，明確了信息安全工作總體目標，對技術和管理各方面的安全工作具有通用指導性。
??????? ● 安全技術體系
??????? 啟明星辰根據整改目標提出整改方案的安全技術保障體系，將保障體系框架中要求實現的網絡、主機和應用安全落實到產品功能或物理形態上，提出能夠實現的產品或組件及其具體規范，并將產品功能特征整理成文檔。使得在信息安全產品采購和安全控制開發階段具有依據，主要內容包括：網絡邊界護御、安全通信網絡、主機與應用防護體系、檢測響應體系、冗余與備份、信息安全管理中心。
??????? ● 安全管理體系
??????? 為滿足等保基本要求，應建立和完善安全管理體系，包括：完善安全制度體系、完善安全組織、規范人員管理、規范系統建設管理。
??????? ● 安全運維體系
??????? 為滿足等保基本要求，應建立和完善安全運維體系，包括：環境管理、資產管理、介質管理、設備管理、網絡與系統安全管理、系統安全管理、備份與恢復、惡意代碼防范、變更管理、信息安全事件管理等。
??????? (三) 等級保護整改實施
??????? 為了更好地協助客戶落實等保的整改工作，啟明星辰可以作為集成商、咨詢方、或者監理方，協助客戶落實整改實施方案，或協助進行整改實施方案的評審、招投標、項目監理等工作，以完成系統整改和安全建設工作。
??????? 1. 制定整改實施方案
??????? 在確定整改實施的承建單位后，啟明星辰會提交相關的工程實施文檔，包括參照整改建議方案而編制的項目實施技術規劃等文檔，其中涵蓋安全建設階段的各項實施細節，主要有：
??????? ● 項目產品配置清單
??????? ● 實施設計方案
??????? ● 實施準備工作描述，實施工作步驟
??????? ● 實施風險規避方案
??????? ● 實施驗證方案
??????? ● 現場培訓方案
??????? 工程實施文檔應經客戶方的項目負責人確認后，方可進行實施。
??????? 2. 整改建設實施
??????? 啟明星辰承擔項目實施的工作，確保落實客戶信息系統的安全保護技術措施，建立健全信息安全管理制度，全面貫徹落實信息安全等級保護制度。
??????? 3. 整改實施項目驗收
??????? 整改實施工作完成后，啟明星辰提出驗收申請和工程測試驗收方案，由客戶審批工程測試驗收方案（驗收目標、責任雙方、驗收提交清單、驗收標準、驗收方式、驗收環境等）的符合性及可行性。
??????? 4. 等級保護運維
??????? 在整改建設與實施工作完成之后，啟明星辰將協助用戶完成安全運維策略的制定，協助用戶培養專業人才，進行運行管理和控制、安全狀態監控、安全事件處置和應急、安全檢查和持續改進、等級保護測評和等級保護監督檢查的工作。
?