XXXX等级保护测评工作方案

广州市XXXXXX2015-2016年XXXXXXXXXXXX项目等级保护差距测评实施方案XXXXXXXXX信息安全有限公司201X年X月目录目录................................................................11.项目概述..........................................................21.1.项目背景.......................................................21.2.项目目标.....................................................21.3.项目原则.....................................................21.4.项目依据.....................................................32.测评实施内容......................................................32.1.测评分析.......................................................42.1.1.测评范围...................................................42.1.2.测评对象...................................................42.1.3.测评内容...................................................42.1.4.测评对象...................................................72.1.5.测评指标...................................................82.2.测评流程.......................................................92.2.1.测评准备阶段..............................................102.2.2.方案编制阶段..............................................112.2.3.现场测评阶段..............................................112.2.4.分析与报告编制阶段........................................132.3.测评方法......................................................132.3.1.工具测试..................................................132.3.2.配置检查..................................................142.3.3.人员访谈..................................................142.3.4.文档审查..................................................152.3.5.实地查看..................................................152.4.测评工具....................................................162.5.输出文档....................................................172.5.1.等级保护测评差距报告.......................错误!未定义书签。2.5.2.等级测评报告...............................错误!未定义书签。2.5.3.安全整改建议...............................错误!未定义书签。3.时间安排.........................................................174.人员安排.........................................................184.1.组织结构及分工..............................................184.2.人员配置表..................................................194.3.工作配合......................................................205.其他相关事项.....................................................215.1.风险规避....................................................215.2.项目信息管理..................................................235.2.1.保密责任法律保证..........................................235.2.2.现场安全保密管理..........................................235.2.3.文档安全保密管理..........................................245.2.4.离场安全保密管理..........................................245.2.5.其他情况说明..............................................241.项目概述1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求，对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评），加大测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制，深化信息安全等级保护工作，提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。第2页共24页1.2.项目目标全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工作和协助整改工作，并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务，按照国家和XXXXXXXXXXXXXXXXXXX的有关要求，对XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梳理，提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力，减少信息安全风险和降低信息安全事件发生的概率，全面提高网络层面的安全性，构建XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构，确保全局信息系统高效稳定运行，并满足XXXXXXXXXXXXXXXXXXX提出的基本要求，及时提供咨询等服务。1.3.项目原则项目的方案设计与实施应满足以下原则：符合性原则：应符合国家信息安全等级保护制度及相关法律法规，指出防范的方针和保护的原则。标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。规范性原则：项目实施应由专业的等级测评师依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。整体性原则：安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害测评委托单位利益的行为。第3页共24页1.4.项目依据信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对相应等级的信息系统遵循的标准进行综合系统测评，提出相应的系统安全整改建议。主要参考标准如下：《计算机信息系统安全保护等级划分准则》-GB17859-1999《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全风险评估规范》（GB/T20984-2007）2.测评实施内容第4页共24页2.1.测评分析2.1.1.测评范围本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。2.1.2.测评对象本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统，具体如下：序号信息系统名称级别1XXXXXXXXX信息系统三级2XXXXXXXXX信息系统三级3XXXXXXXXX信息系统三级4XXXXXXXXX信息系统三级5XXXXXXXXX信息系统二级6XXXXXXXXX信息系统二级2.1.3.测评架构图本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点，进行不同层次的测评工作，如下表所示：2.1.4.测评内容第5页共24页本项目主要分为两步开展实施。第一步，对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。第二步，对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。其中安全测评分为差距测评和验收测评。差距测