企业信息系统安全等级保护评测方案

企业信息系统安全等级保护评测方案一、总体方案概述工程目标通过对****单位信息系统的指导**单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。测评范围本次等级测评效劳针对信息系统以及业务系统所依托的内部局域网网络环〔、效劳。具体评估范围包括但不限于：防水、防雷、防盗和不连续电源等保障物理安全的各种设施。火墙或其他信息安全设备、各应用效劳器和整体网络的数据流信息。操作系统：检查全部网络设备、信息安全设备和效劳器的操作系统，对全部查。应包含在本次安全评估范围内的信息系统都应被认定为重要治理信息系统。最补丁，治理帐户是否存在弱口令等进展检测。未把握网络链接：获得全部未把握并能够连接到网络的设备信息〔例如调1394。防止未经授权的拨入。防病毒及恶意软件：检查全部效劳器的杀毒软件系统和单机防恶意软件系统。演练，并提出改进建议。的安全意识、各种安全治理规章制度等。测评原则我公司等级保护差距测评效劳将遵循以下原则：****守保密协议中规定的要求确保信息安全。标准性原则**单位等级保护测距测评方案的设计与实施将依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险治理领建设成果供给了质量保证。我公司在等级保护差距测评工程中供给标准的工作过程和文范的记录，并形成完整的评估过程报告。最小影响原则生显著不利影响。标准依据等级保护测评方案将主要依据《信息系统安全等级保护定级指南》、《信息的标准如下:GB/T22239-2023GB/T22240-2023GB/T28448-2023信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护实施指南〔报批〕信息安全技术信息系统安全等级保护测评过程指南〔送审〕GB/T24856-2023GB/T18018-2023GB/T20945-2023GB/Z20985-2023GB/Z20986-2023GB/T20988-2023GB/T21028-2023GB/T20238-2023GB/T20239-2023GB/T20230-2023GB/T20231-2023GB/T20269-2023GB/T20270-2023GB/T20271-2023GB/T20272-2023GB/T20273-2023GB/T20275-2023GB/T20277-2023GB/T20278-2023GB/T20279-2023GB/T20280-2023GB/T20281-2023GB/T20282-2023二、信息安全等级保护主要工作介绍信息系统定级信息系统备案建信息系统定级信息系统备案建安全规划/设计是否建系统已建安全建设实施重大变更安全差距测评局部调整安全建设/整改第三方等保测评未通过通过安全运维信息系统终止等级保护工作实施流程备案、安全差距测评、安全整改、第三方等保测评、安全运维、信息系统终止7个根本流程和面对建系统的安全规划/2〔验收测评〕等技术相关细节实施的安全效劳。评、整改关心和验收测评三个局部的内容。信息系统定级工作，因此，信息系统安全保护等级确定的准确与否格外关键。等因素确定安全保护等级。用单位在为信息系统确定安全保护等级以后，我公司将协作**单位报主管部门信息系统备案30**信息系统备案局部”。等级保护差距测评信息系统安全等级保护差距测评是整个信息系统安全等级保护工作的又一系统的安全建设或安全改造。测等手段核查**适当裁剪，裁剪后的指标项作为本次差距分析的输入。差距测评包括如下四方面内容：备份恢复;系统建设治理;码治理、变更治理、备份与恢复治理、安全大事处置;物理安全差距分析：包括物理位置的选择、物理访问把握、防盗窃和防电磁防护。整改关心等级测评的宗旨始终坚持优化整改建设工作为目的，于是在差距测评中，高信息系统整体安全保护力气，更加利于验收测评的顺当通过。2.5 验收测评应的测评报告提交到公安监管部门，以示整个测评流程完成。三、信息系统定级局部**单位的自身额外安全需求，干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下根本特征：业务信息安全保护等级确实定业务信息描述PACS业务信息受到破坏时所侵害客体确实定侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、〔形式可以包括丧失、破坏、损坏等〕，会对公民、法人和其他力气下降，造成不良影响，引起法律纠纷等。信息受到破坏后对侵害客体的侵害程度下降，较大范围的不良影响等。确定业务信息安全等级查《信息安全技术信息系统安全保护等级定级指南》〔GB/T22240-2023〕中相关定级指导要求表可知，其业务信息安全保护等级为其次级。