您的位置:360文档中心› 信息安全等级保护项目计划书.doc

信息安全等级保护项目计划书.doc

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

文档编号:z z z z z z

xxxxxxxxxx

信息系统等级保护测评项目

项目计划书

授权方: xxxxxxxxxx

被授权方: rrrrrr

编制日期: 2016 年 2 月 29 日

目录

1.概述

1.1项目背景

根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护测评要求》、《信息安全技术信息系统安全等级保护基本要求》、《信

息安全技术信息安全等级保护管理规定》等一系列国家及信息安全技术针对信息系统等级保护颁布的政策法规及文件要求,定级为等级保护二级的信息系统应该每

年至少进行一次等级测评。目前xxxxxxxxxx信息系统尚未进行过等级保护专业测

评。为进一步加强 xxxxxxxxxx 信息系统等级保护工作,按照《信息安全技术信息安全等级保护管理规定》相关规定,计划对 xxxxxxxxxx 重要的信息系统进行等级保护专业测评。

依据《信息安全等级保护管理办法》(公通字 [2007]43 号)的相关要求,也为了持续有效提高信息系统的安全防护能力,受 xxxxxxxxxx 委托我中心计划与 2016

年 2 月 29 日起对 xxxxxxxxxx 信息系统实施信息安全等级测评工作,以期通过此次

测评发现系统现有安全防护措施的薄弱环节,为下一步的信息系统安全建设整改提供

可靠依据,以有效提高 xxxxxxxxxx 信息系统的安全运行能力。

1.2项目目的

通过对 xxxxxxxxxx 开展安全测评工作,可以全面、完整地了解当前 xxxxxxxxxx 的安全状况,分析系统所面临的各种风险。根据测评结果发现系统存在的安全问题,并对严重的问题提出相应的风险控制策略,并为下一步进行整个系统的信息系统安全建设做前期准备。

对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节,也是

对信息系统进行安全建设和管理的重要组成部分。通过对 xxxxxxxxxx 实施等级测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,可以在技术和管理方面进行有针对性的加强和完善,使 xxxxxxxxxx 安全工作有的放矢。

xxxxxxxxxx可依据等级测评结果,并结合单位的实际情况,区分轻重缓急,制

定针对性的安全整改建议,通过安全整改不断提高信息系统的整体安全保护水平。

1.3工作依据

《计算机信息系统安全保护等级划分准则》(GB17859-1999)

《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008 )

《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008 )

《信息安全技术信息系统安全等级保护基本要求》

《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012 )

《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 28449-2012 )《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010 )

《信息安全技术 ?信息系统通用安全技术要求》(GB/T20271-2006)

《信息安全技术 ?网络基础安全技术要求》(GB/T20270-2006)

《信息安全技术 ?操作系统安全技术要求》(GB/T20272-2006)

《信息安全技术 ?数据库管理系统安全技术要求》(GB/T20273-2006)

《信息安全技术 ?服务器技术要求》( GB/T21028-2007)

《信息安全技术 ?终端计算机系统安全等级技术要求》(GA/T671-2006)

《信息安全风险评估规范》(GB/T?20984-2007)

2.技术思路和工作内容

2.1技术思路

2.1.1测评指标

测评指标暂定选取《信息安全技术信息系统安全等级保护基本要求》中2级系统基本要求指标,包括《信息安全技术信息系统安全等级保护基本要求》节“技术要求”中的 2 级通用指标类 (G2) ,2 级业务信息安全性指标类(S2) ,和 2 级业务服务保证类 (A2) ,以及节“管理要求”中的所有要求,安全控制指标如下表:

安全分类安全子类测评项数备注

物理位置

1 测评物理机房所在的外部环境安全性。

的选择

物理访问

2 测评进出机房的审批控制手段以及机房出入口的安

控制全控制情况。

防盗窃和

5 测评机房内设备和通信线缆的安全性以及监控报警

防破坏系统建设情况。

防雷击 2 测评建筑防雷和防感应雷的建设情况。

物理安全防火1+ 测评自动监控防火系统设置情况以及机房材料防火情况。

防水和防

3 测评机房内水管设置情况、防止结露所采取的措施以

潮及监控报警系统建设情况。

防静电 1 测评机房防静电所采取的措施。

温湿度控

1+ 测评机房温湿度控制措施。

电力供应 2 测评电力线路、备用电源以及发电机的配备情况。电磁防护 1 测评线缆电磁防护手段和设备电磁防护手段。

主要核查:主要网络设备的处理能力、业务高峰期需结构安全4+ 求带宽、路由控制、网络拓扑结构图是否一致、子网

划分、技术隔离手段和带宽分配策略。

访问控制4+ 主要核查:访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。

安全审计 2 主要核查:网络设备日志收集、分析和统计以及保护等等。

网络安全主要核查:是否能够对非授权设备私自联到内部网络

边界完整

1 的行为进行检查并准确定位和阻断;是否能够对内部

性检查网络用户私自联到外部网络的行为进行检查并准确

定位和阻断。

入侵防范 1 主要核查:部署 IDS、 IPS 系统以及使用情况。

网络设备

主要核查:用户身份鉴别、管理员登录地址限制、用

6 户标识唯一性、组合鉴别技术、口令策略、登录策略、

防护

远程管理和权限分离。

主要核查:用户身份鉴别方式、账号与用户对应关系身份鉴别 5 和密码安全强度,包括账户和口令长度设置情况,口

主机安全

令更改周期等;登录失败处理功能设置情况。

主要核查:特权用户的权限分离情况;默认账户的访访问控制 4 问权限;多余和过期的账户的处理情况;管理用户最

小授权原则落实情况。

相关文档
最新文档