(完整版)XXXX等级保护测评工作方案
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
等保测评方案
等保测评方案1. 引言等保测评是指对信息系统安全等级保护的实施情况进行评估和验收的过程,通过等保测评可以确保信息系统满足国家对信息系统安全等级的要求。
本文档将介绍等保测评的方案和流程。
2. 测评目标本次测评的目标是评估信息系统的安全性,主要关注以下几个方面:•系统的机密性•系统的完整性•系统的可用性•系统的不可抵赖性•系统的接入控制•系统的鉴别控制•系统的审计和监控3. 测评范围本次测评的范围涵盖以下方面:•信息系统的硬件设备•信息系统的操作系统•信息系统的网络设备•信息系统的应用程序•信息系统的数据库4. 测评流程经过多次实践和总结,我们制定了以下测评流程:步骤一:准备在进行测评之前,需要进行一些准备工作,包括:•确定测评对象:确定要进行测评的信息系统,包括硬件、软件和网络设备。
•收集资料:收集与测评对象相关的资料,包括系统配置文件、安全策略等。
•组织测评团队:组建由测评人员和技术专家组成的测评团队。
步骤二:评估评估阶段是对测评对象进行详细的分析和评估,包括以下活动:1.收集信息:通过对系统进行扫描和检查,收集系统的各种信息,包括端口信息、服务信息、漏洞信息等。
2.漏洞评估:对系统的漏洞进行评估,包括漏洞的危害程度、修复方法等。
3.安全配置评估:对系统的安全配置进行评估,包括账户管理、访问控制、密码策略等。
4.弱点评估:对系统的弱点进行评估,包括系统的易受攻击程度、存在的风险等。
步骤三:验收验收阶段是对测评结果进行汇总和验证,包括以下活动:1.编写测评报告:根据评估阶段的结果,编写详细的测评报告,包括系统存在的安全问题和改进建议等。
2.评审测评报告:将测评报告提交给相关的部门或团队进行评审,确保评估结果的准确性和可信度。
3.验收测试:根据测评报告中的改进建议,对系统进行相应的修改和优化,并进行验收测试,以验证系统是否满足等保要求。
5. 测评结果在完成测评后,将产生相应的测评结果,主要包括以下内容:•测评报告:详细记录了系统的安全问题和改进建议,并提供了相应的解决方案。
等级保护测评项目测评方案
数据安全及备份恢复
数据加密
应对敏感数据进行加密存储和传输,确保数据在传输过程中的安 全性。
数据备份
应定期备份重要数据,包括数据库、文件等,以防止数据丢失和损 坏。
数据恢复
应具备快速恢复数据的能力,确保在发生故障或攻击时能够及时恢 复数据。
CHAPTER 05
测评工具和技术
测评工具介绍
工具名称: 等级保护测评工具
可度量性:该技术可以为每个评估项目提供具体的数值 ,方便进行比较和分析。
CHAPTER 06
总结与展望
项目总结
测评范围
明确测评的范围和内容,包括被测评单位的基本情况、测评的时 间和地点等。
测评方法
采用了多种方法和技术进行测评,包括问卷调查、实地考察、数据 分析和专家评估等。
测评结果
根据测评数据和信息,对被测评单位的等级保护工作进行了综合评 估,并给出了相应的等级和建议。
等级保护测评项目测评 方案
汇报人:
2023-12-01
CONTENTS 目录
• 项目背景 • 测评方案 • 测评流程 • 测评标准 • 测评工具和技术 • 总结与展望
CHAPTER 01
项目背景
测评目标
确定信息系统安全等 级保护符合度
指导安全防护措施的 优化和升级
发现信息系统安全隐 患和薄弱环节
现场勘查
勘查受测单位网络拓扑结构
核实网络设备的型号、配置参数、连接关系等信息。
勘查受测单位主机设备
核实操作系统、应用程序、数据库、中间件等信息。
勘查受测单位安全设施
包括视频监控、门禁系统、入侵检测系统等安全设施。
数据处理
01
数据清洗
去除重复数据、错误数据等无用数 据。
信息系统等级保护测评工作方案
信息系统等级保护测评工作方案一、背景介绍随着信息技术的不断进步和广泛应用,信息系统的安全性问题日益凸显。
为了保障国家信息安全和网络安全,我国制定了信息系统等级保护测评制度。
信息系统等级保护测评工作方案旨在规范测评工作流程、确保测评准确性和可信度。
二、总体目标本测评工作方案的总体目标是评估信息系统的安全性,并按照国家信息系统等级保护测评标准对系统进行等级划分,形成相应的安全测评报告。
具体目标如下:1. 确定信息系统等级保护测评的范围和要求;2. 制定信息系统等级保护测评的工作流程和方法;3. 提供信息系统等级保护测评的技术指导和评估标准;4. 输出符合国家标准的安全测评报告。
三、测评范围和要求1. 测评范围:本测评工作方案适用于所有需要进行信息系统等级保护测评的单位和组织。
2. 测评要求:信息系统等级保护测评需遵循国家相关法律法规和政策,确保测评过程的合法性、准确性和可追溯性。
四、工作流程和方法1. 需求分析:根据测评对象的特点和需求,明确测评目标和评估要求。
