《信息系统等级保护测评工作方案及对策.docx》由会员分享,可在线阅读,更多相关《信息系统等级保护测评工作方案及对策.docx(28页珍藏版)》请在第一文库网上搜索。
1、XX安全服务公司2023-2023年XXX项目等级保护号评实施方案XXXXXXXXX侬峰201X年X月目录OI .项目概述2II .项目背景212项目目标21.3. 项目孰314项目磁42.测评实施容52.1. 测评分析52.1.1.测评围52.12测评对象52.1.3.测评容62.1.4.测评又搀82.15测评指标922测评流程11221.测评准备阶段112.22方案编制阶段12223.现场测评阶段12224.分析与报告编制阶段142.3. 测评方:去152.3.1. 工具测试152.3.2. 椅杳162.3.3. 访谈162.3.4. 文档审查172.3.5. 实地查看172.4. 测评工
2、具182.5. 输出文档19251.等级保护测评差距报告错误!未定义书签。2.52等级测评报告错误!未定义书签253.安全整改建议错误!未定义书签3 .时间安排194 .人员安排194.1. 组织结构及分工204.2. 人员配置表214.3. 工作酉己合225 .其他相关事项235.1. 风险规避2352项目信息管理25521.责任法律保证26522则冷霞26523加冷WS26524.离场W27525.其他情况说明271 .项目概述1.1. 项目背景为了贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见、关于信息安全等级保护工作的实施意见和信息安全等级保护管理办法的精神,2023年XXX
3、XXXXXXXXXXXXXXXX需要按照国家信息安全技术信息系统安全等级保护定级指南、计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则的要求,对XXXXXXXXxXxXXXXXXXX1见有六个信息系统进行全面的信息安全娜平与评估工作,并且为XXxXXXXXXXXXXXXXXXX提供a点涔询、实施等服务。(安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资
4、产、威胁、弱点和风险等要素进行全面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高XXXXXXXxXxXXXXXXxXX网络与信息系统的安全保障与运维能力。1.2. 项目目标全面完成xxxxxxxxxxxxxxxxxx现有六个信息系统的信息安全测1与评估工作和t办助整改工作,并且为XXXXXXxXXXxXXXXXXXX提供驻点咨询、实施等服务,按照国家和XXXXXXXXXXxXXXXXxXX的有关要求,对XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梅里,提高XXXXXXXxXXXXXXXXXXX整个网络
5、的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构,确保全局信息系统M效稳定运行,并满足XXxXXXXXXXXxXXXXXXX提出的基本要求,及时提供咨询等服务。13.项目原则项目的方案设计与实施应满足以下原则:今符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防的方铜口保护的原则。今标准性原则:方案设计、实施与信息安全体系的构建应的居国、国际的相关标准进行。今规性原则:项目实施应由专业的等级测评师依照规的操作流程进行,在实施之前将详细量化出每项测评容,又搦作过程和结果
6、提供规的记录,以便于项目的跟踪和控制。今可控性原则:项目实施的方法和过程要在双方认可的围之,实施进度要按照进度表进度的安排,保证项目实施的可控性。今整体性原则:安全体系设计的围和容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。今最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。今原则:对项目实施过程获得的翔居和结果严格,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。1.4.项目依据信息系统等级测评依据信息系统安全等级保护基本要求、信息系统安全等级保护测评要求,
7、在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。主要参考标准如下:今计算机信息系统安全网户等级划分准则-GB17859-1999今信息安全技术信息系统安全等级保护实施指南今信息安全技术信息系统安全等级保护测评要求今信息安全等级保护管理办法今信息安全技术信息系统安全等级保护定级指南(GB/T22240-2023)今信息安全技术信息系统安全等级保护基本要求(GB/T22239-2023)今计算机信息系统安全保护等级划分准则(GB17859-1999)今信息安全技术信息系统通用安全技术要求(GB2
8、0271-2023)今信息安全技术网络基础安全技术要求(GB/T20270-2023)今信息安全技术操作系统安全技术要求(GBA20272-2023)今信息安全技术数据库管理系统安全技术要求(GB/T20273-2023)今信息安全技术服务器技术要求(GB21028-2023)今信息安全技术终端计算机系统安全等级技术要求(GA/T671-2023)2.1. 信息安全风险评估规(GBA20984-2023)2.2. Sff分析2.2.1. W极目围为对XxXxXXXXxXXX)(XXXXXX已定级信息系统的W级网P测i平。2.2.2. 加艰本艰蜉又搀为XXXXXXxxXXXXxXXXXxX信息条
9、充,具做吓:相系统名称1XXXXXXXXX信息系统三级2XxXXxXXXX言息系统三级3XxXXXXXX)U言息系统4XXXXXXXX)O言息系统三级5XXXXXXXX)U言息系统6XxXXXXXxX信息系统2.13.图本次测ms合XXXXXXXXXXXXXXXXXXX系统的信息管理特点,进行不同层次的测评工作,如下表所示:2.1.4.本项目主要分为两步开展实施。第f,对XXX)(XXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已疏级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份
10、恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。其中安全测评分为差距测评和验收测评。差距测评主要针对XXxXXXXXXXxXXXXXXXX已做备案系统执行国家标准的安全测i平,差距测评交付差距测评报告以及差距测评整改方案;差1!巨整改完毕后协助完成系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXxXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。信息系统安全等级保护测评包括两个方面的容:一是安全控制测评,主要测评信息安全等级保护要求的基本
11、安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。具体见下图:息系统等级保护测评)I一安全控制泅评11系统整体测评安全技术测评全管理测评)(二全控制间JI层面间系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功
12、能实嘛口安全控制配置,与特定信息系统的实际情况密切相关。在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性综合测评总结将在安全控制测评和系统整体测评两个方面的容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。2.1.5. 测评艰依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对照信息安全等级保护的具体要求,全方面对信息系
13、统进行全面评估。测评对象种类主要考虑以下几个方面:1 .谿本网络拓扑钠;2 .机房环境、配套设施;3 .网络设备:包括路由器、核心交换机、;匚聚层交换机等;4 .安全设备:包括防火墙、IDS/IPS.防病毒网关等;5 .主机系统(包括操作系统和数据库系统);7 .重要管理终端(针对三级以上系统);8 .安全管理员、网络管理员、系统管理员、业务管理员;9 .涉及到系统安全的所有管理制度和记录。根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。2.16.对于二级系统,如业务信息安全等级
14、为S2,系统服务安全等级为A2,则该系统的测评揄示应包括GB/T22239-2023信息系统安全保护等级基本要求中技术要求”部份的2级通用指标类(G2),2级业务信息安全指标类(S2),2级系统服务安全指标类(A2),以及第2级“管理要求部份中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(二级)懵理S类(2级)A类(2级)G类(2级)计安全技术物理安全11810网络安全1O56主机安全2136应用安全4217数据安全21O3安全管理制度OO33安全管理机构OO55人员安全管理OO55系统建设管理OO99系统运维管理OO121n对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指5包括GB/T22239-2023信息系统安全保护等级基本要求中技术要求”部份的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级管理要求”部份中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(三级)S类(3级)A类(3)G类(3级)小计安全技术物理安全1181网络安全1O6O主机安全3137应用安全522721O9s安全管理制度OO33
免费区 
