等级保护测评方案概要(典型信息系统)

典型信息系统等级保护测评方案概要1主题11234需求背景需求确认方法论与项目实施项目管理25行业案例背景相关内容3行业层面国家层面背景相关内容企业层面①国家法律（定期对定级的信息系统进行等级测评）②政策要求（运营、使用单位或主管部门选择符合要求的测评机构进行等保测评）③标准要求①其他行业测评要求及开展等保测评情况；②等保测评要求及开展等保测评情况；③各行业开展等保测评对比情况①已开展的等保测评工作；②未开展等保测评现状；③建议等保测评系统；1231、国家政策和行业要求4国家层面行业层面2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》（公通字[2007]43号）；第十四条：明确规定，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全状况开展等级测评；第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。四级（含）以上信息系统每两年开展一次等保测评，期间应每年开展安全自评估，如系统与互联网有信息交换，应每年开展一次等保测评；等级保护三级（含）以下信息系统每三年开展一次等保测评，期间应每年开展安全自评估，如系统与互联网有信息交换，应每两年开展一次测评；首次安全等级测评应在系统上线后一年内进行。小结运营、使用单位或主管部门选择符合要求的测评机构进行等保测评3级系统每年一次等保测评；4级系统每半年进行一次等保测评；5级系统根据特殊安全需求进行等保测评。4级及以上系统每两年进行一次等保测评；3级以下系统每三年进行一次等保测评；期间应每年开展安全自评估；新系统上线一年后可进行等保测评。2、行业开展等保测评工作与其他行业对比5电力行业金融行业医疗行业XX行业信息系统定级信息系统测评开展情况测评周期专业测评团队测评完成程度完成984套信息系统完成678套信息系统3级系统1年4级系统半年3级系统1年4级系统半年有（新成立）有3级系统1年4级系统半年3级系统3年4级系统2年完成200套左右完成300多套信息系统完成400多套信息系统完成800套信息系统完成730套信息系统完成700套信息系统2011年开展2012年开展2011年开展有有2015年开展与电力行业对比比重新成立3级系统3年4级系统2年3/190%开展较晚3、等级保护测评现状6已经开展过等级保护测评工作作为等级保护测评试点单位受测系统选择已经开展的等级保护测评工作信息系统定级；信息系统测评；信息系统测评团队；信息系统测评程度存在不足等级保护测评试点单位测评方法和结果确认；推动行业等保测评工作；确定选择的受测系统选定有一定代表意义的受测系统，针对选定的系统进行严格的等保测评选择三级以上信息系统；业务层面代表性的系统；技术层面代表性的系统；等级保护测评现状主题21234需求背景需求确认方法论与项目实施项目管理75行业案例项目需求理解8项目需求等级保护测评的必要性1、国家要求；2、行业要求；3、企业要求。需解决的问题1、明确受测系统筛选规则，确定受测系统及相关的测评对象范围；2、明确测评工作目标，安全测评工作指导，满足等级保护基本要求；3、等保测评实施，出具权威性的等保测评报告，提供安全整改建议。9测评范围确定建议系统范围物理范围如办公系统、电子商务系统等12支撑信息系统的机房办公地址12其他分子公司3人员范围信息系统使用及管理相关人员机房使用及管理相关人员12相关领导3建立筛选的规则，通过规则进行对象选择项目目标安全整改提出整改建议，确保整改后的安全满足等保要求安全差距通过对标明确与国家等保要求间的差距和风险，以及安全改进方向安全现状通过等保测评，了解安全现状，包括技术和管理两个方面10建立等级保护测评队伍、培养人才测评实施11测评实施测评方法测评报告整改建议•成熟的测评方法•符合相关需求的测评方法•具备权威性的测评报告•有测评资质的机构•有成熟案例的机构•安全整改可落地性和可操作性•沟通协商一致主题31234需求背景需求确认方法论与项目实施项目管理125行业案例内容设置信息安全等级保护政策和依据1等级保护测评方法论2等级保护测评安全整改建议4等级保护测评实施过程和内容3信息安全等级保护工作方面的政策、制度文件14等保建设依据：实施过程与等级相关标准行业定级指导15等级保护测评项目依据161)《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）；2）《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）；3）《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）；4）《信息技术信息安全技术信息安全管理体系要求》（ISO27001-2013）；5)《计算机信息系统安全等级划分准则》（GB17859-1999）及其系列配套标准；《信息安全技术信息系统安全管理要求》（GB/T20269-2006）；《信息安全技术网络基础安全技术要求》（GB/T20270-2006）；《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）；《信息安全技术操作系统安全技术要求》（GB/T20272-2006）；《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）。