信息安全等级保护项目测评方案(DOC 181页)
信息安全等级保护测评
信息安全等级保护测评首先,信息安全等级保护测评是指对信息系统的安全等级进行评估和测定的过程。
它通过对信息系统的安全性能、安全技术和安全管理三个方面进行全面评估,从而为信息系统的安全等级提供客观、科学的评价依据。
信息安全等级保护测评的意义在于帮助企业和个人全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
其次,信息安全等级保护测评的目标是确保信息系统的安全等级符合国家和行业标准要求,保障信息系统的安全性能和安全可靠性。
通过信息安全等级保护测评,可以为信息系统的安全管理提供科学的依据,为信息系统的安全加固提供技术支持,为信息系统的安全运行提供保障。
针对信息安全等级保护测评的方法,主要包括安全等级保护测评的准备工作、安全等级保护测评的实施和安全等级保护测评的报告编制。
在准备工作阶段,需要明确测评的目标和范围,收集相关信息和资料,组织测评工作组等。
在实施阶段,需要进行安全性能测试、安全技术测试和安全管理测试等,全面评估信息系统的安全等级。
在报告编制阶段,需要对测评结果进行分析和总结,提出改进建议和措施,编制测评报告并提交相关部门。
最后,信息安全等级保护测评的应用范围涵盖了政府机关、企事业单位、金融机构、电信运营商等各个领域。
在信息化建设和信息系统运行中,都需要进行信息安全等级保护测评,以确保信息系统的安全等级达到国家和行业标准要求,保障信息资产的安全。
综上所述,信息安全等级保护测评是信息安全管理中不可或缺的重要环节,它对于评估和提升信息系统的安全等级具有重要意义。
通过科学、客观的测评方法,可以全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
在今后的信息化社会中,我们需要不断加强对信息安全等级保护测评的研究和实践,以应对日益严峻的信息安全挑战。
信息安全等级保护项目测评方案
信息平安等级保护测评工程测评方案广州华南信息平安测评中心二〇一六年目录第一章概述 (3)第二章测评根本原那么 (4)一、客观性和公正性原那么 (4)二、经济性和可重用性原那么 (4)三、可重复性和可再现性原那么 (4)四、结果完善性原那么 (4)第三章测评平安目标〔2级〕 (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章工程实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统平安性技术检查工具 (13)2.3 测评工具使用原那么 (13)三、测评方法 (14)第六章工程管理 (15)一、工程组织方案 (15)二、工程成员组成与职责划分 (15)三、工程沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准那么 (19)一、信息系统平安等级保护 2 级测评准那么 (19)1.1 根本要求 (19)1.2 评估测评准那么 (31)二、信息系统平安等级保护 3 级测评准那么 (88)根本要求 (88)评估测评准那么 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27 号〕以及 2004 年 9 月四部委局联合签发的?关于信息平安等级保护工作的实施意见?等信息平安等级保护的文件明确指出,“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息平安等级保护制度,制定信息平安等级保护的管理方法和技术指南。
〞2021 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文?广东省深化信息平安等级保护工作方案?(粤公通字[2021]45 号)中又再次指出,“通过深化信息平安等级保护,全面推动重要信息系统平安整改和测评工作,增强信息系统平安保护的整体性、针对性和实效性,使信息系统平安建设更加突出重点、统一标准、科学合理,提高信息平安保障能力,维护国家平安、社会稳定和公共利益,保障和促进信息化建设〞。
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
等级保护测评项目测评方案
数据安全及备份恢复
数据加密
应对敏感数据进行加密存储和传输,确保数据在传输过程中的安 全性。
数据备份
应定期备份重要数据,包括数据库、文件等,以防止数据丢失和损 坏。
数据恢复
应具备快速恢复数据的能力,确保在发生故障或攻击时能够及时恢 复数据。
CHAPTER 05
测评工具和技术
测评工具介绍
工具名称: 等级保护测评工具
可度量性:该技术可以为每个评估项目提供具体的数值 ,方便进行比较和分析。
CHAPTER 06
总结与展望
项目总结
测评范围
明确测评的范围和内容,包括被测评单位的基本情况、测评的时 间和地点等。
测评方法
采用了多种方法和技术进行测评,包括问卷调查、实地考察、数据 分析和专家评估等。
测评结果
根据测评数据和信息,对被测评单位的等级保护工作进行了综合评 估,并给出了相应的等级和建议。
等级保护测评项目测评 方案
汇报人:
2023-12-01
CONTENTS 目录
• 项目背景 • 测评方案 • 测评流程 • 测评标准 • 测评工具和技术 • 总结与展望
