《信息系统等级保护测评工作方案及对策》由会员分享,可在线阅读,更多相关《信息系统等级保护测评工作方案及对策(24页珍藏版)》请在金锄头文库上搜索。
1、-*平安效劳公司2018-2019年*工程等级保护差距测评实施案*信息平安*201*年*月. z.-目 录目录31.工程概述11.1.工程背景11.2.工程目标11.3.工程原则11.4.工程依据22.测评实施容32.1.测评分析32.1.1.测评围32.1.2.测评对象32.1.3.测评容42.1.4.测评对象62.1.5.测评指标72.2.测评流程82.2.1.测评准备阶段92.2.2.案编制阶段92.2.3.现场测评阶段102.2.4.分析与报告编制阶段112.3.测评法122.3.1.工具测试122.3.2.配置检查132.3.3.人员访谈132.3.4.文档审查142.3.5.实地查
2、看142.4.测评工具152.5.输出文档152.5.1.等级保护测评差距报告152.5.2.等级测评报告152.5.3.平安整改建议163.时间安排164.人员安排174.1.组织构造及分工174.2.人员配置表184.3.工作配合195.其他相关事项215.1.风险躲避215.2.工程信息管理235.2.1.*责任法律保证235.2.2.现场平安*管理235.2.3.文档平安*管理235.2.4.离场平安*管理245.2.5.其他情况说明24. z.-1. 工程概述1.1. 工程背景为了贯彻落实信息化领导小组关于加强信息平安保障工作的意见、关于信息平安等级保护工作的实施意见和信息平安等级保
3、护管理方法的精神,2015年*需要按照信息平安技术信息系统平安等级保护定级指南、计算机信息系统平安保护等级划分准则、信息系统平安等级保护根本要求、信息系统平安等级保护测评 准则的要求,对*现有六个信息系统进展全面的信息平安测评与评估工作,并且为*提供驻点咨询、实施等效劳。(平安技术测评包括:物理平安、网络平安、主机系统平安、应用平安和数据平安五个层面上的平安控制测评;平安管理测评包括:平安管理机构、平安管理制度、人员平安管理、系统建立管理和系统运维管理等五个面的平安控制测评,加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进展全面评估,有效提升信心系统的平安防护能力,建立常态化
4、的等级保护工作机制,深化信息平安等级保护工作,提高*网络与信息系统的平安保障与运维能力。1.2. 工程目标全面完成*现有六个信息系统的信息平安测评与评估工作和协助整改工作,并且为*提供驻点咨询、实施等效劳,按照和*的有关要求,对*的网络架构进展业务影响分析及网络平安管理工作进展梳理,提高*整个网络的平安保障与运维能力,减少信息平安风险和降低信息平安事件发生的概率,全面提高网络层面的平安性,构建*信息系统的整体信息平安架构,确保全局信息系统高效稳定运行,并满足*提出的根本要求,及时提供咨询等效劳。1.3. 工程原则工程的案设计与实施应满足以下原则: 符合性原则:应符合信息平安等级保护制度及相关法
5、律法规,指出防的针和保护的原则。 标准性原则:案设计、实施与信息平安体系的构建应依据国、国际的相关标准进展。 规性原则:工程实施应由专业的等级测评师依照规的操作流程进展,在实施之前将详细量化出每项测评容,对操作过程和结果提供规的记录,以便于工程的跟踪和控制。 可控性原则:工程实施的法和过程要在双认可的围之,实施进度要按照进度表进度的安排,保证工程实施的可控性。 整体性原则:平安体系设计的围和容应当整体全面,包括平安涉及的各个层面,防止由于遗漏造成未来的平安隐患。 最小影响原则:工程实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。 *原则:对工
6、程实施过程获得的数据和结果格*,未经授权不得泄露给任单位和个人,不得利用此数据和结果进展任侵害测评委托单位利益的行为。1.4. 工程依据信息系统等级测评依据信息系统平安等级保护根本要求、信息系统平安等级保护测评要求,在对信息系统进展平安技术和平安管理的平安控制测评及系统整体测评结果根底上,针对相应等级的信息系统遵循的标准进展综合系统测评,提出相应的系统平安整改建议。主要参考标准如下: 计算机信息系统平安保护等级划分准则- GB17859-1999 信息平安技术 信息系统平安等级保护实施指南 信息平安技术 信息系统平安等级保护测评要求 信息平安等级保护管理方法 信息平安技术 信息系统平安等级保护
7、定级指南GB/T 22240-2008 信息平安技术 信息系统平安等级保护根本要求GB/T 22239-2008 计算机信息系统平安保护等级划分准则GB17859-1999 信息平安技术 信息系统通用平安技术要求GB/T20271-2006 信息平安技术 网络根底平安技术要求GB/T20270-2006 信息平安技术 操作系统平安技术要求GB/T20272-2006 信息平安技术 数据库管理系统平安技术要求GB/T20273-2006 信息平安技术 效劳器技术要求GB/T21028-2007 信息平安技术 终端计算机系统平安等级技术要求GA/T671-2006 信息平安风险评估规GB/T 20
