三级等保评测文件资料资料
三级测评指导书--等保2.0通用标准
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
三级等保评测文件资料资料
信息系统安全等级测评报告模板项目名称: ______________________________________ 委托单位: ______________________________________测评单位: ______________________________________报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
三级等保测评报告
三级等保测评报告是一种评估信息系统安全等级的报告,其中涉及五个安全技术要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心。
以下是三级等保测评报告的简要内容:
1.安全物理环境:评估信息系统的物理环境是否安全,包括物理访问控制、物理
安全监测、防盗窃和防破坏等。
2.安全通信网络:评估信息系统的通信网络是否安全,包括通信传输、可信通信
网络和通信应用等。
3.安全区域边界:评估信息系统的区域边界是否安全,包括边界防护、入侵检测
和防御等。
4.安全计算环境:评估信息系统的计算环境是否安全,包括身份鉴别、访问控制、
数据完整性、数据备份和恢复等。
5.安全管理中心:评估信息系统的安全管理中心是否安全,包括集中管理、审计
和监控等。
在每个安全技术要求下,三级等保测评报告都会进行详细的测试和评估,并提供相应的建议和改进措施。
此外,报告还将提供综合安全等级评估结果,并对现有的安全措施进行总体评价。
如果需要获取完整的三级等保测评报告,建议联系专业的信息安全机构或相关组织进行评估和审计。
医院等保三级测评方案、网络信息安全等级保护测评方案
医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。
三级等保评估书范本
三级等保评估书范本1. 介绍1.1 背景1.2 目的1.3 范围2. 系统概述2.1 系统描述2.2 系统功能2.3 系统边界3. 安全需求3.1 安全目标3.2 安全需求1.保密性要求2.完整性要求3.可用性要求4. 安全威胁分析4.1 威胁辨识1.内部威胁2.外部威胁 ### 4.2 威胁分析3.威胁类型4.威胁影响5.威胁概率5. 安全风险评估5.1 风险辨识1.潜在风险2.已知风险 ### 5.2 风险分析3.风险等级4.风险概率5.风险影响6. 安全控制措施6.1 控制策略1.防范措施2.检测措施3.响应措施 ### 6.2 控制实施4.系统配置5.访问控制6.加密技术7. 安全测试与验证7.1 测试方法7.2 测试结果7.3 验证方法7.4 验证结果8. 安全运维8.1 安全培训8.2 安全演练8.3 安全监控8.4 安全维护9. 总结9.1 评估结论9.2 建议和改进措施以上是一个三级等保评估书的范本。
根据任务名称,我们需要编写一个不少于2000字的文章,来详细探讨三级等保评估书的内容和要求。
在文章中,我们首先介绍了评估书的背景、目的和范围,以便读者了解评估书的重要性和应用场景。
然后,我们详细描述了评估书中的各个章节,包括系统概述、安全需求、安全威胁分析、安全风险评估、安全控制措施、安全测试与验证、安全运维等。
每个章节都有对应的二级标题,并在其中使用有序列表的格式来清晰划分不同部分。
在安全需求章节中,我们列举了保密性、完整性和可用性等方面的要求。
在安全威胁分析章节中,我们辨识了内部和外部威胁,并进行了威胁分析。
在安全风险评估章节中,我们辨识了潜在风险和已知风险,并进行了风险分析。
在安全控制措施章节中,我们介绍了防范、检测和响应措施,并对其进行了实施。
在安全测试与验证章节中,我们介绍了测试方法、测试结果、验证方法和验证结果。
在安全运维章节中,我们介绍了安全培训、安全演练、安全监控和安全维护等。
等保2.0管理测评文档清单(三级)
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
等保三级记录类文档模板
等保三级记录类文档模板一、概述等保三级记录类文档模板是一套用于记录等保三级测评过程中发现的安全问题、整改措施和整改结果的文档模板。
本模板旨在帮助企业建立完善的安全记录管理制度,确保安全问题的可追溯性和整改措施的有效执行。
二、文档内容1.安全问题记录表:用于记录测评过程中发现的安全问题,包括问题的类型、发生时间、发生地点、影响范围、问题描述等信息。
2.整改措施记录表:用于记录针对发现的安全问题所采取的整改措施,包括整改措施的执行人、执行时间、实施过程、完成情况等信息。
