信息系统等级保护测评工作方案知识分享
时间:2020-08-31 04:07:46 来源:勤学考试网 本文已影响 人 
XX安全服务公司
2018-2019 年 XXX 项目
等级保护差距测评实施方案
XXXXXXXXX
201X年X月
信息安全有限公司
3.
3. 时间安排 17
目录
1.1.
项目背景 ..
1.2.
项目目标
1.3.
项目原则
1.4.
项目依据
1. 项目概述
目录
2. 测评实施内容
2.1.1.
测评范围
4
2.1.2.
测评对象
4
2.1.3.
测评内容
4
2.1.4.
测评对象
7
2.1.5.
测评指标
8
2.2. 测评流程
9
2.2.1.
测评准备阶段
10
2.2.2.
方案编制阶段
11
2.2.3.
现场测评阶段
11
2.2.4.
分析与报告编制阶段
2.3. 测评方法
13
2.3.1.
工具测试
13
2.3.2.
配置检查
14
2.3.3.
人员访谈
14
2.3.4.
文档审查
15
2.3.5.
实地查看
15
2.4.
测评工具
16
2.5.
输出文档
17
2.5.1.
等级保护测评差距报告
2.5.2.
等级测评报告
2.1. 测评分析
4
13
错误!
错误!
安全整改建议
2.5.3.
未定义书签。
未定义书签。
错误!
未定义书签。
TOC \o "1-5" \h \z \o "Current Document" 4. 人员安排 18
组织结构及分工 18
人员配置表 19
工作配合 20
5. 其他相关事项 21
风险规避 21
项目信息管理 23
\o "Current Document" 保密责任法律保证 23
现场安全保密管理 23
文档安全保密管理 24
离场安全保密管理 24
其他情况说明 24
项目概述
项目背景
为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年 XXXXXXXXXXXXXXXXX要按照国家《信息安全技术信息 系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、 《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评 准则》的 要求,对XXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评 估工作,并且为xxxxxxxxxxxxxxxXX供驻点咨询、实施等服务。(安全技术测 评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面 上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员 安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大 测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面 评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制, 深化信息安全等级保护工作,提高 xxxxxxxxxxxxxxxXX络与信息系统的安全 保障与运维能力。
项目目标
全面完成XXXXXXXXXXXXXXXXX有六个信息系统的信息安全测评与评估工 作和协助整改工作,并且为XXXXXXXXXXXXXXX提供驻点咨询、实施等服务, 按照国家和xxxxxxxxxxxxxxxXX有关要求,对xxxxxxxxxxxxxxxXX网络 架构进行业务影响分析及网络安全管理工作进行梳理,提高 xxxxxxxxxxxxxxxXX个网络的安全保障与运维能力,减少信息安全风险和降 低信息安全事件发生的概率,全面提高网络层面的安全性,构建 xxxxxxxxxxxxxxxXX息系统的整体信息安全架构,确保全局信息系统高效稳 定运行,并满足xxxxxxxxxxxxxxxXX出勺基本要求,及时提供咨询等服务。
项目原则
项目的方案设计与实施应满足以下原则:
符合性原则: 应符合国家信息安全等级保护制度及相关法律法规,指出 防范的方针和保护的原则。
标准性原则: 方案设计、实施与信息安全体系的构建应依据国内、国际 的相关标准进行。
规范性原则: 项目实施应由专业的等级测评师依照规范的操作流程进 行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记 录,以便于项目的跟踪和控制。
可控性原则: 项目实施的方法和过程要在双方认可的范围之内,实施进 度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则: 安全体系设计的范围和内容应当整体全面,包括安全涉及 的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则: 项目实施工作应尽可能小的影响网络和信息系统的正常 运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则: 对项目实施过程获得的数据和结果严格保密,未经授权不得 泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利 益的行为。
项目依据
信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统 安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制 测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综 合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:
计算机信息系统安全保护等级划分准则》 - GB17859-1999
《信息安全技术 信息系统安全等级保护实施指南》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全等级保护管理办法》
《信息安全技术 信息系统安全等级保护定级指南》( GB/T 22240 2008)
《信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239 2008)
计算机信息系统安全保护等级划分准则》( GB17859-1999)
信息安全技术 信息系统通用安全技术要求》( GB/T20271-2006)
信息安全技术 网络基础安全技术要求》( GB/T20270-2006)
信息安全技术 操作系统安全技术要求》( GB/T20272-2006)
《信息安全技术 数据库管理系统安全技术要求》( GB/T20273-2006)
《信息安全技术 服务器技术要求》( GB/T21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》( GA/T671-
2006)
信息安全风险评估规范》( GB/T 20984-2007 )
测评实施内容
测评分析
测评范围
本项目范围为对XXXXXXXXXXXXXXXXX定级信息系统的等级保护测评。
测评对象
本次测评对象为xxxxxxxxxxxxxxxXX息系统,具体如下:
序号
信息系统名称
级别
1
XXXXXXXX信息系统
三级
2
XXXXXXXX信息系统
三级
3
XXXXXXXX信息系统
三级
4
XXXXXXXX信息系统
三级
5
XXXXXXXX信息系统
二级
6
XXXXXXXX信息系统
二级
测评架构图
本次测评结合xxxxxxxxxxxxxxxXX统的信息管理特点,进行不同层次的 测评工作,如下表所示:
层次安全
授术测评范圉物理安全网络安全等保二级萝求等保二^要求主机安全应用安全数据安全安全管理制度安全管理机构等保三级要求爭呆卫要求等保三级要求人员安全管理系统建设管理系统运维管理等保三级要去等保三级聲求等保三级要求等保二级要求
层次
安全
授术
测评范圉
物理安全
网络安全
等保二级萝求
等保二^要求
主机安全
应用安全
数据安全
安全管理制度
安全管理机构
等保三级要求
爭呆卫要求
等保三级要求
