收藏
下载资源

企业信息系统安全等级保护评测方案

上传人:大米 文档编号:417783964 上传时间:2023-05-20 格式:DOCX 页数:20 大小:133.90KB
返回 下载 相关 举报
企业信息系统安全等级保护评测方案_第1页
第1页 / 共20页
企业信息系统安全等级保护评测方案_第2页
第2页 / 共20页
企业信息系统安全等级保护评测方案_第3页
第3页 / 共20页
企业信息系统安全等级保护评测方案_第4页
第4页 / 共20页
企业信息系统安全等级保护评测方案_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《企业信息系统安全等级保护评测方案》由会员分享,可在线阅读,更多相关《企业信息系统安全等级保护评测方案(20页珍藏版)》请在金锄头文库上搜索。

1、企业信息系统安全等级保护评测方案总体方案概述1.1 项目目标通过对*单位信息系统等级保护差距测评,可以了解目前*单位信息系统的 等级保护差距情况,同时能够对未定级的业务系统及业务网络进行安全风险识别 并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中 存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对 全网的安全进行统一的规划和建设,并根据等级保护差距测评和风险评估的结果 指导*单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。1.2 测评范本次等级测评服务针对信息系统以及业务系统所依托的内部局域网网络环 境、软硬件设备(数据库、中间件、应用程

2、序、服务器、网络设备和安全设备等)、 机房物理环境、涉及的运维管理机制等实施信息安全等级测评服务,其中包括定 级、定级之后的差距测评和整改阶段之后的验收测试,此项目中统称为一体测评 服务。具体评估范围包括但不限于:物理环境:位于中心机房和各处配线间。主要考察信息系统相关的防火、 防水、防雷、防盗和不间断电源等保障物理安全的各种设施。计算机网络:网络拓扑结构、城域网和互联网连接的路由器、交换机、防 火墙或其他信息安全设备、各应用服务器和整体网络的数据流信息。操作系统:检查所有网络设备、信息安全设备和服务器的操作系统,对所 有设备的 windows、Linux 和专业操作系统是否及时安装最新补丁进

3、行针对性检 查。应用系统:所有业务系统和门户网站等重要信息系统。招标方认为重要且 应包含在本次安全评估范围内的信息系统都应被认定为重要管理信息系统。数据库:对各种数据库进行安全检测。例如某业务系统中数据库是否安装 最新补丁,管理帐户是否存在弱口令等进行检测。未控制网络链接:获得所有未控制并能够连接到网络的设备信息(例如调制解调器、第二块网卡、USB网卡、1394接口网卡等)。防止未经授权的拨入。防病毒及恶意软件:检查所有服务器的杀毒软件系统和单机防恶意软件系统。灾难恢复策略:审核并检查数据备份及灾难恢复计划,了解是否进行应急 演练,并提出改进建议 。安全控制策略:边界访问控制的防火墙、入侵检测

4、系统、网络防病毒系统、 内网安全管理系统等设备的配置策略。负责安全政策的编制管理人员、办公人员 的安全意识、各种安全管理规章制度等。1.3 测 评原 则我公司等级保护差距测评服务将遵循以下原则: 保密原则:我公司将与*单位签订保密协议,同时公司与每个参与本项目的员工签订信息保密协议,保证项目过程中和项目结束后不会向第三方泄 漏机密信息,保证公司和个人不会利用评估结果对*单位造成侵害。在项 目过程中获知的任何用户信息,经过双方确认属用户秘密信息的,严格遵 守保密协议中规定的要求确保信息安全。 标准性原则:我公司对*单位等级保护测距测评方案的设计与实施将依据 相关的等级保护安全标准以及国家有关部门

5、制定信息安全和风险管理领 域的国家标准进行,确保等级保护建设过程的规范、合理,并为等级保护 建设成果提供了质量保证。 规范性原则:我公司在等级保护差距测评项目中提供规范的工作过程和文 档,具有很好的规范性,可用于项目的跟踪和控制。项目的实施由专业的 项目管理人员和安全服务人员依照规范的操作流程进行,在测评之前制定 计划和必要的工作申请,并提前告知对系统可能的影响,并提出风险规避 措施并做出必要的应急准备,在操作过程中对操作的过程和结果要提供规 范的记录,并形成完整的评估过程报告。最小影响原则:*单位的等级保护差距测评工作的原则是做到对于用户系 统和网络运行的影响最小化,不能对正在运行的系统和业

6、务的正常提供产 生显著不利影响。1.4 标准依据等级保护测评方案将主要依据信息系统安全等级保护定级指南、信息 系统安全等级保护实施指南和信息系统安全等级保护基本要求进行评估, 同时为保证本次评估的全面性,还将参考相关的国家和地方的相关法规及国内标 准,并有选择性地采纳了优秀的风险评估理论。这些标准和操作指南目前已经被 我公司在以往的等级保护项目中进行了实践,并得到了用户的认可和好评。具体 的标准如下: GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南 GB/T 28448-2012信息安全技术信息系统

7、安全等级保护测评要求 信息安全技术信息系统安全等级保护实施指南(报批) 信息安全技术信息系统安全等级保护测评过程指南(送审) GB/T 24856-2009信息安全技术信息系统等级保护安全设计技术要求 . GB/T 18018-2007信息安全技术路由器安全技术要求 GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和测试评价方法 GB/Z 20985-2007信息技术安全技术信息安全事件管理指南 GB/Z 20986-2007信息安全技术信息安全事件分类分级指南 GB/T 20988-2007信息安全技术信息系统灾难恢复规范 GB/T 21028-2007信息安全技术服务

