信息系统等级保护测评工作方案

..XX

2023-2023XXX工程等级保护差距测评实施方案XXXXXXXXX201X年X目录\l“_TOC_250019“目录 1\l“_TOC_250018“工程概述 2\l“_TOC_250017“工程背景 2\l“_TOC_250016“工程目标 3\l“_TOC_250015“工程原则 3\l“_TOC_250014“工程依据 4\l“_TOC_250013“测评实施内容 4\l“_TOC_250012“测评分析 5\l“_TOC_250011“测评范围 5\l“_TOC_250010“测评对象 5测评内容 5测评对象 8测评指标 9\l“_TOC_250009“测评流程 10测评预备阶段 11方案编制阶段 12\l“_TOC_250008“现场测评阶段 12分析与报告编制阶段 14\l“_TOC_250007“测评方法 14\l“_TOC_250006“工具测试 14\l“_TOC_250005“配置检查 15\l“_TOC_250004“人员访谈 15\l“_TOC_250003“文档审查 16\l“_TOC_250002“实地查看 16\l“_TOC_250001“测评工具 17\l“_TOC_250000“输出文档 18等级保护测评差距报告 错误!未定义书签。等级测评报告 错误!未定义书签。安全整改建议 错误!未定义书签。时间安排 18人员安排 19组织构造及分工 19人员配置表 20工作协作 21其他相关事项 22风险躲避 22工程信息治理 24保密责任法律保证 24现场安全保密治理 24文档安全保密治理 25离场安全保密治理 25其他状况说明 25工程概述工程背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护治理2023年XXXXXXXXXXXXXXXXXXX需要依据国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、XXXXXXXXXXXXXXXXXXX现有六个信息系统进展全面的信息安全测评与评XXXXXXXXXXXXXXXXXXX供给驻点询问、实施等效劳。(安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全把握测评；安全治理测评包括：安全治理机构、安全治理制度、人员安全治理、系统建设治理和系统运维治理等五个方面的安全把握测评〕，加大测评与风险评估力度，对信息系统的资产、威逼、弱点和风险等要素进展全面评估，有效提升信念系统的安全防护力气，建立常态化的等级保护工作机制，XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维力气。工程目标XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工XXXXXXXXXXXXXXXXXXX供给驻点询问、实施等效劳，依据国家和XXXXXXXXXXXXXXXXXXX的有关要求，对XXXXXXXXXXXXXXXXXXX的网络架构进展业务影响分析及网络安全治理工作进展梳理，提高整个网络的安全保障与运维力气，削减信息安全风险和降低信息安全大事发生的概率，全面提高网络层面的安全性，构建信息系统的整体信息安全架构，确保全局信息系统高效稳XXXXXXXXXXXXXXXXX根本要求，准时供给询问等效劳。工程原则工程的方案设计与实施应满足以下原则：符合性原则：应符合国家信息安全等级保护制度及相关法律法规，指出防范的方针和保护的原则。标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进展。标准性原则：工程实施应由专业的等级测评师依照标准的操作流程进录，以便于工程的跟踪和把握。可控性原则：工程实施的方法和过程要在双方认可的范围之内，实施进度要依据进度表进度的安排，保证工程实施的可控性。整体性原则：安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避开由于遗漏造成将来的安全隐患。最小影响原则：工程实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常供给产生显著影响。保密原则：对工程实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进展任何侵害测评托付单位利益的行为。工程依据合系统测评，提出相应的系统安全整改建议。主要参考标准如下：《计算机信息系统安全保护等级划分准则》-GB17859-1999《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全等级保护治理方法》2023〕《信息安全技术信息系统安全等级保护定级指南》〔GB/T22240-2023〕《信息安全技术信息系统安全等级保护根本要求》〔GB/T22239-《计算机信息系统安全保护等级划分准则》〔GB17859-1999〕《信息安全技术信息系统通用安全技术要求》〔GB/T20271-2023〕《信息安全技术网络根底安全技术要求》〔GB/T20270-2023〕《信息安全技术操作系统安全技术要求》〔GB/T20272-2023〕《信息安全技术数据库治理系统安全技术要求》〔GB/T20273-2023〕《信息安全技术效劳器技术要求》〔GB/T21028-2023〕《信息安全技术 终端计算机系统安全等级技术要求》〔 2023〕《信息安全风险评估标准》〔GB/T20984-2023〕测评实施内容测评分析测评范围本工程范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。测评对象本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统，具体如下：序号 信息系统名称 级别XXXXXXXXX信息系统 三级XXXXXXXXX信息系统 三级XXXXXXXXX信息系统 三级XXXXXXXXX信息系统 三级XXXXXXXXX信息系统 二级XXXXXXXXX信息系统 二级测评架构图XXXXXXXXXXXXXXXXXXX系统的信息治理特点，进展不同层次的测评工作，如下表所示：测评内容.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX〔物理安全、网络安全、主机安全治理、系统建设治理、系统运维治理〕。其中安全测评分为差距测评和验收测评。差距测评主要针对已定级备案系统执行国家标准的安全测评，差距测评交付差距测评报告以及差距测评整改方案；差距整改完毕后帮助完成系统配置方面的整改。最终进展验收测评，验收测评将依据国家标准和国家公安成认的测评XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评，验收测评交付具有国家成认的验收测评报告。评是信息系统整体安全测评的根底。把握测评。具体见以以下图：.补充和减弱作用以及信息系统整体构造安全性、不同信息系统之间整体安全性。...系统 系统间构造系统 系统间构造系统系统间外部与 边界与 ………区域间构造边界间内部区域间

