医院等保三级测评方案、网络信息安全等级保护测评方案
医院网络信息系统三级等保测评方案
北京XX科技有限公司
2019年8月
目录
第1章方案概述 (5)
1.1 背景 (5)
1.2 方案设计目标 (7)
1.3 方案设计原则 (8)
1.4 方案设计依据 (9)
第2章信息系统定级情况 (12)
第3章安全需求分析 (13)
3.1 安全指标与需求分析 (13)
第4章信息安全体系框架设计 (16)
第5章管理体系整改方案 (17)
5.1 安全制度制定解决方案 (17)
5.1.1 策略结构描述 (17)
5.1.2 安全制度制定 (20)
5.1.3 满足指标 (21)
5.2 安全制度管理解决方案 (21)
5.2.1 安全制度发布 (21)
5.2.2 安全制度修改与废止 (22)
5.2.3 安全制度监督和检查 (22)
5.2.4 安全制度管理流程 (23)
5.2.5 满足指标 (26)
5.3 安全教育与培训解决方案 (27)
5.3.1 信息安全培训的对象 (27)
5.3.2 信息安全培训的内容 (28)
5.3.3 信息安全培训的管理 (29)
5.3.4 满足指标 (30)
5.4 人员安全管理解决方案 (30)
5.4.1 普通员工安全管理 (30)
5.4.2 安全岗位人员管理 (32)
5.4.3 满足指标 (37)
5.5 第三方人员安全管理解决方案 (37)
5.5.1 第三方人员短期访问安全管理 (38)
5.5.2 第三方人员长期访问安全管理 (39)
5.5.3 第三方人员访问申请审批流程信息表 (41)
5.5.4 第三方人员访问申请审批流程图 (42)
5.5.5 满足指标 (42)
5.6 系统建设安全管理解决方案 (43)
5.6.1 系统安全建设审批流程 (43)
5.6.2 项目立项安全管理 (44)
5.6.3 信息安全项目建设管理 (46)
5.6.4 满足指标 (50)
5.7 等级保护实施管理解决方案 (52)
5.7.1 信息系统描述 (54)
5.7.2 等级指标选择 (62)
5.7.3 安全评估与自测评 (65)
5.7.4 方案与规划 (70)
5.7.5 建设整改 (72)
5.7.6 运维 (77)
5.7.7 满足指标 (80)
5.8 软件开发安全管理解决方案 (80)
5.8.1 软件安全需求管理 (81)
5.8.2 软件设计安全管理 (82)
5.8.3 软件开发过程安全管理 (87)
5.8.4 软件维护安全管理 (89)
5.8.5 软件管理的安全管理 (91)
5.8.6 软件系统安全审计管理 (91)
5.8.7 满足指标 (92)
5.9 安全事件处置与应急解决方案 (93)
5.9.1 安全事件预警与分级 (93)
5.9.2 安全事件处理 (98)
5.9.3 安全事件通报 (103)
5.9.4 应急响应流程 (104)
5.9.5 应急预案的制定 (105)
5.9.6 满足指标 (115)
5.10 日常安全运维管理解决方案 (116)
5.10.1 运维管理 (116)
5.10.2 介质管理 (118)
5.10.3 恶意代码管理 (119)
5.10.4 变更管理管理 (121)
5.10.5 备份与恢复管理 (122)
5.10.6 设备管理管理 (125)
5.10.7 网络安全管理 (129)
5.10.8 系统安全管理 (132)
5.10.9 满足指标 (135)
5.11 安全组织机构设置解决方案 (140)
5.11.1 安全组织总体架构 (140)
5.11.2 满足指标 (144)
5.12 安全沟通与合作解决方案 (145)
5.12.1 沟通与合作的分类 (145)
5.12.2 风险管理不同阶段中的沟通与合作 (147)
5.12.3 满足指标 (148)
5.13 定期风险评估解决方案 (148)
5.13.1 评估方式 (149)
5.13.2 评估内容 (150)
5.13.3 评估流程 (151)
5.13.4 满足指标 (152)
第6章技术体系整改方案 (154)
6.1.1 内网网络部署方案 (154)
6.1.2 外网网络部署方案 (155)
6.1.3 DMZ数据交换区域部署方案 (157)
6.2 边界访问控制解决方案 (158)
6.2.1 需求分析 (158)
6.2.2 方案设计 (159)
6.2.3 方案效果 (160)
6.2.4 满足指标 (162)
6.3 边界入侵防御解决方案 (163)
6.3.1 需求分析 (163)
6.3.2 方案设计 (164)
6.3.3 方案效果 (167)
6.3.4 满足指标 (168)
6.4 网关防病毒解决方案 (169)
6.4.1 需求分析 (169)
6.4.2 方案设计 (170)
6.4.3 方案效果 (171)
6.4.4 满足指标 (172)
6.5 网络安全审计解决方案 (173)
6.5.1 需求分析 (173)
6.5.2 方案设计 (174)
6.5.3 方案效果 (181)
6.5.4 满足指标 (185)
6.6 漏洞扫描解决方案 (187)
6.6.1 需求分析 (187)
6.6.2 方案设计 (189)
6.6.3 方案效果 (193)
6.6.4 满足指标 (196)
6.7 应用监控解决方案 (198)