3.测评报告:包括测评的基本信息、测评范围、测评方法、发现的安全问题、问题等级划分、整改建议等内容。
4.整改报告:包括整改的基本信息、整改范围、整改措施、实施过程、完成情况、复查结果等内容。
三、使用方法1.在测评和整改过程中,按照要求填写安全问题记录表和整改措施记录表,确保信息的准确性和完整性。
2.在整理测评和整改结果时,将相关资料整理成测评报告和整改报告,并按照文档模板的格式要求进行排版和打印。
3.将整理好的测评报告和整改报告存档,以便后续查阅和复查。
4.在每次安全检查和整改过程中,都要认真记录发现的问题和采取的措施,确保安全问题的可追溯性。
四、注意事项1.确保文档内容真实、准确、完整,不得虚假记录或故意遗漏。
2.文档排版要规范,格式要统一,易于阅读和存档。
3.每次填写记录表时要注明检查时间和地点,确保记录的真实性。
4.整改措施要具有针对性和可行性,确保能够真正解决问题。
5.对于重要安全问题的整改结果,要进行复查,确保整改到位。
总之,等保三级记录类文档模板是一套重要的安全管理制度文档,对于企业建立完善的安全管理体系具有重要意义。
通过正确使用文档模板,可以确保安全问题的可追溯性和整改措施的有效执行,提高企业的安全保障水平。
等保三级每年测评一次的文件
等保三级每年测评一次的文件等保三级是指信息系统安全等级保护的一种评估标准,要求对系统进行每年一次的测评。
本文档旨在说明等保三级每年测评的相关流程和要求。
一、测评目的和意义等保三级每年测评的目的在于检验信息系统的安全性和合规性,确保系统能够达到等级保护要求,预防和及时发现安全隐患,保护信息资产的完整性、可用性和机密性,提高系统的稳定性和安全性,确保信息系统能够稳健运行。
二、测评要求1.测评频率:每年进行一次测评,确保及时发现和修复安全漏洞。
2.测评范围:对所有涉及等保三级的信息系统进行测评,包括硬件设备、软件系统、网络设备、数据库等。
3.测评方法:采用综合性的评估手段,包括漏洞扫描、风险评估、安全测试和安全审计等,确保系统的安全性全面评估。
4.测评内容:包括系统安全管理、身份认证和访问控制、数据加密和传输、安全审计和监控等方面的评估,确保系统满足等级保护要求。
三、测评流程1.测评计划制定:由安全管理人员根据系统特点制定测评计划,明确测评的时间、范围和方法。
2.测评准备工作:根据测评计划,准备测评所需的相关材料和环境,包括系统文档、安全策略、安全设备和测试工具等。
3.测评执行:按照测评计划进行系统漏洞扫描、风险评估、安全测试和安全审计等工作,记录发现的问题和建议。
4.安全漏洞修复:根据测评结果,及时修复系统中存在的安全漏洞并进行验证。
5.测评报告编写:根据测评结果和修复情况,编写测评报告,包括测评过程、发现的问题和改进建议等。
6.测评结果评审:由安全管理人员对报告进行评审,确认测评结果和整改情况。
7.整改工作落实:根据评审结果,及时落实整改措施,确保问题得到解决。
8.测评追踪和监督:对整改措施的落实进行监督和追踪,确保问题不再发生。
四、测评周期和改进1.测评周期:按照每年一次的原则进行测评,确保信息系统安全长效运行。
2.改进措施:根据测评结果和系统运行情况,及时调整和改进安全策略和控制措施,提升系统的安全性和稳定性。
网络通信安全等保三级测评内容
网络通信安全等保三级测评内容简介网络通信安全等保三级测评是为了确保网络通信系统的安全性和可靠性而设立的评估标准。
本文档重点介绍了网络通信安全等保三级测评的内容和要求。
评估对象网络通信安全等保三级测评的评估对象包括网络通信设备、通信协议、安全控制措施、安全策略等。
测评内容网络通信安全等保三级测评的内容涵盖以下方面:系统架构与设计评估该项内容时会考虑网络通信系统的整体架构和设计是否满足安全要求,包括网络拓扑结构、数据流程设计、系统组件等。
通信安全防护测评重点关注通信数据的加密与解密、身份认证、访问控制等安全防护措施的实施情况,以及安全防护策略的完善程度。
安全策略与管理评估该项内容时会考察网络通信系统的安全策略和管理措施是否合理有效,包括安全策略的制定与执行、安全事件的响应与处理等。
安全监测与评估测评会检查网络通信系统的安全监测与评估工作的开展情况,包括漏洞扫描、入侵检测、日志分析等。
安全培训与意识评估目标包括网络通信系统相关人员的安全培训情况、安全意识教育开展情况等。
测评要求网络通信安全等保三级测评的要求如下:1. 提供详细的系统架构和设计文档,包括网络拓扑结构、数据流程设计等。
2. 实施通信数据的加密与解密措施,并确保身份认证和访问控制机制的有效性。
3. 制定并执行完善的安全策略,包括策略的更新与备份。
4. 建立有效的安全监测与评估机制,及时发现和处置安全漏洞和风险。
5. 组织安全培训和意识教育活动,提升相关人员的安全意识和能力。