主机系统与 应用与运维治理间人员安全间

层面间物 网理 络安 安全 全物 网 理 防 络 访 盗 访 问 窃 问 控 控 制 制

主机 人员系统 安全安全 治理自 身 主 人 份 访 员 鉴 问 离 别 控 岗 制

治理 …安 应设 全 急…备 事 预…管 件 案理 处 管置 理

把握间，由此而获得信息系统对应安全等级保护级别的符合性结论。测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模息系统进展全面评估。1．整体网络拓扑构造；机房环境、配套设施；网络设备：包括路由器、核心交换机、会聚层交换机等；安全设备：包括防火墙、IDS/IPS、防病毒网关等；主机系统〔包括操作系统和数据库系统〕；业务应用系统；重要治理终端〔针对三级以上系统〕；安全治理员、网络治理员、系统治理员、业务治理员；涉及到系统安全的全部治理制度和记录。深度上要做到对功能等各方面的测试。测评指标测评指标〔二级〕对于二级系统，如业务信息安全等级为S2，系统效劳安全等级为A2，则该系统的测评指标应包括GB/T22239-2023《信息系统安全保护等级根本要求》中2级通用指标类〔G2〕，2级业务信息安全指标类〔S2〕，2〔A2〕，以及第2级“治理要求”局部中的全部指标类，等级保护测评指标状况具体如下表所示：测评指标〔二级〕技术/治理层面类数量S类(2级)A类(2级)G类(2级)小计物理安全11810网络安全1056安全技术主机安全2136应用安全4217数据安全2103安全治理制度0033安全治理机构0055安全治理人员安全治理0055系统建设治理0099系统运维治理001212合计66〔类〕测评指标〔三级〕类数量对于三级系统，如业务信息安全等级为S3，系统效劳安全等级为A3，则该系统的测评指标应包括GB/T22239-2023《信息系统安全保护等级根本要求》中3级通用指标类〔G3〕，3级业务信息安全指标类〔S3〕，3〔A3〕，以及第3级“治理要求”局部中的全部指标类，测评指标〔三级〕类数量技术/治理层面物理安全S(31A(31G(38小计10网络安全1067安全技术主机安全3137应用安全5229数据安全2103安全治理制度0033安全治理机构0055安全治理人员安全治理0055系统建设治理001111系统运维治理001313合计73〔类〕测评流程等级保护测评实施过程包括以下四个阶段：阶段阶段阶段阶段方人员访谈方人员访谈方人员访谈方人员访谈方人员访谈方式文档审查式文档审查式文档审查式文档审查式段组建组建编制调研预备确定确定定确定测评实施手册开发物理安全网络安全主机安全应用安全数据安全人员访谈文档审查方实地观看式人员访谈配置检查方工具测试式互联设备安全设备网络拓扑工具测试操作系统数据库系统方式人员访谈配置检查工具测试方式人员访谈方配置检查式物理根底设对施 象对象对象应用系统对象治理数据对业务数据象安全治理制度安全治理机构人员安全治理系统建设治理系统运维治理人员访谈文档审查实地观看单项测评结果分析单元测评结果判定整体测评风险分析等级测评结论形成编制

测评预备阶段测评工程组组建：明确工程经理、测评人员及职责分工。工作内容和工程组织等。〔特别是信息系统的边界〕，了解被测系统的具体构成，包括网络拓扑、业务应〔效劳器、数据库、网络设备、安全设备、数据库等〕、治理制度等。工具和表单预备：依据被测系统的实际状况，预备测评工具和各类测2.2.2.

