信息系统安全等级测评方案模板.docx
- 文档编号:27619939
- 上传时间:2023-07-03
- 格式:DOCX
- 页数:10
- 大小:18.58KB
信息系统安全等级测评方案模板.docx
《信息系统安全等级测评方案模板.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级测评方案模板.docx(10页珍藏版)》请在冰豆网上搜索。
信息系统安全等级测评方案模板
项目编号:
(XXXX-XX
信息系统安全等级测评方案
系统名称:
被测单位:
测评单位:
1概述4
1.1项目简介4
1.2测评依据4
2被测系统描述4
2.1定级情况4
2.2网络结构4
2.3系统够成4
2.3.1业务应用软件4
2.3.2关键数据类别5
2.3.3主机/存储设备5
2.3.4网络互联设备5
2.3.5安全设备5
2.3.6安全相关人员6
2.3.7安全管理文档6
3测评对象与指标6
3.1测评指标6
3.2测评对象7
3.2.1机房7
3.2.2业务应用软件7
3.2.3主机(存储)操作系统7
3.2.4数据库管理系统8
3.2.5网络互联设备操作系统8
3.2.6安全设备操作系统8
4测评方法与工具8
4.1测评方法8
4.2主要测评工具9
5测评内容与实施9
5.1物理安全测评9
5.1.1测评内容9
5.1.2测评实施9
5.1.3配合需求9
5.2网络安全测评11
5.2.1测评指标11
5.2.2测评实施11
5.2.3配合需求11
5.3主机安全测评11
5.3.1测评指标11
5.3.2测评实施11
5.3.3配合需求11
5.4应用安全测评11
5.4.1测评指标11
5.4.2测评实施11
5.4.3配合需求11
5.5数据安全及备份恢复测评11
5.6安全管理制度测评11
5.6.1测评指标11
5.6.2测评实施11
5.6.3配合需求12
5.7安全管理机构测评12
5.8人员安全管理测评12
5.9系统建设管理测评12
5.10系统运维管理测评12
5.11工具测试12
5.12整体测评12
1概述
1.1项目简介
描述项目背景及意义、委托方、目标系统的范围以及测评输出产品。
1.2测评依据
2被测系统描述
参照备案信息简要描述信息系统。
2.1定级情况
描述信息系统承载的业务、处理的主要业务信息、涉及的相关业务应用、提供的服务功能、服务范围、服务对象以及安全保护等级等情况。
2.2网络结构
给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。
2.3系统够成
2.3.1业务应用软件
以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件)
描述项目包括软件名称、主要功能简介。
序号
软件名称
主要功能
重要程度
232关键数据类别
以列表形式描述具有相近业务属性和安全需求的数据集合。
序号
数据类别
所属业务应用
重要程度
2.3.3主机/存储设备
以列表形式给出被测信息系统中的主机设备,描述主机设备的项目包括设备名称、操作
系统、数据库管理系统以及承载的业务应用软件。
序号
设备名称
操作系统/数据库管理系统
业务应用软件
2.3.4网络互联设备
以列表形式给出被测信息系统中的网络互联设备。
序号
设备名称
用途
重要程度
2.3.5安全设备
以列表形式给出被信息系统中的安全设备。
序号
设备名称
用途
重要程度
236安全相关人员
以列表形式给出与被测信息系统安全相关的人员情况。
相关人员包括(但不限于)安全
主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
序号
姓名
岗位/角色
联系方式
2.3.7安全管理文档
以列表形式给出与信息系统安全相关的文档,包括管理类文档、记录类文档和其它文档。
序号
文档名称
主要内容
3测评对象与指标
3.1测评指标
依据信息系统确定的业务信息安全等级保护等级和系统服务安全保护等级,选择《基本要求》中对应级别的安全要求作为等级测评的测评指标。
测评指标
技术/管理2
安全分类3
安全子类数量
S类
A类
G类
小计
合计
3.2测评对象
描述测评对象选择结果
3.2.1机房
序号
机房名称
物理位置
3.2.2业务应用软件
序号
软件名称
主要功能
3.2.3主机(存储)操作系统
序号
设备名称
操作系统/数据库管理系统
2技术/管理对应基本要求中的技术安全和管理安全。
3层面对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全
要求类别。
3.2.4数据库管理系统
序号
设备名称
操作系统/数据库管理系统
3.2.5网络互联设备操作系统
序号
操作系统名称
设备名称
3.2.6安全设备操作系统
序号
操作系统名称
设备名称
4测评方法与工具
4.1测评方法
描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。
4.2主要测评工具
描述等级测评工作中采用的漏洞扫描、渗透测试等用到的工具。
5测评内容与实施
等级测评的现场实施过程由单元测试和整体测评两部分构成。
对应《基本要求》各安全控制点的测评称为单元测试,具体可分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等io各测评任务。
整体测评是在单元测评的基础上,通过进一步的分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。
5.1物理安全测评
5.1.1测评内容
以表格形式给出物理安全的测评内容。
序号
安全子类
测评指标描述
1
物理位置的选择
5.1.2测评实施
针对物理安全测评内容所采取的测评实施方法及过程。
5.1.3配合需求
以列表形式描述物理安全测评的配合需求
配合项目
需求说明
5.2网络安全测评
5.2.1测评指标
5.2.2测评实施
5.2.3配合需求
5.3主机安全测评
5.3.1测评指标
5.3.2测评实施
5.3.3配合需求
5.4应用安全测评
5.4.1测评指标
5.4.2测评实施
5.4.3配合需求
5.5数据安全及备份恢复测评
5.6安全管理制度测评
5.6.1测评指标
5.6.2测评实施
563配合需求
5.7安全管理机构测评
5.8人员安全管理测评
5.9系统建设管理测评
5.10系统运维管理测评
5.11工具测试
描述工具测试的目的、测评实施、接入点、配合需求等内容。
5.12整体测评
描述整体测评采取的方法
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 测评 方案 模板