2. 测评准备:制定测评计划,明确测评范围、时间、资源等,并组织准备相关测评资料。
3. 测评实施:按照国家信息系统等级保护测评标准,采用合适的测评方法对系统进行评估,包括红蓝对抗、代码审计、安全隐患扫描等。
4. 数据分析:对测评所得的数据进行分析和整理,形成测评报告。
5. 结果评定:根据测评结果和国家相关标准,对系统进行等级划分和评定。
6. 结果输出:输出符合国家标准的安全测评报告,并进行相关备案。
五、技术指导和评估标准为确保测评的科学性和准确性,本测评工作方案提供了相关技术指导和评估标准,包括但不限于以下内容:1. 信息系统安全性评估指南;2. 信息系统等级保护测评技术细则;3. 信息系统安全风险评估方法与实践。
六、安全测评报告1. 测评报告应包含以下内容:测评对象的基本情况、安全问题的分析和评估结果等。
2. 测评报告需按照国家相关标准进行格式化,确保报告的统一和可读性。
等级保护测评保障方案
等级保护测评保证方案根据公安部出台的有关等级保护的政策,对信息系统的等级保护已经是国家的一项根本国策和信息平安的根本保证,同时等级保护工作的开展也是各行各业信息化建设的内在需求.等级保护测评的目的在于对当前建设的信息系统的平安防护能力做出客观评价.通过对平安物理环境、平安通信网络、平安区域边界、平安计算环境、平安治理中央、平安治理制度、平安治理机构、平安治理人员、平安建设治理、平安运维治理20个方面的平安检查,以国家信息平安等级保护根本要求作为平安基线,进行客观符合性判定,进一步衡量当前系统的平安防护水平,以及系统所面临的威胁和风险所在,为将来的平安整改和平安建设提供有力依据.我公司在本次工程开始实施前,严格根据等级保护 2.0测评标准在工程实施阶段、测评阶段提供完善的测评文档和技术文档,并协助用户在整个测评过程中提供任何所需的技术支持效劳.保证顺利通过等级保护2.0(三级)测评.•测评流程整个测评工程的实施主要分为现场测评和复测评,具体流程参见下列图所示.现场游n干其中现场测评分为四个阶段:一、测评准备活动阶段;二、方案编制活动阶段;三、现场测评活动阶段;四、分析和报告编制活动阶段.复测评分为三个阶段:一、平安整改活动阶段;二、复测评活动阶段;三、分析和报告编制活动阶段.12•现场测评根据?信息平安技术网络平安等级保护测评要求?(GB/T8448-2021),具体测评内容具体分为平安物理环境、平安通信网络、平安区域边界、平安计算环境、平安治理中央、平安治理制度、平安治理机构、平安治理人员、平安建设治理、平安运维治理10个方面的内容.其中涉及与技术层面相关的平安物理环境、平安通信网络、平安区域边界、平安计算环境、平安治理中央5个方面的内容,由我公司协助提供相应的技术文档和现场测评的技术支持.涉及与治理层面相关的平安治理制度、平安治理机构、平安治理人员、平安建设治理、平安运维治理5个方面的内容,由我公司配合用户,提供指导建议,并协助完成相关内容建设.LL柚容主要通过访谈和检查的方式评测信息系统的物理平安保证情况.主要1.2.2.1.测主要涉及对象为网络设备以及网络拓扑结构等二大类对象.在内容上,测评过程涉及以下几个平安子类.序号平安子类1网络架构 通信传输可信验证测评指标描述 检查网络拓扑情况、核查核心交换机、测评分析网络架构与网段划分、设备冗余等情况的合理性和有效性.检查通信过程中数据的完整性. 蚣杏¥摊珏衿钛节的孙太πr 住陪济123平安区域边界… 1. 2.3.1.*kfrt *主要涉及对象为网络平安设备,包含防火墙、入侵检测、平安审计等产品.在内容上,测评过程涉及以下几个平安子类.1 边界防护1.2.3.2.平安计"境1.2. 4.l.≡μ,w主要涉及对象为网络平安设备和平安治理系统,包含身份鉴别系统、平安审计、入侵检测、防病毒软件、数据备份软件等产品.在内容上,测评过程涉及以下几个平安子类.2. 5.1」评内容主要涉及对象为网络综合治理平台和审计治理等产品.在内容上,测评•差距分析1.2.5. 2.需求配合通过现场测评收集的信息,并对这些信息进行分析,形成定级信息系统的弱点评估报告、风险评估报告等文档.通过差距分析,了解信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合平安项,明确后续整改内容.依据差距分析报告,对需要整改的内容项形成整改实施方案,落实各项整改内容的责任主体.涉及实施原因的整改内容由我公司安排人员在限定时间内完成整改;涉及平安策略配置原因的整改内容由我公司技术人员与客户进行共同商定确定具体策略后,由我公司安排技术人员进行整改;涉及治理制度、治理人员、治理流程的整改内容配合客户相关部门负责完成整改.。
等保测评方案范文
等保测评方案范文等保测评方案是指根据国家等级保护基本要求和相关法规要求进行的网络安全测评工作方案。
通过对网络系统进行全面评估和测试,发现潜在的安全风险和漏洞,并提出相应的风险防范和改进措施,以确保网络系统的安全性和合规性。