人员安全管理
系统建设管理
系统运维管理
等保三级要去
等保三级聲求
等保三级要求
等保二级要求
等保二级要求
等保二级要求
2.1.4.
测评内容
本项目主要分为两步开展实施。第一步,对 XXXXXXXXXXXXXXXX六XX言 息系统进行定级和备案工作。第二步,对 XXXXXXXXXXXXXXXX已经定级备案 的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安 全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安 全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评和验收测评。差距测评主要针对
XXXXXXXXXXXXXXXX^定级备案系统执行国家标准的安全测评,差距测评交付 差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面 的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评 要求、测评过程、测评报告,协助对 XXXXXXXXXXXXXXXX^定级备案的系统执 行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主 要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况; 二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测 评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评 两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全 和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、 安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全 控制测评。具体见下图:
信息系统等级保护测评
安全控制测评安全u术测评物理宾全主机安全
安全控制测评
安全u术测评
物理宾全
主机安全
网络安全
应用安全
数据安全
安全管理测评
安全管理机构
■
安全管理制度 人员宝全管理 丢统建设管理 系统运维管理
系统整体测评
1 1
安全控制间
、
层面间
1
区域间
整休结构安全
不同信息系统间整体安全性
整体架构/局部架构
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统 的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。
在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关 联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、 补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全 性。
综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进 行,由此而获得信息系统对应安全等级保护级别的符合性结论。
2.1.5. 测评对象
依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模 型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产 出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信 息系统进行全面评估。
测评对象种类主要考虑以下几个方面:
1 ?整体网络拓扑结构;
2?机房环境、配套设施;
3?网络设备:包括路由器、核心交换机、汇聚层交换机等;
4?安全设备:包括防火墙、IDS/IPS、防病毒网关等;
5.主机系统(包括操作系统和数据库系统);
6?业务应用系统;
7.重要管理终端(针对三级以上系统);
8?安全管理员、网络管理员、系统管理员、业务管理员;
9?涉及到系统安全的所有管理制度和记录。
根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做 到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在 深度上要做到对功能等各方面的测试。
2.1.6. 测评指标
对于二级系统,如业务信息安全等级为 S2,系统服务安全等级为A2,则该 系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中
“技术要求”部分的2级通用指标类(G2,2级业务信息安全指标类(S2),2 级系统服务安全指标类(A2),以及第2级“管理要求”部分中的所有指标类, 等级保护测评指标情况具体如下表所示:
测评指标(二级)
技术/管理
层面
类数量
S类(2级)
A类(2级)
G类(2级)
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
5
6
主机安全
2
1
3
6
应用安全
4
2
1
7
数据安全
2
1
0
3
安全管理
安全管理制度
0
0
3
3
安全管理机构
0
0
5
5
人员安全管理
0
0
5
5
系统建设管理
0
0
9
9
系统运维管理
0
0
12
12
合计
66 (类)
对于三级系统,如业务信息安全等级为 S3,系统服务安全等级为A3,则该 系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中
“技术要求”部分的3级通用指标类(G3,3级业务信息安全指标类(S3),3 级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类, 等级保护测评指标情况具体如下表所示:
测评指标(三级)
技术/管理
层面
类数量
S类(3级)
A类(3级)
G类(3级)
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
6
7
主机安全
3
1
3
7
应用安全
5
2
2
9
数据安全
2
1
0
3
安全管理
安全管理制度
0
0
3
3
安全管理机构
0
0
5
5
人员安全管理
0
0
5
5
系统建设管理
0
0
11
11
系统运维管理
0
0
13
13
合计
73 (类)
2.2.测评流程
等级保护测评实施过程包括以下四个阶段:
测评项目组
组建项目计划书
编制工具和表单 准备信息系统
调研测评准备
阶段物理安全人员访谈 文档审查 实地察看方 式物理基础设 施对 象网络安全人员访谈 配置检查 工具测试方 式互联设备 安全设备 网络拓扑对 象人员访谈 配置检查 工具测试方 式操作系统 数据库系 统对 象主机安全应用安全人员访谈 配置检查 工具测试方 式
测评项目组
组建
项目计划书
编制
工具和表单 准备
信息系统
调研
测评准备
阶段
物理安全
人员访谈 文档审查 实地察看
方 式
物理基础设 施
对 象
网络安全
人员访谈 配置检查 工具测试
方 式
互联设备 安全设备 网络拓扑
对 象
人员访谈 配置检查 工具测试
方 式
操作系统 数据库系 统
对 象
主机安全
应用安全
人员访谈 配置检查 工具测试
方 式
应用系统
对 象
数据安全
人员访谈 配置检查
方 式
管理数据 业务数据
对 象
安全管理制度
人员访谈 文档审查 实地察看
方 式
安全管理机构
人员访谈 文档审查
方 式
人员安全管理
人员访谈 文档审查
方 式
系统建设管理
人员访谈 文档审查
方 式
系统运维管理
人员访谈 文档审查
方 式
分析与报
告编制阶
段
221. 测评准备阶段
测评项目组组建:明确项目经理、测评人员及职责分工。
项目计划书编制:项目计划书包含项目概述、工作依据、技术思路、 工作内容和项目组织等。