①对标②合规③差距④改进等级保护测评的重要性17安全运行与维护安全设计与实施总体安全规划信息系统定级信息系统终止等级变更局部调整信息系统等级保护测评信息系统等级保护测评新系统旧系统等保测评实施基本要点：3个要点循序渐进18等保测评实施基本要点受测系统筛选受测信息系统筛选方法受测系统测评等级保护测评过程等级保护测评内容1受测系统整改2安全整改建议安全整改措施3循序渐进的过程（一）筛选系统方法：根据受测信息系统特点19比较重要，系统定为3级业务量较多未接入互联网，内部使用比较重要，系统定为3级业务量较多接入互联网，部分功能对外开放受测系统的重要性业务量接入互联网用户规模实时性用户较多实时性较一般用户较多实时性较高办公系统电子商务系统17（二）等保测评过程和内容：等级保护综合测评物理安全网络安全主机系统安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息系统综合测评技术要求管理要求20（二）等保测评过程和内容：项目测评手段问审查测观评调研访谈：业务访谈、资产访谈与确认、安全技术访谈、安全管理访谈等查看资料：管理制度和策略的详细分析、管理制度和策略对标分析等现场观察：物理环境观察、逻辑结构和物理部署的对比观察查看配置：主机、网络/安全设备、数据库安全配置检查技术测试：主机、网络/安全设备漏洞扫描等评价：安全测评评价、符合性评价6个关键因素，逐步深化21（二）等保测评过程和内容：测评内容与测评技术物理安全网络安全主机安全应用安全数据安全安全管理安全测评技术开放式沟通问卷调查配置检查脆弱性自动识别渗透测试文档分析现场观察网络拓扑结构分析业务流程与数据分析制度分析UPS等功能和容量数据高可用性测试管理层访谈定级和相关活动访谈安全测评内容可能影响系统22受测范围确定（二）等保测评过程和内容：项目配合人员及职责23信息系统相关负责人等级保护测评配合人员及职责信息系统业务相关负责人物理相关负责人相关管理层在信息系统等级保护测评过程中需要项目双方多人进行配合，需要相关管理层的配合和影响；而在测评过程中存在一定的风险，双方协助配合很重要。安全问题与解决方法匹配24受测系统筛选等保测评安全整改1、选定有一定代表意义的受测系统，针对选定的系统进行严格的等保测评。2、具备一定权威性的等保测评报告。3、提供安全整改建议，按照安全整改建议进行整改满足等保基本要求。（一）受测系统筛选方法（二）等保测评过程和内容（三）安全整改建议受测系统业务量；受测系统重要性；受测系统实施性。等级保护测评手段；等级保护综合测评；等级保护测评过程。确定整改期限和责任部门；2种安全改进建议；技术改进组合。需解决的问题解决方法123（二）等保测评过程和内容：5个阶段，20项任务测评准备调研与方案编制现场测评测评报告安全整改Step1Step2Step3Step4Step5①测评工作准备②测评资料收集③工作启动①业务调研②资产调研与确认③扫描方案编制①测评工具准备②现场测评准备③脆弱性自动检测④安全技术测评⑤安全管理测评①综合分析与结论②测评报告编制①安全整改计划②安全整改方案③安全整改实施与跟踪④安全整改确认25（二）等保测评过程和内容：测评准备阶段261、项目启动•组建项目测评组；•编制项目计划书；•确定测评委托单位应提供的资料。2、资料收集和分析•查阅定级报告、系统描述文件、系统安全设计方案、自查或上次等保测评报告；•根据查阅到的系统情况调整调查表内容；•发放调查表给测评委托单位。3、工具和表单准备•调试测评工具；•模拟测评；•准备和打印表单。（二）等保测评过程和内容：方案编制阶段1、测评对象确认•识别被测系统等级；•识别被测系统的整体结构；•识别被测系统的边界；•识别被测系统的网络区域。2、测评指标确定•识别被测系统业务信息和系统服务安全保护等级；•选择对应等级的ASG三类安全要求作为测评指标。3、测评工具接入的确定•确定工具测试的测评对象；•限制测试路径。4、测评内容确定•识别每个测评对象对应的测评指标。5、测评指导书开发•从已有的测评指导书中选择与测评对象对应的手册。6、测评方案编制•描述测评项目基本情况和工作依据。27（二）等保测评过程和内容：现场测评阶段281、现场测评准备•召开现场测评启动会；•双方确定测评方案；•双方确定测评人员、环境等资源；•确定信息系统已经备份。2、现场测评和结果记录•依据测评指导书实施测评；•记录测评获取的证据、资料等信息；•汇总测评记录，如果需要，实施补充测评。3、结果确认和资料归还•召开现场测评结束会；•测评委托单位确定测评过程中获取的证据和资料的正确性，并签字认可；•测评人员归还借阅的测评资料。（二）等保测评过程和内容：报告编制阶段1、单项测评结果确认•分析测评项所对抗威胁的存在情况；•分析单个测评项所对应的多个测评结果的符合情况。2、单元测评结果确定•汇总每个测评对象在每个测评单元的单项测评结果；•判断每个测评对象的单元测评结果。3、整体测评•分析不符合和部分符合的测评项与其他测评项（包括单元内、层面间、区域间）之间的关联关系及对结果的影响情况。6、测评报告编制•概述测评项目情况；•描述被测系统情况；•描述测评范围和方法；•描述整体测评情况；•汇总测评结果。5、等级测评结论形成•统计再次汇总后的单项测评结果为部分符合和不符合项的项数；•形成等级测评结论。4、风险分析•整体测评后的单项测评结果再次汇总；•分析部分符合或不符合项所产生的安全问题被威胁利用的可能性；•分析威胁利用安全问题的可能性。29（三）安全改进建议：确定整改期限和责任部门（岗位）30根据改进措施制定改进任务表，确定整改期限和责任部门（三）安全改进建议：2种安全改进建议两种处置建议示例31主题41234需求背景需求确认方法论与项目实施项目管理325行业案例项目关键成功因素与项目风险管理关键因素具体内容现状程度管理层支持管理层支持、参与人员协调协调人员配合沟通、提供资料，参与项目培训项目沟通和进度项目范围和计划约定、日周报、项目管控因素和报告工作效率双方分工明确，不是所有任务由咨询方完成，分配给用户完成的任务一定要定期完成项目范围业务、组织、地理和IT系统范围清晰、可控关键成功因素人员调研配合管理层支持项目沟通和进度项目范围工作效率33主题51234需求背景需求确认方法论与项目实施项目管理345行业案例1、等保测评项目案例介绍35测评内容主要工作内容和需求包括：信息系统等级测评、安全整改方案设计、安全整改技术服务、安全基线标准设计实施、信息安全管理制