信息系統(tǒng)等級保護(hù)測評工作實施方案

2018-2019年XXX項目目錄01.項目概述11.1.項目背景11.2.項目目標(biāo)21.3.項目原則21.4.項目依據(jù)32.測評實施內(nèi)容42.1.測評分析42.1.1.測評范圍42.1.2.測評對象42.1.3.測評內(nèi)容42.1.4.測評對象52.1.5.測評指標(biāo)62.2.測評流程82.2.1.測評準(zhǔn)備階段82.2.2.方案編制階段82.2.3.現(xiàn)場測評階段92.2.4.分析與報告編制階段102.3.測評方法112.3.1.工具測試112.3.2.配置檢查112.3.3.人員訪談122.3.4.文檔審查122.3.5.實地查看132.4.測評工具132.5.輸出文檔143.時間安排144.人員安排154.1.組織結(jié)構(gòu)及分工154.2.人員配置表164.3.工作配合175.其他相關(guān)事項185.1.風(fēng)險規(guī)避185.2.項目信息管理205.2.1.保密責(zé)任法律保證205.2.2.現(xiàn)場安全保密管理205.2.3.文檔安全保密管理215.2.4.離場安全保密管理215.2.5.其他情況說明211.1.項目背景評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評，加大測評與風(fēng)險評估力度，對信息系統(tǒng)的資產(chǎn)、威脅、弱點和風(fēng)險等要素進(jìn)行全面評估，有效提升信心系統(tǒng)的安全防護(hù)能力，建立常態(tài)化的等級保護(hù)工作機(jī)制，深化信息安全等級保護(hù)工作，提高XXXXXXXXXXXXXXXXXXX網(wǎng)絡(luò)與信息系統(tǒng)的安全保障與運全面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有六個信息系統(tǒng)的信息安全測評與評估工進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提高XXXXXXXXXXXXXXXXXXX整個網(wǎng)絡(luò)的安全保障與運維能力，減少信息安全風(fēng)險和降低信息安全事件發(fā)生的概率，全面提高XXXXXXXXXXXXXXXXXXX項目的方案設(shè)計與實施應(yīng)滿足以下原則：今符合性原則：應(yīng)符合國家信息安全等級保護(hù)制度及相關(guān)法律法規(guī)，指出防今標(biāo)準(zhǔn)性原則：方案設(shè)計、實施與信息安全體系的構(gòu)建應(yīng)依據(jù)國內(nèi)、國際今規(guī)范性原則：項目實施應(yīng)由專業(yè)的等級測評師依照規(guī)范的操作流程進(jìn)行，在實施之前將詳細(xì)量化出每項測評內(nèi)容，對操作過程和結(jié)果提供規(guī)范的記錄，以今可控性原則：項目實施的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，實施進(jìn)度今整體性原則：安全體系設(shè)計的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的今最小影響原則：項目實施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正常運行，不能對信息系統(tǒng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。今保密原則：對項目實施過程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)行任何侵害測評委托單位利益的信息系統(tǒng)等級測評依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)測評要求》,在對信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制測評及系統(tǒng)整體測評結(jié)果基礎(chǔ)上，針對相應(yīng)等級的信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜合系今《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》今《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》2008今《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999本項目范圍為對XXXXXXXXXXXXXXXXXXX已定級信息系統(tǒng)的等級保護(hù)測評。級別1三級2三級3三級4三級5二級6二級本次測評結(jié)合XXXXXXXXXXXXXXXXXXX系統(tǒng)的信息管理特點，進(jìn)行不同層次的本項目主要分為兩步開展實施XXXXXXXXXXXXXXXXXXX統(tǒng)進(jìn)行十個安全層面的等級保護(hù)安全測評〔物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。大類。安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全分析評估安全控制間、層面間和區(qū)域間是否存在安物理安全118網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理制度0033安全管理機(jī)構(gòu)00550055系統(tǒng)建設(shè)管理0099系統(tǒng)運維管理0066〔類對于三級系統(tǒng)，如業(yè)務(wù)信息安全等級為S3,系統(tǒng)服務(wù)安全等級為A3,則該系統(tǒng)的測評指標(biāo)應(yīng)包括GB/T22239-2008《信息系統(tǒng)安全保護(hù)等級基本要求》術(shù)要求"部份的3級通用指標(biāo)類〔G3,3級業(yè)務(wù)信息安全指標(biāo)類〔S3,3級系統(tǒng)服務(wù)安全指標(biāo)類(A3,以及第3級"管理要求"部份中的所有指標(biāo)類，等級保護(hù)測評指標(biāo)情況具體如下表所示：安全技術(shù)物理安全118網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理00系統(tǒng)運維管理00合計73(類2.2.1.測評準(zhǔn)備階段2.2.2.