一般损害严峻损害特别严峻损害公民、法人和其他组织的合法权益第一级其次级其次级社会秩序、公共利益其次级第三级第四级国家安全第三级第四级第五级对相应客体的侵害程度业务信息安全被破坏时所侵害的客体对相应客体的侵害程度业务信息安全被破坏时所侵害的客体系统效劳描述疗机构的内部人员和受诊病人。系统效劳受到破坏时所侵害客体确实定下降，造成不良影响等〕。信息受到破坏后对侵害客体的侵害程度工作职能收到严峻影响，业务力气显著下降，较大范围的不良影响等。确定系统效劳安全等级对相应客体的侵害程度系统效劳被破坏时所侵害的客体查《信息安全技术信息系统安全保护等级定级指南》〔GB/T22240-2023〕对相应客体的侵害程度系统效劳被破坏时所侵害的客体一般损害严峻损害特别严峻损害公民、法人和其他组织的合法权益第一级其次级其次级社会秩序、公共利益其次级第三级第四级国家安全第三级第四级第五级3.3安全保护等级确实定信息系统的安全保护等级由业务信息安全等级和系统效劳安全务安等级的**公民的就医权利，造成对社会秩序和公共利益的损害不至“严峻程度”，属于HIS/CIS信息系统名称**信息系统名称**单位HIS/CIS安全保护等级其次级业务信息安全等级二系统效劳安全等级二四、信息系统备案局部**的其次级以上的信息系统的备案工作依据如下原则来进展备案：(一)协作30关公共信息网络安全监察部门办理备案手续；(二)备案时提交《信息系统安全等级保护备案表〔〕〔一式两份301；(三) 统安全保护等级备案手续时，除填写《信息系统安全等级保护备案表》，还需预备以下材料：系统拓扑结果及说明系统安全组织机构和治理制度系统安全保护设施设计实施方案或者改建实施方案系统使用的信息安全产品清单及其认证、销售许可证明测评后符合系统安全保护等级的技术检测评估报告信息系统安全保护等级专家评审意见主管部门审核批准信息系统安全保护等级的意见五、等级保护差距测评局部工作流程分析阶段。具体工作流程以以下图：测评方法本工程中的等级保护差距测评依照《信息安全技术信息系统安全等级保护〔GB/T28448-2023〕,测评方案可分为单项测评和整体测评两大类。单项测评相关标准的差距。文档查询：治理、维护和使用的人员等文档。从而为确定定级对象、等级供给参考；调查问卷：以较为客观、准确的了解组织在安全治理方面的状况。访问是针对特定对象更深入的调研形式。方面：人员的安全学问、安全意识状况安全治理技术的使用状况安全大事发生状况安全治理制度的落实状况等人员访谈：人员访谈可以基于客户业务、治理和IT技术应用的实际状况，结合专家的观、准确的获得组织在技术、治理方面存在业务安全风险。对一般员工进展抽样访谈。实地观看:面的信息；评估工具:〔工具描述详见“5.3〕整体测评等级保护差距测评评的目的都在于明确被测信息系统与国家等级保护要求间安全测评、层面间安全测评、区域间安全测评和系统构造安全测评。安全控件间安全测评方法安全把握的引入影响另一个安全把握的功能发挥或者给其带来的脆弱性。应用安全和数据安全等同一层面内的哪些安全技术把握间可能存在安全功能上系统建设治理和系统运维治理等同一方面内的哪些安全治理把握间可能存在安相互作用后，是否发挥出更强的综合效能，使其功能增加或得到补充。应用安全和数据安全等同一层面内的哪些安全技术把握间可能会存在安全功能建设治理和系统运维治理等同一方面内的哪些安全治理把握间可能存在安全功能减弱。息系统的整体安全保护力气。等五个方面的安全把握评估。层面间安全测评方法面安全把握的功能发挥或者给其带来的脆弱性。〔如主机系统层面与应用层面上的身份鉴别之间的关系，以及技术与治理上各层面的关联关系，功能增加或得到补充。响另一个层面安全功能的发挥或者给其带来的脆弱性，使其功能减弱。全把握影响到信息系统的整体安全保护力气。区域间安全测评方法〔包括物理上和规律上的互连互通等〕安全功能上的增加和补充可以使两个不同区域上的安全把握发挥更强的综合效安全功能上的减弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来的脆弱性。得到补充。脆弱性，使其功能减弱。全把握影响到信息系统的整体安全保护力气。系统构造安全测评方法系统构造安全测评主要考虑信息系统整体构造的安全性和整体安全防范的重点保护对象，在适当的位置部署恰当的安全技术和安全治理措施等。络拓扑、业务规律〔业务数据流、系统实现和集成方式等各种状况，结合业务等。统的整体安全防范是否恰当合理等。测评工具测评工作中安络工程师将主要承受以下几类调研工具：〔1〕调查问卷类工具序号1调查问卷类别根本信息类序号1调查问卷类别根本信息类调查问卷名称根本信息调查问卷调查内容包括对组织的名称、联系人、联系方式、地址等的调查序号 调查问卷类别 调查问卷名称物理环境调查问卷主机环境调查问卷根底环境类 4卷5卷网络环境调查问卷