信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式, 了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息 系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应 用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、 数据库等)、管理制度等。
工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测
评表单。
2.2.2. 方案编制阶段
测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统 及其涉及的业务应用系统,确定出本次测评的测评对象。
测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测 评的测评指标。
测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试 路径,根据测试路径确定测试工具的接入点。
测评内容确定:确定现场测评的具体实施内容,即单元测评内容。
测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、 方法和操作步骤等,具体指导测评人员如何进行测评活动。
现场测评阶段
现场测评实际上就是单项测评,分别从技术上的物理安全、网络安全、主 机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管 理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。
物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统
的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,物 理安全层面测评实施过程涉及 10 个测评单元,包括:物理位置的选 择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、 防静电、温湿度控制、电力供应、电磁防护。
网络安全:通过访人员访谈、配置检查和工具测试的方式测评信息系
统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设 备和网络拓扑结构。在内容上,网络安全层面测评实施过程涉及 7 个 测评单元,包括:结构安全、访问控制、安全审计、边界完整性检 查、入侵防范、网络设备防护、恶意代码防范(针对三级系统)。
主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统
的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据 库管理系统。在内容上,主机系统安全层面测评实施过程涉及 7 个测 评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代 码防范、资源控制、剩余信息保护(针对三级系统)。
应用安全:通过人员访谈、配置检查和工具测试的方式测评信息系统 的应用安全保障情况,主要涉及对象为各类应用系统。在内容上,应 用安全层面测评实施过程涉及 9 个测评单元,包括:身份鉴别、访问 控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、 剩余信息保护(针对三级系统)、抗抵赖(针对三级系统)。
数据安全:通过人员访谈、配置检查的方式测评信息系统的数据安全 保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内 容上,数据安全层面测评实施过程涉及 3 个测评单元,包括:数据完 整性、数据保密性、备份和恢复。
安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息 系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过 程涉及 3 个测评单元,包括:管理制度、制定和发布、评审和修订。
安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全 管理机构情况。在内容上,安全管理机构方面测评实施过程涉及 5 个 测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、 审核和检查。
人员安全管理:通过人员访谈、文档审查的方式测评信息系统的人员 安全管理情况。在内容上,人员安全管理方面测评实施过程涉及 5 个 测评单元,包括:人员录用、人员离岗、人员考核、安全意识教育和 培训、外部人员访问管理。
系统建设管理:通过人员访谈、文档审查的方式测评信息系统的系统 建设管理情况。在内容上,系统建设管理方面测评实施过程涉及 11 个 测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行 软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服 务商选择、系统备案(针对三级系统)、系统测评(针对三级系
统)
13 个
13 个
分析与报告编制阶段
单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对 象,客观、准确地分析测评证据。
单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对 象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列 出。
整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从 安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果, 并对系统结构进行整体安全测评。
风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析 等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与 等级保护基本要求之间的差距,并形成等级测评结论。
测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测 系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单 元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结 论、整改建议等。
2.3. 测评方法
在等级保护测评过程目中,将采用以下测评方法:
2.3.1. 工具测试
利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进
行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。
测评方法
工具测试
简要描述
利用技术工具,从网络的不同接入点对网络内的主机、服务器、数 据库、网络设备、安全设备等进行脆弱性检查和分析
达成目标
发掘系统的安全漏洞
工作条件
1-2人工作环境,电源和网络接入环境,甲方人员、网络、系统配 合
工作结果
工具测试结果记录
2.32 配置检查
利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、 应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审 核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查 配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和 可靠性的要求。
2.3.3.人员访谈
2.3.3.