CHAPTER 01
项目背景
测评目标
确定信息系统安全等 级保护符合度
指导安全防护措施的 优化和升级
发现信息系统安全隐 患和薄弱环节
现场勘查
勘查受测单位网络拓扑结构
核实网络设备的型号、配置参数、连接关系等信息。
勘查受测单位主机设备
核实操作系统、应用程序、数据库、中间件等信息。
勘查受测单位安全设施
包括视频监控、门禁系统、入侵检测系统等安全设施。
数据处理
01
数据清洗
去除重复数据、错误数据等无用数 据。
信息系统等级保护测评工作方案
信息系统等级保护测评工作方案一、背景介绍随着信息技术的不断进步和广泛应用,信息系统的安全性问题日益凸显。
为了保障国家信息安全和网络安全,我国制定了信息系统等级保护测评制度。
信息系统等级保护测评工作方案旨在规范测评工作流程、确保测评准确性和可信度。
二、总体目标本测评工作方案的总体目标是评估信息系统的安全性,并按照国家信息系统等级保护测评标准对系统进行等级划分,形成相应的安全测评报告。
具体目标如下:1. 确定信息系统等级保护测评的范围和要求;2. 制定信息系统等级保护测评的工作流程和方法;3. 提供信息系统等级保护测评的技术指导和评估标准;4. 输出符合国家标准的安全测评报告。
三、测评范围和要求1. 测评范围:本测评工作方案适用于所有需要进行信息系统等级保护测评的单位和组织。
2. 测评要求:信息系统等级保护测评需遵循国家相关法律法规和政策,确保测评过程的合法性、准确性和可追溯性。
四、工作流程和方法1. 需求分析:根据测评对象的特点和需求,明确测评目标和评估要求。
2. 测评准备:制定测评计划,明确测评范围、时间、资源等,并组织准备相关测评资料。
3. 测评实施:按照国家信息系统等级保护测评标准,采用合适的测评方法对系统进行评估,包括红蓝对抗、代码审计、安全隐患扫描等。
4. 数据分析:对测评所得的数据进行分析和整理,形成测评报告。
5. 结果评定:根据测评结果和国家相关标准,对系统进行等级划分和评定。
6. 结果输出:输出符合国家标准的安全测评报告,并进行相关备案。
五、技术指导和评估标准为确保测评的科学性和准确性,本测评工作方案提供了相关技术指导和评估标准,包括但不限于以下内容:1. 信息系统安全性评估指南;2. 信息系统等级保护测评技术细则;3. 信息系统安全风险评估方法与实践。
六、安全测评报告1. 测评报告应包含以下内容:测评对象的基本情况、安全问题的分析和评估结果等。
2. 测评报告需按照国家相关标准进行格式化,确保报告的统一和可读性。
等级保护测评方案
等级保护测评方案1. 引言等级保护测评是一种评估系统、网络或应用程序等信息系统的安全性的方法。
该测评方案旨在评估系统的安全性,验证系统的等级保护能力是否达到预期的级别。
本文档将介绍等级保护测评的流程和方法,以及测评结果的报告。
2. 测评流程等级保护测评的流程通常可以分为以下几个步骤:2.1 建立测评目标在开始测评之前,需要明确测评的目标。
这包括确定要评估的系统、网络或应用程序,并明确测评的等级保护级别。
2.2 收集信息在进行测评之前,需要收集与待评估系统相关的信息。
这包括系统架构、技术文档、安全策略和其他相关资料。
2.3 分析系统在收集完相关信息后,需要对待评估系统进行详细的分析。
这包括对系统的架构、安全功能和安全策略进行审查,以确定系统是否符合等级保护的要求。
2.4 进行渗透测试渗透测试是评估系统安全性的重要步骤之一。
通过模拟攻击者的攻击手法和策略,测试系统的弱点和漏洞。
渗透测试可以包括网络扫描、漏洞扫描、密码破解等。
2.5 评估安全控制针对待评估系统的安全控制进行评估,包括访问控制、身份验证、加密算法等。
通过对这些安全控制的评估,确定系统是否具备足够的安全性。
2.6 编写测评报告根据上述步骤的结果,编写测评报告。
报告应包括对系统安全性的评估结果,以及提供改进建议和建议的安全增强措施。
3. 测评方法等级保护测评可以采用多种方法和技术。
以下是常用的几种测评方法:3.1 审查方法审查方法是通过分析系统的设计和文档来评估系统安全性的方法。
这包括对系统架构、安全策略和技术实施细节进行审查,以评估系统的安全性。
3.2 渗透测试方法渗透测试方法是模拟攻击者对系统进行攻击,发现系统的弱点和漏洞的方法。
通过渗透测试可以测试系统的安全性,并发现系统存在的安全风险。
3.3 系统配置审计方法系统配置审计方法是对系统配置进行审计,以发现系统配置上的安全问题。
通过审计系统配置,可以检测系统中存在的不安全配置,并提供安全增强建议。
等级保护测评方案
等级保护测评方案目录1.测评概述 (1)1.1.测评标准 (1)1.2.测评目的 (1)1.3.测评原则 (1)1.4.风险和规避 (2)2.测评手段 (3)2.1.测评方法 (3)2.2.测评工具 (4)3.测评内容 (4)3.1.单元测评实施 (4)3.1.1.物理安全 (4)3.1.2.网络安全 (5)3.1.3.主机数据库系统安全 (6)3.1.4.应用安全 (6)3.1.5.数据安全 (7)3.1.6.安全管理机构 (7)3.1.7.安全管理制度 (8)3.1.8.人员安全管理 (8)3.1.9.系统建设管理 (8)3.1.10.系统运维管理 (9)3.2.系统测评实施 (11)3.2.1.安全控制间安全测评 (11)3.2.2.层面间安全测评 (12)3.2.3.区域间安全测评 (12)3.2.4.系统结构安全测评 (12)4.测评工作流程 (13)4.1.工作流程综述 (13)4.2.测评准备阶段 (14)4.2.1.项目启动 (14)4.2.2.信息收集和分析 (15)4.2.3.编制测评方案 (15)4.2.4.工具和文档准备 (16)4.3.现场实施阶段 (16)4.3.1.方案确认和资源协调 (16)4.3.2.现场测评和结果记录 (17)4.4.分析与报告编制阶段 (17)4.4.1.分析测评结果 (17)4.4.2.形成等级测评结论 (18)4.4.3.编制测评报告 (18)5.测评计划 (19)1.测评概述本测评的委托单位是宜保通金融服务集团。