6.7.1 需求分析 (198)
6.7.2 方案设计 (198)
6.7.3 方案效果 (200)
6.7.4 满足指标 (202)
6.8 安全管理中心解决方案 (204)
6.8.1 需求分析 (204)
6.8.2 方案设计 (205)
6.8.3 方案效果 (221)
6.8.4 满足指标 (223)
6.9 运维平台解决方案 (224)
6.9.1 需求分析 (224)
6.9.2 方案设计 (225)
第7章技术体系符合性分析 (458)
7.1 物理安全 (458)
7.2 网络安全 (463)
7.4 应用安全 (476)
7.5 数据安全与备份恢复 (483)
第8章方案整体部图和初步预算 (485)
8.1 项目预算 (486)
第1章方案概述
1.1背景
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、LIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。
为了保障我国关键基础设施和信息的安全,结合我国的基本国情,制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本保障。而针对医疗卫生行业,卫生部于2011年11月分别发布《卫生部办公
厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号),卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号),85号文规定了主要工作内容:
1.定级备案(规定了定级范围及级别)
2.建设与整改(规定了二级(含)以上系统需进行差距分析与整改)
3.等级测评(规定了三级(含)以上需进行等保测评)
4.宣传培训(规定了各类卫生机构需进行信息安全培训,提高安全意识)
5. 监督检查(规定了信息化工作领导小组对各医疗机构等级保护工作进行督导)
全面开展等级保护建设,对医院特别是三级甲等医院的信息化建设提出了更高的要求,其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。
医院位是一所集医疗、科研、教学、预防、保健、康复于一体的三级乙等综合性公立医院,是川北医学院教学医院,“住院医师规范化培训基地、全科医师培训基地、执业医师临床实践技能考核”医院,、雁江区两级城镇职工基本医疗保险、大病统筹、新农合医疗定点医院,工伤保险、生育保险和太平洋、平安、中国人寿、泰康人寿等商业保
险医疗定点医院。是四川大学华西医院远程会诊、远程教学定点医院。
医院先后被部、省、市、卫生行政主管部门表彰为“全国卫生工作先进集体”、“全国计划生育工作先进集体”、“四川省文明医院”、“四川省文明单位”、“最佳文明单位”等光荣称号。
办院理念:突出中心,病人第一;奉献社会,服务第一;奋力攀登,发展第一。
办院目标:一流的管理,一流的技术,一流的质量,一流的服务,一流的环境。
办院方针:科技兴院,质量立院,管理强院,从严治院。
办院办法:人尽其才,财尽其效,物尽其用,地尽其利。
为了保障医院的医疗信息化业务的高效运行,以政策性信息安全等级保护建设为指导,根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》和《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》,进行三级实施保护的优化设计,让医院的网络系统达到信息安全的三级等级保护要求。
1.2方案设计目标
本次医院核心业务系统等级保护安全建设的主要目标是:
按照等级保护要求,结合实际业务系统,对医院核心业务系统进行充分调研及详细分析,将医院核心业务系统系统建设成为一个及满
足业务需要,又符合等级保护三级系统要求的业务平台。
建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足医院信息安全要求。
1.3方案设计原则
“全面保障”原则:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。
“整体规划,分步实施”原则:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。
“标准化”原则:管理要规范化、标准化,以保证在能源行业庞
大而多层次的组织体系中有效的控制风险。
“技术与管理并重”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
1.4方案设计依据
本方案的设计主要依据以下等级保护政策:
?公安部、国家保密局、国际密码管理局、国务院信息化工
作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)
?公安部、国家保密局、国家密码管理局、国务院信息化工
作办公室制定的《信息安全等级保护管理办法》(公通字〔2007〕
43号)
?公安部颁发的《关于开展信息安全等级保护安全建设整改
工作的指导意见》(公信安〔2009〕1429号)
?公安部《关于推动信息安全等级保护测评体系建设和开展
等级测评工作的通知》(公信安〔2010〕303号)
?