以上是网络通信安全等保三级测评内容的简要介绍和要求。
根据这些内容,您可以制定相应的计划并开展评估工作,以确保网络通信系统的安全可靠。
等保三级每年测评一次的文件
等保三级每年测评一次的文件【原创版】目录1.等保三级测评的概述2.等保三级测评的频率3.等保三级测评的重要性4.如何进行等保三级测评5.等保三级测评的成果和应用正文等保三级测评是我国信息安全保障体系中的一项重要工作。
等保,全称为信息安全等级保护,是指按照信息系统的重要程度和安全需求,对其进行等级划分,并实施相应的安全保护措施。
等保三级是其中的一个等级,主要针对的是关键信息基础设施,其安全保护要求严格,需要进行定期的测评。
等保三级测评的频率是每年一次。
这是因为信息系统的安全状态是不断变化的,需要定期检查和评估,以确保其安全。
每年的测评可以及时发现信息系统的安全问题,及时采取措施进行修复,以保障信息系统的正常运行。
等保三级测评的重要性不言而喻。
首先,它是保障信息系统安全的重要手段。
通过对信息系统进行等保三级测评,可以全面了解其安全状态,发现并解决安全问题,防止信息泄露、篡改等安全事件的发生。
其次,等保三级测评也是信息系统合规的必要条件。
根据我国的相关法律法规,关键信息基础设施必须进行等保三级测评,否则将面临法律责任。
那么,如何进行等保三级测评呢?首先,需要制定详细的测评计划,明确测评的目标、内容、方法等。
然后,由专业的测评机构进行测评,测评结果需要经过专家评审,以确保其科学、客观、公正。
最后,测评机构需要出具测评报告,对测评结果进行详细分析,并提出改进建议。
等保三级测评的成果和应用主要体现在两个方面。
一方面,测评成果可以作为信息系统安全管理的依据,帮助信息系统管理者了解信息系统的安全状态,制定和改进安全管理措施。
三级等保测评所需文档一览表
三级等保测评所需文档一览表
建设:
1、风险评估
2、系统近期或远期工作计划
3、公司管理制度
4、系统测试文档
5、恶意代码检查文档
6、软件开发源代码
7、工程实施方案或部署方案(系统)
8、设计方案
9、验收报告
10、系统运行维护的文档
11、系统培训记录
12、项目交付清单
13、软件开发服务协议
机构:
1、外联单位联系列表
2、内部公司会议记录
3、成立信息安全工作组文档,正式发文有公司盖章的
4、与外联单位会议记录
5、系统方面审批流程
人员:
1、外包服务单位或人员签署保密协议
2、内部人员签署保密协议
3、人员招聘、离职制度
4、安全意识教育、岗位技能培训记录
5、公司惩罚制度
6、安全培训计划
运维:
1、系统安全管理制度
2、系统操作日志记录
3、变更安全管理制度
4、备份与恢复的安全管理制度
5、安全事件报告和处置管理制度
6、应急预案框架文件
7、系统资产清单
8、介质安全管理制度
9、云盾记录
10、网络安全管理制度
11、系统变更方案
12、安全事件记录。
03-三级等保需要的文档
03-三级等保需要的文档三级等保需要的文档物理安全层面1、机房进出登记表(记录人员进出机房的情况,包含姓名、身份证号、进出的日期时间、携带的设备、事由、陪同人员等)2、机房进出申请审批表(带有申请审批记录的机房出入授权表)3、机房安全验收报告(针对自建机房)/机房环境租用协议(针对服务器托管在第三方机房)4、机房环境巡检记录网络安全层面5、网络拓扑图(绘制与当前运行情况相符的网络拓扑结构图)应用安全层面6、应用系统的详细设计说明书7、应用系统操作说明书8、应用系统的安全验收报告安全管理制度层面9、信息安全总体方针和安全策略文档(说明机构安全工作的总体目标、范围、原则和安全框架等)10、信息系统重要操作规范(比如:备份安全操作规范、系统变更操作规范、系统升级操作规范、数据迁移操作规范等)安全管理机构层面11、安全管理职能部门的岗位职责、分工和技能要求(描述与信息安全管理相关的各岗位职责、分工和胜任这份工作的所要求的具备的技能)12、授权管理清单(根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等)13、对被测系统相关重要事项建立审批程序,并符合逐级审批要求(对系统变更、重要操作、物理访问和系统接入等事项建立审批程序)14、重要事项申请审批表15、外联单位联系列表(包括外联单位名称、合作内容、联系人和联系方式等信息)16、安全检查表(检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等)17、安全审核和安全检查制度(比如规定检查周期、检查责任、检查对象、检查内容、检查后问题处置等)人员安全管理层面18、人员录用过程管理规范(描述人员录用流程、考查资格/资质、背景调查以及技能考核等要求) 19、信息安全保密协议(与全体人员签订保密协议) 