《信息系统等级保护(2.0)测评工作方案.docx》由会员分享,可在线阅读,更多相关《信息系统等级保护(2.0)测评工作方案.docx(27页珍藏版)》请在第一文库网上搜索。
1、信息系统等级保护测评工作方案信息系统等级保护测评工作方案0目录11 .项目概述21. 1.项目背景22. 2.项目目标23. 3.项目原则24. 4.项目依据32 .测评实施内容32.1. 测评分析42. 1. 1.测评范围42. 1.2.测评对象42. 1.3.测评架构图42. 1.4.测评内容42. 1.5.测评对象72. 1.6.测评指标82. 2.测评流程92. 2.1.测评准备阶段102. 2. 2.方案编制阶段112. 2. 3.现场测评阶段112. 2. 4.分析与报告编制阶段132. 3.测评方法142. 3. 1.工具测试142.3.2.配置检查142. 3. 3.人员访谈1
2、52. 3. 4.文档审查152. 3. 5.实地查看162 . 4.测评工具163 . 5.输出文档174 .时间安排175 .人员安排174. 1.组织结构184. 2.项目工作分工184. 3.人员配置表194.4. 工作配合205.其他相关事项215. 1. 风险规避215.2. 项目信息管理235.2.1. 保密责任法律保证235.2.2. 现场安全保密管理245.2.3. 文档安全保密管理245.2.4. 离场安全保密管理245.2.5. 其他情况说明24L项目概述1. 1.项目背景为了贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见、关于信息安全等级保护工作的实施意见和信
3、息安全等级保护管理办法的精神,2020年某司需要按照国家信息安全技术信息系统安全等级保护定级指南、计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则的要求,对某司现有N个信息系统进行全面的信息安全测评与评估工作,并且为某司提供驻点咨询、实施等服务。(安全技术测评包括:安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心五个层面上的安全控制测评;安全管理测评包括:安全建设管理、安全管理人员、安全管理制度、安全管理机构和安全运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,有
4、效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高某司网络与信息系统的安全保障与运维能力。1.4.项目依据全面完成某司现有N个信息系统的信息安全测评与评估工作和协助整改工作,并且为某司提供驻点咨询、实施等服务,按照国家和某司的有关要求,对某司的网络架构进行业务影响分析及安全通信网络管理工作进行梳理,提高某司整个网络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建某司信息系统的整体信息安全架构,确保全局信息系统高效稳定运行,并满足某司提出的基本要求,及时提供咨询等服务。1.3. 项目原则项目的方案设计与实施
5、应满足以下原则:e符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。令标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。令 规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。令 可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。e整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。令最小影响原则:项目实施工作应尽可
6、能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。e保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。信息系统等级测评依据信息系统安全等级保护基本要求、信息系统安全等级保护测评要求,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。主要参考标准如下:令计算机信息系统安全保护等级划分准则-GB17859-1999今信息安全技术 信息系统安全等级保护实施指南令信息安全技术信
7、息系统安全等级保护测评要求令信息安全等级保护管理办法弋信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008)令信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2019)令计算机信息系统安全保护等级划分准则(GB17859-1999)令信息安全技术信息系统通用安全技术要求(GB/T20271-2006)Q信息安全技术 网络基础安全技术要求(GB/T20270-2006)令信息安全技术操作系统安全技术要求(GB/T20272-2006)令信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)Q信息安全技术服务器技术要求(GB/T21028-20
8、07)令信息安全技术终端计算机系统安全等级技术要求(GA/T671-2006)令 信息安全风险评估规范(GB/T 20984-2007)2.测评实施内容第3页共24页2. 1.测评分析2. 1. L测评范本项目范围为对某司已定级信息系统的等级保护测评。2.1. 2.测评对象本次测评对象为某司信息系统,具体如下:序号信息系统名称级别1A信息系统三级2B信息系统三级3C信息系统三级4D信息系统三级5E信息系统二级6F信息系统二级2.1.3. 测评架构图本次测评结合某司系统的信息管理特点,进行不同层次的测评工作,如下表所示:测评范围A信息系统B信息系统C信息系统D信息系统E俏总系统FQ总系统安全物理
9、环境等保三级要求安全区域边界等保三艘求安安通信网络就鼻痰威等保二级要求安全计算环境等保三,要求等保二级要求安全管理中心婚a醵联等保二级要求安全建建管理等安全管理人员等保魂5一求安全管理制度等限三级要求等保二级要求安全管理机构等1区三级娈求等保二级要求安全运维管理魏三皴要求等保二级要求层次安全技术安全管理2.1.4. 测评内容本项目主要分为两步开展实施。第一步,对某司N个信息系统进行定级和备案工作。第二步,对某司已经定级备案的系统进行十个安全层面的等级保护安全测评(安全物理环境、安全通信网络、主机安全、安全区域边界、安全管第4页共24页理中心及备份恢复、安全管理人员、安全建设管理、安全管理制度、
10、安全管理机构、安全运维管理)。其中安全测评分为差距测评和验收测评。差距测评主要针对某司已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对某司已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整
11、体安全测评的基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心五个层面上的安全控制测评;安全管理测评包括:安全建设管理、安全管理人员、安全管理制度、安全管理机构和安全运维管理五个方面的安全控制测评。具体见下图:信息系统等级保护测评系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功
12、能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。第16页共24页物理安全物理访问控制防盗窃网络访问控制应用与人员安全间物理与网络间主机系统与运维管理间系统和系统间区域间层面间网络安全网络入侵防范身份鉴别机统全主系安员全理人安管统维理系运管自主访问控制人员离面教育和培训设备管理安全事件处置应急预案管理全制安控综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。2.1. 5.测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本公司多年的安全风险评估经验与实践,从信息
13、系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。测评对象种类主要考虑以下几个方面:1 .整体网络拓扑结构;2 .机房环境、配套设施;3 .网络设备:包括路由器、核心交换机、汇聚层交换机等;4 .安全设备:包括防火墙、IDS/IPS、防病毒网关等;5 .主机系统(包括操作系统和数据库系统);6 .业务应用系统;7 .重要管理终端(针对三级以上系统);8 .安全管理员、网络管理员、系统管理员、业务管理员;9 .涉及到系统安全的所有管理制度和记录。根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类
14、和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。2.1. 6.测评指标对于二级系统,如业务信息安全等级为S2,系统服务安全等级为A2,则该系统的测评指标应包括GB/T 22239-2019信息系统安全保护等级基本要求中“技术要求”部分的2级通用指标类(G2) , 2级业务信息安全指标类(S2) , 2级系统服务安全指标类(A2),以及第2级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(二级)技术/管理层面类数量S类(2级)A类(2级)G类(2级)小计安全技术安全物理环境安全通信网络主机安全安全区域边界安全管理中心安全管理安全管理人员安全建设管理安全管理制度安全管理机构