8、984-20072. 测评实施容2.1. 测评分析2.1.1. 测评围本工程围为对*已定级信息系统的等级保护测评。2.1.2. 测评对象本次测评对象为*信息系统,具体如下:序号信息系统名称级别1*信息系统三级2*信息系统三级3*信息系统三级4*信息系统三级5*信息系统二级6*信息系统二级2.1.3. 测评架构图本次测评结合*系统的信息管理特点,进展不同层次的测评工作,如下表所示:2.1.4. 测评容本工程主要分为两步开展实施。第一步,对*六个信息系统进展定级和备案工作。第二步,对*已经定级备案的系统进展十个平安层面的等级保护平安测评物理平安、网络平安、主机平安、应用平安、数据平安及备份恢复、平
9、安管理制度、平安管理机构、人员平安管理、系统建立管理、系统运维管理。其中平安测评分为差距测评和验收测评。差距测评主要针对*已定级备案系统执行标准的平安测评,差距测评交付差距测评报告以及差距测评整改案;差距整改完毕后协助完成系统配置面的整改。最后进展验收测评,验收测评将按照标准和公安成认的测评要求、测评过程、测评报告,协助对*已定级备案的系统执行系统平安验收测评,验收测评交付具有成认的验收测评报告。信息系统平安等级保护测评包括两个面的容:一是平安控制测评,主要测评信息平安等级保护要求的根本平安控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体平安性。其中,平安控制测评是
10、信息系统整体平安测评的根底。平安控制测评使用测评单元式组织,分为平安技术测评和平安管理测评两大类。平安技术测评包括:物理平安、网络平安、主机系统平安、应用平安和数据平安五个层面上的平安控制测评;平安管理测评包括:平安管理机构、平安管理制度、人员平安管理、系统建立管理和系统运维管理五个面的平安控制测评。具体见下列图:系统整体测评涉及到信息系统的整体拓扑、局部构造,也关系到信息系统的具体平安功能实现和平安控制配置,与特定信息系统的实际情况严密相关。在平安控制测评的根底上,重点考虑平安控制间、层面间以及区域间的相互关联关系,分析评估平安控制间、层面间和区域间是否存在平安功能上的增强、补充和削弱作用以
11、及信息系统整体构造平安性、不同信息系统之间整体平安性。综合测评总结将在平安控制测评和系统整体测评两个面的容根底上进展,由此而获得信息系统对应平安等级保护级别的符合性结论。2.1.5. 测评对象依照信息平安等级保护的要求、参考业界权威的平安风险评估标准与模型,同时结合本公司多年的平安风险评估经历与实践,从信息系统的核心资产出发,以威胁和弱点为导向,比照信息平安等级保护的具体要求,全面对信息系统进展全面评估。测评对象种类主要考虑以下几个面:1 整体网络拓扑构造;2 机房环境、配套设施;3 网络设备:包括路由器、核心交换机、会聚层交换机等;4 平安设备:包括防火墙、IDS/IPS、防病毒网关等;5
12、主机系统包括操作系统和数据库系统;6 业务应用系统;7 重要管理终端针对三级以上系统; 8 平安管理员、网络管理员、系统管理员、业务管理员;9 涉及到系统平安的所有管理制度和记录。根据信息系统的测评强度要求,在执行具体的核查法时,在广度上要做到从测评围中抽取充分的测评对象种类和数量;在执行具体的检测法,在深度上要做到对功能等各面的测试。2.1.6. 测评指标对于二级系统,如业务信息平安等级为S2,系统效劳平安等级为A2,则该系统的测评指标应包括GB/T 22239-2008信息系统平安保护等级根本要求中“技术要求局部的2级通用指标类G2,2级业务信息平安指标类S2,2级系统效劳平安指标类A2,
13、以及第2级“管理要求局部中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标二级技术/管理层面类数量S类(2级)A类(2级)G类(2级)小计平安技术物理平安11810网络平安1056主机平安2136应用平安4217数据平安2103平安管理平安管理制度0033平安管理机构0055人员平安管理0055系统建立管理0099系统运维管理001212合计66类对于三级系统,如业务信息平安等级为S3,系统效劳平安等级为A3,则该系统的测评指标应包括GB/T 22239-2008信息系统平安保护等级根本要求中“技术要求局部的3级通用指标类G3,3级业务信息平安指标类S3,3级系统效劳平安指标类A3,以及第3级“管理要求局部中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标三级技术/管理层面类数量S类(3级)A类(3级)G类(3级)小计平安技术物理平安11810网络平安10