20、岗位安全协议(与重要岗位人员签订岗位安全协议)21、人员离职离岗管理规范(规范离职/离岗流程、注销相关系统账户、取回公司物品、离职后的保密要求等)22、信息安全考核计划/考核表/考核记录(针对各岗位的人员进行的信息安全考核)23、信息安全教育培训计划/培训课件/培训记录(对各岗位进行的信息安全意识、安全技能方面的培训、定期培训计划、培训记录等)24、安全惩戒措施规范25、外部人员访问安全管理规范(描述允许外部人员访问的区域/对象、访问接待规范、访问过程管理规范等)系统建设管理层面26、系统定级报告27、系统安全建设总体规划方案(描述近期和远期的安全建设工作计划)28、信息安全设计方案(包括安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案)29、信息安全设计方案的论证审批记录(通过单位领导、专家的论证证明信息安全设计方案的合理性、科学性、可行性等)30、目前所使用的信息安全产品的安全资质证书(如销售许可证、产品型号证书、3C 认证证书等) 31、目前所使用的密码产品的安全资质证书(如商用密码销售许可证等)32、软件开发安全管理制度(明确说明开发过程的控制方法和人员行为准则) 33、代码编写安全规范(要求开发人员参照规范编写代码)34、程序资源库访问授权审批表(证明对程序资源库的修改、更新、发布进行授权和批准) 35、外包软件开发安全承诺书或安全测试报告36、信息系统集成工程实施方案37、信息系统工程实施方面的管理制度38、信息系统测试验收过程管理规定(对系统测试验收的控制方法和人员行为准则进行书面规定) 39、信息系统测试验收方案和测试验收报告(要有相关部门的盖章确认)40、项目验收交付清单41、信息系统建设过程中的文档和指导用户进行系统运行维护的文档(类似于4、5、6,但范围大于应用软件)42、信息系统交付过程管理规定(对系统交付的控制方法和人员行为准则进行书面规定) 43、系统备案证明44、与安全服务商的合作协议(判定选择的安全服务商是否符合国家要求,且是否进行安全责任的约束)系统运维管理层面45、机房安全管理制度(对有关机房物理访问,物品带进、带出机房和机房环境安全等方面作出规定)46、办公环境管理规定(规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等)47、信息系统相关资产清单(包括资产责任部门、重要程度和所处位置等内容)48、信息系统资产安全管理制度(规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为)49、信息分类与标识规范(规定信息分类与标识的原则和方法,并对信息的使用、存储和传输等进行规范化管理。
等保测评三级金融标准_概述说明以及解释
等保测评三级金融标准概述说明以及解释1. 引言1.1 概述本文旨在探讨等保测评三级金融标准,并提供其概述、详细解释以及对未来发展方向的展望。
随着信息技术和网络安全威胁的不断进化,金融行业面临着越来越多的风险和挑战。
为了有效应对这些威胁,中国国家互联网信息办公室制定了等保测评三级金融标准,旨在确保金融机构的信息系统安全稳定运行。
1.2 文章结构本文分为四个主要部分:引言、等保测评三级金融标准概述说明、等保测评三级金融标准详细解释和结论。
首先,我们将进行引言部分的阐述,简要介绍文章内容和目的。
然后,在第二部分中,我们将介绍等保测评概念解释和三级金融标准的概述,以及这两者之间的关系分析。
接下来,在第三部分中,我们将详细解释等保测评三级金融标准的具体要点。
最后,在结论部分,我们将总结文章内容,并探讨等保测评三级金融标准的意义、作用,并展望其未来发展方向。
1.3 目的本文的目的是为读者提供对等保测评三级金融标准的全面理解。
通过对概述和详细解释的阐述,读者将了解这一金融行业安全标准的重要性和实施要求,以及其对于金融机构信息系统安全管理的意义和作用。
同时,我们也希望能够引起读者对未来等保测评三级金融标准发展方向的关注,从而为金融行业信息安全提供更高水平的保障。
2. 等保测评三级金融标准概述说明2.1 等保测评概念解释等保测评是指对信息系统进行安全性评估,以确保这些系统满足国家等级保护标准的要求。
等保测评是按照相关政策和规定,通过对信息系统进行安全性检查及测试,来判断该系统是否符合特定的信息安全要求。
它主要由等级划分、风险等级评估、技术措施评价以及等级确认四个部分组成。
2.2 三级金融标准概述在金融行业中,存在着各种敏感性高、涉及大量用户资金与个人信息的系统与应用,因此有必要对其进行更加严格的信息安全管理。
为此,我国提出了三级金融标准作为金融业务信息系统安全等级的划分依据。
三级金融标准共分为一级、二级和三级三个等级,每个等级都对应着不同的安全防护措施和要求。
三级等保评测文件资料