人员访谈
测评方法
配置检杳
简要描述
通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据 库、网络设备、安全设备、应用系统的安全配置情况
达成目标
发现配置的安全隐患
工作条件
1-2人工作环境,甲方人员、网络、系统配合
工作结果
配置检查结果记录
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证 据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要 求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
测评方法
人员访谈
简要描述
通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析
达成目标
发掘技术和管理方面存在的安全问题
工作条件
1-2人工作环境,甲方人员配合
工作结果
人员访谈结果记录
2.34 文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文 件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技 术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相 关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部
致性。
测评方法
文档审查
简要描述
通过文档审核与分析,检查制度、策略、操作规程、制度执行情况 记录的完整性和内部一致性
达成目标
发掘技术和管理方面存在的安全问题
工作条件
1-2人工作环境,甲方人员、各类文档资料配合
工作结果
文档审查结果记录
实地查看
通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意 识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到 了相应等级的安全要求。
项目名称
实地杳看
简要描述
通过现场查看人员行为、技术设施和物理环境状况,检查人员的安 全意识、业务操作、管理程序和系统物理环境等方面的安全情况。
达成目标
发掘技术和管理方面存在的安全问题
工作条件
1-2人工作环境,甲方人员配合
工作结果
实地查看结果记录
24测评工具
我们在等级保护测评过程中使用的测评工具严格遵循可控性原则,即所有 使用的测评工具将事先提交给甲方检查确认,确保在双方认可的范围之内,而 且测评过程中采用的技术手段确保已经过可靠的实际应用。
在本项目中,将采用以下测评工具:
工具类
别
工具名称
工具介绍
漏洞扫描
工具
绿盟极光远程安全评估系 统
绿盟公司出品的商业漏洞扫描系统
Web应用
扫描工具
IBM APPSca n
IBM公司出品的商业 Web应用安全扫描 系统
WVS(Web Vul nerability
Sca nner)
一个自动化的 Wet应用程序安全测试工 具,它可以扫描任何可通过Web浏览器 访问的和遵循HTTP/HTTP规则的Web站
工具类
别
工具名称
工具介绍
点和Web应用程序
输出文档
本项目输出的主要输出文档为
《等级保护测评实施方案(资产收集、测评表)》
《等级保护测评差距分析报告》
《等级保护测评安全整改方案》
《等级保护测评安全整改报告》
时间安排
序
号
任务名
称
工作内容
开始时间
完成时间
阶段完成标志
主要负
责人
配合人员
1
项目准
备阶段
编制实施方
案
2015/7/8
《实施方案》
2
编制资产收
集
2015/7/9
2015/7/15
资产收集表
3
编制测评表
测评表
4
前期调
研
资产收集
2015/7/16
2015/7/17
完成
资产收集表
5
差距测
评
技术和管理
单项测评
2015/7/20
2015/8/21
完成信息
系统测评表
6
差距测 评报告 编制
单元测评、
整体测评、 风险分析、
报告编制
2015/8/24
2015/8/28
《差距测评报
告》
7
安全整
改建议
对部分风行 较高的
不符合项给 出整改报告
