图 1 等级保护整体服务方案工作流程图

 等级保护的建设是个长期的过程，需要花费大量的时间、精力和财力，本着为用户服务的态度，“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务，提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务，通过自身的安全产品、安全服务，可协助用户完成等级保护各个阶段的实施和建设，确保用户严格按照等级保护的过程规划并建设自己的安全保障体系，更好地支撑应用和业务的开展，为用户信息安全保障体系“保驾护航”。

测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括： 

1)       等级保护定级备案

对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后测评服务方将协助用户完成保护等级的备案工作。 

2)       等级保护差距分析

通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善，使单位的信息系统安全工作有的放矢。 

3)       等级保护整改建议方案

测评服务方根据评估的结果和信息系统确认的保护等级，结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求，制定相应的安全保护措施，完成等级保护整改建议方案的设计。

依据公通字[2007]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。

等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点，在确定不同系统重要程度的基础上，进行重点保护。整改工作要遵循国家等级保护相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切实结合用户信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节，保障企业的信息安全。 

4)       等级保护整改实施

测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务，确保保障等级能够达到信息系统所要求的保护等级，或者协助用户进行等级保护的实施，对承建商的工作进行监理。

5)       等级保护测评咨询

在信息系统进行完成定级和整改实施之后，需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证，测评服务方提供的测评咨询服务将协助用户通过等级保护测评工作。

6)       等级保护检查咨询

在信息系统进行完成定级和整改实施之后，国家主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查，测评服务方将协助用户准备检查所需要的文档和资料，配合公安机关开展现场的检查工作。