信息系统安全级别测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统旳基本状况(可参照信息系统安全级别保护备案表),涉及但不限于:系统旳运营使用单位、投入运营时间、承载旳业务状况、系统服务状况以及定级状况。
(见附件:信息系统安全级别保护备案表)描述级别测评工作旳委托单位、测评单位和级别测评工作旳开展过程,涉及投入测评人员与设备状况、完毕旳具体工作内容记录(波及旳测评分类与项目数量,检查旳网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、级别测评成果根据第4、5章旳成果对级别测评成果进行汇总记录(测评项符合状况及比例、单元测评成果符合状况比例以及整体测评成果);通过对信息系统基本安全保护状态旳分析给出级别测评结论(结论为达标、基本达标、不达标)。
三、系统存在旳重要问题根据6.3章节旳分析成果,列出被测信息系统中存在旳重要问题以及也许导致旳后果(如,未部署DDos防御措施,易遭受DDos袭击,导致系统无法提供正常服务)。
四、系统安全建设、整治建议针对系统存在旳重要问题提出安全建设、整治建议,是对第七章内容旳提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出旳商定性陈述,涉及但不限于如下内容:本报告中给出旳结论仅对目旳系统旳当时状况有效,当测评工作完毕后系统浮现任何变更,波及到旳模块(或子系统)都应重新进行测评,本报告不再合用。
本报告中给出旳结论不能作为对系统内有关产品旳测评结论。
本报告结论旳有效性建立在顾客提供材料旳真实性基本上。
在任何状况下,若需引用本报告中旳成果或数据都应保持其本来旳意义,不得擅自进行增长、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 ..................................................................................... 错误!未定义书签。
等保测评--数据安全及备份恢复(三级)V1.0
功能,利用通信网络将 关键数据定时批量传送
不符合
时批量传送至备用场地;不满足测评项“备份和恢复:b)应 提供异地数据备份功能,利用通信网络将关键数据定时批量
3
至备用场地; 备份和恢复
传送至备用场地;”的要求
b)应能够检测到系统管 理数据、鉴别信息和重 要业务数据在存储过程 中完性受到破坏,并 在检测到完整性错误时 采取必要的恢复措施。
符合
a)应采用加密或其他有 效措施实现系统管理数 据、鉴别信息和重要业 务数据传输保密性;
部分符合
主机操作系统采用SSH方式登录,应用系统采用http方式登录 、网络设备没有禁用telnet登录方式,http和telnet无法保 证数据在传输过程中保密性不受破坏,不满足测评项“数据 保密性:a)应采用加密或其他有效措施实现系统管理数据、
鉴别信息和重要业务数据传输保密性;”的要求,存在的风
2
数据保密性
险
b)应采用加密或其他保
护措施实现系统管理数
据、鉴别信息和重要业
务数据存储保密性。
符合
a)应提供本地数据备份 与恢复功能,完全数据 备份至少每天一次,备 份介质场外存放;
符合
b)应提供异地数据备份
已提供同城异机数据备份功能,利用通信网络将关键数据实
数据安全(三级)测评表
测评对象:
测评人:
测评时间:
现场测评确认:
序号 1
测评指标 指标名称
数据完整性
测评项
要求项符合 记录
问题描述
a)应能够检测到系统管 理数据、鉴别信息和重 要业务数据在传输过程 中完整性受到破坏,并 在检测到完整性错误时 采取必要的恢复措施;
部分符合
主机操作系统采用telnet方式登录、应用系统采用http方式 登录、网络设备没有禁用telnet登录,数据在传输过程中未 加密,无法保证数据完整性不受破坏,不满足测评项“数据 完整性:a)应能够检测到系统管理数据、鉴别信息和重要业 务数据在传输过程中完整性受到破坏,并在检测到完整性错 误时采取必要的恢复措施”的要求,存在的风险
三级等保测评内容
三级等保测评内容一、安全管理1、安全管理体系:系统采用适当的安全管理措施,包括安全培训、人员 <br>安排、权限管理、审计、安全运行计划等,实施持续安全管理,严格 <br>控制系统资源的访问和使用,确保系统信息安全。
2、安全策略:采取有效技术措施,确保网络与信息系统的安全性。
<br>例如采用访问控制机制、身份认证和授权机制、加密技术等,以及<br>防火墙、入侵检测和反恶意软件等。
3、组织安全:按照《信息安全管理办法(试行)》的要求,建立<br>健全信息安全管理体系,明确信息安全的职责、管理制度和有关 <br>流程,提高全组织的信息安全意识。
