等级测评实施方案三级

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！测评方案测评流程依据《GBT28448-2012信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：图表1等级测评工作流程图测评力度盖盖测试测评对象我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。在具体测评对象选择工作过程中，遵循以下原则：完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；重要性原则，应抽查重要的服务器、数据库和网络设备等；安全性原则，应抽查对外暴露的网络边界；共享性原则，应抽查共享设备和数据交换平台/设备；代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。测评依据信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价），因此有必要梳理出测评对象、以及采用的标准规范。测评使用的主要指标依据如下：系统定级使用的主要指标依据有：《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）等级保护测评使用的主要指标依据有：《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统安全等级保护测评要求》（GBT28448-2012）《信息安全技术信息系统安全等级保护测评过程指南》（GBT28449-2012）《信息安全技术信息安全风险评估规范》（GB/T20984-2007）现状测评使用的主要指标依据有：制度检查：以ISO27000/ISO17799、ITIL的相关要求作为补充检查要求，检查是否具有相应的制度、记录。漏洞扫描检查：使用工具自带的库和基线。整体网络架构分析：以基于安全域的划分结果进行分析，主要参考《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。渗透测试：没有标准的定义。通过模拟恶意黑客的攻击的方法，来评估信息系统安全防御按照预期计划正常运行。系统信息安全加固、安全建设整改建议的主要依据有：《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）Gartner企业信息安全体系架构OSA（开放安全架构）安全架构SABSA企业安全架构《信息安全风险评估规范》（GB/T20984-2007）《信息技术安全性评估准则》（GB/T18336.1-2008）相关依据还有：公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66）、公安部、国家保密通字[2007]43号）、《政府网络信息系统安全检测办法》（国办发[2009]28号）、《信息安全技术网络信息系统安全检测与等保测评要求》、《信息安全技术网络信息系统安全检GB/T20271-2006《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统GB/T20272-2006GB/T20273-2006GB/T21028-2007）、《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《中华人民共和国计算机信息系统安全保护条例》（国务院147[2003]27GB/T20274—2006）、《信息安全管理实用规则》（GB/T19716—2005）。测评方法访谈依据测评技术方案（访谈问题）列表对相关人员进行访谈，获取与安全管理有关的评估证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。