等级测评实施方案(三级)-z1117

合集下载

等级测评实施方案(三级)-zx1117.doc

等级测评实施方案(三级)-zx1117.doc

等级测评实施方案(三级)-zx11171测评方案1.1测评流程依据《GBT28448-的安全顾问,指导信息安全建设,参与安全规划和安全评审等。

5审核和检查(G3)a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。

序号类别测评要求结果记录符合情况1岗位设置(G2)a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。

2人员配备(G2)a)应配备一定数量的系统管理员、网络管理员、安全管理员等;b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。

3授权和审批(G2)a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;b)应针对关键活动建立审批流程,并由批准人签字确认。

4沟通和合作(G2)a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。

5审核和检查(G2)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。

2.5.2配合需求配合项目需求说明访谈访谈安全主管查看材料提供相关审批文件、记录等2.6人员安全管理2.6.1测评方案和内容序号类别测评要求结果记录符合情况1人员录用(G3)a)应指定或授权专门的部门或人员负责人员录用;b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c)应签署保密协议;d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。

等级测评实施方案

等级测评实施方案

等级测评实施方案一、背景介绍。

随着社会的发展和竞争的加剧,人才的选拔和评定变得越来越重要。

等级测评作为一种全面评价个体能力和素质的方法,受到了广泛关注。

因此,制定一套科学合理的等级测评实施方案显得尤为重要。

二、等级测评的意义。

等级测评是一种全面、客观、公正的评价方法,它能够帮助个体了解自己的优势和劣势,为个人的职业发展提供指导和帮助。

同时,等级测评也可以为企业的人才选拔、培养和激励提供重要参考,有助于提高组织的绩效和竞争力。

三、实施方案的制定。

1.明确测评目的。

首先,需要明确测评的目的和范围,确定测评的对象和内容。

测评可以针对个人的职业能力、领导力、团队合作能力等方面展开,也可以针对企业的人才选拔、晋升、薪酬激励等方面展开。

2.选择测评工具。

其次,需要选择合适的测评工具,可以是问卷调查、能力测试、案例分析等多种形式。

在选择工具时,需要考虑其科学性、客观性和实用性,确保能够准确反映个体的能力和素质。

3.确定测评标准。

然后,需要确定测评的标准和等级划分,可以根据测评对象的不同,制定相应的评分标准和等级划分,确保测评结果具有可比性和可操作性。

4.建立测评体系。

接下来,需要建立完善的测评体系,包括测评流程、测评人员、测评数据的收集和分析等方面。

同时,还需要建立测评结果的反馈机制,确保测评结果能够得到有效利用。

5.实施与监督。

最后,需要全面实施测评方案,并加强对测评过程的监督和评估,确保测评的公正、客观和有效性。

同时,还需要及时总结经验,不断完善和优化测评方案。

四、注意事项。

在实施等级测评的过程中,需要注意以下几点:1.尊重个体权益,确保测评过程的公正和保密;2.注重测评结果的可操作性和有效性,避免测评结果的盲目性和主观性;3.及时反馈测评结果,为个体和组织提供有针对性的指导和帮助;4.不断完善和优化测评方案,确保测评的科学性和实用性。

五、结语。

等级测评实施方案的制定和落实,对于个体的职业发展和企业的人才管理都具有重要意义。

等保三级评测方案

等保三级评测方案

等保三级评测方案一、引言随着信息技术的迅猛发展,网络安全面临着越来越严峻的挑战。

为了保护国家的信息安全和网络利益,我国制定了等保三级评测方案。

本文将详细介绍等保三级评测方案的背景、目的以及相关的要求和步骤。

二、背景在网络攻击和数据泄露等事件频频发生的背景下,等保三级评测方案应运而生。

此方案旨在提高信息系统的安全性,确保关键信息基础设施的安全和稳定运行。

通过对信息系统的评测,可以发现潜在的安全隐患,并采取相应的防护措施。

三、目的等保三级评测的主要目的是评估信息系统的安全性和合规性,并为其提供相应的改进建议。

通过评测,可以识别系统中存在的漏洞和风险,加强安全意识,并提供维护和防护系统的措施。

另外,此评测方案也为信息系统的注册和备案提供了依据。

四、评测要求等保三级评测方案要求信息系统在以下几个方面达到一定的标准:1. 安全管理制度要求:信息系统应建立健全的安全管理制度,包括安全策略、安全组织、安全人员等,并明确安全责任和权限。