方案編制階段安全層面測評實施過程涉及10個測評單元，包括：物理位置的選擇、庫管理系統(tǒng)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面測評實施過程涉及7個測評今應(yīng)用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系安全層面測評實施過程涉及9個測評單元，包括：身份鑒別、訪問控2.2.4.分析與報告編制階段2.3.測評方法工具測試?yán)眉夹g(shù)工具，從網(wǎng)絡(luò)的不同接入點對網(wǎng)絡(luò)內(nèi)的主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析發(fā)掘系統(tǒng)的安全漏洞1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工具測試結(jié)果記錄配置檢查通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置情況發(fā)現(xiàn)配置的安全隱患1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合配置檢查結(jié)果記錄通過交流、討論的方式，對技術(shù)和管理方面進(jìn)發(fā)掘技術(shù)和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員配合人員訪談結(jié)果記錄文檔審查通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性發(fā)掘技術(shù)和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員、各類文檔資料配合文檔審查結(jié)果記錄通過現(xiàn)場查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。發(fā)掘技術(shù)和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員配合實地查看結(jié)果記錄工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具IBM公司出品的商業(yè)Web應(yīng)用安全掃描系統(tǒng)一個自動化的Web應(yīng)用程序安全測試工具，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規(guī)則的Web站點和Web應(yīng)用程序序號任務(wù)名稱工作內(nèi)容開始時間完成時間階段完成標(biāo)志主要負(fù)責(zé)人配合人員1《實施方案》2資產(chǎn)采集表34前期調(diào)資產(chǎn)采集表5差距測評完成信息系統(tǒng)6差距測評報告編制單元測評、整體測評、風(fēng)險分析、報告編制《差距測評報7安全整改建議較高的出整改報告8安全加固與檢查內(nèi)容進(jìn)行復(fù)檢1《整改方案》9過第三方測評《整改報告》8書項目負(fù)責(zé)人項目總體負(fù)責(zé)人，負(fù)責(zé)協(xié)調(diào)XXXXXXXXXXXXXXXXXXX整體項目資源，解決項目中需要XXXXXXXXXXXXXXXXXXX配合的問題，監(jiān)督項目整體質(zhì)量、推進(jìn)項目整體進(jìn)度XXXXXXXXXXXXXXXXXXX信息安全有限公司：項目負(fù)責(zé)人項目總體負(fù)責(zé)人，負(fù)責(zé)組織等級保護(hù)測評和評估實施隊伍，做好整體日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體項目管理的各個要素，具體包括：今項目方案設(shè)計今項目計劃與組織今項目協(xié)調(diào)與溝通〔含召集項目周例會今項目進(jìn)度管理〔含編寫項目周報今項目質(zhì)量控制技術(shù)人員項目技術(shù)人員，包括項目分組組長和實施人員，在項目經(jīng)理的帶和評估工作，需要提交：今每天工作日報今單項測評結(jié)果記錄今單項安全整改建議人員負(fù)責(zé)人項目總體負(fù)責(zé)人，負(fù)責(zé)組織等級保護(hù)測評和評估實施隊伍，做好整體日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體項目管理的各個要素，具體包括：今項目方案設(shè)計今項目計劃與組織今項目協(xié)調(diào)與溝通〔含召集項目周例會今項目進(jìn)度管理〔含編寫項目周報今項目質(zhì)量控制技術(shù)人員負(fù)責(zé)按照項目技術(shù)方案和項目計劃實施測評工作，需要提交：今每天工作日報今單項測評結(jié)果記錄為保證本項目的順利實施，對現(xiàn)場測評階段的各項工作點提出雙方工作配序號工作點甲方配合乙方配合1現(xiàn)場工具1、人員要求系統(tǒng)管理員系統(tǒng)檢收文檔。*提供可以訪問網(wǎng)絡(luò)設(shè)備及測評系統(tǒng)的2個IP地址1、準(zhǔn)備測評工具2、測評技術(shù)人員2檢查1、人員要求網(wǎng)絡(luò)管理員*前期提供網(wǎng)絡(luò)拓樸圖。查設(shè)備配置。系統(tǒng)管理員查設(shè)備配置。可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、準(zhǔn)備配合檢查方案2、測評技術(shù)人員31、訪談對象要求信息部管理人員系統(tǒng)開辟&管理人員問題網(wǎng)絡(luò)管理人員配置操作的相關(guān)問題1、準(zhǔn)備訪談安排及訪談大綱2、測評技術(shù)人員提供會議室4文檔審查1、人員要求信息部管理人員系統(tǒng)開辟&管理人員檔網(wǎng)絡(luò)管理人員檔1、準(zhǔn)備測評表人員5實地查看1、人員要求機(jī)房管理員1、準(zhǔn)備測評表2、測評技術(shù)人員內(nèi)容信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高規(guī)安全管理測評安全管理信息泄漏高網(wǎng)絡(luò)設(shè)備測誤操作引起設(shè)備崩潰或者數(shù)據(jù)丟失、損壞高規(guī)范審計流程；嚴(yán)格選擇測評師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計劃網(wǎng)絡(luò)/安全設(shè)備資源占用低避開業(yè)務(wù)高峰；度漏洞掃描網(wǎng)絡(luò)流量低避開業(yè)務(wù)高峰；度主機(jī)資源占用低避開業(yè)