精选-信息安全-等保测评服务方案

1.1.1定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。

1）协助定级

对系统情况进行分析，通过分析系统所属类型、所属信息类别、服务范围，了解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、确定客体受侵害的程度，最终确定系统的系统服务保护等级和业务信息保护等级，协助用户编制定级报告。

2）协助备案

协助用户填写《信息系统安全等级保护备案表》，协助用户到各地公安机关进行系统备案，获得系统备案证。

1.2 等保测评

1.2.1概述

1.2.1.1项目简介

根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息化建设的内在需求。

随着信息化的不断发展，信息系统的应用为信息化的开展提供了重要的支撑平台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高

度重视，安全建设也逐渐成为公司信息化建设的内在需求。

整个测评项目的实施主要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个阶段：一、安全整改活动阶段，二复测评活动阶段，三，分析和报告编制活动阶段。

其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在，为将来的安全整改和安全建设提供有力依据。

1.2.1.2测评依据

本项目的测评按照以下标准或规范进行：

关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）；

关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）；

关于开展全省重要信息系统安全等级保护定级工作的通知（湘公通[2007]94号）；

关于进一步推进全省信息安全等级保护工作的函（湘公函[2011]21号）；

关于对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[2011]74号）；

《信息系统安全等级保护定级指南》（GB/T22240—2008）；

《信息系统安全等级保护测评过程指南》（国标报批稿）；

《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。

主要测评依据：

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）；

《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012）。

1.2.1.3测评过程

1.2.2被测系统描述

1.2.2.1定级情况

本次安全等级测评所涉及的信息系统定级情况列表如下：

序号系统名称业务描述安全保护等级

1 XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX

2 XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX

3 XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX 1.2.2.2网络结构

以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基础平台。其网络拓扑图如图2-1所示：

图2-1信息管理系统网络拓扑图（示例）

1.2.2.3系统构成

4.2.2.3.1业务应用软件

序号软件名称主要功能重要程度

1 XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要

2 XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要

3 XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要

4.2.2.3.2关键数据类别

序号数据类别所属业务应用主机/存储设备重要程度

1 管理数据被测评对象应用应用服务器/数据库服务器重要

2 业务数据被测评对象应用应用服务器/数据库服务器重要

3 鉴别信息被测评对象应用应用服务器/数据库服务器重要

4.2.2.3.3主机/存储设备

4.2.2.3.4网络、安全设备

4.2.2.3.4安全相关人员

4.2.2.3.5安全管理文档

1.2.3测评对象与指标

1.2.3.1测评指标

GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。

本次测评的信息管理系统在实施时由建设方指定，包括二级和三级系统的等级测评，安全测评指标应包括《信息安全技术信息系统安全等级保护基本要求》中的二级和三级要求，分为通用指标类（GX），业务信息安全性指标类（SX）和系统服务保证类（AX）。

1）二级测评所包括的安全控制指标类型情况具体如下表：

2）三级测评所包括的安全控制指标类型情况具体如下表：

1.2.3.2测评对象

4.2.3.2.1机房

4.2.3.2.2业务软件

4.2.3.2.3主机

4.2.3.2.4数据库

4.2.3.2.5网络、安全设备

4.2.3.2.6安全管理文档

1.2.3.3测评方法与工具

4.2.3.3.1测评方法

测评方法包括：访谈、检查、测试等。访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。检查是指测评人员通过对测评对象（如制度文档、各类设备、安全配置等）进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。

4.2.3.3.2主要测评工具

本次安全测评采用的测试工具主要包括：

1.2.4测评内容与实施

把测评指标和测评方式结合到信息系统的具体测评对象上，就构成了可以具体测评的安全子类。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等几个方面。

1.2.4.1物理安全

物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。

在内容上，物理安全层面测评实施过程涉及10个安全子类，具体如下表：

4.2.4.1.1测评内容

4.2.4.1.2测评实施

访谈物理安全负责人、机房维护人员和机房值守人员，询问机房是否有防盗报警系统、避雷装置、自动消防系统和温湿度自动调节设施等相关机房安全措施，检查机房位置、相关制度、记录文档、系统（或设备）的运行情况等。

4.2.4.1.3配合需求

1.2.4.2网络安全

网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、安全设备以及网络拓扑结构等三大类对象。在内容上，网络安全层面测评过程涉及6个工作单元。