2015/8/31
2015/9/4
《整改方案》
8
安全加
固与检
对整改部分
内容进行复
2015/9/7
2015/9/25
《整改报告》
查
检
9
等级保
护验收
测评
协助中心通
过第三方测
评
2015/9/28
2015/11/31
获得测评证书
人员安排
组织结构
42项目工作分工
为确保测评工作的顺利进行,XXXXXXXXXXXXXXXXX)^
XXXXXXXXXXXXXXXX信息安全有限公司协商组建项目组,并对项目组织机构
进行如下规划:
XXXXXXXXXXXXXXXXXXX
名称
职 责
项目负责
人
项目总体负责人,负责协调 XXXXXXXXXXXXXXXX整体项目资源, 解决项目中需要XXXXXXXXXXXXXXXX配合的问题,监督项目整体 质量、推进项目整体进度
XXXXXXXXXXXXXXXX信息安全有限公司:
名称
职 责
项目负责人
项目总体负责人,负责组织等级保护测评和评估实施队伍,做好 整体日常资源管理、分配与协调工作,并直接控制整体项目管理 的各个要素,具体包括:
项目方案设计
项目计划与组织
项目协调与沟通(含召集项目周例会)
项目进度管理(含编写项目周报)
项目质量控制
项目
技术人员
项目技术人员,包括项目分组组长和实施人员,在项目经理的带 领、分工和控制下,负责按照项目技术方案和项目计划实施测评 和评估工作,需要提交:
每天工作日报
单项测评结果记录
单项安全整改建议
43人员配置表
名称
职 责
人员
项目
负责人
项目总体负责人,负责组织等级保护测评和评 估实施队伍,做好整体日常资源管理、分配与 协调工作,并直接控制整体项目管理的各个要 素,具体包括:
项目方案设计
项目计划与组织
项目协调与沟通(含召集项目周例会) 项目进度管理(含编写项目周报) 项目质量控制
项目
技术人员
负责按照项目技术方案和项目计划实施测评 工作,需要提交:
每天工作日报
单项测评结果记录
单项安全整改建议
4.4.工作配合
为保证本项目的顺利实施,对现场测评阶段的各项工作点提出双方工作配
合:
序号
工作点
甲方配合
乙方配合
1
现场工具 测评
1、 人员要求 系统管理员
*前期提供系统软硬件配置,相关 系统检收文档。
*现场登录设备运行检查脚本工具 *登录设备查看安全配置
2、 环境要求
*提供可以访问网络设备及测评系 统的2个 IP地址
*关闭测评IP与系统之间的防火 墙。
1、 准备测评工具 及接入方案
2、 测评技术人员
2
现场配置 检杳
1、 人员要求 网络管理员
前期提供网络拓朴图。
登录网络设备,配合测评人员检 查设备配置。
系统管理员
*登录网络设备,配合测评人员检 查设备配置。
2、 环境要求
可登录系统及网络设备
1、 准备配合检查 万案
2、 测评技术人员
3
人员访谈
1、 访谈对象要求 信息部管理人员
配合调查表的访谈 系统开发&管理人员
配合测评回答应用系统操作相关 问题
网络管理人员
配合测评回答网络架构,及设备 配置操作的相关问题
2、 环境要求 提供会议室
1、 准备访谈安排 及访谈大纲
2、 测评技术人员
4
文档审查
1、 人员要求
信息部管理人员
提供等保相关的管理制度 系统开发&管理人员
提供相应系统建设方案及验收文 档
网络管理人员
*提供网络系统建设方案及验收文 档
*IP规划文档等
2、 环境要求
提供办公场所
1、 准备测评表
2、 二位测评技术 人员
5
实地杳看
1、 人员要求 机房管理员
配合测评人员检查机房物理环 境。
2、 环境要求
可访问机房、办公等物理区域
1、 准备测评表
2、 测评技术人员
5.其他相关事项
风险规避
在测评过程中,可能会对被测系统造成影响,相应地会造成各种损失。这 些影响包括信息泄漏、业务停顿或处理能力受损等。因此,必须充分考虑各种 可能的影响及其危害并准备好相应的应对措施,尽可能减小对目标系统正常运 行的干扰,从而减小损失。
下表给出了测评过程中可能存在的风险与控制措施。
内容
可能存在的风险
等级
控制措施
信息资产调
研
资产信息泄漏
高
协议、规章、制度、法律、法 规
安全管理测
评
安全管理信息泄漏
高
合同、协议、规章、制度、法 律、法规
网络设备测 评/安全设备 测评
误操作引起设备崩溃
或数据丢失、损坏