检查在物理测评中，测评人员采用文档查阅与分析和现场观察等检查操作来获取测评证据，用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等方面的测评活动中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查操作来获取测评证据，用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求，对相关设备进行检查的过程中，我方不直接操作设备，甲方安排相关配合人员根据我方的检查要求对设备进行操作，并将结果反馈给我方。在安全管理测评中，测评人员主要采用文档查阅与分析来获取测评证据，用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。测试在网络安全、主机安全和应用安全等方面的测评活动中，测评人员可以采用手工验证和工具测试等测试操作对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。测评指标由于国家对不同级别的信息系统有不同的安全保护能力要求，国家标准《信息安全技术施，信息系统的安全保护等级确定之后，对被测系统进行测评的测评指标的提取和形成，是等级测评工作的基础。第三级信息系统的测评指标分布情况如下：第三级信息系统测评指标101210000086372903335555测评内容测评的内容主要包括技术和管理两个方面的内容，技术方面主要涉及主机安全、应用安全与数据安全等方面的内容；管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共10个层面。主机安全测评方案和内容序号12序号34）56防范序号7序号身份鉴别1访问控制2序号安全审计3入侵防范45恶意代码资源控制6配合需求应用安全测评方案和内容序号身份鉴123）序号4通信完56整性密性789）序号序号身份鉴别1访问控制2序号安全审计3通信完整45通信保密软件容错6资源控制7配合需求数据安全及备份恢复测评方案和内容数据完整1数据保密23序号123配合需求安全管理制度测评方案和内容1序号制定和2发布3修订序号1）制定和2发布序号评审和3修订）配合需求安全管理机构测评方案和内容岗位设置）1人员配备）2序号授权和审3）沟通和合5）审核和检）5序号序号岗位设置1人员配备2授权和审3沟通和合4序号审核和检5配合需求人员安全管理测评方案和内容序号12人员考）3序号45管理序号1人员离）2序号人员考3安全意4和培训5管）配合需求系统建设管理测评方案和内容1序号23序号45G3）6序号78序号9序号系统定12345）外包软序号678安全服9配合需求系统运维管理测评方案和内容12序号介质管34序号5中心6序号7序号8管理9）序号序号序号环境管1）序号资产管2）介质管3）设备管4）序号网络安全管理）5系统安全管理）6序号恶意代码防范7管理密码管89）变更管）备份与恢复管）安全事件处置序号应急预案管理）配合需求整体测评本部分将对单项测评结果中的不符合项，从安全控制点间、层面间和区域间等方面对单元测评的结果进行验证、分析和整体评价。项目进度进度计划和输出1天2天查1天2天2天项目管理方案项目风险控制风险是一种不确定的事件或条件，一旦发生，会对至少一个项目目标造成影响，如范围、进度、成本和质量。项目风险控制是指项目组通过风险识别、风险分析、风险控制和风险监控等活动有效的将可能影响项目成功完成的风险控制在可接受的水平范围内，帮助实施团队提高项目成功率的过程。本项目实施过程中重点控制以下五类风险：项目质量管理风险项目进度管理风险项目协作与沟通风险项目信息保密风险测评活动自身引入的风险项目质量风险控制为避免项目实施过程中，由于项目涉及人员比较多，因人员的工作态度、技术能力水平等原因可能导致工作产品存在缺陷，不能满足委托方的需求。另外，为避免不受控制的项目变更，包括目标变更、范围变更、人员变更、环境变更等等对项目质量的构成威胁。项目组将通过评审的方式和变更控制的方式确保项目质量。1)工作产品评审在项目实施中将由项目组资深专家并邀请委托方相关人员组成技术评审组对项目阶段工作产品和最终交付的项目提交成果进行技术评审，严把质量关，确保相关工作产品在技术上的科学性、合理性和完备性，符合委托方的要求。具体内容参见“项目质量控制”章节。2)项目变更管理在项目执行过程中，将围绕实施方案的维护为核心，对实施方案及其衍生文档进行正规的变更控制管理。