2. 安全技术要求:系统应具备防火墙、入侵检测、恶意代码防护等技术措施,确保安全风险的识别和防范。

3. 安全能力要求:系统应具备合理的身份认证、访问控制、数据加密等安全能力,确保数据的机密性、完整性和可用性。

4. 事件应急处理要求:系统应建立健全的事件应急处理机制,及时响应和处置安全事件,以减少对系统的影响。

五、评测步骤等保三级评测方案包含以下几个步骤:1. 评测准备:确定评测范围和评估目标,编制评测计划,组织评测人员,并准备评测所需的工具和材料。

2. 信息收集:收集信息系统的相关文档、配置信息等,了解系统的结构和功能,并与相关人员进行沟通和交流。

3. 风险评估:根据收集到的信息,分析系统中存在的风险和漏洞,并进行评估。

4. 安全性能测评:对系统的安全性能进行测试和测评,包括身份认证、访问控制、数据加密等方面。

5. 报告撰写:根据评测结果,撰写详细的评测报告,包括存在的问题、建议的改进措施等。

等保三级评测方案

等保三级评测方案

等保三级评测方案一、背景介绍信息安全是当前各行各业亟需解决的重要问题之一。

为了确保关键信息系统的安全性,国家出台了《信息安全等级保护管理办法》。

其中,等保三级评测是评估信息系统安全性的重要手段之一。

本方案旨在提供一种有效的等保三级评测实施方案,以确保信息系统的安全性能。

二、评测范围本方案适用于所有需要进行等保三级评测的信息系统,包括但不限于政府部门、金融机构、企事业单位等涉及重要国家利益、社会稳定以及公民权益的领域。

三、评测流程等保三级评测的流程分为以下几个阶段:1. 评测准备阶段a) 制定评测计划:根据评测对象的特点和需求,制定详细的评测计划,明确评测的目标和范围。

b) 收集信息:收集评测对象的相关资料,包括系统架构、安全策略、应急预案等。

c) 情况分析:对收集到的信息进行分析,了解评测对象的安全现状和问题。

2. 评估实施阶段a) 安全漏洞扫描:利用相应的安全工具对评测对象进行漏洞扫描,发现存在的潜在安全风险。

b) 安全策略验证:通过对评测对象的安全策略、配置文件等进行验证,确保其符合相关标准和规定。

c) 安全性能测试:对评测对象的安全性能进行测试,包括但不限于防火墙、入侵检测系统的性能测试等。

d) 安全评估报告编制:根据评测结果,编制详细的安全评估报告,汇总存在的安全问题和改进建议。

3. 评测总结与整改a) 评测总结:对评测过程进行总结,总结评测中的亮点和问题,为后续的评测提供参考和借鉴。

b) 安全整改:根据评测结果和建议,及时采取措施进行安全整改,修复发现的漏洞和问题。

四、评测标准等保三级评测基于《信息安全等级保护评估技术要求》及相关法律法规,结合评测对象的实际情况,按照以下标准进行评估:1. 安全策略与管理制度是否健全、是否符合法律法规的要求;2. 系统架构是否满足信息安全保护的需求,是否有恶意代码;3. 安全配置是否合理,是否存在弱口令、未授权访问等漏洞;4. 安全设备和安全防护措施是否有效,是否能及时检测和阻断攻击;5. 应急预案和安全事件处理能力是否完备。

医院等保三级测评方案、网络信息安全等级保护测评方案

医院等保三级测评方案、网络信息安全等级保护测评方案

医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。

等级测评实施方案三级

等级测评实施方案三级

1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。

➢在具体测评对象选择工作过程中,遵循以下原则:➢完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;➢重要性原则,应抽查重要的服务器、数据库和网络设备等;➢安全性原则,应抽查对外暴露的网络边界;➢共享性原则,应抽查共享设备和数据交换平台/设备;➢代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

1.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下:系统定级使用的主要指标依据有:➢《计算机信息系统安全保护等级划分准则》(GB 17859-1999)➢《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:➢《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)➢《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012)➢《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)➢《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:➢制度检查:以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。

安全标准化三级达标考评实施办法

安全标准化三级达标考评实施办法

安全标准化三级达标考评实施办法附件1:危险化学品从业单位安全标准化三级达标考评实施办法为贯彻落实2009年全国、全省危险学品安全监管工作会议精神,认真完成我市危险化学品从业单位安全标准化三级企业在达标考评工作,特制定本办法。