一、等保测评方案的目标1.发现系统中的安全风险和漏洞,如信息泄露、权限不当、漏洞利用等;2.检查系统是否符合国家等级保护的基本要求和相关法规要求;3.评估系统的安全性和可靠性,发现可能导致系统崩溃或瘫痪的风险;4.提出相应的改进措施和建议,以提高系统的安全性和合规性。
二、等保测评方案的步骤1.准备阶段:确定测评的目标和范围,收集相关的系统和安全信息,建立评估团队和工作计划;2.信息搜集:通过对系统进行主动和被动的信息搜集,获取系统的架构、配置和运行状态等信息;3.风险评估:通过对搜集到的信息进行分析和评估,发现系统中的安全风险和漏洞;4.漏洞利用:利用发现的安全漏洞进行渗透攻击,验证漏洞的影响和利用难度;5.合规评估:检查系统是否符合国家等级保护的基本要求和相关法规要求;6.报告编写:将测评结果整理成报告,包括发现的安全风险和漏洞、系统的安全性和合规性评估结果,以及改进措施和建议;7.报告发布:将报告提交给系统管理者和相关部门,提供参考和改进依据;8.跟进改进:对报告中提出的改进措施和建议进行跟进和实施,提高系统的安全性和合规性。
三、等保测评方案的关键技术和方法1.漏洞扫描:通过使用自动化的工具对系统进行漏洞扫描,发现系统中存在的安全漏洞;2.渗透测试:通过模拟黑客攻击的方式,测试系统的安全性和可靠性,发现潜在的风险和漏洞;4.日志分析:对系统的日志进行分析,发现异常行为和潜在的安全风险;5.审计和监控:建立系统的审计和监控机制,及时发现和响应安全事件。
四、等保测评方案的注意事项1.尊重隐私权:在进行测评工作时,需尊重用户的隐私权,遵守相关法规和道德规范;2.安全合规:在测评过程中,需确保系统的安全性和合规性,不得给系统造成破坏或非法操作;3.风险评估:在报告中需要准确评估系统中的风险等级和影响程度,以便制定相应的改进措施;4.建议和改进:报告中的建议和改进措施应具体可行,能够帮助系统管理者提高系统的安全性和合规性;5.结果验证:对于报告中提出的漏洞和风险,需要对改进措施和建议进行验证,以确保安全问题得到解决。
等保测评方案
等保测评方案一、背景介绍随着信息技术的迅猛发展,网络安全问题日益突出。
为了有效防范和应对各类网络威胁,国家提出了网络安全等级保护制度(以下简称“等保制度”),并将其纳入了网络安全法的法律体系中。
等保测评作为等保制度的核心环节,通过对信息系统的评测和测试,为企业和组织提供科学合理的安全建议和措施。
二、等保测评的目的等保测评是为了验证信息系统是否符合等保制度要求,评估其安全性和完整性,并为企业和组织提供相应的安全改进方案。
具体目的包括:1.评估信息系统的安全状况,发现潜在安全风险;2.验证等保制度的合规性,确保信息系统满足国家安全要求;3.识别并纠正信息系统中的漏洞和弱点,提升整体系统的安全能力;4.为企业和组织提供科学合理的安全改进方案,加强整体信息安全管理。
三、等保测评的流程1. 筹备阶段在筹备阶段,评测团队需要与企业或组织进行沟通,明确评测的范围、目标和需求,并签订评测合同。
评测团队还需要对评测对象进行调研,收集相关的信息和资料。
2. 信息收集和梳理在此阶段,评测团队会对评测对象进行全面而系统的信息收集。
包括但不限于网络拓扑、系统架构、应用程序、数据流程等方面的信息。
据此梳理出评测的具体内容和方法。
3. 安全漏洞扫描和分析评测团队使用合适的工具对评测对象进行安全漏洞扫描和分析。
通过扫描和分析,确定系统中存在的潜在安全风险,并对其进行分类和优先级排序。
4. 安全漏洞验证评测团队会进一步验证安全漏洞的真实性和严重程度。
通过模拟攻击和渗透测试来确认漏洞的可利用性,并评估其对系统的潜在影响。
5. 安全评估和报告编写在此阶段,评测团队会根据评测结果,对系统进行全面的安全评估,并撰写评测报告。
报告中会详细说明评测的过程、结果和发现的安全风险,同时提供相应的安全改进方案和建议。
6. 结果汇报和讨论评测团队会与企业或组织进行结果汇报和讨论,共同解读评测报告中的内容,并就改进方案的具体实施进行深入交流。
7. 安全改进方案的实施评测报告中提出的安全改进方案需要被及时并全面地实施。
等级保护测评方案
等级保护测评方案1. 引言等级保护测评是一种评估系统、网络或应用程序等信息系统的安全性的方法。
该测评方案旨在评估系统的安全性,验证系统的等级保护能力是否达到预期的级别。
本文档将介绍等级保护测评的流程和方法,以及测评结果的报告。
2. 测评流程等级保护测评的流程通常可以分为以下几个步骤:2.1 建立测评目标在开始测评之前,需要明确测评的目标。
这包括确定要评估的系统、网络或应用程序,并明确测评的等级保护级别。
2.2 收集信息在进行测评之前,需要收集与待评估系统相关的信息。
这包括系统架构、技术文档、安全策略和其他相关资料。
2.3 分析系统在收集完相关信息后,需要对待评估系统进行详细的分析。