?本方案的设计主要依据如下等级保护标准:
?《信息安全技术信息系统安全等级保护基本要求》(GB/T
22239-2008)
?《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)
本方案还参考了如下一些政策和标准:
?《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
?《信息安全技术信息系统安全等级保护实施指南》
?《信息安全技术信息系统安全等级保护测评要求》
?《信息安全技术信息系统安全等级保护测评过程指南》?《计算机信息系统安全保护等级划分准则》(GB
17859-1999)
?《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)
?《信息安全技术网络基础安全技术要求》(GB/T
20270-2006)
?《信息安全技术操作系统安全技术要求》(GB/T
20272-2006)
?《信息安全技术数据库管理系统安全技术要求》(GB/T 20273-2006)
?《信息安全技术服务器技术要求》(GB/T 21028-2007)?《信息安全技术终端计算机系统安全等级技术要求》
(GA/T 671-2006)
?《信息安全技术信息系统安全管理要求》(GB/T
20269-2006)
?《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)
?GB/T 22080-2008/ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》
?IATF《信息保障技术框架》
第2章信息系统定级情况
医院核心业务系统是医院信息系统(Hospital Information System,HIS)和影像归档和通信系统(Picture Archiving and Communication Systems, PACS)、实验室(检验科)信息系统(Laboratory Information System,LIS) 。目前已经完成系统定级,最终确定医院核心业务信息系统安全保护等级为第三级。
HIS系统是基于计算机网络、按照一定的应用目标和规则对医院临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人机系统。整个网络主干千兆,百兆到桌面,为两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的医疗事务处理业务,主要包括门诊挂号、电子医嘱和处方、计价收费、药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行,支持医院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作,是一体化的信息系统。
第3章安全需求分析
3.1安全指标与需求分析
医院核心业务系统的安全建设核心需求即满足等级保护的相关要求,因此将以满足等级保护指标为目标。根据定级结果,整体按三级来管理和建设。那么,可以确定需要满足的等级保护指标如下:
某医院等保三级测评方案
第4章信息安全体系框架设计
医院核心业务系统安全体系框架分为技术体系与管理管理体系两部分。其中:
●技术体系参考《设计技术要求》,分为计算环境安全、边界安
全、通信网络安全和安全管理中心四部分。同时满足《基本
要求》中物理安全、网络安全、主机安全、应用安全和数据
安全等方面技术指标。
●安全管理体系分为安全组织、安全策略、安全建设和安全运
维四部分。
第5章管理体系整改方案
5.1安全制度制定解决方案
安全制度是指导医院核心业务系统维护管理工作的基本依据,安全管理和维护管理人员必须认真制定的制度,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。
安全制定的适用范围是医院核心业务系统拥有的、控制和管理的所有信息系统、数据和网络环境,适用于属于医院核心业务系统范围内的所有部门。对人员的适用范围包括所有与医院核心业务系统的各方面相关联的人员,它适用于全部应用医院核心业务系统的相关工作人员,全部医院核心业务系统范围内容的维护人员,集成商,软件开发商,产品提供商,顾问,临时工,商务伙伴和使用医院核心业务系统的其他第三方。
安全策略体系建立的价值在于:
●推进信息安全管理体系的建立
?安全策略和制度体系的建设
?安全组织体系的建设
?安全运作体系的建设
●规范信息安全规划、采购、建设、维护和管理工作,推进信息安全的规
范化和制度化建设
5.1.1策略结构描述
信息安全策略为信息安全提供管理指导和支持。医院核心业务系统应该制定一套清晰的指导方针,并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。
策略系列文档结构图:
最高方针
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。
与其它部分的关系:
所有其它部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
组织机构和人员职责
安全管理组织机构和人员的安全职责,包括的安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
与其它部分的关系:
从最高方针中延伸出来,其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。
技术标准和规范
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。
与其它部分的关系:
向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
管理制度和规定
各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。此部分文档较多。
与其它部分的关系:
向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
安全操作流程
操作流程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
与其它部分的关系:
向上遵照技术标准和规范、最高方针。
用户协议
用户签署的文档和协议。包括安全管理人员、网络和系统管理员的安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺,也作为安全违背时处罚的依据。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
信息系统等级保护测评工作方案
XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)
2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准
(完整版)XXXX等级保护测评工作方案