一、指导思想以贯彻“安全第一、预防为主、综合治理”方针和科学发展观为指导,以安全生产法律法规、行业规范、规程、标准为依据,通过实施企业安全标准化三级达标考评,落实企业安全责任、规范企业安全生产行为,实现企业安全生产的动态过程控制,切实提高企业本质安全水平,逐步建立健全安全生产监管体系和企业安全生产长效机制。

二、工作目标2009年底,完成对中央和省属在兰危险化学品生产企业申请安全标准化二级企业的初审上报工作,完成对市属以下重点危险化学品生产企业符合申请安全标准化三级企业的考评工作。

二、工作程序1、申报三级企业先由企业自评,按照安全标准化考核评级程序和流程(附件2、附件3),向企业所在地县(区)安监局提出申请,县(区)安监局审核并签署意见后,向兰州市安监局提出申请;- 1 -2、市安全监局组织对申请安全标准化三级企业进行考评。

申报三级企业《申请书》的填写、需提交的文件以及县(区)安监局受理企业的申请和对企业现场考评的程序方法,参照《危险化学品从业单位安全标准化规范》的申请与考评规定执行。

3、达到三级安全标准化企业的由市安监局颁发安全标准化三级企业等级证书。

四、工作安排(一)自评阶段2009年6月30日前,各相关企业成立由主要负责人任组长,各相关职能部门以及工会参加的安全标准化自评小组进行自评。

(二)申报阶段2009年7月1日至7月31日,企业自评后,形成自评报告,向考核机构提交书面考核申请。

(三)审核发证阶段2009年8月1日至9月30日,考核机构收到企业的考核申请后,按照《规范》的要求进行考核,形成考核报告,考核合格后颁发安全标准化三级企业证书。

五、工作要求(一)提高认识,加强领导。

等保三级评测方案

等保三级评测方案

等保三级评测方案一、背景介绍随着信息技术的迅猛发展和广泛应用,各个行业的数据和信息安全问题日益凸显。

为了保护国家安全和维护社会稳定,等级保护制度被提出并广泛应用于各个领域。

等级保护三级评测方案是一项重要的信息安全评估工作,旨在确保涉密系统的完整性、机密性和可用性,保证信息系统在各方面达到一定的等级要求。

二、评测目的等保三级评测旨在评估涉密系统和信息系统的安全控制措施是否达到等级保护三级要求,以及其在工程实施、操作管理、系统维护和应急处理等方面的能力是否满足国家标准要求。

评测的目的是为了确认涉密系统的安全性水平,为相关部门提供决策依据,进一步提高相关系统的安全性并提供保护。

三、评测方法3.1 评测准备评测前需要明确评测的具体范围和内容,组织评测团队,制定评测计划,并获得被评测单位的配合。

评测团队应具备丰富的信息安全评估经验和专业知识,并严格遵守评测的工作纪律和保密要求。

3.2 评测范围评测范围应包括被评测单位的硬件设施、软件系统、网络设备以及相关的安全管理制度和技术措施等。

评测工作应覆盖被评测单位的所有关键业务系统和支持系统,确保全面审查和评估。

3.3 评测内容评测内容应包括但不限于以下方面:(1)信息系统的安全管理制度和操作规范;(2)物理安全、网络安全、系统边界安全等的现状评估;(3)用户身份认证和访问控制的实施情况;(4)数据的保密性、完整性和可用性保障措施;(5)应急响应和事件处理能力等。

3.4 评测方法评测方法可以综合运用定性和定量的手段进行评估。

通过审查文件和文档、走访询问、实地检查等多种方式,对被评测单位的信息系统进行全面、深入的评估,发现问题、分析原因,并提出改进和优化的措施。

四、评测结果与报告4.1 评测结果评测结果应按照等保三级评测标准进行判定,评定被评测单位所处的等级。

评测结果应真实、准确地反映出被评测单位的信息系统安全现状、问题和改进方向,以便后续的安全保护工作。

4.2 评测报告评测报告应包括评测的目的、范围、方法,评估结果的详细说明,存在的安全问题和改进建议等内容。

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标(2级) (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。

等级测评实施方案三级

等级测评实施方案三级

测评方案测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下:系统定级使用的主要指标依据有:《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012)《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:制度检查:以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。

