文库文档
美文大全
工作总结
工作报告
工作计划
汇报体会
策划方案
材料资料
作文大全
论文大全
求职/简历
礼仪规范
文秘工作
公文资料
道德思想
党团/申请书
演讲稿
发言致辞
企事业工作
合同大全
主页 > 文库 > 综合文库 >

XXXX等级保护测评工作方案(2)

2019-02-16 14:17

2.1. 测评分析

2.1.1. 测评范围

本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。

2.1.2. 测评对象

本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统,具体如下: 序号 1 2 3 4 5 6 信息系统名称 XXXXXXXXX信息系统 XXXXXXXXX信息系统 XXXXXXXXX信息系统 XXXXXXXXX信息系统 XXXXXXXXX信息系统 XXXXXXXXX信息系统 三级 三级 三级 三级 二级 二级 级别 2.1.3. 测评架构图 本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点,进行不同层次的测评工作,如下表所示:

2.1.4.

测评内容

第 4 页 共 24 页

本项目主要分为两步开展实施。第一步,对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。

其中安全测评分为差距测评和验收测评。差距测评主要针对

XXXXXXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。

信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。具体见下图:

第 5 页 共 24 页

系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。

第 6 页 共 24 页

系统结构系统间系统结构……系统和系统间外部与边界与…边界间内部区域间区域间物理与网络间主机系统与应用与运维管理间人员安全间…层面间物理安全物理访问控制网络访问控制网络安全网络入侵防范身份鉴别主机系统安全自主访问控制人员安全管理教育和培训系统运维管理安全事件处置…应急预案管理控制间防盗窃人员离岗设备管理…安全控制

综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。

2.1.5. 测评对象

依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。

测评对象种类主要考虑以下几个方面: 1.整体网络拓扑结构; 2.机房环境、配套设施;

3.网络设备:包括路由器、核心交换机、汇聚层交换机等; 4.安全设备:包括防火墙、IDS/IPS、防病毒网关等; 5.主机系统(包括操作系统和数据库系统); 6.业务应用系统;

7.重要管理终端(针对三级以上系统);

第 7 页 共 24 页

8.安全管理员、网络管理员、系统管理员、业务管理员; 9.涉及到系统安全的所有管理制度和记录。

根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。

2.1.6. 测评指标

对于二级系统,如业务信息安全等级为S2,系统服务安全等级为A2,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的2级通用指标类(G2),2级业务信息安全指标类(S2),2级系统服务安全指标类(A2),以及第2级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:

测评指标(二级) 类数量 技术/管理 层面 S类(2级) 物理安全 网络安全 安全技术 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 安全管理 人员安全管理 系统建设管理 系统运维管理 1 1 2 4 2 0 0 0 0 0 合计

第 8 页 共 24 页

A类(2级) 1 0 1 2 1 0 0 0 0 0 G类(2级) 8 5 3 1 0 3 5 5 9 12 小计 10 6 6 7 3 3 5 5 9 12 66(类)


  • 共6页:
  • 上一页
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 下一页
    • XXXX等级保护测评工作方案(2).doc 将本文的Word文档下载到电脑 下载失败或者文档不完整,请联系客服人员解决!
    下载这篇word文档

    下一篇:管理学试题

    相关阅读
    本类排行
    × 注册会员免费下载(下载后可以自由复制和排版)

    马上注册会员

    注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
    微信: QQ: