等保测评服务方案Word文档下载推荐.docx
- 文档编号:12999160
- 上传时间:2022-10-02
- 格式:DOCX
- 页数:44
- 大小:463.12KB
等保测评服务方案Word文档下载推荐.docx
《等保测评服务方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《等保测评服务方案Word文档下载推荐.docx(44页珍藏版)》请在冰豆网上搜索。
丢失将造成的影响
丢失是否会引起法律纠纷和导致财产损失
可用
性A
系统中断将
造成的影响
系统开发人
员、系统运维人员、系
统使用人员
描述系统中
断对工作职能和业务能
力的影响
1.1.1调研
信息
数据使用者
业务处
系统
或管理者及
理信息
名称
其访问权限
类别
管理数
通过调研初步确定各信息系统的名称和级别。
1.1.2定级报告和备案表
信息安全等级保护工作的第一个环节是系统定级。
对信息系统进行定级是等级保护工作的基础,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。
信息系统定级以后,应到所在地区地市级上公安机关办理备案手续,备案工作的流程是信息系统备案、受理、审核和备案信息管理等。
1)协助定级
对系统情况进行分析,通过分析系统所属类型、所属信息类别、服务范围,了解系统的可用性、完整性、保密性需求,清晰确定保护对象,确定受侵害的客体、确定客体受侵害的程度,最终确定系统的系统服务保护等级和业务信息保护等级,协助用户编制定级报告。
2)协助备案
协助用户填写《信息系统安全等级保护备案表》,协助用户到各地公安机关进行系统备案,获得系统备案证。
1.2等保测评
1.2.1概述
1.2.1.1项目简介
根据公安部出台的有关等级保护的政策,对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障,同时等级保护工作的开展也是各行各业信息化建设的内在需求。
随着信息化的不断发展,信息系统的应用为信息化的开展提供了重要的支撑平台,关键流程、重要数据的处理都依赖于信息系统,因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。
等级保护政策作为国家在信息系统信息安全上的一项重要决策,信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。
等级保护工作受到了XXXX集团有限公司各级领导的高度重视,安全建设也逐渐成为公司信息化建设的内在需求。
整个测评项目的实施主要分为现场测评和复测评,其中现场测评分为四个阶段:
一、测评准备活动阶段,二、方案编制活动阶段,三、现场测评活动阶段,四、分析和报告编制活动阶段;
复测评分为三个阶段:
一、安全整改活动阶段,二复测评活动阶段,三,分析和报告编制活动阶段。
其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。
通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查,以国家信息安全等级保护基本要求作为安全基线,进行客观符合性判定,进一步衡量当前系统的安全防护能力,以及系统所面临的威胁和风险所在,为将来的安全整改和安全建设提供有力依据。
1.2.1.2测评依据
本项目的测评按照以下标准或规范进行:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号);
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号);
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号);
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号);
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号);
《信息系统安全等级保护定级指南》(GB/T22240—2008);
《信息系统安全等级保护测评过程指南》(国标报批稿);
《信息系统等级保护安全设计技术要求》(GB/T25070-2010)。
主要测评依据:
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008);
《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)。
1.2.1.3测评过程
1.2.2被测系统描述
1.2.2.1定级情况
本次安全等级测评所涉及的信息系统定级情况列表如下:
序号
系统名称
业务描述
安全保护等级
1
XX系统
一般性描述如为某某部门或某人群提供某种信息服务。
SXAXGX
2
3
1.2.2.2网络结构
以下网络架构承载着信息管理系统的运行,是信息化业务、应用系统运转的基础平台。
其网络拓扑图如图2-1所示:
图2-1信息管理系统网络拓扑图(示例)
1.2.2.3系统构成
4.2.2.3.1业务应用软件
软件名称
主要功能
重要程度
系统本身能够为服务者提供的业务功能和安全功能等。
重要
4.2.2.3.2关键数据类别
数据类别
所属业务应用
主机/存储设备
管理数据
被测评对象应用
应用服务器/数据库服务器
业务数据
鉴别信息
4.2.2.3.3主机/存储设备
操作系统/数据库管理系
设备名称
业务应用软件
应用服务器/数据库服务器 举例:
Windows/oracle
4.2.2.3.4网络、安全设备
设备类型
核心交换机
非常重要
汇聚交换机
接入交换机
一般
4
防火墙
5
入侵防御设备
6
Web应用防火墙
4.2.2.3.4安全相关人员
姓名
岗位/角色
联系方式
网络管理员
12345678901
安全建设管理员
安全运维管理员
安全制度管理员
人员安全管理员
机构安全管理员
7
物理机房管理员
8
应用软件管理员
4.2.2.3.5安全管理文档
文档名称
主要内容
包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安
制度类文档
全事件处置和应急预案等管理制度。
包括机房出入登记记录(包括第三方人员)、机房基础设施维护记录、
记录类文档
各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训
记录、离岗手续等记录。
包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人
证据类文档
员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、
系统备案材料等。
1.2.3测评对象与指标
1.2.3.1测评指标
GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求,等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标,并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。
本次测评的信息管理系统在实施时由建设方指定,包括二级和三级系统的等级测评,安全测评指标应包括《信息安全技术信息系统安全等级保护基本要求》中的二级和三级要求,分为通用指标类(GX),业务信息安全性指标类(SX)和系统服务保证类(AX)。
测评指标
安全子类数量
1)二级测评所包括的安全控制指标类型情况具体如下表:
技术/管理
安全分类
S(2级)
A(2级)
G(2级)
小计
物理安全
1
8
10
网络安全
5
6
安全技术
主机系统安全
2
3
数据安全及备份恢复
应用安全
4
7
安全管理制度
安全管理机构
安全管理
人员安全管理
系统建设管理
9
系统运维管理
12
合计
66
2)三级测评所包括的安全控制指标类型情况具体如下表:
S(3级)
A(3级)
G(3级)
10
0
9
11
13
73
1.2.3.2测评对象
4.2.3.2.1机房
机房名称
物理位置
机房
XXXX集团有限公司办公楼
4.2.3.2.2业务软件
系统本身能够为服务者提供的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 测评 服务 方案