评表单。方案编制阶段及其涉及的业务应用系统，确定出本次测评的测评对象。评的测评指标。路径，依据测试路径确定测试工具的接入点。测评内容确定：确定现场测评的具体实施内容，即单元测评内容。方法和操作步骤等，具体指导测评人员如何进展测评活动。现场测评阶段制度、人员安全治理、系统建设治理和系统运维治理五个方面分别进展。物理安全：通过人员访谈、文档审查和实地观看的方式测评信息系统的物理安全保障状况。主要涉及对象为物理根底设施。在内容上，物理安全层面测评实施过程涉及10个测评单元，包括：物理位置的选择、物理访问把握、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度把握、电力供给、电磁防护。网络安全：通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障状况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑构造。在内容上，网络安全层面测评实施过程涉及7个测评单元，包括：构造安全、访问把握、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范〔针对三级系统〕。库治理系统。在内容上，主机系统安全层面测评实施过程涉及7评单元，包括：身份鉴别、访问把握、安全审计、入侵防范、恶意代码防范、资源把握、剩余信息保护〔针对三级系统〕。应用安全：通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障状况，主要涉及对象为各类应用系统。在内容上，应用安全层面测评实施过程涉及9把握、安全审计、通信完整性、通信保密性、软件容错、资源把握、剩余信息保护〔针对三级系统〕、抗抵赖〔针对三级系统〕。数据安全：通过人员访谈、配置检查的方式测评信息系统的数据安全保障状况，主要涉及对象为信息系统的治理数据及业务数据等。在内容上，数据安全层面测评实施过程涉及3整性、数据保密性、备份和恢复。安全治理机构：通过人员访谈、文档审查的方式测评信息系统的安全治理机构状况。在内容上，安全治理机构方面测评实施过程涉及5个测评单元，包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。人员安全治理：通过人员访谈、文档审查的方式测评信息系统的人员安全治理状况。在内容上，人员安全治理方面测评实施过程涉及5个测评单元，包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问治理。系统建设治理：通过人员访谈、文档审查的方式测评信息系统的系统11测评单元，包括：系统定级、安全方案设计、产品选购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全效劳商选择、系统备案〔针对三级系统〕、系统测评〔针对三级系统〕。系统运维治理：通过人员访谈、文档审查的方式测评信息系统的系统13测评单元，包括：环境治理、资产治理、介质治理、设备治理、网络安全治理、系统安全治理、恶意代码防范治理、密码治理、变更管全治理中心〔针对三级系统〕。

分析与报告编制阶段象，客观、准确地分析测评证据。出。并对系统构造进展整体安全测评。等级测评结果中存在的安全问题可能对被测系统安全造成的影响。等级保护根本要求之间的差距，并形成等级测评结论。元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。测评方法在等级保护测评过程目中，将承受以下测评方法：工具测试〔漏洞扫描工具、渗透测试工具、压力测试工具等〕对系统进展测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。测评方法测评方法工具测试利用技术工具，从网络的不同接入点对网络内的主机、效劳器、数简要描述据库、网络设备、安全设备等进展脆弱性检查和分析达成目标开掘系统的安全漏洞1-2工作条件合工作结果工具测试结果记录配置检查〔包括日志审计等〕，测评其实施的正确性和有效性，检查牢靠性的要求。测评方法测评方法配置检查通过登陆系统把握台的方式，人工核查和分析主机、效劳器、数据简要描述库、网络设备、安全设备、应用系统的安全配置状况达成目标觉察配置的安全隐患工作条件1-2人工作环境，甲方人员、网络、系统协作工作结果配置检查结果记录人员访谈〔个人/群体〕进展沟通、争论等活动，猎取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应根本掩盖全部的安全相关人员类型，在数量上可以抽样。测评方法测评方法人员访谈简要描述通过沟通、争论的方式，对技术和治理方面进展脆弱性检查和分析达成目标开掘技术和治理方面存在的安全问题工作条件1-2工作结果人员访谈结果记录文档审查〔包括安全方针文〕的完整性，以及这些文件之间的内部全都性。测评方法测评方法文档审查通过文档审核与分析，检查制度、策略、操作规程、制度执行状况简要描述记录的完整性和内部全都性达成目标开掘技术和治理方面存在的安全问题工作条件1-2人工作环境，甲方人员、各类文档资料协作工作结果文档审查结果记录实地查看通过实地的观看人员行为、技术设施和物理环境状况推断人员的安全意了相应等级的安全要求。工程名称实地查看工程名称实地查看通过现场查看人员行为、技术设施和物理环境状况，检查人员的安简要描述全意识、业务操作、治理程序和系统物理环境等方面的安全状况。达成目标开掘技术和治理方面存在的安全问题工作条件1-2工作结果实地查看结果记录测评工具使用的测评工具将事先提交给甲方检查确认，确保在双方认可的范围之内，而且测评过程中承受的技术手段确保已经过牢靠的实际应用。在本工程中，将承受以下测评工具：工具类工具类工具名称工具介绍别漏洞扫描绿盟极光远程安全评估系绿盟公司出品的商业漏洞扫描系统工具统IBMWebIBMAPPScan系统Web扫描工具WVS(WebVulnerability一个自动化的Web应用程序安全测试工Scanner) Web/SWeb工具类工具类工具名称工具介绍别Web输出文档本工程输出的主要输出文档为《等级保护测评实施方案〔资产收集、测评表〕》《等级保护测评差距分析报告》《等级保护测评安全整改方案》《等级保护测评安全整改报告》序号序号任务名称工作内容开头时间完成时间阶段完成标志主要负责人协作人员12工程准备阶段编制实施方案编制资产收2023/7/8《实施方案》集资产收集表2023/7/92023/7/153编制测评表测评表45前期调研差距测评资产收集6差距测评报告编制7安全整改建议8技术和治理单项测评报告编制较高的出整改报告安全加 对整改局部固与检 内容进展复2023/7/162023/7/17完成资产收集表2023/7/202023/8/21完成信息系统测评表2023/8/242023/8/28告》2023/8/312023/9/42023/9/72023/9/25《整改报告》..查 检等级保9 测评