根据《广东省计算机信息统安全保护条例》和《广东省公安厅关于计算机信息系统安全保护的实施办法》[粤公通字〔2008〕228号]的要求,以及双方签订的等级测评服务合同,我方参照信息安全等级保护技术标准,对合同约定的被测系统实施等级测评。
1.1.测评标准⏹《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008);⏹《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012);⏹《信息系统安全等级保护实施指南》(GB/T 25058-2010);⏹《计算机信息系统安全保护等级划分准则》(GB 17859-1999)⏹《信息系统等级保护等级定级指南》(GB/T 22240-2008);⏹《信息安全技术信息安全风险评估规范》(GB/T 20984-2007);。
信息安全等级保护测评技术规格书
信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。
与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称“《保护条例》”)。
作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。
为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。
欢迎国内具有独立承担民事责任的企业, 具备相关资格(具备信息安全等级保护测评资质)条件的供应商参加。
二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。
定级系统: (二级)①公司OA办公系统;②物流系统;③采购系统;④质量中心系统;⑤炼铁部-工业网络系统;⑥铸管部-工业网络系统;工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。
项目实施内容:1.安全检查(1)信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析;(2)信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险;(3)信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。
2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括:对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。
信息安全等级保护测评方案协议
信息安全等级保护测评方案协议1. 引言本文档旨在制定信息安全等级保护测评方案协议,以确保信息系统的安全性。
本协议适用于所有需要进行信息安全等级保护测评的组织和相关方。
2. 背景信息系统的安全对于组织的正常运营至关重要。
为了确保信息系统能够有效抵御各类安全威胁,并满足法律法规的要求,进行信息安全等级保护测评是必要的。
3. 目标本方案的主要目标是对信息安全等级进行测评,并制定相应的保护措施,以保障信息系统的安全性。
具体目标包括但不限于:- 评估信息系统的安全等级;- 发现和修复潜在的安全漏洞;- 确定信息安全保护需求;- 提供基于测评结果的保护建议。
4. 测评步骤本方案的测评步骤如下:4.1 信息收集收集和整理相关信息,包括但不限于:- 组织结构和功能;- 信息系统的规模和特点;- 系统运行环境;- 相关法律法规要求。
4.2 安全等级划分根据收集到的信息,对信息系统进行安全等级划分,以便进行后续的测评工作。
4.3 安全风险评估对信息系统进行安全风险评估,分析潜在的安全威胁和风险,确定需要重点保护的区域。
4.4 测评实施根据前面的步骤,进行信息安全等级保护测评的实施工作,包括但不限于:- 安全性能测试;- 安全漏洞扫描;- 安全策略评估;- 风险评估和分析。
4.5 结果分析和报告对测评结果进行分析和总结,撰写测评报告,包括但不限于:- 测评结果的等级评定;- 发现的安全漏洞和问题;- 保护建议和改进措施。
5. 实施和监督组织需要依据本方案进行信息安全等级保护测评,并制定相应的保护措施。
同时,对保护措施的实施和监督也需要进行定期评估和审核,以确保其有效性和合规性。
6. 附则本方案的具体细节和步骤可以根据实际情况进行调整和补充,但需要保证测评过程的独立性和公正性。
7. 结论本文档制定了信息安全等级保护测评方案协议,旨在确保信息系统的安全性。