等保三级评测方案

等保三级评测方案

等保三级评测方案保护信息安全是企业和个人不可忽视的重要任务,特别是随着数字化信息时代的到来,网络安全已成为我们更需要关注的焦点问题。

在建立和优化网络安全体系的过程中,等保三级评测方案是我们不容忽视的一步,它是一项国家规范,是企业的网络安全建设工作的证明,需要我们认真了解并进行实践。

等保三级评测方案是指计算机信息系统安全保护等级保护三级评估,是国内信息安全行业非常重要的评估体系之一。

该评估体系主要对信息安全产品和服务提供商进行安全性能的测试和评估,对其实际编码及防护性能进行检测和评定。

等保三级评测方案侧重于网络安全工作的全面性和细节性,它评测的方案覆盖面广,包括物理安全、数据访问控制、加密算法、日志审计、网络防火墙等多个方面。

对于一个企业而言,通过等保三级评测方案,能够帮助企业更好地了解自己网络安全建设的缺陷和短板,提高自身网络安全能力,同时也能够增强企业在网络安全领域中的信誉和竞争力。

等保三级评测方案评测体系的建立可以让企业在做好自身网络安全的同时,也能够为客户提供更加安全的服务。

等保三级评测方案的评测过程一般分为两种方式,分别为自愿评测和强制评测。

强制评测是指政府规定了必须通过等保三级评测方案进行评测的企业和单位,而自愿评测则是企业自主选择的评测方式。

无论是哪种评测方式,企业都需要尽可能地准备和完善自己的网络安全建设工作,确保能够通过评测方案的评估。

为了能够通过等保三级评测方案的评估,企业需要提前做好以下准备工作:一、整理出企业的网络拓扑图,包括所有计算机和网络设备的配置信息。

二、对所有计算机和网络设备进行明确的安全评估、分级和加密管理,以及防范所有可以发生的网络攻击。

三、制定适合企业实际需求的保密措施,确保所有重要信息不会被泄露或遭受攻击。

四、加强对员工的安全意识培训,让所有员工理解和遵守相关安全管理制度和流程。

通过以上准备工作的完成,可以有效地提高企业通过等保三级评测方案评估的成功率。

在评测过程中,企业需要配合评估单位的安全评估人员,提供所有相关的技术方案和技术资料,并积极参与评估工作,以确保评估工作的客观、公正和真实性。

等保三级评测方案

等保三级评测方案

等保三级评测方案在今天高科技时代,网络安全问题已经成为社会各界关注的焦点之一。

为了加强和确保网络安全,我国引入了等保评测制度。

等保评测是指对各类信息系统安全保护等级的评价和核查,是评估信息系统安全保护措施的重要手段。

其中,等保三级评测方案是一项关键的举措,本文将对其进行深入探讨。

等保三级评测方案是指对重要领域信息系统安全保护等级达到三级的评测方案。

这个方案的实施对象主要包括政府机关、金融机构、电信运营商等关键部门和单位。

等保三级评测的目的在于通过评估和核查,确保这些重要领域信息系统的安全性和可信度。

在等保三级评测方案中,评测的重点主要集中在三个方面:安全管理、技术防护和应急响应。

安全管理部分包括安全策略与组织、安全管理责任、安全管理制度等内容的评估和核查;技术防护部分主要对外界攻击的防范和内网安全的防护进行评估和核查;而应急响应部分则着重考察信息系统的应急预案和应急响应能力。

等保三级评测方案的实施有助于提高重要领域信息系统的安全水平。

首先,它能够帮助相关单位全面了解自身信息系统的安全风险,并针对问题进行改进和加强。

其次,评测的结果可以作为信息系统采购和使用的参考依据,有助于提升整个信息系统行业的安全意识和技术水平。

最重要的是,等保三级评测方案的引入,对于落实国家网络安全战略,保护国家关键信息基础设施安全具有重要意义。

当然,等保三级评测方案的实施也面临一些挑战和问题。

首先,评测过程中需要收集和分析大量涉及安全策略、安全管理制度、技术防护措施等方面的信息,这对于相关单位来说可能需要耗费大量的时间和人力。

其次,由于技术发展迅速,新型的网络攻击手段和威胁层出不穷,评测方案也需要不断更新和完善,以应对新的安全挑战。

为了解决这些问题,相关部门应该积极推动并支持等保三级评测方案的实施。

首先,可以加大对相关单位的培训和指导力度,提高其对评测工作的理解和配合;其次,可以建立评测结果的公开和发布机制,通过摸排和通报形式,对存在的安全隐患进行及时纠正。

