信息安全等級(jí)保護(hù)安全整改方案模版

----信息安全等級(jí)保護(hù)安全整改方案xxx公司20xx年x月--------工作項(xiàng)目清單序號(hào)工作項(xiàng)目數(shù)量（人天）單價(jià)總價(jià)備注1物理安全差距分析2主機(jī)安全差距分析3網(wǎng)絡(luò)安全差距分析4應(yīng)用安全差距分析5數(shù)據(jù)安全差距分析6安全管理機(jī)構(gòu)差距分析7人員安全管理差距分析8安全管理制度差距分析9系統(tǒng)建設(shè)管理差距分析10系統(tǒng)運(yùn)維管理差距分析11等級(jí)保護(hù)整改方案設(shè)計(jì)12安全管理組織及職責(zé)13人員安全管理14安全管理制度15系統(tǒng)建設(shè)管理16系統(tǒng)運(yùn)維管理17物理安全整改18主機(jī)安全整改19網(wǎng)絡(luò)安全整改20指導(dǎo)完成應(yīng)用安全整改21數(shù)據(jù)安全整改22安裝和部署各項(xiàng)新增安全設(shè)備23安全培訓(xùn)？人次等級(jí)保護(hù)測評(píng)師（中級(jí)）合計(jì)(可根據(jù)實(shí)際情況完成該表 .)信息安全等級(jí)保護(hù)安全服務(wù)方案----------------目錄第一章概述...........................................................................................................................81.1項(xiàng)目背景...................................................................................................................81.2現(xiàn)狀描述...................................................................................................................8第二章總體設(shè)計(jì).................................................................................................................152.1項(xiàng)目目標(biāo).................................................................................................................152.2項(xiàng)目原則.................................................................................................................162.3項(xiàng)目依據(jù).................................................................................................................172.3.1政策法規(guī).........................................................................................................172.3.2標(biāo)準(zhǔn)規(guī)范.........................................................................................................172.4實(shí)施策略.................................................................................................................182.4.1技術(shù)體系分析.................................................................................................182.4.2管理體系分析.................................................................................................182.4.3業(yè)務(wù)系統(tǒng)分析.................................................................................................192.4.4充分全面的培訓(xùn).............................................................................................202.5項(xiàng)目內(nèi)容.................................................................................................................212.5.1差距分析.........................................................................................................212.5.2整改方案設(shè)計(jì).................................................................................................212.5.3安全優(yōu)化與調(diào)整.............................................................................................212.5.4等級(jí)保護(hù)管理制度建設(shè).................................................................................21第三章 差距分析.................................................................................................................23--------3.1工作目的.................................................................................................................233.2工作方式.................................................................................................................233.3工作內(nèi)容.................................................................................................................253.3.1物理安全.........................................................................................................263.3.2主機(jī)安全.........................................................................................................273.3.3網(wǎng)絡(luò)安全.........................................................................................................313.3.4應(yīng)用安全.........................................................................................................353.3.5數(shù)據(jù)安全及備份恢復(fù).....................................................................................393.3.6安全管理制度.................................................................................................433.3.7安全管理機(jī)構(gòu).................................................................................................473.3.8人員安全管理.................................................................................................513.3.9系統(tǒng)建設(shè)管理.................................................................................................553.3.10系統(tǒng)運(yùn)維管理.........................................................................................593.4提交成果.................................................................................................................63第四章等級(jí)保護(hù)整改方案設(shè)計(jì).........................................................................................644.1工作目的.................................................................................................................644.2工作方式.................................................................................................................654.3工作內(nèi)容.................................................................................................................654.4提交成果.................................................................................................................68第五章系統(tǒng)優(yōu)化及調(diào)整.....................................................................................................685.1工作目的.................................................................................................................685.2 