局等保评估服务专项方案.docx
《局等保评估服务专项方案.docx》由会员分享,可在线阅读,更多相关《局等保评估服务专项方案.docx(121页珍藏版)》请在咨信网上搜索。
1、某市某单位信息安全等级保护评定服务计划方案(V1.0)目录第1章.项目概述21.1.项目背景21.2.项目依据21.3.项目建设内容3第2章.系统安全需求分析42.1.现在情况42.2.情况分析5第3章.等保评定63.1.测评基础内容63.2.评定对象现实状况73.2.1.系统定级73.2.2.系统列表73.3.等级保护评定实施计划73.3.1.评定方法73.3.2.评定工具83.3.3.评定步骤93.4.等级保护评定内容计划103.4.1.安全控制评定103.4.2.安全管理评定443.4.3.系统整体评定803.4.4.综合评定分析803.5.等级保护评定安排803.5.1.现场评定准备8
2、03.5.2.现场检验测试833.5.3.需要配合事项84第4章.安全管理体系建设854.1.总体安全体系建设854.2.安全管理层面854.2.1.安全管理制度864.2.2.安全管理机构864.2.3.人员安全管理874.2.4.系统建设管理874.2.5.系统运维管理88第5章.项目计划建设895.1.总体工作计划895.2.系统差距评定89第6章.安全建设清单及预算93第1章. 项目概述1.1. 项目背景4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文广东省深化信息安全等级保护工作方案(粤公通字45号)中又再次指出,“经过深化信息安全等级保护,全方面推进关键信息系统
3、安全整改和测评工作,增强信息系统安全保护整体性、针对性和实效性,使信息系统安全建设愈加突出关键、统一规范、科学合理,提升信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。根据中国计算机信息系统安全保护条例(国务院令第147号)、国家信息化领导小组相关加强信息安全保障工作意见(中办发27号)、信息安全等级保护管理措施(公通字43号)等文件要求,某市某单位主动响应等级保护要求,将开展等保定级、等保评定、等级保护整改、差距测评等评定工作,切实将信息公布系统建成“信息公开、在线办事、公众参与”三位一体业务体系,为企业和
4、社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。现在,需要对现有6个系统展开等级保护工作, 7个系统分别是:某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。即使系统各异,不过全部在同一个物理地址,故此统一对6个系统进行等级保护安全建设,使之愈加安全、稳定。某信息化企业信息安全技术(简称某信息化企业企业)经过多年来在信息安全咨询、服务、建设中积累和发展,逐步形成一套完善信息安全工程体系,以专业理论和技术为支撑;以多个专业测试工具为手段;以国际和国家信息安全标准为实施规范。某信息化企业信息安全技术股份为用户提供全
5、方面,专业安全支持。1.2. 项目依据(1) 国家信息化领导小组相关加强信息安全保障工作意见(中办发27号)(2) 9月四部委局联合签发相关信息安全等级保护工作实施意见(3) 信息安全等级保护管理措施(公通字43号)(4) 相关加强国家电子政务工程建设项目信息安全风险评定工作通知(发改高技2071号)(5) GB/T 22239- 信息安全技术 信息系统安全等级保护基础要求(6) GB/T 22240- 信息安全技术 信息系统安全等级保护定级指南(7) GB/T 25058- 信息安全技术 信息系统安全等级保护实施指南(8) GB/T 19716- 信息技术 信息安全管理实用规则(9) GB/
6、T 20270-信息安全技术 网络基础安全技术要求(10) GB/T 20271-信息安全技术 信息系统安全通用技术要求(11) GB/T 20272-信息安全技术 操作系统安全技术要求(12) GB/T 20273- 信息安全技术 数据库管理系统安全技术要求(13) GB/T 21052- 信息安全技术 信息系统物理安全技术要求(14) GB/T 21052- 等级保护系列安全产品技术要求(15) 国家标准电子计算机机房设计规范(GB50174-93)(16) 国家标准计算站场地安全技术(GB9361-88)(17) 中国工程建设标准化协会标准建筑和建筑群综合布线系统工程设计规范(CECS7
7、2:95)1.3. 项目建设内容首先,此次项目以满足国家信息系统等级保护相关要求为实施指导标准,某信息化企业企业对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这6个系统业务系统进行帮助等保定级,并开展等保评定工作,对以后人员组织结构调整、安全制度提供对应提议,并对其网络、应用和主机等方面进行整改计划实施,来使其含有良好保密性、完整性、可用性。经过对国家等级保护测评单位测评;再次,某信息化企业企业可配适用户单位,完成第三方测评单位对全部6个系统进行验收测评。具体来讲,本项目标建设内容包含:(1) 依据国家信息系统等级保护