根据本方案,组织可以进行信息安全等级保护测评,并制定相应的保护措施,以保障信息系统的安全。
信息系统等级保护测评工作方案
信息系统等级保护测评工作方案信息系统等级保护是指根据国家相关法律法规和规范要求,为保障信息系统(包括软硬件及其配套设施)安全运行,对其实施的一种分级化管理和保护措施。
信息系统等级保护测评工作是指对信息系统进行等级保护测评,以评估其安全等级,并指导相应的安全管理工作。
本文将详细介绍信息系统等级保护测评工作方案,包括测评内容、测评方法和测评报告等。
一、测评内容1.信息系统的安全管理制度和组织。
包括信息系统安全政策与目标、安全责任分工、安全管理要求和流程等。
2.信息系统的物理环境安全。
包括机房及相关设备的物理防护措施、防火、防水、防雷等措施。
3.信息系统的通信和网络安全。
包括网络拓扑结构、网络设备的安全配置、网络边界的安全保护、数据加密和隐私保护等。
4.信息系统的应用系统安全。
包括应用系统的访问控制、用户权限管理、数据备份和恢复等。
5.信息系统的安全事件管理和应急响应。
包括安全事件的监测和管理、应急响应预案和演练等。
二、测评方法1.文献资料的审查。
对相关文献资料进行查阅和分析,了解信息系统的安全管理制度和组织情况。
2.现场实地考察。
对信息系统所在的机房和相关设备进行实地考察,了解物理环境安全情况。
3.技术检测。
通过对信息系统的网络设备、应用系统进行漏洞扫描、安全评估等技术手段,评估其安全性。
4.安全事件模拟测试。
通过模拟实际的安全事件,测试信息系统的安全事件管理和应急响应能力。
三、测评报告1.测评目的和背景。
阐述测评的目的和背景,明确评估的范围和依据。
2.测评方法和过程。
详细描述采用的测评方法和过程,包括对文献资料的审查、现场实地考察、技术检测和安全事件模拟测试等。
3.测评结果和等级划分。
根据测评的结果,对信息系统进行等级划分,并解释等级划分的依据。
4.安全问题和建议。
分析信息系统存在的安全问题,提出相应的改进建议,并说明建议的依据和理由。
5.测评结论。
对信息系统等级保护测评工作的总体情况进行总结,并给出测评结论和建议。
信息安全等级保护测评项目
1.测评手段测评方法安全测评的主要方法有:访谈、检查和测试。
●访谈访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。
在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
●检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。
在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
●测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
测评工具主要使用到的测评工具有:扫描工具、渗透测试工具集等。
具体描述如下表:为了发挥测评工具的作用,达到测评的目的,各种测评工具需要接入到被测评的信息系统网络中,并需要配置恰当的网络IP地址。
2.测评内容单元测评实施把测评指标内容和测评方法结合到被测信息系统的具体测评对象上,就构成了一个个可以具体测评实施的工作单元。
本章按层面,从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别描述单元测评实施的主要内容。
2.1.1.物理安全物理安全层面测评实施过程涉及10个工作单元,具体如下表:2.1.2.网络安全网络安全层面测评实施过程涉及7个工作单元,具体如下表:2.1.3.主机系统安全主机系统安全层面测评实施过程涉及7个工作单元,具体如下表:2.1.4.应用安全应用安全层面测评实施过程涉及9个工作单元,具体如下表:2.1.5.数据安全数据安全层面测评实施过程涉及3个工作单元,具体如下表:2.1.6.安全管理机构安全管理机构测评实施过程涉及5个工作单元,具体如下表:2.1.7.安全管理制度安全管理制度测评实施过程涉及3个工作单元,具体如下表:2.1.8.人员安全管理人员安全管理测评实施过程涉及5个工作单元,具体如下表:2.1.9.系统建设管理系统建设管理测评实施过程涉及9个工作单元,具体如下表:2.1.10.系统运维管理系统运维管理测评实施过程涉及13个工作单元,具体如下表:系统测评实施信息系统的安全控制综合集成到信息系统后,会在层面内、层面间和区域间产生连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关,在整体上呈现出一种集成特性。
等保测评方案
4.加强项目管理,确保项目进度和质量。
本等保测评方案旨在为信息系统提供全面、深入的安全评估,帮助客户识别并解决安全隐患,提高信息系统的安全保护能力。在实施过程中,我们将严格按照方案要求,确保测评项目的顺利进行。
第2篇
等保测评方案
一、引言
为积极响应国家信息安全等级保护政策,确保信息系统安全稳定运行,降低潜在安全风险,本方案针对某信息系统开展等级保护测评工作。通过评估现有安全措施,发现安全隐患,提出整改建议,提升整体安全保护能力。
2.人员保障:选派具有丰富经验和专业技能的测评人员;
3.资源保障:提供必要的测评工具、设备、场地等资源;