工作方式 .................................................................................................................68--------5.3 工作流程 695.4 工作內(nèi)容 705.5 提交成果 71第六章 等級(jí)保護(hù)管理制度建設(shè) 716.1 工作目的 716.2 工作方式 726.3 工作內(nèi)容 726.4 工作成果 74第七章 培訓(xùn)與驗(yàn)收 777.1 培訓(xùn)內(nèi)容 777.1.1 等級(jí)保護(hù)整改培訓(xùn) 777.1.2 信息安全等級(jí)保護(hù)培訓(xùn) 787.1.3 認(rèn)證考試 787.2 項(xiàng)目驗(yàn)收 797.2.1 驗(yàn)收依據(jù)和標(biāo)準(zhǔn) 797.2.2 驗(yàn)收內(nèi)容 80第八章 項(xiàng)目管理與組織 828.1 項(xiàng)目管理架構(gòu) 828.2 項(xiàng)目成員 848.3 項(xiàng)目進(jìn)度 88第九章 國都興業(yè)服務(wù)特色 909.1 豐富的服務(wù)經(jīng)驗(yàn) 909.2 有保障的服務(wù)團(tuán)隊(duì) .................................................................................................90--------9.3 嚴(yán)格明確的服務(wù)原則 ................................................................................................................................................................... 909.4 專業(yè)化的服務(wù)隊(duì)伍 ......................................................................................................................................................................... 91第十章 服務(wù)質(zhì)量保證 ..................................................................................................................................................................................... 9210.1 制定質(zhì)量計(jì)劃..................................................................................................................................................................................... 9210.2 規(guī)范質(zhì)量審核..................................................................................................................................................................................... 9310.3 質(zhì)量文檔管理..................................................................................................................................................................................... 9410.4 服務(wù)報(bào)告制度..................................................................................................................................................................................... 9510.5 客戶滿意度調(diào)查制度 ................................................................................................................................................................... 95--------概述項(xiàng)目背景信息安全等級(jí)保護(hù)是國家信息系統(tǒng)安全保障工作的基本制度和基本國策， 是國家對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)的關(guān)鍵措施。 按照國家有關(guān)主管部門的要求， 某部委開展了等級(jí)保護(hù)相關(guān)工作。前期，某部委已對(duì)應(yīng)用系統(tǒng)進(jìn)行了定級(jí)，并邀請(qǐng)某評(píng)測機(jī)構(gòu)對(duì)相關(guān)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行了預(yù)測評(píng)， 已形成預(yù)測評(píng)報(bào)告。為了解決所存在的問題， 順利通過某評(píng)測機(jī)構(gòu)的等級(jí)保護(hù)測評(píng)， 擬開展某部委部本級(jí)信息安全等級(jí)保護(hù)安全建設(shè)整改工作?，F(xiàn)狀描述某部委開展信息安全等級(jí)保護(hù)工作的網(wǎng)絡(luò)系統(tǒng)有兩個(gè)， 一個(gè)是外網(wǎng)， 一個(gè)是業(yè)務(wù)專網(wǎng)，兩個(gè)網(wǎng)絡(luò)彼此物理隔離，外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。業(yè)務(wù)專網(wǎng)部機(jī)關(guān)局域網(wǎng)目前有用戶約 500個(gè)，橫向通過專線連接 130多個(gè)預(yù)算部門、代理銀行等?？v向通過專線連接 35個(gè)駐省市某專員辦和 36個(gè)省市某部委門。 業(yè)務(wù)專網(wǎng)局域網(wǎng)部署的安全設(shè)備類型包括防火墻、網(wǎng)絡(luò)入侵檢測、 漏洞掃描、網(wǎng)絡(luò)審計(jì)、防病毒系統(tǒng)、安全管理服務(wù)器等安全設(shè)備，制造廠商為國內(nèi)主流安全設(shè)備廠商。 業(yè)務(wù)專網(wǎng)的服務(wù)器主要為 IBM、HP的PCserver和小型機(jī)，服務(wù)器操作系統(tǒng)包括 WINDOWS 2003server、WINDOWS 2008 server、LINUX、UNIX 等操作系統(tǒng)，數(shù)據(jù)庫有 SQLSERVER、ORACLE等，中間件有JBOSS、WEBLOGIC、TOMCAT 等。網(wǎng)絡(luò)設(shè)備為主流交換機(jī)和路由器。--------業(yè)務(wù)專網(wǎng)中有共有安全設(shè)備約 11臺(tái)、網(wǎng)絡(luò)設(shè)備約40臺(tái)、服務(wù)器約70臺(tái)。外網(wǎng)局域網(wǎng)目前有用戶約 1000 個(gè)，通過租用 3條運(yùn)營商專線接入互聯(lián)網(wǎng)，與互聯(lián)網(wǎng)邏輯隔離。外網(wǎng)局域網(wǎng)部署的安全設(shè)備主要包括防火墻、網(wǎng)絡(luò)入侵檢測、漏洞掃描、網(wǎng)絡(luò)審計(jì)、防病毒系統(tǒng)、防 DDOS 攻擊設(shè)備、 WEB 防纂改系統(tǒng)、安全管理服務(wù)器等安全設(shè)備， 制造廠商為國內(nèi)主流安全設(shè)備廠商。 外網(wǎng)服務(wù)器主要為IBM、HP的PC-server 和小型機(jī)，服務(wù)器操作系統(tǒng)包括 WINDOWS2003server、WINDOWS2008server 、LINUX、UNIX 等操作系統(tǒng)，數(shù)據(jù)庫有 SQLSERVER、ORACLE 等，中間件有 JBOSS、WEBLOGIC 、TOMCAT等。網(wǎng)絡(luò)設(shè)備為主流交換機(jī)和路由器。某部委設(shè)備具體情況見下表 :某部委設(shè)備情況說明表網(wǎng)絡(luò) 設(shè)備類型 用途 廠商 型號(hào)/操作系統(tǒng) 數(shù)量服務(wù)器服務(wù)器服務(wù)器服務(wù)器、數(shù)據(jù)庫 服務(wù)器數(shù)據(jù)庫交換機(jī)交換機(jī)交換機(jī)交換機(jī)業(yè)務(wù)交換機(jī)專網(wǎng)交換機(jī)交換機(jī)交換機(jī)網(wǎng)絡(luò)設(shè)備交換機(jī)交換機(jī)--------交換機(jī)路由器路由器路由器路由器交換機(jī)交換機(jī)交換機(jī)入侵檢測漏洞掃描審計(jì)系統(tǒng)安全設(shè)備萬兆防火墻IDSVPN外網(wǎng)中有安全設(shè)備約 10臺(tái)、網(wǎng)絡(luò)設(shè)備約 40臺(tái)、服務(wù)器約 60臺(tái)。服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器、數(shù)據(jù)庫存儲(chǔ)其他數(shù)據(jù)庫交換機(jī)交換機(jī)交換機(jī)交換機(jī)交換機(jī)路由器交換機(jī)交換機(jī)網(wǎng)絡(luò)設(shè)備交換機(jī)外網(wǎng)交換機(jī)路由器路由器交換機(jī)交換機(jī)交換機(jī)--------交換機(jī)防火墻防do（s電信）防do（s聯(lián)通）IDS漏掃安全設(shè)備 審計(jì)防火墻防火墻防火墻IPS萬兆防火墻應(yīng)用系統(tǒng)定級(jí)情況如下：某業(yè)務(wù)專網(wǎng)和外網(wǎng)整體定為三級(jí)。