计算机信息安全等级保护测评方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统
等级保护测评方案
2019年
目录
1. XXXXXXXXXXXXXXXXX公司等级测评项目摘要 (3)
2.定级、备案及等级测评工作简介 (3)
3 定级、备案及等级测评工作的依据 (5)
4.定级、备案及等级测评工作的流程 (6)
4.1 定级、备案的工作流程 (6)
4.2 等级测评工作流程 (6)
4.2.1 技术思路和工作内容 (6)
4.2.2项目实施流程 (8)
5.实施周期及项目预算 (20)
5.1方案实施周期说明 (20)
5.2项目预算 (20)
1.等级测评项目摘要
XXXx公司业务开发的系统,是一套自主开发,统一部署在阿里云,为XXXXXXXX提供服务。
在目前《中华人民共和国网络安全法》实施的大背景下,根据法律第二十一条的相关规定,以及行业客户主管机关(公安部、交通部)的统一要求,XXXXXXX公司有必要对目前部署的系统,开展信息安全等级保护测评工作,并不断完善该系统的安全功能,确保该系统的安全稳定运行,以最大程度保障行业客户和社会利
益。
实施等级测评的工作初步估计工期为( 30 )个工作日,为确保项目的顺利进行,还必须向公安机关进行系统定级备案.
2.定级、备案及等级测评工作简介
2017年《网络安全法》第二十一条明确指出国家实施网络安全等级保护制度,2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)明确指出:“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全,经济命脉,社会稳定等方面的重要信息系统,要抓紧建立信息安全等级保护制度。”标志着等级
保护提升为国家信息安全保障工作的基本制度。同时明确“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
等级保护工作具体下来分五个环节:定级、备案、等级测评、建设整改、监督检查。
定级和备案:是确认信息系统本身,应按照等保中的第几级要求,来对信息系统的物理环境,规章制度和技术要求做出防护;并且将最终的定级结果,报公安机关备案,以便于在出现信息安全事件时有效的配合公安机关处理。
等级测评:是确认定级备案后的信息系统,是否符合所定级别的防护要求,如不符合要求,也可以按照等级测评后的结果进行整改建设,从而使得整改建设后的信息系统符合相应级别的要求,同时等级测评报告也是整个等保工作中需要由第三方机构出具的,由被检测机构到公安机关去备案的报告。
整改建设:是针对定级,备案的信息系统,按照所定级别的要求,依据国家标准,从物理环境,技术和规章制度等方面来进行系统的整改和建设,以期达到相应级别的安全防护标准。
监督检查:公安机关和主管部门,对重要信息系统运营使用单位等级保护工作开展和落实情况进行检查和监督
由上可知,定级、备案是整个等保工作的基础。
等级测评工作是等保工作环节中承上启下的部分,它在等保工作中:一是起到衡量信息系统的管理措施和技术措施是否符合国家标准要求的作用;二是可以帮助信息系统责任机构了解自身的安全状况,为整改建设提供依据。综上所述,可以认为等级保护测评工作是整个等保工作中最重要的环节之一。
3 定级、备案及等级测评工作的依据
定级、备案及等级测评工作作为等保工作中的一部分,主要依据如下的相关文件开展:
1.主要依据的文件:
●《信息安全等级保护管理办法》(公通字〔2007〕43号);
●《信息安全技术信息系统安全等级保护实施指南》;
●《信息安全技术信息系统安全等级保护定级指南》(GBT 22240-2008);
●《信息安全技术信息系统安全等级保护基本要求》(GBT 22239-2008);
●《信息安全技术信息安全风险评估规范》(GB/T 20984—2007);
●《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
●《信息安全技术信息系统安全等级保护测评要求》;
●《信息安全管理体系要求》(GB/T 22080-2008);
4.定级、备案及等级测评工作的流程
4.1 定级、备案的工作流程
1.根据《信息系统安全等级保护定级指南》(以下简称指南)或者上级主管单位的要求,确定相应信息系统的级别。
在此建议XXXXXXXXXXXXXXXXX公司,将XXXXXXXX 系统定级为三级,因为根据指南的要求:系统遭到破坏后对社会造成严重影响应该定级为三级。因此综合微信公众号目前或将来可能承载的业务,和收集的数据量我们给出定级为三级建议。
2.根据信息系统的实际情况,按照《信息系统安全等级保护备案表》的要求准备备案材料,及协助填写备案表。
4.2 等级测评工作流程
依据等保的要求开展等级测评工作,在此需要说明的是定级为三级的信息系统每年需要开展等级测评,定级为二级的信息系统根据目前的政策要求,在系统没有大变动的情况下,只需要开展一次测评。
4.2.1 技术思路和工作内容
流程简介
XXXXXXXXXXXXXXXXX公司的信息系统等级保护安全测评技术思路:对已定级备案的目标信息系统,依据国家信息安全技术标准分析,进行相应级别系统测评指标提取、测评对象选择、确定测评内容和方案,实施现场测评,对测评结果予以分析和信息系统的安全保护能力予以判断,最终形成等级测评结论。
●具体方案流程
XXXXXXXXXXXXXXXXX公司信息系统等级保护测评根据相应级别的要求,主要包含安全管理(管理制度方面)、网络安全(网络拓扑、网络设备的配置)、主机安全(PC机的安全配置、防病毒等)、数据安全(数据的备份、保密等情况)、应用安全(应用软件是否具有安全功能,比如具有登录模块或超时退出等功能)、工具测试(漏扫、渗透测试等)几大方面。包括信息收集和分析、确定测评范围、确定测评对象、确定测评工作方法、制定测评工作计划、形成测评指标、制定测评方案、现场测评、制定测评报告等工作内容。
●工作文档
此次安全测评的工作文档具体分为两个方面,一为过程文档,二为目标内容文档。
其中过程文件主要包含以下:
1.项目计划书
2.项目信息系统基本情况调查表