变更发生时，应立即通报项目负责人和委托方并提交项目变更报告，项目组同时采取纠正措施。在双方取得一致意见后方可变更基准计划，变更过程应做好变更记录。项目进度风险控制为避免项目实施过程中，由于资源安排等问题，项目进展情况落后于进度计划，难以保证项目按期完成，项目组将对项目过程实施进度控制。1)定期收集项目完成情况的数据，并将实际完成情况数据与计划进度进行比较，一旦发现实际进程晚于计划进程，项目负责人应立即采取纠正措施；2)分析项目变更的原因，评估项目变更对进度计划的影响，对于变更引起的进度变化必须得到项目双方确认后，方可更新基准计划；3）为应对各类突发事件或其他不可控外部因素对进度的影响，在项目组原有成员基础上预备了足够的后备人员，可快速投入项目工作。项目协作与沟通风险控制为避免项目实施过程中，项目组内部人员以及项目组与委托方关联部门人员由于交流和沟通存在问题，造成人员关系冲突、工作目标偏差、并最终影响项目的有效实施，我公司将在项目期间加强沟通管理。1)举行各种项目会议，主要形式包括每周/月例会、阶段汇报会、专项汇报会、阶段评审会议、问题讨论会等，做好会议记录，及时整理会议意见和建议并抄送相关人员。会议记录内容至少包括：会议议题；会议地点；会议时间；参与人员；会议内容；会议决议/结论；抄送范围。2)以周报和月报的形式定期提交项目进度报告（书面或邮件），汇报项目进程，及时收集反馈信息；进度报告内容至少包括：项目阶段；报告时间；项目经理；本周/月完成任务；进度与预定计划的符合情况；下周任务安排；与预定计划的偏差说明；需要特别注意的事项；备注：抄送范围。3)采用多种沟通方式，如建立项目组成员及协调联系人通讯表，积极保持与委托方的关系。通讯表内容至少包括：姓名；备用电子邮箱。项目信息保密风险控制本项目实施过程中会涉及委托方网络拓扑结构、整体安全策略、安全设备部署和配置以及可能存在的安全缺陷等敏感信息，如果人员保密意识不强，保密措施不到位等，可能会导致委托方的敏感信息被无意扩散或有意泄露，将对委托方带来不良影响，甚至造成严重损失。项目实施中将采取有效措施加强信息保密风险控制。1)人员保密管理项目组全体人员应遵守国家有关法律、法规以及上级单位和我公司的各项安全保密制度与规定；全体人员在项目实施过程中，加强保密意识，明确保密责任，严格落实各项安全保密措施；保密监督管理岗位责任人负责整个项目期间的保密和安全管理工作，监督管控措施的落实，消除可能的安全隐患，保证项目的顺利完成。2)设备保密管理我公司特配备专用设备和工具，并设定专门的领用手续。项目参与人员上岗工作前办理设备领用，工作结束后及时办理归还手续；测评设备和工具必须进行标识，非项目人员不得在项目期间使用带有标识的设备和工具；项目组成员所用设备和工具必须设置强密码，保密管理岗位责任人每周做定期验证；U盘）由负责人专门保管，项目期间不得外借，每次数据拷贝后，必须做好格式化。3)文档保密管理保密管理范围：委托方的敏感文件、资料和信息，评估中获取的数据信息；项目过程中产生的工作产品和记录。对文件资料设专柜统一编号，并设专人保管；严格办理文件资料和信息的借阅手续，阅览后及时归还；保密文件资料和信息应在委托方的监督下阅览，阅览后及时归还；文件资料和信息的复印、打印，需办理审批手续，并严格做好记录；不复制、利用以及向任何单位和个人透露委托方的文件资料和信息，以及评估中获取的数据信息；测评活动自身引入的风险控制为了避免工作实施过程中引入新的安全风险，我公司将在风险揭示、工具验证、连续性考虑等方面进行风险规避。1)风险揭示项目组将在测评方案或授权书中对安全风险进行说明，帮助委托方明确评估工作可能对目标系统造成的不良影响，从而能够及时、有针对性的做好数据备份、应急方案等准备工作。2)工具验证为降低测评工具对目标系统的不良影响，我公司对选用的测试工具在仿真环境中进行安全性测试和验证，确认其不会引入新的安全风险。3)连续性考虑漏洞扫描和渗透测试可能降低目标系统的性能，甚至破坏系统的连续性。因此，上述评估活动选择在目标系统服务压力较轻的时间段实施，从而将潜在的不良影响降低到最低。验收安排验收条件提供的安全等级保护测评服务符合双方共同认可的要求。验收时间项目全部完成后进行项目验收。