8、器安全技术要求 GB/T 20008-2005信息安全技术操作系统安全评估准则 GB/T 20009-2005信息安全技术数据库管理系统安全评估准则 GB/T 20010-2005信息安全技术包过滤防火墙评估准则 GB/T 20011-2005信息安全技术路由器安全评估准则 GB/T 20269-2006信息安全技术信息系统安全管理要求 GB/T20270-2006信息安全技术网络基础安全技术要求 GB/T20271-2006信息安全技术信息系统通用安全技术要求 GB/T20272-2006信息安全技术操作系统安全技术要求 GB/T20273-2006信息安全技术数据库管理系统安全技术要求 G

9、B/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法 GB/T20277-2006信息安全技术网络和终端设备隔离部件测试评价方法 GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求 GB/T20279-2006信息安全技术网络和终端设备隔离部件安全技术要求 GB/T20280-2006信息安全技术网络脆弱性扫描产品测试评价方法 GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法 GB/T20282-2006信息安全技术信息系统安全工程管理要求二、信息安全等级保护主要工作介绍根据国家制订的信息系统安全等级保护实施指南的相关要求,结合*单位医疗

10、卫生行业的特性,我公司将医疗卫生机构的等级保护工作实施划分为以下流程整个等级保护实施过程包括九个工作环节,具体为信息系统定级、信息系统 备案、安全差距测评、安全整改、第三方等保测评、安全运维、信息系统终止7 个基本流程和面向新建系统的安全规划/设计、安全建设实施 2 个附加流程。在等级保护实施过程中,其中一些规定的工作环节由于涉及信息安全的专业 技术,医疗卫生单位由于自身工作专长所限,一般由国家规定的建设、测评机构 进行建设和测评指导。我公司针对此情况,专为医疗卫生行业提供信息系统定级、 信息系统备案、安全差距测评、安全整改和第三方等保测评(验收测评)等技术 相关细节实施的安全服务。本等级保护

11、测评方案主要包括:信息系统定级、信息系统备案、安全差距测 评、整改辅助和验收测评三个部分的内容。2.1. 信息系统定级信息系统定级是整个信息系统等级保护工作的第一个重要环节,是等级保护 工作的首要环节,是展开信息系统建设、整改、测评、备案、监督检查等后续工 作的重要基础。在信息系统等级保护等级确定以后,信息系统运营和使用单位将 根据国家信息安全等级保护管理规范和技术标准,开展信息系统安全建设和改建 工作,因此,信息系统安全保护等级确定的准确与否非常关键。我公司将配合医疗行业收集、整理、组织专家会研讨等多种方式,根据信息 系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国 家

12、安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度 等因素确定安全保护等级。由于同一行业内部的处理相同业务的信息系统之间具有相似性,这些信息系 统对于国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的 影响程度具有类比性,同时,行业主管部门一般比信息系统的运营、使用单位具 有更高的站位、更宏观的视野,从而可以做出更准确地判断。信息系统运营、使 用单位在为信息系统确定安全保护等级以后,我公司将配合 *单位报主管部门 (上级医疗卫生主管单位)审核批准,从而保证信息系统安全级别确定的准确性 和一致性。 具体的定级细则请看“三、信息系统定级部分”2.2. 信息系统备案信

13、息系统定级工作完成以后,应进行系统备案。对于系统备案,“管理办法” 中作出了明确的规定。第二级信息系统应当在安全保护等级确定后 30日内,由 其运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建第二级以 上信息系统,应当在投入运行后 30日内,由其运营、使用单位到所在地区的市 级以上公安机关办理备案手续。我公司将为*单位整理备案所需材料,详见“四、 信息系统备案部分”。2.3. 等级保护差距测评信息系统安全等级保护差距测评是整个信息系统安全等级保护工作的又一 重要环节。差距测评通常用于判断信息系统的安全保护能力与国家要求之间的符 合程度,寻找安全保护水平与国家要求之间的差距,作为安全

14、需求用于指导信息 系统的安全建设或安全改造。我公司的等级保护差距测评主要采用差距分析表,通过访谈、检查、技术检 测等手段核查*单位的安全现状。在整理差距分析表时,差距分析项目组会根据 信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评 估的结果进行调整,去掉不适用项,即对本安全防护等级的不适用的指标项进行 适当裁剪,裁剪后的指标项作为本次差距分析的输入。差距测评包括如下四方面内容:A 安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及 备份恢复; 安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、 系统建设管理;系统运维差距分析:包括环境管理、资产

15、管理、介质管理、监控管理和 安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密 码管理、变更管理、备份与恢复管理、安全事件处置; 物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、 电磁防护。2.4. 整改辅助等级测评的宗旨始终坚持优化整改建设工作为目的,于是在差距测评中, 我们将按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,提出信 息系统所面临的脆弱点及与基线要求中的差距分析,并提出相应的整改建议,提 高信息系统整体安全保护能力,更加利于验收测评的顺利通过。2.5 验收测评验收测评的流程和测评依据同差距测评流程一致,所以这个阶段主要针对差 距测评阶段不符合和部分符合项目进行验证和测评,同时给出测评结论,并将相 应的测评报告提交到公安监管部门,以示整个测评流程完成。三、信息系统定级部分建议先对HIS/CIS系统进行等保定级,再根据*单位的自身额外安全需求, 将此信息系统按内部信息化办公、医疗集成应用、对外业务功能等应用划分为若 干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:3.1 业务信息安全保护等级的确定(1)业务信息描述*单位的HIS/CIS信息系统业务

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号