應(yīng)用系統(tǒng)已定為三級(jí)的系統(tǒng)15個(gè)，二級(jí)的系統(tǒng)32個(gè)，已進(jìn)行預(yù)測評(píng)的系統(tǒng)37個(gè)，在開發(fā)升級(jí)改造過程中而未預(yù)測評(píng)的系統(tǒng)10個(gè)，具體情況見下表。序號(hào)系統(tǒng)名稱等級(jí)用戶數(shù)量使用頻度預(yù)測評(píng)情況1系統(tǒng)1S3A2G3實(shí)時(shí)完成預(yù)測評(píng)2系統(tǒng)2S2A2G2實(shí)時(shí)完成預(yù)測評(píng)3系統(tǒng)3S2A1G2實(shí)時(shí)完成預(yù)測評(píng)4系統(tǒng)4S2A2G2實(shí)時(shí)完成預(yù)測評(píng)5系統(tǒng)5S3A3G3階段性頻繁完成預(yù)測評(píng)6系統(tǒng)6S3A3G3經(jīng)常完成預(yù)測評(píng)--------7系統(tǒng)7S3A2G3階段性頻繁完成預(yù)測評(píng)8系統(tǒng)8S3A3G3每月至少一次完成預(yù)測評(píng)9系統(tǒng)9S3A3G3經(jīng)常完成預(yù)測評(píng)10系統(tǒng)10S3A3G3經(jīng)常完成預(yù)測評(píng)11系統(tǒng)11S3A3G3實(shí)時(shí)完成預(yù)測評(píng)12系統(tǒng)12S3A3G3每天完成預(yù)測評(píng)13系統(tǒng)13S2A3G3實(shí)時(shí)完成預(yù)測評(píng)14系統(tǒng)14S3A3G3實(shí)時(shí)完成預(yù)測評(píng)15系統(tǒng)15S2A2G2每天完成預(yù)測評(píng)16系統(tǒng)16S2A1G2經(jīng)常完成預(yù)測評(píng)17系統(tǒng)17S2A1G2實(shí)時(shí)完成預(yù)測評(píng)18系統(tǒng)18S2A2G2每天完成預(yù)測評(píng)序號(hào) 系統(tǒng)名稱 等級(jí) 用戶數(shù)量 使用頻度 預(yù)測評(píng)情況19 系統(tǒng)19 S2A2G2 季報(bào) 完成預(yù)測評(píng)20 系統(tǒng)20 S2A2G2 實(shí)時(shí) 完成預(yù)測評(píng)21 系統(tǒng)21 S2A2G2 階段性頻繁 完成預(yù)測評(píng)22 系統(tǒng)22 S2A2G2 季度報(bào)表 完成預(yù)測評(píng)23 系統(tǒng)23 S2A2G2 實(shí)時(shí) 完成預(yù)測評(píng)24 系統(tǒng)24 S2A2G2 實(shí)時(shí) 完成預(yù)測評(píng)25 系統(tǒng)25 S2A2G2 實(shí)時(shí) 完成預(yù)測評(píng)--------26系統(tǒng)26S2A2G227系統(tǒng)27S2A2G228系統(tǒng)28S2A2G229系統(tǒng)29S2A2G230系統(tǒng)30S2A2G231系統(tǒng)31S2A2G232系統(tǒng)32S2A2G233系統(tǒng)33S2A2G234系統(tǒng)34S2A2G235系統(tǒng)35S2A2G236系統(tǒng)36S2A2G237系統(tǒng)37S2A2G238系統(tǒng)38S3A3G339系統(tǒng)39S3A3G340系統(tǒng)40S3A3G341系統(tǒng)41S3A3G342系統(tǒng)42S2A2G243系統(tǒng)43S2A2G244系統(tǒng)44S2A2G245系統(tǒng)45S2A2G246系統(tǒng)46S2A2G247系統(tǒng)47S2A2G2

實(shí)時(shí) 完成預(yù)測評(píng)階段性頻繁 完成預(yù)測評(píng)階段性頻繁 完成預(yù)測評(píng)經(jīng)常 完成預(yù)測評(píng)實(shí)時(shí) 完成預(yù)測評(píng)經(jīng)常 完成預(yù)測評(píng)經(jīng)常 完成預(yù)測評(píng)經(jīng)常 完成預(yù)測評(píng)經(jīng)常 完成預(yù)測評(píng)階段性頻繁 完成預(yù)測評(píng)經(jīng)常 完成預(yù)測評(píng)實(shí)時(shí) 完成預(yù)測評(píng)實(shí)時(shí) 未完成每天 未完成實(shí)時(shí) 未完成階段性頻繁 未完成實(shí)時(shí) 未完成實(shí)時(shí) 未完成經(jīng)常 未完成階段性頻繁 未完成經(jīng)常 未完成階段性頻繁 未完成----------------總體設(shè)計(jì)項(xiàng)目目標(biāo)根據(jù)某評(píng)測機(jī)構(gòu)提交的預(yù)測評(píng)報(bào)告， 對(duì)某部委現(xiàn)有各網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行深入調(diào)研，了解包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維建設(shè)等安全管理建設(shè)情況，針對(duì)安全管理機(jī)構(gòu)方面存在的人員配備、授權(quán)和審批、審核和檢查等問題，安全管理制度存在的管理制度、評(píng)審和修訂等問題，人員安全管理方面存在的人員考核問題，在系統(tǒng)建設(shè)管理方面存在的安全方案設(shè)計(jì)、外包軟件開發(fā)等問題，在系統(tǒng)運(yùn)維建設(shè)方面存在的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份與恢復(fù)管理、應(yīng)急預(yù)案管理等問題。了解包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等安全技術(shù)建設(shè)情況，針對(duì)在物理安全方面存在的物理訪問控制問題，在網(wǎng)絡(luò)安全方面存在的訪問控制、網(wǎng)絡(luò)審計(jì)、邊界完整性、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等問題，在主機(jī)安全方面存在的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等問題，應(yīng)用安全方面存在的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、軟件容錯(cuò)和資源控制等問題，在數(shù)據(jù)安全方面存在的數(shù)據(jù)完整性和數(shù)據(jù)保密性等問題， 根據(jù)某部委的實(shí)際情況， 分析研判在安全管理建設(shè)和安全技術(shù)建設(shè)兩方面與等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范之間的差距和問題，提出各項(xiàng)整改建議， 設(shè)計(jì)各項(xiàng)整改措施和手段， 從技術(shù)和管理兩方面制定安全建設(shè)整改方案，提出包括產(chǎn)品類型、配置、數(shù)量、預(yù)計(jì)價(jià)格等在內(nèi)的整改所--------需產(chǎn)品清單。項(xiàng)目原則為實(shí)現(xiàn)本項(xiàng)目的總體目標(biāo)， 結(jié)合某部委現(xiàn)有各網(wǎng)絡(luò)與應(yīng)用系統(tǒng)和未來發(fā)展需求，總體應(yīng)貫徹以下項(xiàng)目原則。保密原則：國都興業(yè)公司在為某部委信息安全等級(jí)保護(hù)進(jìn)行整改實(shí)施的過程中，將嚴(yán)格遵循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第三方單位或個(gè)人，不得利用這些信息損害用戶利益。并與某部委簽訂保密協(xié)議，承諾未經(jīng)允許不向其他任何第三方泄露有關(guān)某部委的信息?；?dòng)原則：國都興業(yè)公司在整個(gè)信息安全等級(jí)保護(hù)整改實(shí)施過程之中，將強(qiáng)調(diào)客戶的互動(dòng)參與，不管是從準(zhǔn)備階段，還是差距分析階段。每個(gè)階段都能夠及時(shí)根據(jù)客戶的要求和實(shí)際情況對(duì)評(píng)估的內(nèi)容、方式作出相關(guān)調(diào)整，進(jìn)而更好的進(jìn)行等級(jí)保護(hù)整改工作。最小影響原則： 信息安全等級(jí)保護(hù)差距分析工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等） ，如無法避免，則應(yīng)對(duì)風(fēng)險(xiǎn)進(jìn)行說明。規(guī)范性原則： 信息安全等級(jí)保護(hù)整改的實(shí)施必須由專業(yè)的信息安全服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對(duì)操作過程和結(jié)果要有相應(yīng)的記錄，提供完整的服務(wù)報(bào)告。質(zhì)量保障原則：國都興業(yè)公司在整個(gè)信息安全等級(jí)保護(hù)整改實(shí)施過程之--------中，將特別重視項(xiàng)目質(zhì)量管理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督、控制項(xiàng)目的進(jìn)度和質(zhì)量。項(xiàng)目依據(jù)本項(xiàng)目方案編制依據(jù)和參考下列政策法規(guī)和標(biāo)準(zhǔn)規(guī)范。政策法規(guī)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （1994國務(wù)院147號(hào)令）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859－1999）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)[2003]27號(hào)）關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字[2004]66號(hào)）《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安[2007]861號(hào)）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)[2003]27號(hào)）標(biāo)準(zhǔn)規(guī)范《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 （GB/T17859-1999 ）GBT22239-2008 《信息安全技術(shù) _信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22240-2008 《信息安全技術(shù) _信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》--------《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息安全技術(shù)信息安全等級(jí)保護(hù)整改規(guī)范》 （GB/T20984-2007 ）《信息系統(tǒng)安全等級(jí)保護(hù)整改實(shí)施指南》《信息技術(shù)安全技術(shù)信息安全管理體系要求》 （GB/T22080-2008 ）《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》 （GB/T22081-2008 ）《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南》 （ISO/IECTR13335 ）《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》 (GB/T18336-2001)《信息安全等級(jí)保護(hù)整改指南》《信息安全風(fēng)險(xiǎn)管理指南》實(shí)施策略此次等級(jí)保護(hù)整改將采取如下策略， 來滿足某部委信息安全等級(jí)保護(hù)整改的需求。