验收方式服务提供商须在验收前一个月初步提交测评报告，甲方可根据合同、工作需求书和有关规定进行审查，经双方确认后作为验收依据；验收合格，双方签署验收报告。与项目有关的所有技术资料，在最终验收前必须由服务提供商完整移交给甲方。测评服务验收报告1234技术服务保密协议我方将在服务过程中和甲方签订保密协议，保密协议模板提供如下：甲方：授权代表人：住所：邮编：联系电话：乙方：住所：邮编：联系电话：鉴于乙方作为技术服务人员参与甲方外协服务项目，经双方协商一致，就乙方承担的保密及权利担保义务达成以下协议。第一条保密信息1.规定的非保密信息除外），以及虽属于第三方但甲方承担保密义务的技术秘密和其它保密信息。2.该等保密信息的内容包括但不限于：代码、文档、数据、模型、用例、草案、技术、方法、设备信息、软件工具信息、经营状况、技术运营状况、财务数据、财务状况、市场信息、客户信息、内部管理信息、人力资源信息、技术研究开发信息。3.该等保密信息的提供形式包括但不限于口头、书面、影像、磁盘、光盘、胶片、数据电文。4.该等保密协议包括甲方已有和后续获得的信息，亦包括乙方在参与甲方信息化建设项目活动中产生的信息。第二条非保密信息本协议所称保密信息不包括以下信息、记录、文件或资料：1.已经公开的信息，但不是因乙方的披露所造成；2.甲方事先书面同意乙方可以公开的信息；3.在甲方向乙方披露保密信息以前，乙方已获知的保密信息，但前提是乙方不知晓该信息的来源受任何协议的约束或乙方不知晓有其它规定禁止披露人以协议、代理或其它形式向乙方披露该信息。4.法律法规规定的其它非保密协议。第三条保密义务1.乙方应对甲方提供之任何保密信息承担保密义务，除非事先获得甲方之书面同意，不直接或间接向任何第三方披露、移交、转让任何保密信息。如经甲方同意采取前述行为，乙方应告知第三方对保密信息予以保密。2.乙方仅可将保密信息用于开展甲方指定乙方参加的技术服务项目之目的，并且乙方同意未得到甲方允许时，乙方不得直接或间接进行、达成或以其它方式参与任何全部或部分涉及保密信息主要内容的项目。3.乙方保证采取所有必要的方法对所获知的保密信息进行保密，包括但不限于制定和执行严格的作业程序来避免非授权透露、使用或复制保密信息。4.乙方在为甲方提供服务过程中，不得通过任何不正当途径或手段探听、窃取、使用、泄露甲方之保密信息。5.乙方不得将笔记本电脑、可读写存储介质等物品带入甲方工作场所，也不得将任何含有甲方保密信息的文件资料、存储介质等物品带出甲方工作场所。如情况特殊，乙方确需将笔记本电脑、可读写存储介质等物品带入甲方工作场所的，必须经所在的甲方部门主管领导的书面批准，并对带入的设备、使用人员等情况作登记备案。由乙方自带的设备，不得与甲方局域网相连接，如确需接入甲方局域网的，必须经甲方书面批准，并安装正常升级的杀毒软件。乙方不得在甲方局域网上窃取、非法使用、泄漏甲方之保密信息。6.乙方应妥善保管甲方提供的程序、文档、数据等文件资料，并在甲乙双方合作结束后，乙方应将上述资料及含甲方有关保密信息的相关载体（含复印件）全部交还给甲方或应甲方要求销毁相关信息载体。7.乙方承担本协议项下保密义务不构成甲方额外支付保密费的义务，甲方与乙方所属公司签订的协议项下应付款项即已包含此项费用。第四条法定披露如果根据适用法律、法规规定的或任何有权机关要求，乙方必须对保密信息作出披露时，乙方应立即通知甲方，以使甲方能采取相应的保护措施和/或同意放弃要求乙方遵守本协议的规定。乙方披露该保密信息的范围仅限于中国法律、法规规定或有权机关要求披露之范围。第五条保密期限1.除非甲方保密信息被合法公开，乙方应当根据本协议承担保密义务，乙方根据本协议承担的保密义务不因本协议的无效、被撤销、解除、变更或终止而解除或终止而免除。2.双方同意，不论本协议是否无效、被撤销、变更、解除或终止，乙方在本协议下履行的保密义务将于本协议签署之日起永久有效。第六条权利瑕疵担保及知识产权归属1.乙方保证参与甲方的技术服务没有侵犯任何第三方权利，甲方及其用户在中华人民共和国享受该技术服务的任何一部分时，均不会遭受第三方提出的侵犯其知识产权或其他权益的起诉。如果任何第三方对乙方向甲方提供的技术服务主张权利或第三方因乙方技术服务而向甲方接受乙方技术服务所得