4.时间保障:合理安排测评时间,确保项目按期完成;
5.质量保障:建立严格的质量管理体系,确保测评结果客观、公正、准确。
十、风险控制
1.遵循国家相关法律法规,确保测评过程合法合规;
2.严格保护客户隐私,签订保密协议;
二、项目背景
随着信息技术的广泛应用,信息安全问题日益凸显。我国政府高度重视信息安全,制定了一系列法律法规和政策文件,要求各类信息系统开展等级保护测评。本项目旨在确保信息系统符合国家相关安全要求,为广大用户提供安全、可靠的服务。
三、测评目标
1.确保信息系统满足国家信息安全等级保护基本要求;
2.发现并解决信息系统存在的安全隐患,提升安全防护能力;
八、成果交付
1.编制详细测评报告,包括以下内容:
a.项目背景及目标;
b.测评范围及依据;
c.测评方法及流程;
d.测评结果及分析;
e.整改建议及措施。
2.提交测评报告及相关附件。
九、项目保障
1.组织保障:成立项目组,明确各成员职责,确保项目顺利进行;
等级保护测评工作方案
广州市xxxxxx2015-2016 年xxxxxxxxxxxx 项目等级保护差距测评实施方案xxxxxxxxx 信息安全有限公司201X年x月173. 时间安排 17目录 1. 项目概述 1.1. 项目背景 .. 1.2. 项目目标 1.3. 项目原则 1.4. 项目依据 2. 测评实施内容 2.1. 测评分析 .... 2.1.1. 测评范围 2.1.2. 测评对象 2.1.3. 测评内容 2.1.4. 测评对象 2.1.5. 测评指标 2.2. 测评流程 ........2.2.1. 测评准备阶段 2.2.2. 方案编制阶段 2.2.3. 现场测评阶段 2.2.4. 分析与报告编制阶段 2.3. 测评方法 ....2.3.1. 工具测试 2.3.2. 配置检查 2.3.3. 人员访谈 2.3.4. 文档审查 2.3.5. 实地查看 2.4. 测评工具 2.5. 输出文档2.5.1. 等级保护测评差距报告目录13 10 11 11 1313 14 14 15 15 16 错误!未定义书签。
173. 时间安排 172.5.2. 等级测评报告 2.5.3. 安全整改建议错误!未定义书签。
错误!未定义书签。
4. 人员安排185. 其他相关事项 21为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年 %%%%%%%%%%%%%%%感要按照国家《信息安全技术信息 系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、信息系统安全等级保护基本要求》、《信息系统安全等级保护测评 准则》的 要求,对乂乂乂乂乂乂乂乂乂乂乂乂乂乂乂^现有六个信息系统进行全面的信息安全测评与评 估工作,并且为%%%%%%%%%%%%%%%^提供驻点咨询、实施等服务。
(安全技术测 评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面 上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员 安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大 测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面 评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制, 深化信息安全等级保护工作,提高 xxxxxxxxxxxxxxxXX 络与信息系统的安全 保障与运维能力。
计算机信息安全等级保护测评方案
信息系统等级保护测评方案2019年目录1. XXXXXXXXXXXXXXXXX公司等级测评项目摘要 (3)2.定级、备案及等级测评工作简介 (3)3 定级、备案及等级测评工作的依据 (5)4.定级、备案及等级测评工作的流程 (6)4.1 定级、备案的工作流程 (6)4.2 等级测评工作流程 (6)4.2.1 技术思路和工作内容 (6)4.2.2项目实施流程 (8)5.实施周期及项目预算 (20)5.1方案实施周期说明 (20)5.2项目预算 (20)1.等级测评项目摘要XXXx公司业务开发的系统,是一套自主开发,统一部署在阿里云,为XXXXXXXX提供服务。
在目前《中华人民共和国网络安全法》实施的大背景下,根据法律第二十一条的相关规定,以及行业客户主管机关(公安部、交通部)的统一要求,XXXXXXX公司有必要对目前部署的系统,开展信息安全等级保护测评工作,并不断完善该系统的安全功能,确保该系统的安全稳定运行,以最大程度保障行业客户和社会利益。
实施等级测评的工作初步估计工期为( 30 )个工作日,为确保项目的顺利进行,还必须向公安机关进行系统定级备案.2.定级、备案及等级测评工作简介2017年《网络安全法》第二十一条明确指出国家实施网络安全等级保护制度,2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)明确指出:“实行信息安全等级保护。
要重点保护基础信息网络和关系国家安全,经济命脉,社会稳定等方面的重要信息系统,要抓紧建立信息安全等级保护制度。
”标志着等级保护提升为国家信息安全保障工作的基本制度。