8、要求,帮助对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站进行定级,并开展等保评定工作。(2) 落实对该系统网络网络架构安全整改计划和安全设备布署,配适用户完善安全管理制度、安全管理机构、人员安全管理等。第2章. 系统安全需求分析2.1. 现在情况此次项目负责有6个系统,各系统基础情况及建设内容以下表。系统名称物理地址等级所需等保工作某市某单位OA系统中心机房二级定级、等保评定某市某单位档案系统中心机房二级定级、等保评定某市某单位大道班系统中心机房二级定级、等保评定某市某单位财务系统中心机房二级定级、等保评定某市某单位路
9、政巡查系统中心机房二级定级、等保评定某市某单位网站中心机房二级定级、等保评定6个系统网络拓扑现实状况大约以下:某市某单位6个系统总共有16台服务器、 1台关键交换机和1台防火墙等网络设备。2.2. 情况分析依据调研,某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站皆在同一个物理机房,需要对其定级、等保评定。需要帮助其进行定级,并对该系统物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理这10方面进行测评,检测,并提供对应汇报。第3章. 等保评定3
10、.1. 评定基础内容对信息系统安全等级保护情况进行测试评定,应包含两个方面内容:一是安全控制测评,关键测评信息安全等级保护要求基础安全控制在信息系统中实施配置情况;二是系统整体测评,关键测评分析信息系统整体安全性。其中,安全控制测评是信息系统整体安全测评基础。对安全控制测评描述,使用测评单元方法组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包含:物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上安全控制测评;安全管理测评包含: 安全管理机构、安全管理制度、 人员安全管理、系统建设管理和系统运维管理等五个方面安全控制测评。具体见下图:3.2. 评定对象现实状况
11、3.2.1. 系统定级该系统定级对象有6个,皆暂定为二级。3.2.2. 系统列表信息系统名称安全保护等级(G)业务信息安全等级(S)系统服务安全等级(A)某市某单位OA系统二级二级二级某市某单位档案系统二级二级二级某市某单位大道班系统二级二级二级某市某单位财务系统二级二级二级某市某单位路政巡查系统二级二级二级某市某单位网站二级二级二级3.3. 等级保护评定实施计划3.3.1. 评定方法评定过程中将关键采取访谈、检验、测试等方法进行等级保护评定。3.3.2. 评定工具在此次评定工程实施中,可能使用工具包含:工具类别工具名称工具说明安全配置核查安全配置检验表由某信息化企业信息安全技术股份编制等级保
12、护评定主机操作系统配置检验表、网络设备配置检验表、数据库配置检验表,关键采取人工核查方法进行,系统进行脆弱性检验和分析。3.3.2.1. 人员访谈人员访谈是经过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点,对用户信息安全管理体系、信息安全运维过程等方面,对比等级要求进行测试。评定教授经过和信息系统相关人员(个人/群体)进行交流、讨论等活动,获取证据以证实信息系统安全等级保护方法是否有效,评定中使用各类调查问卷和访谈纲领。评定方法人员访谈简明描述依据系统定级,对安全管理制度制订及实施情况进行检验达成目标了解某市某单位安全管理制度制订情况、落实情况关键内容安全组织和管理全策略和程序、应用
13、安全管理、数据安全管理、操作系统安全管理、网络安全管理、访问控制管理、物理安全、业务连续性管理(含备份)实现方法管理制度和程序文件搜集和分析 分析和现场检验管理过程统计问卷和现场访谈现场参观检验工作条件2-3人工作环境,某市某单位人员和资料(安全管理制度、统计文件等)配合工作结果某市某单位安全管理制度访谈结果参与人员某信息化企业评定教授小组、某市某单位信息系统安全主管、维护人员等3.3.3. 评定步骤3.4. 等级保护评定内容计划3.4.1. 安全控制评定3.4.1.1. 安全技术评定安全技术评定包含:物理安全、网络安全、主机系统安全、应用安全、数据安全等五个层面。l 物理安全检验评测项编号:
14、P1评测项目: 物理位置选择评测资产:评测指标: 1)机房和办公场地应选择在含有防震、防风和防雨等能力建筑内。评测方法: 教授访谈、现场查看、文档审核评测对象:物理安全责任人,机房,办公场地,机房场地设计/验收文档。评测方法:1) 访谈物理安全责任人,问询现有机房和放置终端计算机设备办公场地环境条件是否能够满足信息系统业务需求和安全管理需求,是否含有基础防震、防风和防雨等能力; 2) 评测机房和办公场地是否在含有防震、防风和防雨等能力建筑内。 判定标准:假如2)为肯定,则信息系统符合本单元评定指标要求,不然,信息系统不符合或部分符合本单元评定指标要求。测试结果:(依据评测方法,应写明每种评测方
15、法评测结果,最终依据判定标准写明本评测项是否符合,假如有多个评测指标,每个指标全部应该说明是否符合。假如依据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。)评测项编号:P2评测项目: 物理访问控制评测资产:评测指标: 1)机房出入口应有专员值守,判别进入人员身份并登记在案;2)应同意进入机房来访人员,限制和监控其活动范围。评测方法:教授访谈、现场查看、文档审核评测对象:物理安全责任人,机房值守人员,机房,机房安全管理制度,值守统计,进入机房登记统计,来访人员进入机房审批统计。评测方法:1) 访谈物理安全责任人,了解布署了哪些控制人员进出机房保护方法; 2) 评测机房安全管理