等级测评实施方案三年级z

等级测评实施方案三年级z

等级测评实施方案三年级zCompany number【1089WT-1898YT-1W8CB-9UUT-92108】1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2测评力度深度充分较全面测试广度测评对象在种类和数量、范围上抽样,种类和数量都较多,范围大测评对象在数量和范围上抽样,在种类上基本覆盖深度功能测试/性能测试功能测试/性能测试,渗透测试1.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

1.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。

等保三级评测方案

等保三级评测方案

等保三级评测方案网络安全是当今社会中不可或缺的重要组成部分。

尤其是在数字化程度越来越高的当下,网络攻击、数据泄露等问题给企业、政府以及个人造成了巨大的损失。

为了更好地保护网络安全,我国提出了等保三级评测方案,下面就来谈谈这一方案的背景、意义、具体实施和影响。

一、等保三级评测方案的背景我国网络安全形势日趋严峻,2014年,工信部推出《网络安全等级保护管理办法》,明确了网络安全等级保护的具体要求,以及四级网络安全保护的实施规则。

根据规定,涉及机密级及以上数据的机构和单位,必须进行网络安全等级保护评估。

此后,我国网络安全形势更为严峻,尤其是在金融、电信等领域,网络攻击和电信诈骗频频发生,严重威胁了国家、企业的安全稳定。

为此,我国国家互联网信息办公室于2017年出台了《关于加强互联网信息安全等级保护的指导意见》(以下简称《指导意见》),明确了等保三级的具体要求,并提出等保三级评测的具体实施方案。

二、等保三级评测的意义等保三级评测是目前我国网络安全标准中最高等级的保障措施,对于保障国家、企业和个人网络安全具有十分重要的意义。

1. 保障国家安全。

网络攻击和恶意软件的产生直接威胁国家的政治、经济、文化等多个领域的安全。

等保三级评测能够保障国家关键信息基础设施和重要领域网络安全,将网络安全的稳定性和可靠性提升到一个更高的层次,从而维护国家安全和发展利益。

2. 保障企业利益。

企业是网络攻击的主要受害者之一。

等保三级评测能够帮助企业建立完善的信息安全管理制度,有效预防各种网络安全威胁和风险,保证企业的业务、客户数据的完整性和安全性,增强企业市场竞争力。

3. 保障个人权益。

随着网络攻击和数据泄露事件的频繁发生,个人信息安全问题愈发凸显。

等保三级评测能有效保证个人信息的隐私安全,提升互联网用户的合法权益。

三、等保三级评测方案的具体实施等保三级评测方案实施的主要步骤包括初评、进场评估、专项检查、突发事件应急处置等四个阶段,具体分为以下几个步骤:1. 制定网络安全等级保护评估计划和方案。

等级测评方案

等级测评方案

信息系统安全等级保护评测方案测评对象:信息系统(三级)委托单位:测评单位: xx研究所前言近年来随着我国网络建设和信息化建设的高速发展,医疗、教育、政府机关等单位的业务与信息化的结合越来越紧密,便捷的信息化服务在提高工作效率和带来社会效益的同时,也给单位的信息安全和管理带来了严峻的挑战。

一方面,信息安全由于其专业性,目前信息安全管理人员无论在数量上的缺乏还是在技能上的不足都给整个安全管理带来了很大的难度;另一方面现在的网络攻击技术手段层出不穷、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给单位造成很大的威胁。

因此,提高信息安全集中监管的能力和技术水平,减少单位的运营风险已刻不容缓。

在此背景下,国家建立了信息系统安全等级保护制度。

信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。

为进一步贯彻落实《中华人民共和国计算机信息系统安全保护条例》(国务院 147号令)、《信息安全等级保护管理办法》(公通字〔2007〕43号)和《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件精神,提高医疗卫生行业信息系统的安全保障能力和防护水平,维护国家安全、公共利益和社会稳定,促进医疗卫生行业信息化建设的健康发展,广东省卫生厅在 2012年 1月印发了《关于全面开展全省卫生行业信息安全等级保护工作的通知》(粤卫办函〔2012〕2号),决定在医疗卫生行业全面开展信息系统安全等级保护工作。