技術(shù)體系分析技術(shù)體系結(jié)構(gòu)分析主要針對(duì)某部委網(wǎng)絡(luò)和信息系統(tǒng)的總體安全架構(gòu)進(jìn)行靜態(tài)分析，通過分析某部委的整個(gè)網(wǎng)絡(luò)拓?fù)浼軜?gòu)，并深入了解各系統(tǒng)的業(yè)務(wù)狀況，從而發(fā)現(xiàn)某部委信息安全建設(shè)中存在的問題，并提出相應(yīng)的改進(jìn)建議。管理體系分析管理體系分析通過現(xiàn)場安全管理調(diào)查問卷表等形式進(jìn)行靜態(tài)分析， 從安全策略、安全管理制度、安全管理組織、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面，對(duì)某部委信息系統(tǒng)的現(xiàn)有安全管理措施進(jìn)行識(shí)別和分析， 提出管理規(guī)--------章制度和系統(tǒng)操作規(guī)程等方面的不足， 并針對(duì)業(yè)務(wù)系統(tǒng)管理體系的建設(shè)提出完善的建議。管理體系分析將結(jié)合某部委信息安全建設(shè)的具體情況，主要涵蓋如下內(nèi)容：物理安全策略：如機(jī)房環(huán)境、門禁系統(tǒng)、設(shè)備鎖、數(shù)據(jù)備份、 CMOS安全設(shè)置等。訪問控制策略：內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間、內(nèi)部不同安全域之間的訪問控制策略。安全配置及更新策略：對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、安全產(chǎn)品等進(jìn)行升級(jí)更新、設(shè)置用戶訪問權(quán)限及信任關(guān)系等。管理員和用戶策略：制定機(jī)房出入管理制度、實(shí)行安全責(zé)任制等。安全管理策略：安全規(guī)則設(shè)置、安全審計(jì)、日志分析、漏洞檢測及修補(bǔ)等。密碼安全策略：密碼復(fù)雜度、密碼更改周期、密碼有效期等。緊急事件策略： 針對(duì)攻擊和入侵可能導(dǎo)致的結(jié)果制定應(yīng)急處理流程和災(zāi)難恢復(fù)計(jì)劃。業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)分析主要是分析信息系統(tǒng)承載的數(shù)據(jù)和業(yè)務(wù)流程， 只有圍繞著信息系統(tǒng)所承載的數(shù)據(jù)和業(yè)務(wù)進(jìn)行詳盡的分析， 才能夠準(zhǔn)確地識(shí)別關(guān)鍵資產(chǎn)， 才能明確要保護(hù)的對(duì)象，從而做到有的放矢。 在對(duì)關(guān)鍵資產(chǎn)進(jìn)行識(shí)別時(shí)， 不應(yīng)將資產(chǎn)的實(shí)際價(jià)格作為考慮重點(diǎn)， 更為重要的是要考慮資產(chǎn)對(duì)于業(yè)務(wù)的重要性， 也就是說根據(jù)資產(chǎn)損失所引發(fā)的潛在業(yè)務(wù)影響來決定關(guān)鍵資產(chǎn)。 因此所識(shí)別的關(guān)鍵資產(chǎn)不--------會(huì)是孤立的服務(wù)器、數(shù)據(jù)庫，而應(yīng)是這些設(shè)備所承載和保護(hù)的業(yè)務(wù)數(shù)據(jù)和對(duì)內(nèi)、對(duì)外提供的服務(wù)。以上提到的設(shè)備作為信息系統(tǒng)業(yè)務(wù)流程分析中的關(guān)鍵系統(tǒng)單元，它們在信息系統(tǒng)中的作用是承載業(yè)務(wù)數(shù)據(jù)， 保護(hù)系統(tǒng)提供的業(yè)務(wù)服務(wù)能夠安全、順利進(jìn)行。通過對(duì)某部委業(yè)務(wù)系統(tǒng)進(jìn)行詳盡的分析，才能了解應(yīng)用系統(tǒng)的部署模式、用戶認(rèn)證及訪問控制策略、 權(quán)限的授權(quán)方式及流程、 系統(tǒng)間的接口發(fā)布與調(diào)用模式，并分析其中的安全風(fēng)險(xiǎn)，從而提出相應(yīng)的修改建議。充分全面的培訓(xùn)在此次等級(jí)保護(hù)整改實(shí)施過程中， 將結(jié)合某部委安全管理方面的具體情況，對(duì)某部委信息部門相關(guān)人員進(jìn)行多次、 全面的等級(jí)保護(hù)整改培訓(xùn)， 為今后實(shí)施等級(jí)保護(hù)自查工作奠定良好的基礎(chǔ)。--------項(xiàng)目內(nèi)容為實(shí)現(xiàn)項(xiàng)目目標(biāo)， 在本次等級(jí)保護(hù)咨詢項(xiàng)目中， 將包括系統(tǒng)定級(jí)、差距分析、等級(jí)保護(hù)整改、體系設(shè)計(jì)、等級(jí)保護(hù)管理制度建設(shè)、 安全優(yōu)化與調(diào)整以及信息安全服務(wù)七項(xiàng)工作內(nèi)容。差距分析差距分析工作內(nèi)容就是根據(jù)網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)等級(jí)， 根據(jù)國家等級(jí)保護(hù)相應(yīng)等級(jí)的技術(shù)和管理要求， 分析評(píng)價(jià)網(wǎng)絡(luò)和信息系統(tǒng)當(dāng)前的安全防護(hù)水平和措施與相應(yīng)等級(jí)要求之間的差距。整改方案設(shè)計(jì)整改方案設(shè)計(jì)工作內(nèi)容是根據(jù)信息系統(tǒng)差距分析結(jié)果，結(jié)合業(yè)務(wù)系統(tǒng)的使命、目標(biāo)和行業(yè)要求， 按照信息系統(tǒng)的不同安全等級(jí)， 設(shè)計(jì)合理的技術(shù)措施和管理措施，構(gòu)建結(jié)構(gòu)化的信息安全保障體系。安全優(yōu)化與調(diào)整安全優(yōu)化與調(diào)整是根據(jù)信息系統(tǒng)差距分析結(jié)果， 對(duì)信息系統(tǒng)所依賴的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)及安全設(shè)備進(jìn)行配置安全加固，安裝和實(shí)施各項(xiàng)新增安全設(shè)備，保障信息系統(tǒng)的安全穩(wěn)定性。等級(jí)保護(hù)管理制度建設(shè)等級(jí)保護(hù)管理制度建設(shè)是根據(jù)信息安全等級(jí)保護(hù)安全管理的要求， 編寫符合--------等級(jí)保護(hù)要求的信息安全管理規(guī)范和制度，通過安全管理的加強(qiáng)來規(guī)避管理風(fēng)險(xiǎn)。--------差距分析根據(jù)國家等級(jí)保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，確定安全保護(hù)等級(jí)的信息系統(tǒng)應(yīng)該具有相應(yīng)級(jí)別的安全防護(hù)能力，其中主要是根據(jù) GBT22239-2008 《信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)基本要求》來分析某部委各信息系統(tǒng)目前的安全防護(hù)能力與基本要求中相應(yīng)級(jí)別之間的差距。工作目的根據(jù)國家等級(jí)保護(hù)要求，對(duì)于確定了安全保護(hù)等級(jí)的信息系統(tǒng)規(guī)定了基本的安全保護(hù)要求， 規(guī)定了應(yīng)該具有的防護(hù)措施， 以確保信息系統(tǒng)具有相當(dāng)水平的安全防護(hù)能力。差距分析就是根據(jù) GBT22239-2008 《信息安全技術(shù) _信息系統(tǒng)安全等級(jí)保護(hù)基本要求》， 結(jié)合某部委的業(yè)務(wù)情況和行業(yè)要求， 從安全技術(shù)和安全管理兩個(gè)方面，全面分析信息系統(tǒng)現(xiàn)有防護(hù)措施和能力與相應(yīng)等級(jí)基本要求之間存在的差距，用以為等級(jí)保護(hù)建設(shè)提供客觀依據(jù)并指導(dǎo)信息系統(tǒng)等級(jí)保護(hù)體系設(shè)計(jì)。工作方式某部委的業(yè)務(wù)系統(tǒng)差距分析工作主要通過以下方式進(jìn)行。訪談訪談是指評(píng)估人員與某部委的有關(guān)人員就差距分析所關(guān)注的問題進(jìn)行有針對(duì)性的詢問和交流的過程， 該過程可以幫助評(píng)估者了解現(xiàn)狀、 澄清疑問或獲得證--------據(jù)。訪談深度（即訪談內(nèi)容的詳細(xì)程度）以及訪談的廣度（即對(duì)被評(píng)估組織中員工角色類型以及每種類型中人數(shù)的覆蓋程度） 由評(píng)估人員依據(jù)不同的評(píng)估需要進(jìn)行選擇和判斷。檢查檢查是指對(duì)評(píng)估對(duì)象（如規(guī)范、機(jī)制或行為）進(jìn)行觀察、調(diào)查、評(píng)審、分析或核查的過程。與訪談?lì)愃疲?該過程可以幫助評(píng)估者了解現(xiàn)狀、 澄清疑問或獲得證據(jù)。比較典型的檢查行為包括：對(duì)安全配置的核查、對(duì)安全策略的分析和評(píng)審等。測試測試是指在特定環(huán)境中運(yùn)行一個(gè)或多個(gè)評(píng)估對(duì)象（限于機(jī)制或行為）并將實(shí)際結(jié)果與預(yù)期結(jié)果進(jìn)行比較的過程。 測試的目標(biāo)是判定對(duì)象是否符合預(yù)定的一組規(guī)格。測試過程可以幫助評(píng)估者獲得證據(jù)。調(diào)查表根據(jù)某部委業(yè)務(wù)情況和系統(tǒng)現(xiàn)狀，制定詳細(xì)的調(diào)查表，并由某部委相關(guān)人員進(jìn)行填寫，以獲得業(yè)務(wù)系統(tǒng)基礎(chǔ)數(shù)據(jù)。 具體包括應(yīng)用信息系統(tǒng)調(diào)查表、 物理資產(chǎn)調(diào)查表、軟件資產(chǎn)調(diào)查表、各相關(guān)設(shè)備資產(chǎn)調(diào)查表。 33--------工作內(nèi)容按照等級(jí)保護(hù)實(shí)施要求，不同安全等級(jí)的信息系統(tǒng)應(yīng)該具備相應(yīng)等級(jí)的安全防護(hù)能力，部署相應(yīng)的安全設(shè)備，制定相應(yīng)的安全管理機(jī)構(gòu)、制度、崗位等。差距分析就是依據(jù)等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范， 比較分析信息系統(tǒng)安全防護(hù)能力與等級(jí)要求之間的差距，為等級(jí)化體系設(shè)計(jì)提供依據(jù)。