信息系统等级保护测评工作实施方案

2018-2019年XXX项目目录01.项目概述11.1.项目背景11.2.项目目标21.3.项目原则21.4.项目依据32.测评实施内容42.1.测评分析42.1.1.测评范围42.1.2.测评对象42.1.3.测评内容42.1.4.测评对象52.1.5.测评指标62.2.测评流程82.2.1.测评准备阶段82.2.2.方案编制阶段82.2.3.现场测评阶段92.2.4.分析与报告编制阶段102.3.测评方法112.3.1.工具测试112.3.2.配置检查112.3.3.人员访谈122.3.4.文档审查122.3.5.实地查看132.4.测评工具132.5.输出文档143.时间安排144.人员安排154.1.组织结构及分工154.2.人员配置表164.3.工作配合175.其他相关事项185.1.风险规避185.2.项目信息管理205.2.1.保密责任法律保证205.2.2.现场安全保密管理205.2.3.文档安全保密管理215.2.4.离场安全保密管理215.2.5.其他情况说明211.1.项目背景评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评，加大测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制，深化信息安全等级保护工作，提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工进行业务影响分析及网络安全管理工作进行梳理，提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力，减少信息安全风险和降低信息安全事件发生的概率，全面提高XXXXXXXXXXXXXXXXXXX项目的方案设计与实施应满足以下原则：今符合性原则：应符合国家信息安全等级保护制度及相关法律法规，指出防今标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际今规范性原则：项目实施应由专业的等级测评师依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以今可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度今整体性原则：安全体系设计的范围和内容应当整体全面，包括安全涉及的今最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。今保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害测评委托单位利益的信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对相应等级的信息系统遵循的标准进行综合系今《信息安全技术信息系统安全等级保护实施指南》今《信息安全技术信息系统安全等级保护测评要求》2008今《计算机信息系统安全保护等级划分准则》(GB17859-1999本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。级别1三级2三级3三级4三级5二级6二级本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点，进行不同层次的本项目主要分为两步开展实施XXXXXXXXXXXXXXXXXXX统进行十个安全层面的等级保护安全测评〔物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。大类。安全技术测评包括：物理安全、网络安全分析评估安全控制间、层面间和区域间是否存在安物理安全118网络安全1056主机安全2136应用安全4217数据安全2103安全管理制度0033安全管理机构00550055系统建设管理0099系统运维管理0066〔类对于三级系统，如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T22239-2008《信息系统安全保护等级基本要求》术要求"部份的3级通用指标类〔G3,3级业务信息安全指标类〔S3,3级系统服务安全指标类(A3,以及第3级"管理要求"部份中的所有指标类，等级保护测评指标情况具体如下表所示：安全技术物理安全118网络安全1067主机安全3137应用安全5229数据安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理00系统运维管理00合计73(类2.2.1.测评准备阶段2.2.2.方案编制阶段安全层面测评实施过程涉及10个测评单元，包括：物理位置的选择、库管理系统。在内容上，主机系统安全层面测评实施过程涉及7个测评今应用安全：通过人员访谈、配置检查和工具测试的方式测评信息系安全层面测评实施过程涉及9个测评单元，包括：身份鉴别、访问控2.2.4.分析与报告编制阶段2.3.测评方法工具测试利用技术工具，从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析发掘系统的安全漏洞1-2人工作环境，电源和网络接入环境，甲方人员、网络、系统配合工具测试结果记录配置检查通过登陆系统控制台的方式，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况发现配置的安全隐患1-2人工作环境，甲方人员、网络、系统配合配置检查结果记录通过交流、讨论的方式，对技术和管理方面进发掘技术和管理方面存在的安全问题1-2人工作环境，甲方人员配合人员访谈结果记录文档审查通过文档审核与分析，检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性发掘技术和管理方面存在的安全问题1-2人工作环境，甲方人员、各类文档资料配合文档审查结果记录通过现场查看人员行为、技术设施和物理环境状意识、业务操作、管理程序和系统物理环境等方面的安全情况。发掘技术和管理方面存在的安全问题1-2人工作环境，甲方人员配合实地查看结果记录工具介绍漏洞扫描工具绿盟极光远程安全评估系统绿盟公司出品的商业漏洞扫描系统Web应用扫描工具IBM公司出品的商业Web应用安全扫描系统一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序序号任务名称工作内容开始时间完成时间阶段完成标志主要负责人配合人员1《实施方案》2资产采集表34前期调资产采集表5差距测评完成信息系统6差距测评报告编制单元测评、整体测评、风险分析、报告编制《差距测评报7安全整改建议较高的出整改报告8安全加固与检查内容进行复检1《整改方案》9过第三方测评《整改报告》8书项目负责人项目总体负责人，负责协调XXXXXXXXXXXXXXXXXXX整体项目资源，解决项目中需要XXXXXXXXXXXXXXXXXXX配合的问题，监督项目整体质量、推进项目整体进度XXXXXXXXXXXXXXXXXXX信息安全有限公司：项目负责人项目总体负责人，负责组织等级保护测评和评估实施队伍，做好整体日常资源管理、分配与协调工作，并直接控制整体项目管理的各个要素，具体包括：今项目方案设计今项目计划与组织今项目协调与沟通〔含召集项目周例会今项目进度管理〔含编写项目周报今项目质量控制技术人员项目技术人员，包括项目分组组长和实施人员，在项目经理的带和评估工作，需要提交：今每天工作日报今单项测评结果记录今单项安全整改建议人员负责人项目总体负责人，负责组织等级保护测评和评估实施队伍，做好整体日常资源管理、分配与协调工作，并直接控制整体项目管理的各个要素，具体包括：今项目方案设计今项目计划与组织今项目协调与沟通〔含召集项目周例会今项目进度管理〔含编写项目周报今项目质量控制技术人员负责按照项目技术方案和项目计划实施测评工作，需要提交：今每天工作日报今单项测评结果记录为保证本项目的顺利实施，对现场测评阶段的各项工作点提出双方工作配序号工作点甲方配合乙方配合1现场工具1、人员要求系统管理员系统检收文档。*提供可以访问网络设备及测评系统的2个IP地址1、准备测评工具2、测评技术人员2检查1、人员要求网络管理员*前期提供网络拓朴图。查设备配置。系统管理员查设备配置。可登录系统及网络设备1、准备配合检查方案2、测评技术人员31、访谈对象要求信息部管理人员系统开辟&管理人员问题网络管理人员配置操作的相关问题1、准备访谈安排及访谈大纲2、测评技术人员提供会议室4文档审查1、人员要求信息部管理人员系统开辟&管理人员档网络管理人员档1、准备测评表人员5实地查看1、人员要求机房管理员1、准备测评表2、测评技术人员内容信息资产调研资产信息泄漏高规安全管理测评安全管理信息泄漏高网络设备测误操作引起设备崩溃或者数据丢失、损坏高规范审计流程；严格选择测评师；甲方进行全程监控；制定可能的恢复计划网络/安全设备资源占用低避开业务高峰；度漏洞扫描网络流量低避开业务高峰；度主机资源占用低避开业