等保测评和安全评估技术协议.docx
《等保测评和安全评估技术协议.docx》由会员分享,可在线阅读,更多相关《等保测评和安全评估技术协议.docx(20页珍藏版)》请在咨信网上搜索。
1、_信息安全等级保护测评及安全评估项目技术协议甲方:乙方:北京卓识网安技术股份有限公司2017年9月精品资料1 总则1.1 引言为了落实公安部、国家能源局关于电力监控系统安全等级保护要求,进一步增强电力监控系统安全防护能力,确保电力监控系统安全稳定运行,依据信息系统安全等级保护基本要求(GB/T 22239-2008)、电力行业信息系统安全等级保护基本要求(电监信息201262号)、电力监控系统安全防护规定(国家发展改革委员会2014年第14号令)、电力行业网络与信息安全管理办法(国能安全2014年317号)和电力行业信息安全等级保护管理办法(国能安全2014年318号)等制度和标准要求,进行本
2、次电力监控系统等级保护测评与安全防护评估。1.2 适用范围本技术协议适用于电力监控系统等级保护测评及安全防护评估技术服务项目的采购,包括技术服务要求和验收要求。1.2.1 本技术协议提出的是最低限度的技术要求。凡本技术协议中未规定,但在相关国家标准、电力行业标准或IEC标准中有规定的规范条文,乙方应按相应标准的条文进行服务供应说明。1.2.2 如果乙方没有以书面形式对本技术协议的条文提出异议,则甲方认为乙方提供的服务完全符合本技术协议。1.2.3 本技术协议所建议使用的标准如与乙方所执行的标准不一致,乙方应按更严格标准的条文执行或按双方商定的标准执行。1.2.4 本技术协议经甲乙双方确认后作为
3、实施合同的技术附件,与合同正文具有同等的法律效力。1.3 规范性引用文件下列文件中的条款通过本协议的引用而成为本协议的条款,除本技术协议特别规定外,乙方所提供的测评标准均应遵循公安部、能源局相关文件要求和甲方的相关文件要求,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行;如果乙方选用本技术协议规定以外的标准时,需提交与这种替换标准相当的或优于规定标准的证明,供甲方确认。 信息安全等级保护管理办法(公通字200743号) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息
4、系统安全等级保护定级指南 GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南 GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求 GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南 关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息200734号) 电力行业信息系统安全等级保护基本要求(电监信息201262号) 电力行业网络与信息安全管理办法(国能安全2014317号) 电力行业信息安全等级保护管理办法(国能安全2014318号) 电力监控系统安全防护规定(国家发展改革委员会2014年第14号令) 电力监控系统安全防
5、护总体方案国能安全201536号 发电厂监控系统安全防护方案国能安全201536号 电力监控系统安全防护评估规范国能安全201536号1.4 权利和职责为切实保障本项目的工作质量,确保测评及评估工作达到预期目标,对甲方及乙方双方技术工作责任约定如下:1.4.1 甲方责任 负责项目实施过程中同相关单位和部门的协调。 为乙方提供良好的工作场地和环境。 按工作要求提供相关的资料和信息。 准备应急措施,负责实施过程中的紧急情况的处理。1.4.2 乙方责任 按照甲方工作章程开展工作。 项目内容的变更及时与甲方代表沟通。 按照协议要求提供技术服务和成果。 确保测评及评估工作质量。 配合甲方准备应急预案和实
6、施过程中的紧急情况处理。 负责按时完成所有工作。同时,双方都必须遵循保密要求。1.5 测评及评估范围电力监控系统信息安全等级保护测评与安全防护评估范围如下:(2)电力监控系统等级保护测评工作需提交公安部门和国家能源局认可的等级保护测评报告,电力监控系统安全防护评估工作交付物为国家能源局认可的安全防护评估报告。(3)根据国家等级保护相关标准,电力监控系统的安全等级保护测评应包括以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。电力监
7、控系统安全防护评估的主要内容包括:资产评估、威胁评估、脆弱性评估、现有安全措施有效性评估等。2 技术规范2.1 测评及评估原则本项目实施方案设计与具体实施应满足以下原则:2.1.1 保密性原则:乙方应与甲方签订保密协议,对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害甲方的权益,否则甲方有权追究乙方的责任。2.1.2 标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。2.1.3 规范性原则:乙方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。2.1.4 可控性原则:项目的进度应符合进度安排,保证甲方对测评工作的可控性。2.1.5 整体
8、性原则:测评及评估的范围和内容应系统、全面、规范,满足等级保护和安全防护评估的相关基本要求。2.1.6 最小影响原则:技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在甲方许可的条件下进行。2.2 实施要求乙方应详细描述电力监控系统等级保护测评及安全防护评估的整体实施方案,包括项目概述、等保测评方案、安全防护评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。乙方应详细描述测评及评估人员的组成、资质及各自职责的划分。乙方应配置经验丰富的测评及评估人员进行电力监控系统等级保护测评及安全防护评估工作。2.2.1 测评及评估方法测评及
9、评估方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。如需在电力监控系统等级保护测评及安全防护评估实施过程中采用在线测评工具,各种工具软件由乙方推荐,经甲方确认后由乙方提供并在工作中使用。安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由乙方推荐,经确认后由乙方提供并在测评中使用。安全测评需要的运行环境(如场地、网络环境等)由甲方提供,乙方应详细描述需要的运行环境的具体要求。2.2.2 工作进度2.2.2.1筹划准备阶段工作周期:12周工作内容:对被测评及评估系统防护现状进行详细分析和调研,初步确定测评及评估实施方
10、案、范围,收集材料,签署保密协议,组建测评及评估项目组,并进行进场实施前的安全教育工作,同时完成检测工具、装备配置等各项准备工作。2.2.2.2启动阶段工作周期:12个工作日工作内容:项目组进驻被测单位,收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料,并召开启动会,就测评及评估工作具体事宜进行落实,包括确定测评及评估计划安排、测评及评估范围、测评及评估内容和配合需求等。2.2.2.3现场测评工作周期:35个工作日工作内容:项目组从管理和技术两个方面入手,开展被测单位测评及评估工作,包括安全区划分、网络专用,评估管理和制度、基础网络、业务系统、通用服务、主机
11、系统、数据库系统、现有安全措施等。测评及评估方法有顾问访谈、日志审计、人工查看、漏洞扫描、自动化工具采集、白客渗透等。现场工作结束后,测评及评估工作小组对现场测评情况进行初步整理汇总,向被测单位领导和系统管理员等汇报现场阶段工作情况。2.2.2.4结论分析报告编制阶段工作周期:34周工作内容:项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估,撰写被测单位系统等级保护测评报告及电力监控系统安全防护评估报告。2.2.2.5整改技术支持阶段工作周期:根据整改进度而定工作内容:项目组针对现场测评及评估发现的问题,出具整改建议后,向被测单位提供整改技术咨询支持。2.2.3 风险控制测评
12、及评估工作本身也会引入安全风险,必须加强测评及评估过程中的风险控制。项目实施前,双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患,确定测评及评估对象、测评及评估方法和工具,并制定应急恢复措施。(1)操作的申请和监护测评及评估操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。(2)人员与数据管理重视保密工作,加强测评及评估过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。(3)测评对象选择优先选择备用设备(系统)或临时搭建的模拟环境进行测评及评估,避免影响在线系统运行。(4)制定应急预案根据被
13、测系统情况,在测评及评估实施前制定应急预案,加强系统在线应急处置能力。(5)关键业务系统风险控制生产控制大区在线运行系统禁止采用渗透测试工具进行测评。2.3 等级保护测评内容根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。2.3.1 物理安全物理安全测评是对电力监控系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、
14、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。2.3.2 网络安全网络安全测评是对电力监控系统的网络系统安全防护情况进行测评,包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。2.3.3 主机安全主机安全测评是对电力监控系统的服务器、数据库和终端主机系统的安全防护情况进行测评,包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。2.3.4 应用安全应用安全测评是对电力监控系统的业务系统的安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 测评 安全 评估 技术 协议
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。