广州市XXXXXX 2015-2016年XXXXXXXXXXXX项目 等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (3) 1.4.项目依据 (4) 2.测评实施内容 (4) 2.1.测评分析 (5) 2.1.1.测评范围 (5) 2.1.2.测评对象 (5) 2.1.3.测评内容 (5) 2.1.4.测评对象 (8) 2.1.5.测评指标 (9) 2.2.测评流程 (10) 2.2.1.测评准备阶段 (11) 2.2.2.方案编制阶段 (12) 2.2.3.现场测评阶段 (12) 2.2.4.分析与报告编制阶段 (14) 2.3.测评方法 (14) 2.3.1.工具测试 (14) 2.3.2.配置检查 (15) 2.3.3.人员访谈 (15) 2.3.4.文档审查 (16) 2.3.5.实地查看 (16) 2.4.测评工具 (17) 2.5.输出文档 (18) 2.5.1.等级保护测评差距报告....................... 错误!未定义书签。 2.5.2.等级测评报告............................... 错误!未定义书签。 2.5. 3.安全整改建议............................... 错误!未定义书签。 3.时间安排 (18)
4.人员安排 (19) 4.1.组织结构及分工 (19) 4.2.人员配置表 (20) 4.3.工作配合 (21) 5.其他相关事项 (22) 5.1.风险规避 (22) 5.2.项目信息管理 (24) 5.2.1.保密责任法律保证 (24) 5.2.2.现场安全保密管理 (24) 5.2.3.文档安全保密管理 (25) 5.2.4.离场安全保密管理 (25) 5.2.5.其他情况说明 (25) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息 系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的 要求,对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评 估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测 评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面 上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员 安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大 测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面 评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制, 深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全 保障与运维能力。
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
安全等级保护2级和3级等保要求
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理位置的选择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 物理安全 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为; 7)应对机房设置监控报警系统。
三级等保评测文件资料资料
信息系统安全等级测评 报告模板 项目名称: 委托单位: 测评单位: 年月日
报告摘要 一、测评工作概述 概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。(见附件:信息系统安全等级保护备案表) 描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。 二、等级测评结果 依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。 三、系统存在的主要问题 依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议 针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息
声明 声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容: 本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。 本报告中给出的结论不能作为对系统相关产品的测评结论。 本报告结论的有效性建立在用户提供材料的真实性基础上。 在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年月
(完整word版)安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
新版等级保护三级管理测评.pdf
三级管理要求(S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 安全管理机构岗位 设置 1. 应设立信息安全管理工作的职能部门,设立安全主管 人、安全管理各个方面的负责人岗位,定义各负责人的 职责。 访谈,检查。安全主管,安全管理某方 面的负责人,部门、岗位职责文件。 2. 应设立系统管理人员、网络管理人员、安全管理人员岗 位,定义各个工作岗位的职责。 3. 应成立指导和管理信息安全工作的委员会或领导小 组,其最高领导由单位主管领导委任或授权。 4. 应制定文件明确安全管理机构各个部门和岗位的职 责、分工和技能要求。 人员 配备 5. 应配备一定数量的系统管理员、网络管理员、安全管 理员等。访谈,检查。安全主管,人员配备要求 的相关文档,管理人员名单。 6.应配备专职安全管理员,不可兼任。 7.关键事务岗位应配备多人共同管理。 授权 和审 批 8. 应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。 访谈,检查。安全主管,关键活动的批 准人,审批事项列表,审批文档。 9. 应针对系统变更、重要操作、物理访问和系统接入等 事项建立审批程序,按照审批程序执行审批过程,对 重要活动建立逐级审批制度。 10.应定期审查审批事项,及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 审批部门和审批人等信息。 11.应记录审批过程并保存审批文档。 沟通和合作12. 应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通,定期或不定期召 开协调会议,共同协作处理信息安全问题。 访谈,检查。安全主管,安全管理人员, 会议文件,会议记录,外联单位说明文 档。 ` 13. 应加强与兄弟单位、公安机关、电信公司的合作与沟 通。 14. 应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。 15. 应建立外联单位联系列表,包括外联单位名称、合作 内容、联系人和联系方式等信息。 16. 应聘请信息安全专家作为常年的安全顾问,指导信息 安全建设,参与安全规划和安全评审等。 审核和检查17. 安全管理员应负责定期进行安全检查,检查内容包括 系统日常运行、系统漏洞和数据备份等情况。 访谈,检查。安全主管,安全员,安全 检查记录。 18. 应由内部人员或上级单位定期进行全面安全检查,检 查内容包括现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。 19. 应制定安全检查表格实施安全检查,汇总安全检查数 据,形成安全检查报告,并对安全检查结果进行通报。
