三级等保评测文件资料资料
三级测评指导书--等保2.0通用标准
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
三级等保评测文件资料资料
信息系统安全等级测评报告模板项目名称: ______________________________________ 委托单位: ______________________________________测评单位: ______________________________________报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
三级等保测评报告
三级等保测评报告是一种评估信息系统安全等级的报告,其中涉及五个安全技术要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心。
以下是三级等保测评报告的简要内容:
1.安全物理环境:评估信息系统的物理环境是否安全,包括物理访问控制、物理
安全监测、防盗窃和防破坏等。
2.安全通信网络:评估信息系统的通信网络是否安全,包括通信传输、可信通信
网络和通信应用等。
3.安全区域边界:评估信息系统的区域边界是否安全,包括边界防护、入侵检测
和防御等。
4.安全计算环境:评估信息系统的计算环境是否安全,包括身份鉴别、访问控制、
数据完整性、数据备份和恢复等。
5.安全管理中心:评估信息系统的安全管理中心是否安全,包括集中管理、审计
和监控等。
在每个安全技术要求下,三级等保测评报告都会进行详细的测试和评估,并提供相应的建议和改进措施。
此外,报告还将提供综合安全等级评估结果,并对现有的安全措施进行总体评价。
如果需要获取完整的三级等保测评报告,建议联系专业的信息安全机构或相关组织进行评估和审计。
医院等保三级测评方案、网络信息安全等级保护测评方案
医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。
三级等保评估书范本
三级等保评估书范本1. 介绍1.1 背景1.2 目的1.3 范围2. 系统概述2.1 系统描述2.2 系统功能2.3 系统边界3. 安全需求3.1 安全目标3.2 安全需求1.保密性要求2.完整性要求3.可用性要求4. 安全威胁分析4.1 威胁辨识1.内部威胁2.外部威胁 ### 4.2 威胁分析3.威胁类型4.威胁影响5.威胁概率5. 安全风险评估5.1 风险辨识1.潜在风险2.已知风险 ### 5.2 风险分析3.风险等级4.风险概率5.风险影响6. 安全控制措施6.1 控制策略1.防范措施2.检测措施3.响应措施 ### 6.2 控制实施4.系统配置5.访问控制6.加密技术7. 安全测试与验证7.1 测试方法7.2 测试结果7.3 验证方法7.4 验证结果8. 安全运维8.1 安全培训8.2 安全演练8.3 安全监控8.4 安全维护9. 总结9.1 评估结论9.2 建议和改进措施以上是一个三级等保评估书的范本。
根据任务名称,我们需要编写一个不少于2000字的文章,来详细探讨三级等保评估书的内容和要求。
在文章中,我们首先介绍了评估书的背景、目的和范围,以便读者了解评估书的重要性和应用场景。
然后,我们详细描述了评估书中的各个章节,包括系统概述、安全需求、安全威胁分析、安全风险评估、安全控制措施、安全测试与验证、安全运维等。
每个章节都有对应的二级标题,并在其中使用有序列表的格式来清晰划分不同部分。
在安全需求章节中,我们列举了保密性、完整性和可用性等方面的要求。
在安全威胁分析章节中,我们辨识了内部和外部威胁,并进行了威胁分析。
在安全风险评估章节中,我们辨识了潜在风险和已知风险,并进行了风险分析。
在安全控制措施章节中,我们介绍了防范、检测和响应措施,并对其进行了实施。
在安全测试与验证章节中,我们介绍了测试方法、测试结果、验证方法和验证结果。
在安全运维章节中,我们介绍了安全培训、安全演练、安全监控和安全维护等。
等保2.0管理测评文档清单(三级)
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
等保三级记录类文档模板
等保三级记录类文档模板一、概述等保三级记录类文档模板是一套用于记录等保三级测评过程中发现的安全问题、整改措施和整改结果的文档模板。
本模板旨在帮助企业建立完善的安全记录管理制度,确保安全问题的可追溯性和整改措施的有效执行。
二、文档内容1.安全问题记录表:用于记录测评过程中发现的安全问题,包括问题的类型、发生时间、发生地点、影响范围、问题描述等信息。
2.整改措施记录表:用于记录针对发现的安全问题所采取的整改措施,包括整改措施的执行人、执行时间、实施过程、完成情况等信息。
3.测评报告:包括测评的基本信息、测评范围、测评方法、发现的安全问题、问题等级划分、整改建议等内容。
4.整改报告:包括整改的基本信息、整改范围、整改措施、实施过程、完成情况、复查结果等内容。
三、使用方法1.在测评和整改过程中,按照要求填写安全问题记录表和整改措施记录表,确保信息的准确性和完整性。
2.在整理测评和整改结果时,将相关资料整理成测评报告和整改报告,并按照文档模板的格式要求进行排版和打印。
3.将整理好的测评报告和整改报告存档,以便后续查阅和复查。
4.在每次安全检查和整改过程中,都要认真记录发现的问题和采取的措施,确保安全问题的可追溯性。
四、注意事项1.确保文档内容真实、准确、完整,不得虚假记录或故意遗漏。
2.文档排版要规范,格式要统一,易于阅读和存档。
3.每次填写记录表时要注明检查时间和地点,确保记录的真实性。
4.整改措施要具有针对性和可行性,确保能够真正解决问题。
5.对于重要安全问题的整改结果,要进行复查,确保整改到位。
总之,等保三级记录类文档模板是一套重要的安全管理制度文档,对于企业建立完善的安全管理体系具有重要意义。
通过正确使用文档模板,可以确保安全问题的可追溯性和整改措施的有效执行,提高企业的安全保障水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