差距分析將對(duì)每個(gè)定級(jí)對(duì)象按照其確定的安全保護(hù)等級(jí)，從以下方面進(jìn)行評(píng)估分析。序號(hào) 測評(píng)類 測評(píng)項(xiàng)1 物理安全2 網(wǎng)絡(luò)安全3 技術(shù)要求 主機(jī)安全4 應(yīng)用安全5 數(shù)據(jù)安全6 安全管理制度7 安全管理機(jī)構(gòu)8 管理要求 人員安全管理9 系統(tǒng)建設(shè)管理10 系統(tǒng)運(yùn)維管理--------在這一階段，針對(duì)每個(gè)信息系統(tǒng)所定的安全等級(jí)，國都興業(yè)對(duì)信息系統(tǒng)進(jìn)行相應(yīng)級(jí)別要求的差距分析工作， 按照信息系統(tǒng)測評(píng)的要求， 進(jìn)行信息系統(tǒng)等級(jí)差距分析，對(duì)每個(gè)信息系統(tǒng)安全等級(jí)要求項(xiàng)進(jìn)行判定，判定是否符合要求。 在進(jìn)行符合性判定時(shí)，依據(jù)現(xiàn)場調(diào)查和測試所獲得的基本信息進(jìn)行判斷。在評(píng)估中，國都興業(yè)將從物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理10個(gè)方面進(jìn)行等級(jí)保護(hù)差距分析。物理安全分析內(nèi)容物理環(huán)境安全調(diào)查主要是針對(duì)信息系統(tǒng)所處的物理環(huán)境即機(jī)房、線路、客戶端的支撐設(shè)施等進(jìn)行符合性識(shí)別， 為后續(xù)物理環(huán)境安全符合性分析提供參考數(shù)據(jù)。分析工具物理環(huán)境符合性檢查主要是檢查機(jī)房、線路、客戶端的支撐設(shè)施，列表如下：序號(hào) 保護(hù)措施1 門禁系統(tǒng)2 報(bào)警系統(tǒng)--------3 監(jiān)控系統(tǒng)4 防雷擊接地5 防靜電6 UPS7 消防系統(tǒng)8 防電磁泄露9 弱電系統(tǒng)、防塵、溫濕控制和機(jī)房容災(zāi)備份?? ??分析結(jié)果物理安全調(diào)查表主機(jī)安全分析內(nèi)容主機(jī)安全主要從以下 9個(gè)方面調(diào)查測試被評(píng)估信息系統(tǒng)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫安全等級(jí)符合性：身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防護(hù)、惡意代碼防護(hù)、資源控制。為后續(xù)主機(jī)安全等級(jí)保護(hù)差距分析及主機(jī)安全防護(hù)設(shè)計(jì)提供參考數(shù)據(jù)。--------分析工具問卷調(diào)查(部分)測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 Windows 主機(jī)系統(tǒng)測試類 主機(jī)系統(tǒng)安全測試項(xiàng) 身份鑒別測試要求：操作系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；應(yīng)對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；操作系統(tǒng)的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長度、復(fù)雜性和定期更新等；應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出。應(yīng)具有警示功能；重要的主機(jī)系統(tǒng)應(yīng)與之相連的服務(wù)器或中斷設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別。--------測試方法：“開始”︱“運(yùn)行”︱ 輸入“cmd”︱輸入“netlocalgroupadministrators ”。查看其輸出結(jié)果在administrators 組里面是否只具有唯一的用戶名。登錄操作系統(tǒng)，在登錄的過程中查看是否需要輸入用戶名和密碼等，來檢驗(yàn)是否對(duì)用戶的身份進(jìn)行標(biāo)示和鑒別?！伴_始”|“程序”|“管理工具”|“本地安全設(shè)置”|“安全設(shè)置”|“帳戶策略”|“密碼策略：”密碼必須符合復(fù)雜性要求； “開始”|“程序”|“管理工具”|“本地安全設(shè)置” |“安全設(shè)置”|“帳戶策略”|“密碼策略：”密碼長度最小值；“開始|”“程序”|“管理工具”|“本地安全設(shè)置” |“安全設(shè)置”|“帳戶策略”|“密碼策略?！贝蜷_“控制面板”︱ “管理工具”︱ “本地安全設(shè)置”︱ “賬戶策略”︱ 單擊“賬戶鎖定策略”：賬戶鎖定閥值、賬戶鎖定時(shí)間等；在此基礎(chǔ)上，打開“本地策略” ︱ 單擊“安全選項(xiàng)夾”：查看是否具有登錄超時(shí)時(shí)間和自動(dòng)退出等登錄失敗處理功能?！伴_始”|“程序”|“管理工具”|事件查看器 ︱ 應(yīng)用程序，查看其是否具有警示信息。測試windows 操作系統(tǒng)，可通過使用未進(jìn)行身份標(biāo)識(shí)和鑒別的主機(jī)連接該服務(wù)器，驗(yàn)證主機(jī)系統(tǒng)能否正確地對(duì)與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別。--------測試記錄：Administrators 組里面有：□唯一的一個(gè)用戶。操作系統(tǒng)的身份標(biāo)示具有唯一性。□二個(gè)或者二個(gè)以上的用戶。操作系統(tǒng)身份標(biāo)示不具有唯一性。登錄操作系統(tǒng)，在登錄的過程中查看是否需要輸入用戶名和密碼等：否□是□密碼必須符合復(fù)雜性要求是否啟用：□否□是，用戶身份不易被冒用密碼長度最少值密碼最長存留期強(qiáng)制密碼歷史復(fù)位帳戶鎖定計(jì)數(shù)器：啟用□分鐘停用□是否設(shè)定了賬戶鎖定閥值：是□否□是否設(shè)定了賬戶鎖定時(shí)間：是□否□是否啟用了登錄超時(shí)時(shí)間：是□否□是否啟用了登錄超時(shí)自動(dòng)退出功能：是□否□強(qiáng)制密碼歷史：個(gè)用可還原的加密來儲(chǔ)存密碼：啟用□停用□是否有警示信息：是□否□--------測試結(jié)果：主機(jī)系統(tǒng)能否正確地對(duì)與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別：--------備注：分析結(jié)果《信息系統(tǒng)等級(jí)保護(hù) *級(jí)windows/Linux類操作系統(tǒng)主機(jī)安全檢查表》網(wǎng)絡(luò)安全分析內(nèi)容采用安全掃描、手工檢查、問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)安全符合性調(diào)查。主要包含： 結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù) 7個(gè)方面的符合性。 同時(shí)為后續(xù)網(wǎng)絡(luò)安全符合性分析及網(wǎng)絡(luò)安全設(shè)計(jì)提供參考數(shù)據(jù)。分析工具網(wǎng)絡(luò)安全符合性檢查包括手工登陸網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，同時(shí)設(shè)計(jì)問卷對(duì)網(wǎng)絡(luò)管理員進(jìn)行訪談，并采用工具對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象測試類 網(wǎng)路安全-總體--------測試項(xiàng) 結(jié)構(gòu)安全測試要求：應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。測試方法：訪談網(wǎng)絡(luò)管理員，詢問是否保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；訪談網(wǎng)絡(luò)管理員，詢問是否保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；訪談網(wǎng)絡(luò)管理員，詢問是否在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；訪談網(wǎng)絡(luò)管理員，詢問是否繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段， 并按照方便管理和控制的原則為各子網(wǎng)、 網(wǎng)段分配地址段；--------測試記錄：是否保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要是□否□、是否保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要是□否□、是否在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑是□否□、是否繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是□否□、是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段是□否□--------備注：測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象測試類 網(wǎng)路安全 -總體測試項(xiàng) 結(jié)構(gòu)安全 -續(xù)測試要求：應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。測試方法：訪談網(wǎng)絡(luò)管理員，詢問是否避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；訪談網(wǎng)絡(luò)管理員，詢問是否按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)；--------測試記錄：、是否避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段是□否□、是否按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)是□否□備注：分析結(jié)果《網(wǎng)絡(luò)安全調(diào)查表》應(yīng)用安全分析內(nèi)容采用手工檢查、問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行應(yīng)用安全符合性調(diào)查。主要包含：身份鑒別、訪問控制、安全審計(jì)、剩余信--------息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制、代碼安全個(gè)方面的符合性。