精选-信息安全-等保测评服务方案

1.1.1定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。

1）协助定级

对系统情况进行分析，通过分析系统所属类型、所属信息类别、服务范围，了解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、确定客体受侵害的程度，最终确定系统的系统服务保护等级和业务信息保护等级，协助用户编制定级报告。

2）协助备案

协助用户填写《信息系统安全等级保护备案表》，协助用户到各地公安机关进行系统备案，获得系统备案证。

1.2等保测评

1.2.1概述

1.2.1.1项目简介

根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息化建设的内在需求。

随着信息化的不断发展，信息系统的应用为信息化的开展提供了重要的支撑平台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高度重视，

安全建设也逐渐成为公司信息化建设的内在需求。

整个测评项目的实施主要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个阶段：一、安全整改活动阶段，二复测评活动阶段，三，分析和报告编制活动阶段。

其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在，为将来的安全整改和安全建设提供有力依据。

1.2.1.2测评依据

本项目的测评按照以下标准或规范进行：

关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）；

关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）；

关于开展全省重要信息系统安全等级保护定级工作的通知（湘公通[2007]94号）；

关于进一步推进全省信息安全等级保护工作的函（湘公函[2011]21号）；

关于对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[2011]74号）；《信息系统安全等级保护定级指南》（GB/T22240—2008）；

《信息系统安全等级保护测评过程指南》（国标报批稿）；

《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。

主要测评依据：

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）；

《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012）。

1.2.1.3测评过程

1.2.2被测系统描述

1.2.2.1定级情况

本次安全等级测评所涉及的信息系统定级情况列表如下：

序号系统名称业务描述安全保护等级1XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX

2XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX

3XX系统一般性描述如为某某部门或某人群提供某种信息服务。SXAXGX 1.2.2.2网络结构

以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基础平台。其网络拓扑图如图2-1所示：

图 2-1信息管理系统网络拓扑图（示例）

1.2.2.3系统构成

.1业务应用软件

序号软件名称主要功能重要程度1XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要2XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要3XX系统系统本身能够为服务者提供的业务功能和安全功能等。重要.2关键数据类别

序号数据类别所属业务应用主机/存储设备重要程度1管理数据被测评对象应用应用服务器/数据库服务器重要2业务数据被测评对象应用应用服务器/数据库服务器重要3鉴别信息被测评对象应用应用服务器/数据库服务器重要

.3主机/存储设备

.4网络、安全设备

.4安全相关人员

.5安全管理文档

1.2.3测评对象与指标

1.2.3.1测评指标

GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。

本次测评的信息管理系统在实施时由建设方指定，包括二级和三级系统的等级测评，安全测评指标应包括《信息安全技术信息系统安全等级保护基本要求》中的二级和三级要求，分为通用指标类（GX），业务信息安全性指标类（SX）和系统服务保证类（AX）。

1）二级测评所包括的安全控制指标类型情况具体如下表：