计算机信息系统安全等级保护三级
计算机信息系统安全等级保护三级 申请条件: (一)综合条件 1. 企业是在中华人民共和国境内注册的企业法人,变革发展历程清晰、产权关系明确,取得信息系统集成四级资质的时间不少于一年,或从事系统集成业务的时间不少于两年。 2. 企业主业是系统集成,近三年的系统集成收入总额占营业收入总额的比例不低于50%。 3. 企业注册资本和实收资本均不少于200万元, 或所有者权益合计不少于200万元。(二)财务状况 1. 企业近三年的系统集成收入总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%,财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计。 2. 企业财务状况良好。 (三)信誉 1. 企业有良好的资信,近三年无触犯国家法律法规的行为。 2. 企业有良好的知识产权保护意识,近三年完成的系统集成项目中无销售或提供非正版软件的行为。 3. 企业有良好的履约能力,近三年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。 4. 企业近三年无不正当竞争行为。 5. 企业遵守信息系统集成资质管理相关规定,在资质申报和资质证书使用过程中诚实守信,近三年无不良行为。 (四)业绩 1. 近三年完成的系统集成项目总额不少于5000万元,或不少于4000万元且近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于70%。这些项目已通过验收。 2. 近三年至少完成1个合同额不少于300万元的系统集成项目,或所完成合同额不少于100万元的系统集成项目总额不少于300万元,或所完成合同额不少于50万元的纯软件和信息技术服务项目总额不少于150万元。 3. 近三年完成的系统集成项目总额中软件和信息技术服务费总额所占比例不低于30%,或软件和信息技术服务费总额不少于1500万元,或软件开发费总额不少于800万元。 (五)管理能力 1. 已建立质量管理体系,通过国家认可的第三方认证机构认证,并能有效运行。 2. 已建立完备的客户服务体系,能及时、有效地为客户提供服务。 3. 企业的主要负责人从事信息技术领域企业管理的经历不少于3年,主要技术负责人应具有计算机信息系统集成项目管理人员资质或电子信息类专业硕士及以上学位或电子信息类中级及以上技术职称、且从事系统集成技术工作的经历不少于3年,财务负责人应具有财务系列初级及以上职称。 (六)技术实力 1. 在主要业务领域具有较强的技术实力。 2. 经过第三方评测鉴定或用户使用认可的自主开发的软件产品不少于3个,且部分软件产品在近三年已完成的项目中得到了应用。 3. 有专门从事软件或系统集成技术开发的研发人员,已建立基本的软件开发与测试体系,
医院等保三级测评方案、网络信息安全等级保护测评方案
医院网络信息系统三级等保测评方案 北京XX科技有限公司 2019年8月
目录 第1章方案概述 (5) 1.1 背景 (5) 1.2 方案设计目标 (7) 1.3 方案设计原则 (8) 1.4 方案设计依据 (9) 第2章信息系统定级情况 (12) 第3章安全需求分析 (13) 3.1 安全指标与需求分析 (13) 第4章信息安全体系框架设计 (16) 第5章管理体系整改方案 (17) 5.1 安全制度制定解决方案 (17) 5.1.1 策略结构描述 (17) 5.1.2 安全制度制定 (20) 5.1.3 满足指标 (21) 5.2 安全制度管理解决方案 (21) 5.2.1 安全制度发布 (21) 5.2.2 安全制度修改与废止 (22) 5.2.3 安全制度监督和检查 (22) 5.2.4 安全制度管理流程 (23) 5.2.5 满足指标 (26) 5.3 安全教育与培训解决方案 (27) 5.3.1 信息安全培训的对象 (27) 5.3.2 信息安全培训的内容 (28) 5.3.3 信息安全培训的管理 (29) 5.3.4 满足指标 (30) 5.4 人员安全管理解决方案 (30) 5.4.1 普通员工安全管理 (30) 5.4.2 安全岗位人员管理 (32) 5.4.3 满足指标 (37) 5.5 第三方人员安全管理解决方案 (37) 5.5.1 第三方人员短期访问安全管理 (38) 5.5.2 第三方人员长期访问安全管理 (39) 5.5.3 第三方人员访问申请审批流程信息表 (41) 5.5.4 第三方人员访问申请审批流程图 (42) 5.5.5 满足指标 (42) 5.6 系统建设安全管理解决方案 (43) 5.6.1 系统安全建设审批流程 (43) 5.6.2 项目立项安全管理 (44) 5.6.3 信息安全项目建设管理 (46) 5.6.4 满足指标 (50)
信息系统安全等级保护三级基本要求
目次 前言............................................................................... IX 引言................................................................................ X 1 范围.. (1) 2规范性引用文件 (1) 3术语和定义.......................................................... 错误!未定义书签。4信息系统安全等级保护概述 (1) 4.1 信息系统安全保护等级 (1) 4.2 不同等级的安全保护能力 (1) 4.3 基本技术要求和基本管理要求 (1) 4.4 基本技术要求的三种类型 (2) 5第一级基本要求...................................................... 错误!未定义书签。 5.1 技术要求.......................................................... 错误!未定义书签。 5.1.1物理安全........................................................ 错误!未定义书签。 5.1.1.1 物理访问控制(G1)............................................ 错误!未定义书签。 5.1.1.2 防盗窃和防破坏(G1).......................................... 错误!未定义书签。 5.1.1.3 防雷击(G1).................................................. 错误!未定义书签。 5.1.1.4 防火(G1).................................................... 错误!未定义书签。 5.1.1.5 防水和防潮(G1).............................................. 错误!未定义书签。 