同時(shí)為后續(xù)應(yīng)用安全符合性分析及應(yīng)用安全設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 應(yīng)用系統(tǒng)測試類 應(yīng)用安全測試項(xiàng) 身份鑒別測試要求：系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長度、復(fù)雜性和定期的更新等；應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；應(yīng)具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出；應(yīng)具有鑒別警示功能；應(yīng)用系統(tǒng)應(yīng)及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息。--------測試方法：訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否采取身份標(biāo)識(shí)和鑒別措施，具體措施有哪些。訪談系統(tǒng)管理員，檢查總體規(guī)劃、設(shè)計(jì)文檔和檢查重要應(yīng)用系統(tǒng)。訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)對(duì)用戶標(biāo)識(shí)是否具有唯一性，檢查總體規(guī)劃 /設(shè)計(jì)文檔，查看其是否對(duì)系統(tǒng)采取了唯一標(biāo)識(shí)；檢查重要應(yīng)用系統(tǒng)，查看其是否配備身份標(biāo)識(shí)（如建立賬號(hào)）和鑒別（如口令等）功能；查看其身份鑒別信息是否具有不易被冒用的特點(diǎn)，例如復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符）或?yàn)榱吮阌谟洃浭褂昧肆钆?。檢查重要應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能；檢查和測試主要應(yīng)用系統(tǒng)，查看其是否采用了兩個(gè)及兩個(gè)以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別；對(duì)有抗抵賴要求的系統(tǒng)，查看其是否采用數(shù)字證書方式的身份鑒別技術(shù)；檢查主要應(yīng)用系統(tǒng)，查看其是否配備并使用登錄失敗處理功能。測試主要應(yīng)用系統(tǒng)，驗(yàn)證其是否及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息（如登錄系統(tǒng)，退出系統(tǒng)后重新登錄系統(tǒng)，查看上次登錄的鑒別信息是否存在） ；測試重要應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理，非法登錄次數(shù)限制，登錄連接超時(shí)自動(dòng)退出等功能是否有效。測試主要應(yīng)用系統(tǒng)，驗(yàn)證其是否及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息（如登錄系統(tǒng)，退出系統(tǒng)后重新登錄系統(tǒng)，查看上次登錄的鑒別信息是否存在） ；--------測試記錄：應(yīng)用系統(tǒng)是否采用身份標(biāo)示和鑒別措施？否□是□〇口令 〇證書〇生物是否提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能？否□是□〇帳號(hào)唯一性檢查 〇口令復(fù)雜度要求2.1應(yīng)用系統(tǒng)是否提供對(duì)鑒別信息強(qiáng)度檢查功能：是〇具體內(nèi)容：（1）應(yīng)用系統(tǒng)中是否有相應(yīng)的功能模塊保證管理賬號(hào)口令、普通賬號(hào)口令長度：是〇管理賬號(hào)：；普通賬號(hào)：；否〇（2）應(yīng)用系統(tǒng)中是否有相應(yīng)的功能模塊保證口令復(fù)雜度：是〇具體內(nèi)容：否〇--------否〇--------能否根據(jù)安全策略配置失敗處理參數(shù)：是〇具體內(nèi)容：否〇主要應(yīng)用系統(tǒng)是否有鑒別警示功能:是〇具體內(nèi)容：否〇、同一用戶是否采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別：否□是□有：、是否及時(shí)清除存儲(chǔ)空間中動(dòng)態(tài)使用的鑒別信息：否□是□備注：分析結(jié)果《信息系統(tǒng)應(yīng)用安全調(diào)查表》數(shù)據(jù)安全及備份恢復(fù)分析內(nèi)容采用手工檢查、問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)--------進(jìn)行數(shù)據(jù)安全符合性調(diào)查。主要包含：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)3個(gè)方面的符合性。同時(shí)為后續(xù)數(shù)據(jù)安全符合性分析及數(shù)據(jù)安全設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 應(yīng)用系統(tǒng)測試類 應(yīng)用安全測試項(xiàng) 身份鑒別測試要求：應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲(chǔ)過程中完整性受到破，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；應(yīng)能夠檢測到重要系統(tǒng)的完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必復(fù)措施。--------測試方法：可訪談安全員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在存儲(chǔ)、傳輸過程中是否有完整性保證措施，具體措施有哪些；在檢測到完整性錯(cuò)誤時(shí)是否能恢復(fù)，恢復(fù)措施有哪些；檢查操作系統(tǒng)、 網(wǎng)絡(luò)設(shè)備、 數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì) /驗(yàn)收文檔或相關(guān)證明性材料 （如證書、檢驗(yàn)報(bào)告等）等，查看其是否有能檢測 /驗(yàn)證到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞， 能檢測到系統(tǒng)管理數(shù)據(jù)、 身份鑒別信息和用戶數(shù)據(jù)， 在存儲(chǔ)過程中完整性受到破壞， 能檢測到重要系統(tǒng)完整性受到破壞， 在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施的描述；如果有相關(guān)信息，查看其配置是否正確；檢查主要應(yīng)用系統(tǒng)， 查看其是否配備檢測 /驗(yàn)證系統(tǒng)管理數(shù)據(jù)、 鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能；是否配備檢測 /驗(yàn)證重要系統(tǒng) /模塊完整性受到破壞的功能；在檢測 /驗(yàn)證到完整性錯(cuò)誤時(shí)能采取必要的恢復(fù)措施；應(yīng)檢查主要應(yīng)用系統(tǒng)，查看其是否配備檢測系統(tǒng)完整性受到破壞的功能；并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。--------測試記錄：業(yè)務(wù)數(shù)據(jù)系統(tǒng)數(shù)據(jù)在儲(chǔ)存、傳輸過程中是否有完整性保證措施：是具體措施是：否檢測到完整性錯(cuò)誤時(shí)是否能恢復(fù)：是恢復(fù)措施是：否操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì) /驗(yàn)收文檔或相關(guān)證明性材料（如證書、檢驗(yàn)報(bào)告等）等，是否有能檢測 /驗(yàn)證到系統(tǒng)管理數(shù)據(jù)（如 WINDOWS 域管理、目錄管理數(shù)據(jù)）、鑒別信息（如用戶名和口令）和用戶數(shù)據(jù)（如用戶數(shù)據(jù)文件）在傳輸過程中完整性受到破壞，能檢測到系統(tǒng)管理數(shù)據(jù)、身份鑒別信息和用戶數(shù)據(jù)（如防火墻的訪問控制規(guī)則）在存儲(chǔ)過程中完整性受到破壞， 能檢測到重要系統(tǒng)完整性受到破壞， 在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施的描述：有其配置是否正確：○是○否無主要應(yīng)用系統(tǒng)是否配備檢測 /驗(yàn)證系統(tǒng)管理數(shù)據(jù)、 鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能：是□否是否配備檢測 /驗(yàn)證重要系統(tǒng) /模塊完整性受到破壞的功能：是在檢測/驗(yàn)證到完整性錯(cuò)誤時(shí)能否采取必要的恢復(fù)措施：○是○否--------備注：分析結(jié)果《信息系統(tǒng)數(shù)據(jù)安全調(diào)查表》安全管理制度分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：管理制度、制定和發(fā)布、評(píng)審和修訂 3個(gè)方面的符合性。同時(shí)為后續(xù)安全管理制度符合性分析及安全管理制度設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象測試類 安全管理制度測試項(xiàng) 管理制度--------測試要求：應(yīng)制定信息安全工作的總體方針、政策性文件和安全策略等，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動(dòng)，約束人員的行為方式；建立操作規(guī)程， 以規(guī)范操作行為，應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作，防止操作失誤；應(yīng)形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系；應(yīng)由安全管理職能部門定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。--------測試方法：應(yīng)訪談安全主管，詢問機(jī)構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對(duì)安全管理制度體系進(jìn)行評(píng)審，評(píng)審周期多長；應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等，是否明確信息系統(tǒng)的安全策略；應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等；應(yīng)檢查是否具有安全管理制度體系的評(píng)審記錄，查看記錄日期與評(píng)審周期是否一致，是否記錄了相關(guān)人員的評(píng)審意見。--------測試記錄：機(jī)構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成？