4、安全培训:定期对系统用户进行安全培训,提高安全意识和技能,<br>帮助系统用户对系统安全措施有更深入的理解,更好的管理信息 <br>安全。
二、网络系统安全1、系统设计:采用安全性设计原则,及时识别系统的弱点,采取有效 <br>技术措施加强安全防护,降低攻击面尽可能控制系统资源。
2、系统防护:严格控制系统访问权限,建立可控制、合理的认证机制;<br>部署专业的防火墙与入侵检测系统,监测网络异常;定期备份各 <br>类数据,确保数据安全可恢复。
3、信息传输安全:采取有效的加密技术以确保信息的传输安全和 <br>隐私的保护;建立信息安全系统日志存储机制,对网络操作行为进 <br>行备份与审计。
4、应用安全:把安全考量纳入系统设计、审查和开发流程中,实施 <br>针对性的系统安全测试和评估,确保信息系统的安全性。
三、突发事件处置1、处置预案:规定事件处置预案,应对人为或非人为事件突发时的 <br>反应和处置,实现早期发现、快速响应、精准把控、可恢复的 <br>整改要求。
2、事件报告:定期收集和评估信息系统安全事件及攻击行为信息, <br>确定准确应急处置措施,加强系统安全防护及动态应对能力。
三级等级测评指导文件-管理
作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b) 应设立系统管理员、网络管理员、安全管理员等岗安全管理机构全管理机构门或人员负责人员录用;b) 应严格规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能人员安全管理训b) 应对安全责任和惩戒措施进行书面规定并告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;e)应根据等级测评、安全评估的结果定期调整和修订系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;d) 应组织相关部门和有关安全技术专家对总体安全策统系统建设管理专人负责保管;e)应确保对程序资源库的修改、更新、发布进行授权和批准。
d)应对系统交付的控制方法和人员行为准则进行书面规定;e)应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。
物品带进、带出机房和机房环境安全等方面的管理作出规定;d) 应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位系统交付进行清点;b) 应对负责系统运行维护的技术人员进行相应的技能培训;c) 应确保提供系统建设过程中的文档和指导用户进行程度对介质进行分类和标识管理。
护管理;b) 应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;f)应对重要介质中的数据和软件采取加密存储,并根信息分析和处理工作;b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重系统运维管理管理,负责运行日志、网络动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b) 应从人力、设备、技术和财务等方面确保应急预案架下制定不同事件的应急预则信息系统符合本单元测评指标要求,否则,信息则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
描述等级测评工作的基本情况,包括委托单位、测评单位、测评围及预期(如,通过等级测评找出与国家标准要求之间的差距)。
描述测评报告的用途(如,作为后续安全整改的依据)。
1.2测评依据开展测评活动所依据的合同、标准和文件:1)《信息安全等级保护管理办法》(公通字[2007]43号)2)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)13)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求4)GB/T 20984-2007 信息安全技术信息安全风险评估规5)《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)6)被测信息系统安全等级保护定级报告7)等级测评任务书/测评合同等1.3测评过程描述本次等级测评的工作流程(可参考《信息系统安全等级保护测评过程指南》),具体容包括但不限于:(一)测评工作流程图(二)各阶段完成的关键任务(三)工作的时间节点1针对“国家电子政务工程建设项目”有效1.4报告分发围依据项目需求,明确应交付等级测评报告的数量与分发围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。