我公司根据多年来对医疗卫生行业的信息化状况的了解,结合在安全行业和等级保护项目上的经验积累,为医疗卫生行业的网络安全等级保护提出了具有国内领先水平的等级保护建设方案和安全服务。

目录前言 (2)一、总体方案概述 (5)1.1项目目标 (5)1.2测评范围 (5)1.3测评原则 (5)1.4标准依据 (7)二、信息安全等级保护主要工作介绍 (9)2.1.信息系统定级 (10)2.2.信息系统备案 (10)2.3.等级保护差距测评 (11)2.4.整改辅助 (11)2.5 验收测评 (12)三、信息系统定级部分 (12)3.1业务信息安全保护等级的确定 (12)3.2系统服务安全保护等级的确定 (13)3.3安全保护等级的确定 (13)四、信息系统备案部分 (14)五、等级保护差距测评部分 (14)5.1工作流程 (14)5.2测评方法 (15)5.2.1单项测评 (15)5.2.2整体测评 (16)5.3测评工具 (20)5.4测评过程风险控制 (22)六、整改建议 (23)七、验收测评阶段 (24)附录测评内容 (26)技术控制测评 (26)管理控制测评 (48)一、总体方案概述1.1项目目标通过对**单位信息系统等级保护差距测评,可以了解目前**单位信息系统的等级保护差距情况,同时能够对未定级的业务系统及业务网络进行安全风险识别,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护差距测评和风险评估的结果指导**单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。