5.1.1.6 温湿度控制(G1).............................................. 错误!未定义书签。 5.1.1.7 电力供应(A1)................................................ 错误!未定义书签。 5.1.2网络安全........................................................ 错误!未定义书签。 5.1.2.1 结构安全(G1)................................................ 错误!未定义书签。 5.1.2.2 访问控制(G1)................................................ 错误!未定义书签。 5.1.2.3 网络设备防护(G1)............................................ 错误!未定义书签。 5.1.3主机安全........................................................ 错误!未定义书签。 5.1.3.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.3.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.3.3 入侵防范(G1)................................................ 错误!未定义书签。 5.1.3.4 恶意代码防范(G1)............................................ 错误!未定义书签。 5.1.4应用安全........................................................ 错误!未定义书签。 5.1.4.1 身份鉴别(S1)................................................ 错误!未定义书签。 5.1.4.2 访问控制(S1)................................................ 错误!未定义书签。 5.1.4.3 通信完整性(S1).............................................. 错误!未定义书签。 5.1.4.4 软件容错(A1)................................................ 错误!未定义书签。 5.1.5数据安全及备份恢复.............................................. 错误!未定义书签。 5.1.5.1 数据完整性(S1).............................................. 错误!未定义书签。 5.1.5.2 备份和恢复(A1).............................................. 错误!未定义书签。 5.2 管理要求.......................................................... 错误!未定义书签。 5.2.1安全管理制度.................................................... 错误!未定义书签。 5.2.1.1 管理制度(G1)................................................ 错误!未定义书签。 5.2.1.2 制定和发布(G1).............................................. 错误!未定义书签。 5.2.2安全管理机构.................................................... 错误!未定义书签。 I
信息系统等级保护测评工作设计方案
. XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月
目录 1 目录 ....................................................................................................................................... 2 1.项目概述.......................................................................................................................... 2 1.1.项目背景................................................................................................................... 1.2.项目目标 ............................................................................................................... 2 3 1.3.项目原则 ............................................................................................................... 3 1.4.项目依据 ............................................................................................................... 2.测评实施内容.................................................................................................................. 5 5 2.1.测评分析................................................................................................................... 5 2.1.1.测评范围............................................................................................................ 2.1.2.测评对象............................................................................................................ 5 6 2.1. 3.测评内容............................................................................................................ 8 2.1.4.