同时明确“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
等级保护工作具体下来分五个环节:定级、备案、等级测评、建设整改、监督检查。
定级和备案:是确认信息系统本身,应按照等保中的第几级要求,来对信息系统的物理环境,规章制度和技术要求做出防护;并且将最终的定级结果,报公安机关备案,以便于在出现信息安全事件时有效的配合公安机关处理。
等级保护测评方案
等级保护测评方案引言等级保护是一种信息安全管理方法,旨在根据信息系统的重要性和其支持的业务需求来定义相应的安全保护级别。
等级保护测评是评估信息系统按照等级保护要求实施的程度与其安全保护需求的匹配程度。
本文档旨在提出一个详细的等级保护测评方案,以确保信息系统的安全保护达到相应的等级要求。
1. 背景任何组织或者企业在使用信息系统时都面临着各种安全威胁,包括未经授权的访问、数据泄露、业务中断等。
等级保护作为一种评估信息系统安全水平和风险级别的方法,为组织提供了制定相应的安全保护措施的依据。
等级保护测评方案将有助于确保信息系统按照等级保护要求进行合理的安全保护。
2. 测评目标等级保护测评的目标是评估信息系统在不同等级保护要求下的安全保护实施程度,并提供改进建议和措施,以确保系统的安全性和合规性。
具体目标包括: - 评估信息系统的等级保护需求 - 评估信息系统按照等级保护要求实施的程度 - 识别信息系统存在的安全风险和薄弱环节 - 提出合理的安全保护改进建议和措施 - 确保信息系统的安全性和合规性3. 测评流程等级保护测评的流程如下所示:步骤一:准备•确定测评的信息系统范围和等级保护要求•收集信息系统的相关文档和资料,包括安全策略、安全架构、安全操作手册等步骤二:需求确认和分析•确认信息系统的业务需求和安全要求•根据等级保护要求,定义信息系统的安全保护级别和相应的测评指标步骤三:测评准备•制定测评计划和时间表•配置相关的测评工具和设备•建立测试环境和样本数据步骤四:测评执行•根据测评指标和要求,对信息系统进行全面的安全测评•包括对系统的安全设计、访问控制、身份认证、数据保护等方面进行评估步骤五:结果分析和报告编写•分析测评结果,识别存在的安全风险和薄弱环节•编写测评报告,包括系统安全评估、改进建议和措施等步骤六:改进建议和措施实施•根据测评报告提出的改进建议和措施,制定合理的安全保护改进计划•实施相应的改进建议和措施,提升信息系统的安全性和合规性4. 测评指标根据等级保护要求,测评指标主要包括以下几个方面: - 安全策略和政策的制定和执行情况 - 系统的安全设计和架构 - 访问控制和权限管理的实施情况 - 用户身份认证和访问控制的强度 - 数据保护和加密的实施情况 - 安全监测和审计的有效性5. 测评结果分析通过对测评结果的分析,可以识别信息系统存在的安全风险和薄弱环节,进而提出合理的改进建议和措施。
等级保护测评项目测评方案设计-2级和3级实用标准
信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标(2 级) (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。
信息安全等级保护等级测评实施细则doc-信息安全等级测评.doc
信息安全等级保护等级测评实施细则第一章总则第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章测评机构第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上;(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。
计算机信息安全等级保护测评方案
信息系统等级保护测评方案2019年目录1. XXXXXXXXXXXXXXXXX 公司等级测评项目摘要 (3)2.定级、备案及等级测评工作简介 (3)3 定级、备案及等级测评工作的依据 (5)4.定级、备案及等级测评工作的流程 (6)4.1定级、备案的工作流程 (6)4.2等级测评工作流程 (6)4.2.1 技术思路和工作内容 (6)4.2.2..................................................................................................................... 项目实施流程 (8)5.实施周期及项目预算 (20)5.1 方案实施周期说明 (20)5.2项目预算 (20)1.等级测评项目摘要XXXx 公司业务开发的系统,是一套自主开发,统一部署在阿里云,为XXXXXXX提X 供服务。
在目前《中华人民共和国网络安全法》实施的大背景下,根据法律第二十一条的相关规定,以及行业客户主管机关(公安部、交通部)的统一要求,XXXXXXX公司有必要对目前部署的系统,开展信息安全等级保护测评工作,并不断完善该系统的安全功能,确保该系统的安全稳定运行,以最大程度保障行业客户和社会利益。
实施等级测评的工作初步估计工期为(30 )个工作日,为确保项目的顺利进行,还必须向公安机关进行系统定级备案.2.定级、备案及等级测评工作简介2017 年《网络安全法》第二十一条明确指出国家实施网络安全等级保护制度,2003 年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号)明确指出:“实行信息安全等级保护。