等保三级评测方案

等保三级评测方案

等保三级评测方案在当今数字化的时代,信息安全的重要性日益凸显。

等保三级评测作为保障信息系统安全的重要手段,对于企业和组织来说具有至关重要的意义。

本文将详细阐述等保三级评测的方案,帮助您全面了解这一过程。

一、等保三级评测的概述等保三级,全称为“信息系统安全等级保护三级”,是国家对非银行机构的最高级别认证。

通过等保三级评测,能够有效地评估信息系统的安全性,发现潜在的安全风险,并采取相应的措施进行防范和整改。

二、评测前的准备工作1、明确评测范围首先,需要明确待评测的信息系统的范围,包括所涉及的硬件、软件、网络、数据以及相关的人员和流程。

2、组建评测团队组建一支专业的评测团队,包括安全专家、技术人员、管理人员等。

团队成员应具备丰富的信息安全知识和实践经验。

3、收集相关资料收集信息系统的架构、拓扑图、安全策略、管理制度等相关资料,为评测提供充分的依据。

4、制定评测计划制定详细的评测计划,包括评测的时间安排、任务分配、进度跟踪等。

三、评测的内容与标准1、物理安全评估机房的物理环境,包括位置选择、访问控制、防火防水、电力供应等方面是否符合要求。

2、网络安全检查网络架构的合理性、访问控制策略、网络设备的安全性、网络攻击防范能力等。

3、主机安全对服务器和终端设备的操作系统、数据库、中间件等进行安全评估,包括账号管理、权限分配、补丁更新等。

4、应用安全评估应用系统的身份认证、访问控制、数据完整性、数据保密性等方面的安全性。

5、数据安全关注数据的备份与恢复、数据存储的安全性、数据传输的加密等。

6、安全管理制度审查安全策略、管理制度、操作规程的制定和执行情况,以及人员的安全意识和培训情况。

四、评测的方法1、人工检查通过实地查看、查阅文档、询问相关人员等方式,获取第一手的信息。

2、技术检测使用专业的检测工具,如漏洞扫描器、渗透测试工具等,对信息系统进行技术检测。

3、分析评估对收集到的信息和检测结果进行综合分析,评估信息系统的安全状况。

等级评价实施方案

等级评价实施方案

等级评价实施方案一、引言随着社会的不断发展和进步,等级评价已经成为衡量一个人能力以及工作质量的重要指标之一。

为了更科学、客观地进行等级评价,本方案旨在提出一种规范化的实施方案,确保评价结果准确、公平、可信。

二、评价指标1. 工作责任心:评估个体对所承担工作的持久性、认真性和积极性。

2. 专业知识与技能:评估个体在所从事领域的知识水平和应用能力。

3. 工作效率:评估个体在规定时间内完成工作的效率。

4. 团队合作能力:评估个体在团队中的积极参与程度和合作精神。

5. 创新思维能力:评估个体解决问题的能力以及提出创新建议的能力。

6. 人际交往能力:评估个体与他人沟通、合作和交流的能力。

7. 自我学习能力:评估个体根据工作需求和发展情况主动学习和不断提升的能力。

三、评价方法1. 自评:个体根据评价指标对自己进行评估,并撰写自评报告。

2. 上级评价:直接上级根据评价指标对个体进行评价,并填写评价表。

3. 同事评价:团队成员对彼此进行评价,并相互填写评价表。

4. 下级评价:个体的下级对其进行评价,并填写评价表。

5. 客户评价:个体的服务对象对其进行评价,并填写评价表。

6. 全员评议:组织面向全员进行匿名评议,对个体进行综合评价。

四、评价结果的计算与综合1. 对于每个评价指标,根据各评价人的评价结果,进行数值化处理,计算出该指标的得分。

2. 根据各评价指标的权重,计算所有指标得分的加权平均分,得出最终等级评价结果。

3. 根据评价结果,将个体分为优秀、称职、待提升等不同等级,并进行相应的奖励或激励措施。

五、评价结果反馈与输出1. 针对个体的评价结果,及时将评价结果反馈给个体本人。

2. 根据评价结果,制定个体的发展计划和培训方案。

3. 将评价结果汇总并匿名输出,用于组织的人才管理和激励体系的构建。

六、评价结果的监督与审定1. 设立独立的评价监督部门,负责监督评价过程的合规性和公正性。

2. 由高级管理层对评价结果进行审定,确保评价结果的准确性和权威性。

等保三级评测方案

等保三级评测方案

等保三级评测方案一、方案背景随着信息技术的不断发展和应用的广泛推广,网络安全问题变得越来越突出。

为了保障国家关键信息基础设施和重要信息系统的安全,我国推出了等级保护制度,对各类信息系统实施等级保护评估,确保其安全性。

本方案旨在介绍等保三级评测方案,以提高信息系统安全水平。

二、方案内容等保三级评测是一个综合性的评估过程,包括以下几个方面的内容:1.评估范围确定在进行等保三级评测之前,首先需要确定评估的范围。

评估范围应包括信息系统的硬件设施、软件平台、网络设备、系统运维管理等方面。

2.评估目标设定根据等级保护制度的要求,确定等保三级评测的目标。

评估目标应具体明确,量化可衡量,确保评估结果的准确性。

3.安全策略制定在等保三级评测中,安全策略的制定至关重要。

根据实际情况,制定适合的安全策略,包括访问控制、数据加密、系统监测等措施,以保障信息系统的安全性。

4.安全配置评估通过对信息系统的安全配置进行评估,检查是否存在安全漏洞或配置不当的情况。

同时,对可能产生的威胁进行分析和评估,制定相应的应对措施。

5.网络安全测试对信息系统进行网络安全测试,包括漏洞扫描、渗透测试等。

通过模拟真实攻击场景,检测系统的防护能力和弱点,及时修复漏洞,提升系统的安全性。

6.安全事件响应建立安全事件响应机制,及时对安全事件进行响应和处置。

制定详细的响应流程和处置方案,加强对异常行为的检测和处理,防止安全事件危害扩大。

7.安全意识培训开展信息安全意识培训,提高人员对信息安全的重视和认识。

通过培训,加强员工的安全意识,提升其信息安全防护能力。

三、方案实施步骤根据等保三级评测的内容和要求,可按以下步骤进行方案的实施:1.确定评估范围和目标,明确评估的重点和要求。

2.制定安全策略,包括访问控制、数据保护、系统监测等方面的策略。

3.进行安全配置评估,分析系统配置是否合规,是否存在安全风险。

4.进行网络安全测试,检测系统的弱点和安全漏洞。

5.建立安全事件响应机制,明确安全事件处理的流程和责任。

等级测评实施方案(三级)-zx1117

等级测评实施方案(三级)-zx1117

1"2测评方案2.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图2.2测评力度2.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;。

重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

2.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下:系统定级使用的主要指标依据有:'《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012)《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:【制度检查:以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1测评方案
1.1测评流程
依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:
图表1等级测评工作流程图
1.2测评力度
测评力度
信息系统安全保护等级
二级系统三级系统
访谈广度
测评对象在种类和数量上抽样,种类
和数量都较多
测评对象在数量上抽样,在种类上基本覆

