《信息安全等级保护测评自查.doc》由会员分享,可在线阅读,更多相关《信息安全等级保护测评自查.doc(17页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全等级保护测评自查(三级)单位全称: 项目联系人: 电话: 邮箱:1 被测信息系统情况1.1 承载的业务情况深圳市系统,年投入使用,包括台服务器、台网络设备和台安全设备。深圳市系统是为深圳市(系统简介)。1.2 网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。深圳市系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成,主要有功能。各功能区都位于机房。具体拓扑如下:图 2-1 深圳市系统拓扑图备
2、注:需注明网络出口(电信,电子资源政务中心、等)1.3 系统备案情况深圳市系统备案为级,系统备案编号为,备案软件显示系统防护为SAG2 系统构成2.1机房序号机房名称物理位置1 机房 大楼2.2网络设备以列表形式给出被测信息系统中的网络设备。序号设备名称操作系统品牌设备信息用途数量(台/套)重要程度1华为交换机OS华为S9700IP:192.168.1.1接入交换机2高2华为路由器 OS2.3安全设备以列表形式给出被测信息系统中的安全设备。序号设备名称操作系统品牌设备信息用途数量(台/套)重要程度1华为信防火墙防火墙OS 华为型号:IP:192.168.1.1策略限制、访问控制3高2NIP绿盟
3、型号:IP:192.168.1.1入侵检测1高3SSLVPN深信服型号:IP:192.168.1.1VPN1高4负载均衡深信服型号:IP:192.168.1.1负载均衡1中2.4服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称设备名称在本报告中应唯一,如业务主数据库服务器或-svr-db-1。操作系统/数据库管理系统版本业务应用软件数量(台/套)重要程度1服务器名称windowsIP:192.168.1.1 2008业务系统应用2高2.5终端以列表形式给出被测信息系统中的终端
4、,包括业务管理终端、业务终端和运维终端等。序号设备名称操作系统用途数量(台/套)重要程度1W-PCwindows业务管理终端2高2.6业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。序号软件名称主要功能开发厂商重要程度1系统系统该系统.(系统简介)永泰高2 Tomcat3 Weblogic2.7关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。序号数据类别如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。所属业务应用安全防护需求保密性,完整性等。重要程度1业务数
5、据系统保密性、完整性高如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。保密性,完整性等2.8安全相关人员序号姓名岗位/角色联系方式1安全主管1362 网络管理员139.2.9安全管理文档序号文档名称主要内容1深圳市局计算机网络保密管理办法内网计算机维修、报废、软硬件、IP管理2关于成立深圳市局信息安全管理领导小组的决定明确小组成员及成员工作职责3深圳市局信息公开保密审查制度公开保密审查流程,防止保密信息泄露4市局中心机房管理制度机房日常、设备、系统软件、计算机病毒防范管理,数据保密及数据备份,管理员职责,计算机使用和管理制度5深圳市局信息安全、网络
6、安全突发事件的应急处置预案组织指挥体系及职责、预防和预警机制、应急响应,宣传、培训、审查、监控6深圳市局网站管理暂行办法网站日常维护和管理,网站安全、监督与考核2.10安全服务序号安全服务名称安全服务包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。安全服务商1安全运维3 扫描3.1主机扫描 采用绿盟极光对服务器、网络设备、数据库等进行主机扫描,发现服务器操作系统、数据库版本漏洞、系统补丁、弱口令等安全漏洞。原始报告可另附。3.2应用层扫描 采用IBM Rational Appscan对系统进行应用层扫描,发现系统由于编码习惯,插件版本等存在的漏洞,可发现各种C
7、GI 漏洞、SQL注入,跨站脚本,敏感信息泄漏。 原始报告可另附。4 安全管理核查4.1安全管理制度安全子类测评指标自查记录备注管理制度应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;应对安全管理活动中的各类管理内容建立安全管理制度;应对要求管理人员或操作人员执行的日常管理操作建立操作规程;应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。制定和发布应指定或授权专门的部门或人员负责安全管理制度的制定;安全管理制度应具有统一的格式,并进行版本控制;应组织相关人员对制定的安全管理制度进行论证和审定;安全管理制度应通过正式、有效的方式
8、发布;安全管理制度应注明发布范围,并对收发文进行登记。评审和修订信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。4.2安全管理机构安全子类测评指标自查记录备注岗位设置应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;应制定文件明确安全管理机构各个部门和岗位的职
9、责、分工和技能要求。人员配备应配备一定数量的系统管理员、网络管理员、安全管理员等;应配备专职安全管理员,不可兼任;关键事务岗位应配备多人共同管理。授权和审批应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;应记录审批过程并保存审批文档。沟通和合作应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;应加强与兄弟单位、公
10、安机关、电信公司的合作与沟通;应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。审核和检查安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;应制定安全审核和安全检
11、查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。4.3人员安全管理安全子类测评指标自查记录备注人员录用应指定或授权专门的部门或人员负责人员录用;应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;应签署保密协议;应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。人员离岗应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。人员考核应定期对各个岗位的人员进行安全技能及安全认知的考核
12、;应对关键岗位的人员进行全面、严格的安全审查和技能考核;应对考核结果进行记录并保存。安全意识教育和培训应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;应对安全教育和培训的情况和结果进行记录并归档保存。外部人员访问管理应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案;对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。4.4系统建设管理安全子类测评指标自查记录备注系统定级应明确信息系统的边界和安全保护等级;应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;应确保信息系统的定级结果经过相关部门的批准。安全方案设计应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;应指定和授权专门的部门对信息系统的安全建设进行总体规划,制