4.2.4.2.1测评内容

4.2.4.2.2测评实施

网络层面测评实施主要分为三部分，第一部分为网络全局测评，主要通过访谈网络管理员，针对结构安全、边界完整性、入侵防范、恶意代码防范四个控制点，了解结构安全、业务高峰期设备处理能力和链路带宽运行情况、非法内外联，以及网络边界的入侵防范措施，恶意代码防范情况等内容。第二部分为网络设备防护测评，主要通过对网络管理员进行访谈、由管理员进行操作查看安全配置，针对访问控制、安全审计、网络设备防护三个控制点，了解网络设备上主要的访问控制策略、设备日志记录情况、口令复杂度、双因子身份鉴别、管理员权限分离等内容。第三部分为工具测试，针对网络设备、服务器的系统漏洞进行扫描，以及对网络设备的访问控制策略进行验证等。

4.2.4.2.3配合需求

1.2.4.3主机安全

主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的管理终端和管理支撑服务器（包括：审计服务器、防病毒服务器、补丁升级服务器等）安全保障情况。在内容上，主机系统安全层面测评实施过程涉及7个安全子类。

4.2.4.3.1测评内容

4.2.4.3.2测评实施

主机层面测评实施主要通过访谈和查看，了解服务器的安全防护措施和相关安全配置，涉及到的控制点有：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等。

4.2.4.3.3配合需求

1.2.4.4应用安全

4.2.4.4.1测评内容

应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上，应用安全层面测评实施过程涉及7个工作单元，具体如下表：

4.2.4.4.2测评实施

应用层面测评实施主要通过访谈和查看，了解应用系统的安全防护措施和相关安全配置，涉及到的控制点有：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制。

4.2.4.4.3配合需求

1.2.4.5数据安全及备份恢复

4.2.4.

5.1测评内容

在内容上，数据安全层面测评实施过程涉及3个工作单元，具体如下表：

4.2.4.

5.2测评实施

数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。

4.2.4.

5.3配合需求

1.2.4.6安全管理制度

4.2.4.6.1测评内容

安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

在内容上，安全管理制度测评实施过程涉及3个工作单元，具体如下表：

4.2.4.6.2测评实施

访谈安全主管，了解机构安全管理制度体系的构成、安全管理制度制定和发布的流程、对制定的安全管理制度进行论证和审定的情况和对安全管理制度文件体系和安全管理制度定期进行评审修订的情况。

收集并查看信息安全管理文档，查看制度文档的格式是否统一、是否具有编号、查看内容是否覆盖了信息安全工作的总体目标、方针和策略和信息系统生命周期中的重要管理活动，是否有对重要服务器、网络设备、安全设备操作的操作规程。检查安全管理制度的收发登记记录是否符合规定的收发程序和发布范围控制等要求，是否有安全管理制度制定的评审记录和定期修订的记录。

4.2.4.6.3配合需求

1.2.4.7安全管理机构

4.2.4.7.1测评内容

4.2.4.7.2测评实施

访谈安全主管，了解安全管理职能部门的人员岗位设置情况：是否设立系统管

理员、网络管理员、安全管理员等岗位，是否成立信息安全工作委员会或领导小组。了解各个安全管理岗位的人员和关键岗位人员的配备情况。了解授权与审批制度设立情况和单位内部各部门之间和单位与其他兄弟单位、公安机关、电信公司、供应商、业界专家、专业安全公司或安全组织的相互沟通与协调的机制，机构是否聘请信息安全专家作为机构的安全顾问。了解信息系统日常安全检查情况和系统定期进行全面安全检查的情况。

查看部门、岗位职责等相关文件是否明确定义了机构及各岗位人员的职责范围，岗位人员名单中关键岗位是否配备了多人共同管理。查看检查授权与审批制度文档，查看文档是否明确各审批事项的审批部门、批准人及审批流程等，检查相应审批记录是否按照审批程序执行审批过程对重要活动进行逐级审批。检查是否有信息安全管理委员会或领导小组执行日常管理工作的文件或工作记录、是否有外联单位列表、是否有信息安全专家的聘用文件。

4.2.4.7.3配合需求

1.2.4.8人员安全管理

4.2.4.8.1测评内容

4.2.4.8.2测评实施

访谈安全主管或人事负责人，了解人员录用流程、关键岗位工作人员的选拔流程、人员离岗流程、信息安全培训考核情况和外来人员访问控制措施，包括人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，是否签署了保密协议，离岗时是否终止离岗人员的所有访问权限、收回离岗人员的设备和物品和离岗审查、承诺保密责任等情况，安全教育和培训计划制定实施情况、对各个岗位人员进行安全技能及安全知识考核的情况和对关键岗位人员进行安全审查、安全技能及安全知识的考核情况。了解对外部人员的访问管理措施。

检查是否有录用人员技术技能的考核记录、保密协议、关键岗位人员的岗位安全协议书、离岗手续记录、安全意识教育和培训计划和记录、考核记录和外部人员访问的申请审批和登记备案的记录。