描述等级测评工作的基本情况,包括委托单位、测评单位、测评围及预期(如,通过等级测评找出与国家标准要求之间的差距)。
描述测评报告的用途(如,作为后续安全整改的依据)。
1.2测评依据开展测评活动所依据的合同、标准和文件:1)《信息安全等级保护管理办法》(公通字[2007]43号)2)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)13)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求4)GB/T 20984-2007 信息安全技术信息安全风险评估规5)《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)6)被测信息系统安全等级保护定级报告7)等级测评任务书/测评合同等1.3测评过程描述本次等级测评的工作流程(可参考《信息系统安全等级保护测评过程指南》),具体容包括但不限于:(一)测评工作流程图(二)各阶段完成的关键任务(三)工作的时间节点1针对“国家电子政务工程建设项目”有效1.4报告分发围依据项目需求,明确应交付等级测评报告的数量与分发围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。
2被测系统情况2.1基本信息2本报告模板针对作为单一定级对象的信息系统制定。
2.2业务应用描述信息系统承载的业务应用情况。
2.3网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于:(一)功能/安全区域划分、隔离与防护情况(二)关键网络和主机设备的部署情况和功能简介(三)与其他信息系统的互联情况和边界设备(四)本地备份和灾备中心的情况2.4系统构成以列表的形式分类描述信息系统的软、硬件构成情况。
2.4.1业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。
2.4.2关键数据类别2.4.3主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
2.4.4网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备。
设备名称应确保在被测信息系统围的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。
2.4.5安全相关人员以列表形式给出与被测信息系统安全相关的人员,描述项目包括、岗位/角色和联系方式。
人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
2.4.6安全管理文档与信息系统安全相关的文档,包括:(一)管理类文档,如机构总体安全方针和政策方面的管理制度、、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等;(二)记录类文档,如设备运行维护记录、会议记录等;(三)其他类文档,如专家评审意见等。
2.5安全环境描述被测信息系统的运行环境中与安全相关的部分:如数据中心位于运营服务商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。
以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行威胁赋值,具体容可参考《风险评估规》。
3等级测评围与方法3.1测评指标测评指标包括基本指标和附加指标两部分,以列表的形式给出。
依据定级结果选择《基本要求》中对应级别的安全要求作为等级测评的基本指标;3.1.1基本指标基本指标(物理和网络子类)的例子如下所示:3测评项数量随信息系统的安全保护等级不同而变化3.1.2附加指标参照基本指标的表述模式以列表形式给出附加指标。
附加指标包括但不限于:1)行业标准/规的具体指标2)主管部门的规定的具体指标3)信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体指标3.2测评对象3.2.1测评对象选择方法描述本次等级测评中采用的测评对象选择方法和具体规则,通常采用抽查的方法,兼顾类别与数量。
测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系。
其中,主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定;机房、介质4和管理文档不需要抽样。
具体方法和规则可参考《信息系统安全等级保护测评过程指南》。
3.2.2测评对象选择结果1)网络互联设备操作系统4非个人使用存储介质2)安全设备操作系统3)业务应用软件4)主机(存储)操作系统5)数据库管理系统6)访谈人员7)安全管理文档3.3测评方法3.3.1现场测评方法描述本次等级测评工作中采用的测评方法。
现场测评方法主要包括访谈、检查和测试等三类,可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。
如果采用工具测试,应给出工具接入示意图,并对测评工具的接入点和预期的测试路径进行描述。
3.3.2风险分析方法本项目依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析,分析过程包括:1)判断信息系统安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁利用导致安全事件发生的可能性,可能性的取值围为高、中和低;2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度,影响程度取值围为高、中和低;3)综合1)和2)的结果对信息系统面临的风险进行汇总和分等级,风险等级的取值围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。