2被测系统情况2.1基本信息2本报告模板针对作为单一定级对象的信息系统制定。
2.2业务应用描述信息系统承载的业务应用情况。
2.3网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于:(一)功能/安全区域划分、隔离与防护情况(二)关键网络和主机设备的部署情况和功能简介(三)与其他信息系统的互联情况和边界设备(四)本地备份和灾备中心的情况2.4系统构成以列表的形式分类描述信息系统的软、硬件构成情况。
2.4.1业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。
2.4.2关键数据类别2.4.3主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
2.4.4网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备。
设备名称应确保在被测信息系统围的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。
2.4.5安全相关人员以列表形式给出与被测信息系统安全相关的人员,描述项目包括、岗位/角色和联系方式。
人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
2.4.6安全管理文档与信息系统安全相关的文档,包括:(一)管理类文档,如机构总体安全方针和政策方面的管理制度、、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等;(二)记录类文档,如设备运行维护记录、会议记录等;(三)其他类文档,如专家评审意见等。
2.5安全环境描述被测信息系统的运行环境中与安全相关的部分:如数据中心位于运营服务商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。
以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行威胁赋值,具体容可参考《风险评估规》。
3等级测评围与方法3.1测评指标测评指标包括基本指标和附加指标两部分,以列表的形式给出。
依据定级结果选择《基本要求》中对应级别的安全要求作为等级测评的基本指标;3.1.1基本指标基本指标(物理和网络子类)的例子如下所示:3测评项数量随信息系统的安全保护等级不同而变化3.1.2附加指标参照基本指标的表述模式以列表形式给出附加指标。
附加指标包括但不限于:1)行业标准/规的具体指标2)主管部门的规定的具体指标3)信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体指标3.2测评对象3.2.1测评对象选择方法描述本次等级测评中采用的测评对象选择方法和具体规则,通常采用抽查的方法,兼顾类别与数量。
测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系。
其中,主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定;机房、介质4和管理文档不需要抽样。
具体方法和规则可参考《信息系统安全等级保护测评过程指南》。
3.2.2测评对象选择结果1)网络互联设备操作系统4非个人使用存储介质2)安全设备操作系统3)业务应用软件4)主机(存储)操作系统5)数据库管理系统6)访谈人员7)安全管理文档3.3测评方法3.3.1现场测评方法描述本次等级测评工作中采用的测评方法。
现场测评方法主要包括访谈、检查和测试等三类,可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。
如果采用工具测试,应给出工具接入示意图,并对测评工具的接入点和预期的测试路径进行描述。
3.3.2风险分析方法本项目依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析,分析过程包括:1)判断信息系统安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁利用导致安全事件发生的可能性,可能性的取值围为高、中和低;2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度,影响程度取值围为高、中和低;3)综合1)和2)的结果对信息系统面临的风险进行汇总和分等级,风险等级的取值围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。