《信息系统等级保护测评项目计划书》由会员分享,可在线阅读,更多相关《信息系统等级保护测评项目计划书(36页珍藏版)》请在金锄头文库上搜索。
1、文档编号:zzzzzzxxxxxxxxxx信息系统等级保护测评项目项目计划书授 权 方:xxxxxxxxxx被授权方:rrrrrr编制日期:2016年2月29日 目 录1.概述11.1项目背景11.2项目目的11.3工作依据22.技术思路和工作内容32.1技术思路32.1.1测评指标32.1.2测评对象选择方法72.1.3测评方法82.2工作范围内容83.项目实施方案103.1项目实施过程103.2阶段工作产品114.项目组织方案134.1项目组织结构134.2人员构成和职责144.3项目实施计划145.项目质量管理和控制155.1过程质量控制管理165.1.1过程质量管理风险165.1.2过
2、程质量风险控制175.2变更控制管理245.2.1变更管理存在的风险245.2.2变更管理控制方法245.3项目风险管理255.3.1项目进度风险的管理255.3.2项目协作与沟通风险的管理275.3.3测评工作引入风险的管理295.4保密控制管理315.4.1人员保密管理315.4.2设备保密管理325.4.3文档保密管理326.签字确认3321. 概述1.1 项目背景根据中华人民共和国计算机信息系统安全保护条例、信息安全技术 信息系统安全等级保护测评要求、信息安全技术 信息系统安全等级保护基本要求、信息安全技术 信息安全等级保护管理规定等一系列国家及信息安全技术 针对信息系统等级保护颁布的
3、政策法规及文件要求,定级为等级保护二级的信息系统应该每年至少进行一次等级测评。目前xxxxxxxxxx信息系统尚未进行过等级保护专业测评。为进一步加强xxxxxxxxxx信息系统等级保护工作,按照信息安全技术 信息安全等级保护管理规定相关规定,计划对xxxxxxxxxx重要的信息系统进行等级保护专业测评。依据信息安全等级保护管理办法(公通字200743号)的相关要求,也为了持续有效提高信息系统的安全防护能力,受xxxxxxxxxx委托我中心计划与2016年2月29日起对xxxxxxxxxx信息系统实施信息安全等级测评工作,以期通过此次测评发现系统现有安全防护措施的薄弱环节,为下一步的信息系统安
4、全建设整改提供可靠依据,以有效提高xxxxxxxxxx信息系统的安全运行能力。1.2 项目目的通过对xxxxxxxxxx开展安全测评工作,可以全面、完整地了解当前xxxxxxxxxx的安全状况,分析系统所面临的各种风险。根据测评结果发现系统存在的安全问题,并对严重的问题提出相应的风险控制策略,并为下一步进行整个系统的信息系统安全建设做前期准备。对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。通过对xxxxxxxxxx实施等级测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,可以在技术和管理方面进行有针对性的加强和完善
5、,使xxxxxxxxxx安全工作有的放矢。 xxxxxxxxxx可依据等级测评结果,并结合单位的实际情况,区分轻重缓急,制定针对性的安全整改建议,通过安全整改不断提高信息系统的整体安全保护水平。1.3 工作依据 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008) 信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全等级保护测评要求(GB/T 28448-2012) 信息安全技术 信息系统安全等级保护测评过程指南
6、(GB/T 28449-2012) 信息安全技术 信息系统安全等级保护实施指南(GB/T 25058-2010) 信息安全技术信息系统通用安全技术要求(GB/T20271-2006) 信息安全技术网络基础安全技术要求(GB/T20270-2006) 信息安全技术操作系统安全技术要求(GB/T20272-2006) 信息安全技术数据库管理系统安全技术要求(GB/T20273-2006) 信息安全技术服务器技术要求(GB/T21028-2007) 信息安全技术终端计算机系统安全等级技术要求(GA/T671-2006) 信息安全风险评估规范(GB/T20984-2007)2. 技术思路和工作内容2.