测评对象............................................................................................................ 9 2.1.5.测评指标............................................................................................................ 11 2.2.测评流程................................................................................................................. 12 2.2.1.测评准备阶段 ................................................................................................. 2.2.2.方案编制阶段 ................................................................................................. 13 13 2.2. 3.现场测评阶段 ................................................................................................. 16 2.2.4.分析与报告编制阶段..................................................................................... 16 2.3.测评方法................................................................................................................. 17 2.3.1.工具测试.......................................................................................................... 17 2.3.2.配置检查.......................................................................................................... 18 2.3.3.人员访谈.......................................................................................................... 18 2.3.4.文档审查.......................................................................................................... 19 2.3.5.实地查看..........................................................................................................
等级保护测评服务合同协议书
等级保护测评服务合同 协议书 Modified by JACK on the afternoon of December 26, 2020
技术服务合同 合同编号(甲方): 合同编号(乙方): 项目名称: 委托方(甲方): 受托方(乙方): 签订时间: 签订地点: 有效期限:xxx年xxx月至xxx年xxx月
目录 1.技术服务项目概要................................................... 2.技术服务具体要求................................................... 3.甲方提供的工作条件及协作事项....................................... 4.组织与管理......................................................... 5.技术服务报酬及支付方式............................................. 6.技术服务工作成果的验收............................................. 7.知识产权........................................................... 8.保密义务........................................................... 9.违约责任........................................................... 10.合同变更和解除.................................................... 11.争议解决.......................................................... 12.名词和技术术语的定义和解释........................................ 13.本合同的组成部分.................................................. 14.其他.............................................................. 附件1:技术协议书 ...................................................
信息安全等级保护教学文案
1. 信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 2. 信息安全等级保护工作内容 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。如图1所示为具体流程。
2.1 信息安全保护等级划分 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 《信息安全等级保护信息安全等级保护管理办法》规定:信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 计算机信息系统安全保护等级划分: 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级 3. 信息安全等级保护测评基本概念 信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围 本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作
的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1 优势证据superiorevidence