否□是□是否定期對(duì)安全管理制度體系進(jìn)行評(píng)審？否□是□〇評(píng)審周期多長？信息安全工作的總體方針、政策性文件和安全策略文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等？否□是□〇是否明確信息系統(tǒng)的安全策略？否□是□安全管理制度清單是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面？否□是□是否具有重要管理操作的操作規(guī)程？（如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等）否□是□是否具有安全管理制度體系的評(píng)審記錄？--------備注：分析結(jié)果《信息安全管理制度調(diào)查表》安全管理機(jī)構(gòu)分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。 主要包含：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查 5個(gè)方面的符合性。同時(shí)為后續(xù)安全管理機(jī)構(gòu)符合性分析及安全管理機(jī)構(gòu)設(shè)計(jì)提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 機(jī)構(gòu)安全測試類 安全管理機(jī)構(gòu)測試項(xiàng) 崗位設(shè)置--------測試要求：應(yīng)設(shè)立信息安全管理工作的職能部門， 設(shè)立安全主管人、 安全管理各個(gè)方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé)；應(yīng)設(shè)立系統(tǒng)管理人員、 網(wǎng)絡(luò)管理人員、 安全管理人員崗位， 定義各個(gè)工作崗位的職責(zé)；應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。--------測試方法：應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；應(yīng)訪談安全主管，詢問是否設(shè)立專職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門）；機(jī)構(gòu)內(nèi)部門設(shè)置情況如何，是否明確各部門職責(zé)分工；應(yīng)訪談安全主管， 詢問是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人， 設(shè)置了哪些工作崗位 （如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位），是否明確各個(gè)崗位的職責(zé)分工；應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容；應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工， 部門職責(zé)是否涵蓋物理、 網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面； 查看文件是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位， 各個(gè)崗位的職責(zé)范圍是否清晰、 明確； 查看文件是否明確各個(gè)崗位人員應(yīng)具有的技能要求；應(yīng)檢查信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對(duì)其最高領(lǐng)導(dǎo)的委任授權(quán)書；應(yīng)檢查信息安全管理委員會(huì)職責(zé)文件，查看是否明確描述委員會(huì)的職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；應(yīng)檢查安全管理各部門和信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄 /紀(jì)要和信息安全工作決策文檔等） 。--------測試記錄：是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組？否□是□〇最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任？否□是□是否設(shè)立專職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門）？否□是□〇機(jī)構(gòu)內(nèi)部門設(shè)置情況如何？〇是否明確各部門職責(zé)分工 ?否□是□是□是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位〇安全主管□ 〇安全管理各個(gè)方面的負(fù)責(zé)人□〇機(jī)房管理員□ 〇系統(tǒng)管理員□〇網(wǎng)絡(luò)管理員□ 〇安全員□〇是否明確各個(gè)崗位的職責(zé)分工 ?否□--------?--------備注：分析結(jié)果《安全管理機(jī)構(gòu)調(diào)查表》人員安全管理分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：人員錄用、人員離崗、人員考核、安全意識(shí)教育與培訓(xùn)、第三方人員訪問管理 5個(gè)方面的符合性。 同時(shí)為后續(xù)人員安全管理符合性分析提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 人員安全測試類 人員安全管理測試項(xiàng) 人員錄用--------測試要求：應(yīng)保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識(shí)；應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查；應(yīng)對(duì)被錄用人所具備的技術(shù)技能進(jìn)行考核；應(yīng)對(duì)被錄用人說明其角色和職責(zé)；應(yīng)簽署保密協(xié)議；對(duì)從事關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員選拔，并定期進(jìn)行信用審查；對(duì)從事關(guān)鍵崗位的人員應(yīng)簽署崗位安全協(xié)議。--------測試方法：應(yīng)訪談人事負(fù)責(zé)人，詢問在人員錄用時(shí)對(duì)人員條件有哪些要求，目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對(duì)應(yīng)的工作；應(yīng)訪談人事工作人員，詢問在人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查， 對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核， 錄用后是否與其簽署保密協(xié)議， 是否對(duì)其說明工作職責(zé)；應(yīng)訪談人事負(fù)責(zé)人，詢問對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全安全協(xié)議，是否定期對(duì)關(guān)鍵崗位人員進(jìn)行信用審查，審查周期多長；應(yīng)檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等；應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；應(yīng)檢查技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容；應(yīng)檢查信用審查記錄，查看是否記錄了審查內(nèi)容和審查結(jié)果等，查看審查時(shí)間與審查周期是否一致。--------測試記錄：在人員錄用時(shí)對(duì)人員條件有哪些要求？目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對(duì)應(yīng)的工作？否□是□在人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查？否□是□〇對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與其簽署保密協(xié)議？否□是□〇是否對(duì)其說明工作職責(zé)？否□是□對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔？否□是□是否要求其簽署崗位安全安全協(xié)議？否□是□是否定期對(duì)關(guān)鍵崗位人員進(jìn)行信用審查？否□是□〇審查周期多長？人員錄用要求管理文檔是否說明錄用人員應(yīng)具備的條件？（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等）--------備注：分析結(jié)果《人員安全管理調(diào)查表》系統(tǒng)建設(shè)管理分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行安全管理制度符合性調(diào)查。主要包含：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案 9個(gè)方面的符合性。同時(shí)為后續(xù)系統(tǒng)建設(shè)管理符合性分析提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 系統(tǒng)建設(shè)測試類 系統(tǒng)建設(shè)管理測試項(xiàng) 系統(tǒng)定級(jí)--------測試要求：應(yīng)明確信息系統(tǒng)劃分的方法；應(yīng)確定信息系統(tǒng)的安全保護(hù)等級(jí)；包括使命、 業(yè)務(wù)、網(wǎng)絡(luò)、應(yīng)以書面的形式定義確定了安全保護(hù)等級(jí)的信息系統(tǒng)的屬性，硬件、軟件、數(shù)據(jù)、邊界、人員等；應(yīng)以書面的形式說明確定一個(gè)信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)的定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。--------測試方法：應(yīng)訪談安全主管，詢問劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)， 是否對(duì)其進(jìn)行明確描述； 是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定，定級(jí)結(jié)果是否獲得了相關(guān)部門（如上級(jí)主管部門）的批準(zhǔn)；應(yīng)檢查系統(tǒng)劃分文檔，查看文檔是否明確描述信息系統(tǒng)劃分的方法和理由；應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級(jí)，是否明確描述確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，是否給出安全等級(jí)保護(hù)措施組成 SxAyGz值；查看定級(jí)結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章；應(yīng)檢查專家論證文檔，查看是否有專家對(duì)定級(jí)結(jié)果的論證意見；業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、應(yīng)檢查系統(tǒng)屬性說明文檔，查看文檔是否明確了系統(tǒng)使命、數(shù)據(jù)、邊界、人員等。