调查内容包括对组织的机房、办公场地等设施的物理环境的调查等的调查包括对主机的常用软件、操作系统等状况的调查域划分等的调查包括对路由器、交换机等网络通信设备的调查卷9卷9信息资源调查问卷10应用系统类应用系统调查问卷11数据安全调查问卷12安全策略调查问卷安全策略类1314

卷卷治理制度调查问卷

包括对防火墙、入侵检测系统等网络安全设备的调查访问权限等的调查围、系统工作流程等的调查施等的调查等的调查行业标准等的调查类制度等的调查治理制度类 安全规程调查问卷组织机构调查问卷人员治理调查问卷18卷19系统运维类19系统运维类卷20系统审计调查问卷21应急响应调查问卷22安全保障类灾难恢复调查问卷23卷〔2〕自动检测类工具

划分、监管措施等的调查包括对人员的聘用、职责、安排、离职等的调查等环节状况的调查审查等状况的调查程、审计周期等的调查响应内容、工作流程、响应时间等的调查恢复时间、优先次序等的调查上报告警机制、旧有处理记录内容等的调查本次测评工作中可能使用到的自动检测类调研工具包括：启明星辰天镜脆弱性评估系统网络弱点扫描器,NAISCANNERISS绿盟“极光”安全漏洞扫描系统开放源代码扫描器Nessus风险评估软件〔赛宝自研发的工具〕FlukeOptiview网络性能分析系统SmartBits6000CAvalanche2700网络安全攻击模拟系统TheatEX安全攻击模拟系统IDSInformerWebFortify黑客攻击工具箱漏洞数据库信息安全分析软件SmartWin信息安全分析软件SmartApps〔3〕评估信息库评估信息库主要用于存储与处理在之前的其他评估询问类工程中已收集到标准评估询问行为。该信息库的信息收集是一个长期的、动态调整的工作。测评过程风险把握的干扰，从而减小损失。表给出了评估过程中可能的风险与把握方式。工程安全治理评估应急安全评估

可能的影响和方式 等级资产信息泄漏 高安全治理信息泄漏 高系统切换测试导致局部业高务中断、局部数据遗失

把握方式〔措施〕 备注份和恢复措施；可选查提交的数据是否在测试后完整；网络威逼收集 网络流量 低 把握中心与探测引擎直接连接，不占用网络流量标准审计流程；评估弱点扫描

误操作引起设备崩溃或数高据丧失、损坏网络/安全设备资源占用 网络流量 主机资源占用 误操作引起系统崩溃或数高

严格选择审计人员；用户进展全程监控；避开业务顶峰；把握扫描策略〔线程数量、强度〕避开业务顶峰；〔线程数量、强度〕避开业务顶峰；把握扫描策略〔线程数量、强度〕标准审计流程；严格选择审计人员；把握台审计 据丧失、损坏网络流量和主机资源占用 产生非法数据，致使系统中不能正常工作

用户进展全程监控；避开业务顶峰DBA、SA、NA可选做好系统备份和恢复措施应用平台

限测试〕导致系统崩溃

DBA、SA、NA高 可选做好系统备份和恢复措施六、整改建议〔以下简称《根本应用安全和数据安全等安全保护技术措施，具体内容如以以下图所示：信息系统安全等级保护根本要求信息系统安全等级保护根本要