评

2023/9/28 2023/11/31 获得测评证书人员安排组织构造工程工作分工为确保测评工作的顺利进行，XXXXXXXXXXXXXXXXXXX与XXXXXXXXXXXXXXXXXXX信息安全协商组建工程组，并对工程组织机构进展如下规划：XXXXXXXXXXXXXXXXXXX：名称 职 责人

质量、推开工程整体进度XXXXXXXXXXXXXXXXXXX名称 职 责

的各个要素，具体包括：..工程方案设计工程打算与组织〔含召集工程周例会〕工程进度治理〔含编写工程周报〕工程质量把握工程技术人员，包括工程分组组长和实施人员，在工程经理的带领、分工和把握下，负责依据工程技术方案和工程打算实施测评工程和评估工作，需要提交：技术人员每天工作日报单项测评结果记录单项安全整改建议人员配置表名称名称职责人员工程总体负责人，负责组织等级保护测评和评工程素，具体包括：负责人工程方案设计工程打算与组织〔含召集工程周例会〕工程进度治理〔含编写工程周报〕工程质量把握负责依据工程技术方案和工程打算实施测评工程工作，需要提交：每天工作日报技术人员单项测评结果记录单项安全整改建议..工作协作：序号 工作点 甲方协作 乙方协作系统治理员系统检收文档。现场工具 查看安全配置测评 2、环境要求统的2个IP地址IP与系统之间的防火墙。

及接入方案2、测评技术人员检查

网络治理员前期供给网络拓朴图。查设备配置。系统治理员查设备配置。2、环境要求可登录系统及网络设备

方案2、测评技术人员1、访谈对象要求系统开发&治理人员人员访谈 问题网络治理人员配置操作的相关问题2、环境要求

及访谈大纲2、测评技术人员..44文档审查1、人员要求信息部治理人员系统开发&治理人员档网络治理人员档规划文档等2、环境要求供给办公场所1、预备测评表2、二位测评技术人员5实地查看1、人员要求机房治理员境。2、环境要求可访问机房、办公等物理区域1、预备测评表2、测评技术人员其他相关事项风险躲避行的干扰，从而减小损失。下表给出了测评过程中可能存在的风险与把握措施。内容 可能存在的风险 等级 把握措施研

资产信息泄漏

规评

安全治理信息泄漏

律、法规标准审计流程；网络设备测测评

或数据丧失、损坏

严格选择测评师；高避开业务顶峰；低 把握扫描策略〔线程数量、强用度〕

避开业务顶峰；网络流量 低 策略〔线程数量、强度〕避开业务顶峰；主机资源占用 低 策略〔线程数量、强度〕标准审计流程；

或数据丧失、损坏

严格选择测评师；高甲方进展全程监控；占用

低 避开业务顶峰..系统不能正常工作应用测评 特别输入〔畸形数〕导致系统崩溃

中 做好系统备份和恢复措施高 做好系统备份和恢复措施工程信息治理为了保障XXXXXXXXXXXXXXXXXXX信息系统的安全，XXXXXXXXXXXXXXXXXXX信XXXXXXXXXXXXXXXXXXX关于保密方面的规定，自觉保守XXXXXXXXXXXXXXXXXXX商业隐秘。XXXXXXXXXXXXXXXXXXX为便利工程实施所提中所产生的资料、文档、数据均属于XXXXXXXXXXXXXXXXXXX学问产权，未经授权同意，XXXXXXXXXXXXXXXXXXX信息安全不得XXXXXXXXXXXXXXXXXXX信息安全承受治理和技术措施保证信XXXXXXXXXXXXXXXXXXX信息安全员工的缘由导致上