深度充分较全面
检查广度
测评对象在种类和数量上抽样,种类
和数量都较多
测评对象在数量上抽样,在种类上基本覆

深度充分较全面
测试广度
测评对象在种类和数量、范围上抽
样,种类和数量都较多,范围大
测评对象在数量和范围上抽样,在种类上
基本覆盖
深度功能测试/性能测试功能测试/性能测试,渗透测试
1.3测评对象
我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中,遵循以下原则:
完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;
重要性原则,应抽查重要的服务器、数据库和网络设备等;
安全性原则,应抽查对外暴露的网络边界;
共享性原则,应抽查共享设备和数据交换平台/设备;
代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据
库系统类型和应用系统的类型。

1.4测评依据
信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下:
系统定级使用的主要指标依据有:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
等级保护测评使用的主要指标依据有:
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012)
《信息安全技术信息系统安全等级保护测评过程指南》(GBT
28449-2012)
《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
现状测评使用的主要指标依据有:
制度检查:以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、
ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。

漏洞扫描检查:使用工具自带的库和基线。

整体网络架构分析:以基于安全域的划分结果进行分析,主要参考《信
息系统等级保护安全设计技术要求》(GB/T 25070-2010)。

渗透测试:没有标准的定义。

通过模拟恶意黑客的攻击的方法,来评估
信息系统安全防御按照预期计划正常运行。

系统信息安全加固、安全建设整改建议的主要依据有:
《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)
Gartner企业信息安全体系架构
OSA(开放安全架构)安全架构
SABSA企业安全架构
《信息安全风险评估规范》(GB/T 20984-2007)
《信息技术安全性评估准则》(GB/T )
相关依据还有:公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66)、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[2007]43号)、《政府网络信息系统安全检测办法》(国办发[2009]28号)、《信息安全技术网络信息系统安全检测与等保测评要求》、《信息安全技术网络信息系统安全检测与等保测评过程指南》、《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T 20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T 20273-2006)、《信息安全技术服务器技术要求》(GB/T 21028-2007)、《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息系统安全保障评估框架》(GB/T 20274—2006)、《信息安全管理实用规则》(GB/T 19716—2005)。

1.5测评方法
1.5.1访谈
依据测评技术方案(访谈问题)列表对相关人员进行访谈,获取与安全管理有关的评估证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。

1.5.2检查
在物理测评中,测评人员采用文档查阅与分析和现场观察等检查操作来获取测评证据,用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等方面的测评活动中,测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查操作来获取测评证据,用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求,对相关设备进行检查的过程中,我方不直接操作设备,甲方安排相关配合人员根据我方的检查要求对设备进行操作,并将结果反馈给我方。

在安全管理测评中,测评人员主要采用文档查阅与分析来获取测评证据,用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

1.5.3测试
在网络安全、主机安全和应用安全等方面的测评活动中,测评人员可以采用手工验证和工具测试等测试操作对特定安全技术措施的有效性进行测试,测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求,并进一步应用于对目标系统进行安全性整体分析。

1.6测评指标
由于国家对不同级别的信息系统有不同的安全保护能力要求,国家标准《信息安全技术信息系统安全等级保护基本要求》描述了不同级别信息系统应该实现的各类安全控制措施,信息系统的安全保护等级确定之后,对被测系统进行测评的测评指标的提取和形成,是等级测评工作的基础。

第三级信息系统的测评指标分布情况如下:
第三级信息系统测评指标
2测评内容
测评的内容主要包括技术和管理两个方面的内容,技术方面主要涉及主机安全、应用安全与数据安全等方面的内容;管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共10个层面。

2.1主机安全
2.1.1测评方案和内容
2.1.2配合需求
2.2应用安全
2.2.1测评方案和内容
2.2.2配合需求
2.3数据安全及备份恢复2.
3.1测评方案和内容
2.3.2配合需求
2.4安全管理制度
2.4.1测评方案和内容
2.4.2配合需求
2.5安全管理机构
2.5.1测评方案和内容
2.5.2配合需求
2.6人员安全管理
2.6.1测评方案和内容
2.6.2配合需求
2.7系统建设管理
2.7.1测评方案和内容
2.7.2配合需求
2.8系统运维管理
2.8.1测评方案和内容。

相关文档
最新文档