要重点保护基础信息网络和关系国家安全,经济命脉,社会稳定等方面的重要信息系统,要抓紧建立信息安全等级保护制度。
”标志着等级保护提升为国家信息安全保障工作的基本制度。
同时明确“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
等级测评方案
信息系统安全等级保护评测方案测评对象:信息系统(三级)委托单位:测评单位: xx研究所前言近年来随着我国网络建设和信息化建设的高速发展,医疗、教育、政府机关等单位的业务与信息化的结合越来越紧密,便捷的信息化服务在提高工作效率和带来社会效益的同时,也给单位的信息安全和管理带来了严峻的挑战。
一方面,信息安全由于其专业性,目前信息安全管理人员无论在数量上的缺乏还是在技能上的不足都给整个安全管理带来了很大的难度;另一方面现在的网络攻击技术手段层出不穷、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给单位造成很大的威胁。
因此,提高信息安全集中监管的能力和技术水平,减少单位的运营风险已刻不容缓。
在此背景下,国家建立了信息系统安全等级保护制度。
信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。
为进一步贯彻落实《中华人民共和国计算机信息系统安全保护条例》(国务院 147号令)、《信息安全等级保护管理办法》(公通字〔2007〕43号)和《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件精神,提高医疗卫生行业信息系统的安全保障能力和防护水平,维护国家安全、公共利益和社会稳定,促进医疗卫生行业信息化建设的健康发展,广东省卫生厅在 2012年 1月印发了《关于全面开展全省卫生行业信息安全等级保护工作的通知》(粤卫办函〔2012〕2号),决定在医疗卫生行业全面开展信息系统安全等级保护工作。
我公司根据多年来对医疗卫生行业的信息化状况的了解,结合在安全行业和等级保护项目上的经验积累,为医疗卫生行业的网络安全等级保护提出了具有国内领先水平的等级保护建设方案和安全服务。
目录前言 (2)一、总体方案概述 (5)1.1项目目标 (5)1.2测评范围 (5)1.3测评原则 (5)1.4标准依据 (7)二、信息安全等级保护主要工作介绍 (9)2.1.信息系统定级 (10)2.2.信息系统备案 (10)2.3.等级保护差距测评 (11)2.4.整改辅助 (11)2.5 验收测评 (12)三、信息系统定级部分 (12)3.1业务信息安全保护等级的确定 (12)3.2系统服务安全保护等级的确定 (13)3.3安全保护等级的确定 (13)四、信息系统备案部分 (14)五、等级保护差距测评部分 (14)5.1工作流程 (14)5.2测评方法 (15)5.2.1单项测评 (15)5.2.2整体测评 (16)5.3测评工具 (20)5.4测评过程风险控制 (22)六、整改建议 (23)七、验收测评阶段 (24)附录测评内容 (26)技术控制测评 (26)管理控制测评 (48)一、总体方案概述1.1项目目标通过对**单位信息系统等级保护差距测评,可以了解目前**单位信息系统的等级保护差距情况,同时能够对未定级的业务系统及业务网络进行安全风险识别,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护差距测评和风险评估的结果指导**单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标(2级) (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。
由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
第二章测评基本原则一、客观性和公正性原则虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
二、经济性和可重用性原则基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。
所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
三、可重复性和可再现性原则不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。
可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
四、结果完善性原则测评所产生的结果应当证明是良好的判断和对测评项的正确理解。
测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