--------測試記錄：劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo) ?否□是□〇是否對(duì)其進(jìn)行明確描述 ?否□是□〇是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定 ?否□是□〇定級(jí)結(jié)果是否獲得了相關(guān)部門（如上級(jí)主管部門）的批準(zhǔn) ?否□是□系統(tǒng)劃分文檔是否明確描述信息系統(tǒng)劃分的方法和理由 ?否□是□系統(tǒng)定級(jí)文檔 :〇是否給出信息系統(tǒng)的安全保護(hù)等級(jí) ?否□是□--------〇是否明確描述確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由 ?--------備注：分析結(jié)果《系統(tǒng)建設(shè)管理調(diào)查表》系統(tǒng)運(yùn)維管理分析內(nèi)容采用問卷調(diào)查、人工問詢等方式對(duì)評(píng)估工作范圍內(nèi)的信息系統(tǒng)進(jìn)行系統(tǒng)運(yùn)維管理符合性調(diào)查。主要包含：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理 13個(gè)方面的符合性。同時(shí)為后續(xù)系統(tǒng)運(yùn)維管理符合性分析提供參考數(shù)據(jù)。分析工具問卷調(diào)查（部分）測試類別 等級(jí)測評(píng)（三級(jí)）測試對(duì)象 系統(tǒng)運(yùn)維測試類 系統(tǒng)運(yùn)維管理測試項(xiàng) 環(huán)境管理--------測試要求：應(yīng)對(duì)機(jī)房供配電、 空調(diào)、溫濕度控制等設(shè)施指定專人或?qū)ｉT的部門定期進(jìn)行維護(hù)管理；應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面作出規(guī)定；應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包括如工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等；應(yīng)有指定的部門負(fù)責(zé)機(jī)房安全，并配置電子門禁系統(tǒng)，對(duì)機(jī)房來訪人員實(shí)行登記記錄和電子記錄雙重備案管理；應(yīng)對(duì)辦公環(huán)境的人員行為，如工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等作出規(guī)定。--------測試方法：應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定專人或部門對(duì)機(jī)房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門 /何人負(fù)責(zé)，維護(hù)周期多長；應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定人員負(fù)責(zé)機(jī)房安全管理工作，對(duì)機(jī)房進(jìn)出管理是否要求制度化和文檔化；應(yīng)訪談機(jī)房值守人員，詢問對(duì)外來人員進(jìn)出機(jī)房是否采用人工記錄和電子記錄雙重控制；應(yīng)訪談工作人員，詢問對(duì)辦公環(huán)境的保密性要求事項(xiàng)；應(yīng)檢查機(jī)房安全管理制度， 查看其內(nèi)容是否覆蓋機(jī)房物理訪問、 物品帶進(jìn)、 帶出機(jī)房、機(jī)房環(huán)境安全等方面；應(yīng)檢查辦公環(huán)境管理文檔，查看其內(nèi)容是否對(duì)工作人員離開座位后的保密行為（如清理桌面文件和屏幕鎖定等） 、人員調(diào)離辦公室后的行為等方面進(jìn)行規(guī)定；應(yīng)檢查機(jī)房進(jìn)出登記表，查看是否記錄外來人員進(jìn)出時(shí)間、人員姓名、訪問原因等內(nèi)容；查看是否具有電子門禁系統(tǒng)，電子記錄文檔是否有時(shí)間、人員等信息；應(yīng)檢查機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄，查看是否記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容。--------測試記錄：是否指定專人或部門對(duì)機(jī)房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)？否□是□〇由何部門 /何人負(fù)責(zé)？〇維護(hù)周期多長？是否指定人員負(fù)責(zé)機(jī)房安全管理工作，對(duì)機(jī)房進(jìn)出管理是否要求制度化和文檔化？否□是□對(duì)外來人員進(jìn)出機(jī)房是否采用人工記錄和電子記錄雙重控制？否□是□對(duì)辦公環(huán)境的保密性要求事項(xiàng)？機(jī)房安全管理制度內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)、帶出機(jī)房、機(jī)房環(huán)境安全等方面？否□是□辦公環(huán)境管理文檔是否對(duì)工作人員離開座位后的保密行為（如清理桌面文件和屏幕鎖定等）、人員調(diào)離辦公室后的行為等方面進(jìn)行規(guī)定？否□--------備注：分析結(jié)果《系統(tǒng)運(yùn)維管理調(diào)查表》提交成果某部委信息系統(tǒng)差距分析過程中將產(chǎn)生眾多文檔，其中包括過程文檔和結(jié)果文檔，過程文檔用以支持咨詢?nèi)藛T進(jìn)行差距分析，并形成結(jié)果文檔 《信息系統(tǒng)等級(jí)保護(hù)差距分析報(bào)告》。信息系統(tǒng)等級(jí)保護(hù)差距分析報(bào)告主要內(nèi)容：差距分析是以現(xiàn)場調(diào)查和測試所收集的信息為依據(jù)， 滿足等級(jí)保護(hù)要求為目標(biāo)， 對(duì)現(xiàn)有系統(tǒng)安全做出的一種客觀的、真實(shí)的評(píng)價(jià)。 報(bào)告內(nèi)容包括對(duì)各信息系統(tǒng)現(xiàn)有安全防護(hù)水平與相應(yīng)等級(jí)之間差距的描述和整改建議等。 差距分析是制定信息系統(tǒng)安全等級(jí)保護(hù)體系設(shè)計(jì)方案前的一個(gè)非常關(guān)鍵的環(huán)節(jié)， 為信息系統(tǒng)安全等級(jí)保護(hù)體系設(shè)計(jì)方案的撰寫提供參考。--------等級(jí)保護(hù)整改方案設(shè)計(jì)隨著信息技術(shù)的發(fā)展和信息化的深入應(yīng)用，各行各業(yè)尤其是在某，業(yè)務(wù)自動(dòng)化的實(shí)現(xiàn)有效提高了職能部門工作效率、 節(jié)省了大量人力物力， 但是隨之而來的信息安全問題也給信息系統(tǒng)運(yùn)營使用單位帶來嚴(yán)重的負(fù)面影響和經(jīng)濟(jì)損失。在信息安全建設(shè)的過程中，管理人員和技術(shù)人員逐步發(fā)現(xiàn)，信息安全不僅僅是技術(shù)問題，更多是管理問題，如人員安全意識(shí)不高、操作不規(guī)范等，再加上沒有完善的安全運(yùn)維體系，一旦發(fā)生安全事件，沒有成熟有效的機(jī)制進(jìn)行處理，導(dǎo)致安全事件產(chǎn)生較嚴(yán)重的后果，帶來較嚴(yán)重的負(fù)面影響。因此，有必要結(jié)合某部委實(shí)際網(wǎng)絡(luò)狀況、業(yè)務(wù)情況等，參考國際信息安全管理成熟理論和方法， 根據(jù)國家信息安全保障政策法規(guī)和標(biāo)準(zhǔn)規(guī)范， 其中主要是等級(jí)保護(hù)相關(guān)的有關(guān)政策和標(biāo)準(zhǔn)，建立某部委等級(jí)化的信息安全保障體系。工作目的等級(jí)保護(hù)體系設(shè)計(jì)的工作目的是根據(jù)前期系統(tǒng)定級(jí)、差距分析和等級(jí)保護(hù)整改結(jié)果，結(jié)合某部委的實(shí)際網(wǎng)絡(luò)和系統(tǒng)情況以及業(yè)務(wù)現(xiàn)狀， 參考國內(nèi)外成熟的信息安全管理理論和實(shí)踐，以國家信息安全等級(jí)保護(hù)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范為指導(dǎo)，從安全技術(shù)、安全管理和安全服務(wù)三個(gè)維度，設(shè)計(jì)合理的信息安全策略，以及安全技術(shù)措施、安全管理組織、 安全管理制度等， 建立結(jié)構(gòu)化的信息安全管理體系，整體提高某部委信息安全防護(hù)能力，滿足國家等級(jí)保護(hù)要求， 切實(shí)保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，建立信息安全長久機(jī)制。--------工作方式等級(jí)保護(hù)體系設(shè)計(jì)的工作方式主要如下。項(xiàng)目會(huì)議：等級(jí)保護(hù)體系設(shè)計(jì)項(xiàng)目小組通過組織系統(tǒng)定級(jí)實(shí)施人員、差距分析實(shí)施人員以及等級(jí)保護(hù)整改實(shí)施人員召開會(huì)議，了解某部委網(wǎng)絡(luò)和系統(tǒng)現(xiàn)狀，從實(shí)際需求和政策符合性等多個(gè)方面挖掘安全需求，分析某部委的行業(yè)要求和業(yè)務(wù)要求，確定等級(jí)保護(hù)體系設(shè)計(jì)依據(jù)的政策法規(guī)和標(biāo)準(zhǔn)規(guī)范等，為體系設(shè)計(jì)方案編寫提供依據(jù)。方案設(shè)計(jì)：由資深安全咨詢顧問組織人員力量進(jìn)行方案編制。內(nèi)部評(píng)審：由國都興業(yè)專家組對(duì)體系設(shè)計(jì)方案進(jìn)行評(píng)審，評(píng)審內(nèi)容包括方案的合理性、先進(jìn)性、可行性等?？蛻艚涣鳎和ㄟ^內(nèi)部評(píng)審后，與某部委相關(guān)人員就方案設(shè)計(jì)進(jìn)行深入溝通和交流，針對(duì)某部委的個(gè)性化需求，調(diào)整方案設(shè)計(jì)。專家評(píng)審：最后由國都興業(yè)公司組織外部專家對(duì)方案的合理性、先進(jìn)性和可行性進(jìn)一步進(jìn)行評(píng)審。工作內(nèi)容體系設(shè)計(jì)的工作內(nèi)容主要包括方案設(shè)計(jì)項(xiàng)目小組組織會(huì)議了解某部委及其被評(píng)估網(wǎng)絡(luò)和系統(tǒng)的現(xiàn)狀、需求等，然后進(jìn)行方案設(shè)計(jì)，在方案設(shè)計(jì)過程中，反復(fù)與某部委進(jìn)行交流和內(nèi)部評(píng)審， 最終通過外部專家評(píng)審，提交給