● 信息系统安全现状分析:针对确定的信息系统保护等级,综合信息系统现状和未来的建设规划,参考《信息系统安全等级保护基本要求》,对其系统现状、安全风险进行分析,得出的安全建设需求;
● 信息系统安全建设方案设计:依据安全需求分析结果,结合《信息系统安全等级保护基本要求》和相关的技术规范,以及的真实业务,制定信息系统的安全建设方案设计,用以指导信息系统安全建设工作。
● 信息系统安全建设:根据信息系统安全建设方案设计,从安全管理和安全技术两个方面,分阶段、分系统的进行建设,建设过程中逐步丰富和完善安全策略体系和制度管理体系;
● 信息系统安全自查或等级符合性测评:完成安全建设的主要内容后,可以组织内部技术专家,依据《信息系统安全等级保护基本要求》进行系统自查;也可以邀请第三方机构对系统建设情况进行等级符合性测评,分析信息系统的实际建设情况与等级保护要求之间的差距;如果差距在可以接受的范围内,可以正式邀请公安部认可的测评机构进行正式的等级测评工作;
● 修改安全策略,制定安全建设整改方案:根据信息系统安全自查或等级符合性测评结果,如果尚存在较大差距,则需要对安全策略进行调整和修改,制定安全建设整改方案,并组织专家对安全建设整改方案进行评审论证,以指导整改建设工作。