高
规范审计流程;
严格选择测评师; 甲方进行全程监控; 制定可能的恢复计划
网络/安全设备资源占
用
低
避开业务高峰;
控制扫描策略(线程数量、强
度)
漏洞扫描
网络流量
低
避开业务高峰;
控制扫描策略(线程数量、强
度)
主机资源占用
低
避开业务高峰;
控制扫描策略(线程数量、强
度)
控制台审计
误操作引起系统崩溃
或数据丢失、损坏
高
规范审计流程;
严格选择测评师;
甲方进行全程监控; 制定可能的恢复计划;
网络流量和主机资源
占用
低
避开业务高峰
应用测评
产生非法数据,致使
系统不能正常工作
中
做好系统备份和恢复措施
异常输入(畸形数 据、极限测试)导致 系统崩溃
高
做好系统备份和恢复措施
52项目信息管理
为了保障 xxxxxxxxxxxxxxxXX息系统的安全,xxxxxxxxxxxxxxxXXxx 息安全有限公司将严格遵守XXXXXXXXXXXXXXXxx于保密方面的规定,自觉保 守XXXXXXXXXXXXXXXxx业秘密。XXXXXXXXXXXXXXXxx方便项目实施所提 供给投标人的工作流程、管理模式、规程、程序等相关资料文档以及实施过程 中所产生的资料、文档、数据均属于 XXXXXXXXXXXXXXXxx识产权,未经 XXXXXXXXXXXXXXXxx权洞意,XXXXXXXXXXXXXXXxx息安全有限公司不得 另作他用,XXXXXXXXXXXXXXXxx息安全有限公司采用管理和技术措施保证信 息的机密性。如因XXXXXXXXXXXXXXXxx息安全有限公司员工的原因导致上述 资料、文档、数据或XXXXXXXXXXXXXXXxx业秘密泄露的,
XXXXXXXXXXXXXXXXX?要求 XXXXXXXXXXXXXXXxx息安全有限公司采取措 施消除影响,赔偿损失。
加强安全保密工作具体的控制措施如下:
5.2.1?保密责任法律保证
xxxxxxxxxxxxxxxXX息安全有限公司和 xxxxxxxxxxxxxxxXXMX《保 密责任协议》,对项目实施保密相关事宜予以法律保证。同时,
XXXXXXXXXXXXXXXxx息安全有限公司保证所有参与项目的技术人员均具备等 级测评技术资质,且均与xxxxxxxxxxxxxxxXX息安全有限公司已签订《保密 责任书》。
5?2?2?现场安全保密管理
测评过程中,如确有安全保密需要,项目中 xxxxxxxxxxxxxxxXX息安 全有限公司人员使用的笔记本可由XXXXXXXXXXXXXXX提供x并且仅限于在 xxxxxxxxxxxxxxxxx工作环境内使用和保管,未经 xxxxxxxxxxxxxxxxXxx 许严禁私自带出。在xxxxxxxxxxxxxxxxX公环境中,除 xxxxxxxxxxxxxxxXX供或允许的I盘外,严禁出现其他存储介质。
5?2?3?文档安全保密管理
对需要 xxxxxxxxxxxxxxxXg供供的文档资料,xxxxxxxxxxxxxxxXX息X
安全有限公司提交《文档调用单》给 XXXXXXXXXXXXXXXXXXO文档调用单》上 的“借出部分”须明确文档类别、文档内容、文档申请人员、文档使用人员、 调用时间。文档资料未经xxxxxxxxxxxxxxxXX许严禁带出现场,统一保管在 xxxxxxxxxxxxxxxXX定勺文件柜里,使用完后 xxxxxxxxxxxxxxxXX息安 全有限公司返还给XXXXXXXXXXXXXXXXX并填写《文档调用单》上“交回部 分”的交回人员、交回时间。所有文档资料仅限于在 xxxxxxxxxxxxxxxXXxx 作环境内使用。
对于电子文档,所有传递须通过 xxxxxxxxxxxxxxxXX供或允许的0盘, 保存在文档申请人员、文档使用人员的笔记本电脑上,笔记本电脑须设高安全 级别口令或其他加密措施。
所有输出文档的非正式稿打印件和相关材料,均须现场粉碎处理。
5?2?4?离场安全保密管理
现场测评离场时,如果笔记本电脑为 XXXXXXXXXXXXXXX;提供X则笔记 本电脑须交回xxxxxxxxxxxxxxxxx同时由xxxxxxxxxxxxxxxXX关人员检 查所有的存储介质是否存储非测评需要的电子文档。
5?2?5?其他情况说明
遇到未列明的涉及保密方面的其他情况,双方就个案单独洽谈,由双方项
目负责人签字确认。