16、制度,查看是否有相关机房出入方面要求; 3) 评测机房出入口是否有专员值守,是否有值守统计及人员进入机房登记统计;评测机房是否不存在专员值守之外其它出入口; 4) 评测是否有来访人员进入机房审批统计,查看审批统计是否包含来访人员访问范围。 判定标准: 假如2)-4)均为肯定,则信息系统符合本单元评定指标要求,不然,信息系统不符合或部分符合本单元评定指标要求。测试结果:评测项编号:P3评测项目: 防偷窃和防破环评测资产:评测指标: 1)将关键设备放置在机房内; 2)对设备或关键部件进行固定,并设置显著无法除去标识;3)将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;4)对介质分类标识,存放在介质
17、库或档案室中;5)安装必需防盗报警设施,以防进入机房偷窃和破坏行为。评测方法: 教授访谈、现场查看、文档审核评测对象:物理安全责任人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施安装测试/验收汇报。评测方法:1) 访谈物理安全责任人,了解采取了哪些预防设备、介质等丢失保护方法; 2) 访谈机房维护人员,问询关键设备放置位置是否做到安全可控,设备或关键部件是否进行了固定和标识,通信线缆是否铺设在隐蔽处;是否对机房安装防盗报警设施并定时进行维护评测; 3) 访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介质库或档案室内进行管理; 4) 评测关键设备是
18、否放置在机房内或其它不易被偷窃和破坏可控范围内;评测关键设备或设备关键部件固定情况,查看其是否不易被移动或被搬走,是否设置显著不易除去标识; 5) 评测通信线缆铺设是否在隐蔽处; 6) 评测机房防盗报警设施是否正常运行,并查看是否有运行和报警统计; 7) 评测介质管理情况,查看介质是否有正确分类标识,是否存放在介质库或档案室内。 判定标准: 假如4)-7)均为肯定,则信息系统符合本单元评定指标要求,不然,信息系统不符合或部分符合本单元评定指标要求。测试结果:评测项编号:P4评测项目: 防雷击评测资产:评测指标: 1)机房建筑应设置避雷装置; 应设置交流电源地线。评测方法: 教授访谈、现场查看、
19、文档审核评测对象:物理安全责任人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/验收文档。评测方法:1) 访谈物理安全责任人,问询为预防雷击事件造成关键设备被破坏采取了哪些防护方法,机房建筑是否设置了避雷装置,是否经过验收或国家相关部门技术检测;问询机房计算机供电系统是否有交流电源地线; 2) 评测机房建筑是否有避雷装置,是否有交流地线; 判定标准: 假如2)为肯定,则信息系统符合本单元评定指标要求,不然,信息系统不符合或部分符合本单元评定指标要求。测试结果:评测项编号:P5评测项目: 防火评测资产:评测指标: 1)应设置灭火设备和火灾自动报警系统评测方法: 教授访谈、现场查
20、看、文档审核评测对象:物理安全责任人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,火灾自动报警系统设计/验收文档。评测方法:1) 访谈物理安全责任人,问询机房是否设置了灭火设备,是否设置了火灾自动报警系统,是否有些人负责维护该系统运行,是否制订了相关机房消防管理制度和消防预案,是否进行了消防培训; 2) 访谈机房维护人员,问询是否对火灾自动报警系统定时进行评测和维护; 3) 评测机房是否设置了灭火设备,灭火设备摆放位置是否合理,其使用期是否合格;应评测机房火灾自动报警系统是否正常工作,查看是否有运行统计、报警统计、定时评测和维修统计。 判定标准: 假如1)-3)均为肯定,
21、则信息系统符合本单元评定指标要求,不然,信息系统不符合或部分符合本单元评定指标要求。测试结果:评测项编号:P6评测项目:防水和防潮评测资产:评测指标: 1)水管安装,不得穿过机房屋顶和活动地板下; 2) 采取方法预防雨水经过机房窗户、屋顶和墙壁渗透; 3)采取方法预防机房内水蒸气结露和地下积水转移和渗透。 评测方法: 教授访谈、现场查看、文档审核评测对象:物理安全责任人,机房维护人员,机房设施(上下水装置,除湿装置),建筑防水和防潮设计/验收文档。评测方法:1) 访谈物理安全责任人,问询机房是否布署了防水防潮方法;假如机房内有上/下水管安装,是否避免穿过屋顶和活动地板下,穿过墙壁和楼板水管是否
22、采取了可靠保护方法;在湿度较高地域或季节是否有些人负责机房防水防潮事宜,配置除湿装置; 2) 访谈机房维护人员,问询机房是否没有出现过漏水和返潮事件;假如机房内有上/下水管安装,是否常常评测其漏水情况;在湿度较高地域或季节是否有些人负责机房防水防潮事宜,使用除湿装置除湿;假如出现机房水蒸气结露和地下积水转移和渗透现象是否立即采取防范方法; 3) 评测穿过主机房墙壁或楼板管道是否配置套管,管道和套管之间是否采取可靠密封方法; 4) 评测机房窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房及其环境是否不存在显著漏水和返潮威胁;假如出现漏水、渗透和返潮现象,则查看是否能够立即修复处理; 5)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 评估 服务 专项 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。