这包括对系统的架构、安全功能和安全策略进行审查,以确定系统是否符合等级保护的要求。
2.4 进行渗透测试渗透测试是评估系统安全性的重要步骤之一。
通过模拟攻击者的攻击手法和策略,测试系统的弱点和漏洞。
渗透测试可以包括网络扫描、漏洞扫描、密码破解等。
2.5 评估安全控制针对待评估系统的安全控制进行评估,包括访问控制、身份验证、加密算法等。
通过对这些安全控制的评估,确定系统是否具备足够的安全性。
2.6 编写测评报告根据上述步骤的结果,编写测评报告。
报告应包括对系统安全性的评估结果,以及提供改进建议和建议的安全增强措施。
3. 测评方法等级保护测评可以采用多种方法和技术。
以下是常用的几种测评方法:3.1 审查方法审查方法是通过分析系统的设计和文档来评估系统安全性的方法。
这包括对系统架构、安全策略和技术实施细节进行审查,以评估系统的安全性。
3.2 渗透测试方法渗透测试方法是模拟攻击者对系统进行攻击,发现系统的弱点和漏洞的方法。
通过渗透测试可以测试系统的安全性,并发现系统存在的安全风险。
3.3 系统配置审计方法系统配置审计方法是对系统配置进行审计,以发现系统配置上的安全问题。
通过审计系统配置,可以检测系统中存在的不安全配置,并提供安全增强建议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
广州市XXXXXX2015-2016年XXXXXXXXXXXX项目等级保护差距测评实施方案XXXXXXXXX信息安全有限公司201X年X月目录目录 (1)1.项目概述 (2)1.1.项目背景 (2)1.2.项目目标 (3)1.3.项目原则 (3)1.4.项目依据 (4)2.测评实施内容 (4)2.1.测评分析 (5)2.1.1.测评范围 (5)2.1.2.测评对象 (5)2.1.3.测评内容 (5)2.1.4.测评对象 (8)2.1.5.测评指标 (9)2.2.测评流程 (10)2.2.1.测评准备阶段 (11)2.2.2.方案编制阶段 (12)2.2.3.现场测评阶段 (12)2.2.4.分析与报告编制阶段 (14)2.3.测评方法 (14)2.3.1.工具测试 (14)2.3.2.配置检查 (15)2.3.3.人员访谈 (15)2.3.4.文档审查 (16)2.3.5.实地查看 (16)2.4.测评工具 (17)2.5.输出文档 (18)2.5.1.等级保护测评差距报告....................... 错误!未定义书签。
2.5.2.等级测评报告............................... 错误!未定义书签。
2.5.3.安全整改建议............................... 错误!未定义书签。
3.时间安排 (18)4.人员安排 (19)4.1.组织结构及分工 (19)4.2.人员配置表 (20)4.3.工作配合 (21)5.其他相关事项 (22)5.1.风险规避 (22)5.2.项目信息管理 (24)5.2.1.保密责任法律保证 (24)5.2.2.现场安全保密管理 (24)5.2.3.文档安全保密管理 (25)5.2.4.离场安全保密管理 (25)5.2.5.其他情况说明 (25)1.项目概述1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求,对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。
(安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。
全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工作和协助整改工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务,按照国家和XXXXXXXXXXXXXXXXXXX的有关要求,对XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构,确保全局信息系统高效稳定运行,并满足XXXXXXXXXXXXXXXXXXX提出的基本要求,及时提供咨询等服务。
1.3.项目原则项目的方案设计与实施应满足以下原则:✧符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。
✧标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
✧规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
✧可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
✧整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