7、1 技术思路2.1.1 测评指标测评指标暂定选取信息安全技术 信息系统安全等级保护基本要求中2级系统基本要求指标,包括信息安全技术 信息系统安全等级保护基本要求7.1节“技术要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2),和2级业务服务保证类(A2),以及7.2节“管理要求”中的所有要求,安全控制指标如下表:安全分类安全子类测评项数备注物理安全物理位置的选择1测评物理机房所在的外部环境安全性。物理访问控制2测评进出机房的审批控制手段以及机房出入口的安全控制情况。防盗窃和防破坏5测评机房内设备和通信线缆的安全性以及监控报警系统建设情况。防雷击2测评建筑防雷和防感应雷的建设情况
8、。防火1+测评自动监控防火系统设置情况以及机房材料防火情况。防水和防潮3测评机房内水管设置情况、防止结露所采取的措施以及监控报警系统建设情况。防静电1测评机房防静电所采取的措施。温湿度控制1+测评机房温湿度控制措施。电力供应2测评电力线路、备用电源以及发电机的配备情况。电磁防护1测评线缆电磁防护手段和设备电磁防护手段。网络安全结构安全4+主要核查:主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。访问控制4+主要核查:访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。安全审计2主要核查:网络设备日志收集、分
9、析和统计以及保护等等。边界完整性检查1主要核查:是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断;是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断。入侵防范1主要核查:部署IDS、IPS系统以及使用情况。网络设备防护6主要核查:用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限分离。主机安全身份鉴别5主要核查:用户身份鉴别方式、账号与用户对应关系和密码安全强度,包括账户和口令长度设置情况,口令更改周期等;登录失败处理功能设置情况。访问控制4主要核查:特权用户的权限分离情况;默认账户的访问权限;多余和过期的账户
10、的处理情况;管理用户最小授权原则落实情况。安全审计4主要核查:安全审计的覆盖范围;记录内容完整性;审计记录的分析能力;审计记录的保护情况。入侵防范1+主要核查:重要服务器入侵行为的检测/报警情况;重要程序的完整性保护情况;主机资源的使用情况;操作系统组件安装和补丁升级情况。恶意代码防范2主要核查:系统补丁安装情况;防病毒和恶意代码产品的使用情况及升级情况;核查系统是否有木马程序。资源控制3主要核查:终端登录限制方式;重要服务器资源的监视情况;系统服务水平的核查和报警能力。应用安全身份鉴别4主要核查:用户身份鉴别方式、账号与用户对应关系和密码安全强度,包括账户和口令长度设置情况,口令更改周期等;
11、登录失败处理功能设置情况。访问控制4主要核查:特权用户的权限分离情况;默认账户的访问权限;多余和过期的账户的处理情况;管理用户最小授权原则落实情况。安全审计3主要核查:安全审计的覆盖范围;记录内容完整性;审计记录的分析能力;审计记录的保护情况。通信完整性1+主要核查:密码在传输过程中所采用的技术是否能保证通信过程中数据的完整性。通信保密性2主要核查:通信过程中信息的传递是否加密。软件容错2主要核查:数据的校验功能以及恢复能力。资源控制3主要核查:终端登录限制方式;重要服务器资源的监视情况;系统服务水平的核查和报警能力。数据安全数据完整性1+主要核查:系统管理数据、鉴别信息和重要业务数据在传输过
12、程中的完整性和恢复措施。数据保密性1主要核查:系统管理数据、鉴别信息和重要业务数据的传输保密性和存储保密性。备份和恢复2主要核查:备份策略、介质存放和数据恢复等。安全管理制度管理制度3+主要核查:总体安全策略建设情况;各类安全管理制度建设情况以及各类系统操作规范建设情况。制定和发布3主要核查:安全管理制度制定的责任部门设立情况;安全管理制度的制定过程以及发布方式。评审和修订1主要核查:安全管理制度评审修订时机以及目前安全管理制度修订情况。安全管理机构岗位设置2主要核查:安全管理岗位设立及职责明确情况。人员配备2主要核查:安全管理岗位人员配备情况。授权和审批2主要核查:针对重大系统操作的授权和审
13、批情况。沟通和合作2主要核查:与系统内部以及外部相关部门、单位的日常沟通机制。审核和检查1主要核查:系统安全检查工作规范化程度和落实情况。安全人员管理人员录用3+主要核查:人员录用过程规范化管理;对录用人员保密责任的约束方式以及对关键岗位职责约束的方式。人员离岗3主要核查:人员离岗过程控制;人员离岗的保密承诺控制。人员考核1主要核查:人员日常技能考核情况以及针对关键岗位的信用审查情况。安全意识教育和培训3+主要核查:安全培训计划的制定情况和实施情况。外部人员访问管理1+主要核查:对外部人员进入重要区域的审批、控制管理。系统建设管理系统定级3主要核查:信息系统是否明确其安全保护等级,系统定级的相
14、关情况。安全方案设计4主要核查:系统的信息安全工作的总体规划设计情况。产品采购和使用3主要核查:系统中信息安全产品的采购和使用管理措施。自行软件开发3主要核查:系统内自行软件开发工作的管理和控制措施。外包软件开发4主要核查:外包开发的软件质量,保证外包软件安全可用。工程实施2主要核查:信息系统工程的实施情况。测试验收3主要核查:信息系统工程的验收情况。系统交付3主要核查:信息系统工程的交付情况。安全服务商选择3主要核查:对系统中相关的安全服务商选择以及服务管理措施。系统运维管理环境管理4主要核查:对机房基础设施日常管理情况以及办公环境的管理。资产管理4主要核查:对系统资产管理的制度建设情况以及标识管理。介质管理4主要核查:对各类介质的传输、使用、存储和销毁等环节的管理。设备管理4主要核查:对各类设备日常的使用、操作和维护维修的管理。网络安全管理6主要核查:安全管理制度建设情况以及违规联网
