某局等保评估服务方案Word格式文档下载.docx
- 文档编号:14131129
- 上传时间:2022-10-19
- 格式:DOCX
- 页数:89
- 大小:242.78KB
某局等保评估服务方案Word格式文档下载.docx
《某局等保评估服务方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《某局等保评估服务方案Word格式文档下载.docx(89页珍藏版)》请在冰豆网上搜索。
某信息化公司信息安全技术股份有限公司为客户提供全面的,专业的安全支持。
1.2.项目依据
(1)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
(2)2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》
(3)《信息安全等级保护管理办法》(公通字[2007]43号)
(4)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
(5)GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
(6)GB/T22240-2008信息安全技术信息系统安全等级保护定级指南
(7)GB/T25058-2010信息安全技术信息系统安全等级保护实施指南
(8)GB/T19716-2005信息技术信息安全管理实用规则
(9)GB/T20270-2006信息安全技术网络基础安全技术要求
(10)GB/T20271-2006信息安全技术信息系统安全通用技术要求
(11)GB/T20272-2006信息安全技术操作系统安全技术要求
(12)GB/T20273-2006信息安全技术数据库管理系统安全技术要求
(13)GB/T21052-2007信息安全技术信息系统物理安全技术要求
(14)GB/T21052-2006等级保护系列安全产品技术要求
(15)国家标准《电子计算机机房设计规范》(GB50174-93)
(16)国家标准《计算站场地安全技术》(GB9361-88)
(17)《中国工程建设标准化协会标准—建筑与建筑群综合布线系统工程设计规范》(CECS72:
95)
1.3.项目建设内容
首先,本次项目以满足国家信息系统等级保护的相关要求为实施指导原则,某信息化公司公司对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这6个系统业务系统进行协助等保定级,并开展等保评估工作,对以后的人员组织结构调整、安全制度提供相应建议,并对其网络、应用和主机等方面进行整改规划实施,来使其具备良好的保密性、完整性、可用性。
通过对国家等级保护测评单位的测评;
再次,某信息化公司公司可配合用户单位,完成第三方测评单位对全部6个系统进行验收测评。
具体来讲,本项目的建设内容包括:
(1)依据国家信息系统等级保护要求,协助对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站进行定级,并开展等保评估工作。
(2)落实对该系统网络的网络架构安全整改规划和安全设备部署,配合用户完善安全管理制度、安全管理机构、人员安全管理等。
第2章.系统安全需求分析
2.1.目前状况
本次项目负责有6个系统,各系统的基本情况及建设内容如下表。
系统名称
物理地址
级别
所需等保工作
某市某单位OA系统
中心机房
二级
定级、等保评估
某市某单位档案系统
某市某单位大道班系统
某市某单位财务系统
某市某单位路政巡查系统
某市某单位网站
6个系统的网络拓扑现状大概如下:
某市某单位的6个系统总共有16台服务器、1台核心交换机和1台防火墙等网络设备。
2.2.状况分析
根据调研,某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站皆在同一个物理机房,需要对其定级、等保评估。
需要协助其进行定级,并对该系统的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理这10方面进行测评,检测,并提供相应报告。
第3章.等保评估
3.1.评估基本内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:
一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;
二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用测评单元方式组织。
测评单元分为安全技术测评和安全管理测评两大类。
安全技术测评包括:
物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;
安全管理测评包括:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
具体见下图:
3.2.评估对象现状
3.2.1.系统定级
该系统定级对象有6个,皆暂定为二级。
3.2.2.系统列表
信息系统名称
安全保护等级(G)
业务信息安全等级(S)
系统服务安全等级(A)
3.3.等级保护评估实施规划
3.3.1.评估方法
评估过程中将主要采用访谈、检查、测试等方法进行等级保护评估。
3.3.2.评估工具
在本次评估工程实施中,可能使用的工具包括:
工具类别
工具名称
工具说明
安全配置核查
安全配置检查表
由某信息化公司信息安全技术股份有限公司编制的等级保护评估主机操作系统配置检查表、网络设备配置检查表、数据库配置检查表,主要采用人工核查方式进行,系统进行脆弱性检查和分析。
3.3.2.1.人员访谈
人员访谈是通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点,对客户的信息安全管理体系、信息安全运维过程等方面,对比等级要求进行测试。
评估专家通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效,评估中使用各类调查问卷和访谈大纲。
评估方法
人员访谈
简要描述
根据系统定级,对安全管理制度的制定及执行情况进行检查
达成目标
了解某市某单位安全管理制度的制定情况、落实情况
主要内容
安全组织和管理全策略和程序、应用安全管理、数据安全管理、操作系统安全管理、网络安全管理、访问控制管理、物理安全、业务连续性管理(含备份)
实现方式
管理制度和程序文件的收集和分析
分析和现场检查管理过程记录问卷和现场访谈
现场参观检查
工作条件
2-3人工作环境,某市某单位人员和资料(安全管理制度、记录文件等)配合
工作结果
某市某单位安全管理制度访谈结果
参加人员
某信息化公司评估专家小组、某市某单位信息系统安全主管、维护人员等
3.3.3.评估流程
3.4.
等级保护评估内容规划
3.4.1.安全控制评估
3.4.1.1.安全技术评估
安全技术评估包括:
物理安全、网络安全、主机系统安全、应用安全、数据安全等五个层面。
●物理安全检查
评测项编号:
P1
评测项目:
物理位置的选择
评测资产:
评测指标:
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房,办公场地,机房场地设计/验收文档。
评测方法:
1)访谈物理安全负责人,询问现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力;
2)评测机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。
判定标准:
如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。
如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。
)
P2
物理访问控制
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
专家访谈、现场查看、文档审核
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
1)访谈物理安全负责人,了解部署了哪些控制人员进出机房的保护措施;
2)评测机房安全管理制度,查看是否有关于机房出入方面的规定;
3)评测机房出入口是否有专人值守,是否有值守记录及人员进入机房的登记记录;
评测机房是否不存在专人值守之外的其他出入口;
4)评测是否有来访人员进入机房的审批记录,查看审批记录是否包括来访人员的访问范围。
如果2)-4)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
P3
防盗窃和防破环
1)将主要设备放置在机房内;
2)对设备或主要部件进行固定,并设置明显的无法除去的标记;
3)将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)对介质分类标识,存储在介质库或档案室中;
5)安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 评估 服务 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)