第三章测评安全目标(2 级)一、技术目标O2-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2.应具有控制接触重要设备、介质的能力O2-3.应具有对通信线路进行物理保护的能力O2-4.应具有控制机房进出的能力O2-5.应具有防止设备、介质等丢失的能力O2-6.应具有控制机房内人员活动的能力O2-7.应具有防止雷击事件导致重要设备被破坏的能力O2-8.应具有灭火的能力O2-9.应具有检测火灾和报警的能力O2-10. 应具有防水和防潮的能力O2-11. 应具有防止静电导致重要设备被破坏的能力O2-12. 应具有温湿度自动检测和控制的能力O2-13. 应具有防止电压波动的能力O2-14. 应具有对抗短时间断电的能力O2-15. 具有基本的抗电磁干扰能力O2-16. 应具有限制网络、操作系统和应用系统资源使用的能力O2-17. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-18. 应具有网络边界完整性检测能力O2-19. 应具有对传输和存储数据进行完整性检测的能力O2-20. 应具有对硬件故障产品进行替换的能力O2-21. 应具有系统软件、应用软件容错的能力O2-22. 应具有软件故障分析的能力O2-23. 应具有合理使用和控制系统资源的能力O2-24. 应具有记录用户操作行为的能力O2-25. 应具有对用户的误操作行为进行检测和报警的能力O2-26. 应具有对传输和存储中的信息进行保密性保护的能力O2-27. 应具有发现所有已知漏洞并及时修补的能力O2-28. 应具有对网络、系统和应用的访问进行控制的能力O2-29. 应具有对数据、文件或其他资源的访问进行控制的能力O2-30. 应具有对资源访问的行为进行记录的能力O2-31. 应具有对用户进行唯一标识的能力O2-32. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-33. 应具有对恶意代码的检测、阻止和清除能力O2-34. 应具有防止恶意代码在网络中扩散的能力O2-35. 应具有对恶意代码库和搜索引擎及时更新的能力O2-36. 应具有保证鉴别数据传输和存储保密性的能力O2-37. 应具有对存储介质中的残余信息进行删除的能力O2-38. 应具有非活动状态一段时间后自动切断连接的能力O2-39. 应具有重要数据恢复的能力二、管理目标O2-40. 应确保建立了安全职能部门,配备了安全管理人员,支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员,对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置第四章测评内容当根据信息系统的业务重要性及其他相关因素对信息系统进行划分,确定了信息系统的安全保护等级后,需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距,这种差距是一种安全需求,是进行安全方案设计的基础。
传统的安全需求分析方法有很多,如风险分析法,但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法,莫过于等级评估测评法。
➢活动目标:本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
➢参与角色:甲方\广州华南信息安全测评中心➢活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统测评计划,信息系统测评方案。
➢活动描述:参见有关信息系统安全保护等级测评的规范或标准。
➢活动输出:安全等级测评评估报告。
信息系统安全测评包括资料审查、核查测试、综合评估如下三个部分内容:一、资料审查a)测评机构接受用户提供的测评委托书和测评资料;b)测评机构对用户提供的测评委托书和测评资料进行形式化审查,判断是否需要补充相关资料;二、核查测试a)测评机构依据用户提供的资料、评估机构实地调研资料及定级报告等,制定系统安全评估测评计划;b)依据系统安全测评计划制定系统安全评估测评方案;c)依据系统安全测评方案实施现场核查测试;d)对核查测试结果进行数据整理记录,并形成核查测试报告。
三、综合评估a)对用户资料,评估机构实地调研资料和测试报告进行综合分析,形成分析意见;b)就分析意见与用户沟通确认,最终形成系统安全测评综合评估报告;c)对系统安全测评综合评估报告进行审定;d)出具最终《信息系统安全测评综合评估报告》➢测评数据处理a)对信息系统现场核查记录进行汇总分析,完成信息系统现场核查报告;b)对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化审查报告、信息系统现;c)场核查记录、现场核查报告以及测试过程中所有的书面记录,经分析整理后,形成信息系统安全测评综合评估报告;d)系统安全性测评过程所产生的全部数据、记录、资料应归档管理;e)系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露;f)系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。
➢测评结论a)信息系统经测评机构安全测评后,向被测评单位出具信息系统安全测评综合评估报告;b)信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理方面及技术方面的安全状况,其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见。