✧最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
✧保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。
信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:✧《计算机信息系统安全保护等级划分准则》- GB17859-1999✧《信息安全技术信息系统安全等级保护实施指南》✧《信息安全技术信息系统安全等级保护测评要求》✧《信息安全等级保护管理办法》✧《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)✧《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)✧《计算机信息系统安全保护等级划分准则》(GB17859-1999)✧《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)✧《信息安全技术网络基础安全技术要求》(GB/T20270-2006)✧《信息安全技术操作系统安全技术要求》(GB/T20272-2006)✧《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)✧《信息安全技术服务器技术要求》(GB/T21028-2007)✧《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)✧《信息安全风险评估规范》(GB/T 20984-2007)2.测评实施内容2.1.测评分析2.1.1.测评范围本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。
2.1.2.测评对象本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统,具体如下:序号信息系统名称级别1 XXXXXXXXX信息系统三级2 XXXXXXXXX信息系统三级3 XXXXXXXXX信息系统三级4 XXXXXXXXX信息系统三级5 XXXXXXXXX信息系统二级6 XXXXXXXXX信息系统二级2.1.3.测评架构图本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点,进行不同层次的测评工作,如下表所示:2.1.4.测评内容本项目主要分为两步开展实施。
第一步,对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。
第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评和验收测评。
差距测评主要针对XXXXXXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。
最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
具体见下图:系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。
在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。
综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。
2.1.5.测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。
测评对象种类主要考虑以下几个方面:1.整体网络拓扑结构;2.机房环境、配套设施;3.网络设备:包括路由器、核心交换机、汇聚层交换机等;4.安全设备:包括防火墙、IDS/IPS、防病毒网关等;5.主机系统(包括操作系统和数据库系统);6.业务应用系统;7.重要管理终端(针对三级以上系统);8.安全管理员、网络管理员、系统管理员、业务管理员;9.涉及到系统安全的所有管理制度和记录。
根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。
2.1.6.测评指标对于二级系统,如业务信息安全等级为S2,系统服务安全等级为A2,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的2级通用指标类(G2),2级业务信息安全指标类(S2),2级系统服务安全指标类(A2),以及第2级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:2.2.测评流程等级保护测评实施过程包括以下四个阶段:2.2.1.测评准备阶段✧ 测评项目组组建:明确项目经理、测评人员及职责分工。