没有合适的资源?快使用搜索试试~ 我知道了~
某局等保评估服务方案(DOC97页).pdf
需积分: 15 29 下载量 22 浏览量
2020-03-25
00:31:25
上传
评论
收藏 2.47MB PDF 举报
温馨提示
试读
50页
某局等保评估服务方案(DOC97页)信息系统集成项目风险评估及防控措施 1、 参与涉密项目人员风险评估 1.1 可能存在的风险点 项目部组建时人员是否满足涉密人员要求; 上岗前是否接受过保密知识培训及考核; 是否与公司签订保密承诺书,保密协议,保密责任书及涉密人员考核评价表; 部门是否按照公司要求开展保密知识培训,加强部门涉密人员的保密意识; 涉密人员离岗时是否签订离岗保密承诺书,保密工作领导小组是否对其进行 脱密期管理。 1.2 风险防控措施
资源推荐
资源详情
资源评论
某市某单位某市某单位
信息安全等级保护评估服务规划方案信息安全等级保护评估服务规划方案
((V1.0))
目录目录
第第 1 章章
.
项目概述项目概述 ..................................................................................................... 2
1.1. 项目背景 ................................................................................................................ 2
1.2. 项目依据 ................................................................................................................ 2
1.3. 项目建设内容 ........................................................................................................ 3
第第 2 章章
.
系统安全需求分析系统安全需求分析 ...................................................................................... 4
2.1. 目前状况 ................................................................................................................ 4
2.2. 状况分析 ................................................................................................................ 5
第第 3 章章
.
等保评估等保评估 ..................................................................................................... 6
3.1. 测评基本内容 ........................................................................................................ 6
3.2. 评估对象现状 ........................................................................................................ 7
3.2.1. 系统定级 ......................................................................................................... 7
3.2.2. 系统列表 ......................................................................................................... 7
3.3. 等级保护评估实施规划 ........................................................................................ 7
3.3.1. 评估方法 ......................................................................................................... 7
3.3.2. 评估工具 ......................................................................................................... 8
3.3.3. 评估流程 ......................................................................................................... 9
3.4. 等级保护评估内容规划 ...................................................................................... 10
3.4.1. 安全控制评估 ............................................................................................... 10
3.4.2. 安全管理评估 ............................................................................................... 44
3.4.3. 系统整体评估 ............................................................................................... 80
3.4.4. 综合评估分析 ............................................................................................... 80
3.5. 等级保护评估安排 .............................................................................................. 80
3.5.1. 现场评估准备 ............................................................................................... 80
3.5.2. 现场检查测试 ............................................................................................... 83
3.5.3. 需要配合事项 ............................................................................................... 84
第第 4 章章
.
安全管理体系建设安全管理体系建设 .................................................................................... 85
4.1. 总体安全体系建设 .............................................................................................. 85
4.2. 安全管理层面 ...................................................................................................... 85
4.2.1. 安全管理制度 ............................................................................................... 86
4.2.2. 安全管理机构 ............................................................................................... 86
4.2.3. 人员安全管理 ............................................................................................... 87
4.2.4. 系统建设管理 ............................................................................................... 87
4.2.5. 系统运维管理 ............................................................................................... 88
第第 5 章章
.
项目规划建设项目规划建设
.
........................................................................................... 89
5.1. 总体工作计划 ...................................................................................................... 89
5.2. 系统差距评估 ...................................................................................................... 89
第第 6 章章
.
安全建设清单及预算安全建设清单及预算 ................................................................................ 93
第1章
.
项项目概述目概述
1.1. 项目背景项目背景
2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联
合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指
出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增
强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重
点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公
共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工
作已经迫在眉睫。
按照《中华人民共和国计算机信息系统安全保护条例》(国务院令第 147 号)、《国
家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)、《信息
安全等级保护管理办法》(公通字[2007]43 号)等文件要求,某市某单位积极响应等
级保护要求,将开展等保定级、等保评估、等级保护整改、差距测评等评估工作,
切实将信息发布系统建成“信息公开、在线办事、公众参与”三位一体的业务体系,
为企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。
目前,需要对现有的 6 个系统展开等级保护工作, 7 个系统分别是:某市某单
位 OA 系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、
某市某单位路政巡查系统、某市某单位网站。虽然系统各异,但是都在同一个物理
地址,故此统一对 6 个系统进行等级保护安全建设,使之更加安全、稳定。
某信息化公司信息安全技术有限公司(简称某信息化公司公司)通过多年来在
信息安全咨询、服务、建设中的积累和发展,逐步形成的一套完善的信息安全工程
体系,以专业理论和技术为支撑;以多种专业测试工具为手段;以国际和国家信息
安全标准为实施规范。某信息化公司信息安全技术股份有限公司为客户提供全面的,
专业的安全支持。
1.2. 项目依据项目依据
((11))
《
国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27
号)
((22)) 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》
((33)) 《信息安全等级保护管理办法》(公通字[2007]43 号)
((44)) 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发
改高技[2008]2071 号)
((55)) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
((66)) GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
((77)) GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
((88)) GB/T 19716-2005 信息技术 信息安全管理实用规则
((99)) GB/T 20270-2006 信息安全技术 网络基础安全技术要求
((1010)) GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求
((1111)) GB/T 20272-2006 信息安全技术 操作系统安全技术要求
((1212)) GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
((1313)) GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
((1414)) GB/T 21052-2006 等级保护系列安全产品技术要求
((1515)) 国家标准《电子计算机机房设计规范》(GB50174-93)
((1616)) 国家标准《计算站场地安全技术》(GB9361-88)
((1717)) 《中国工程建设标准化协会标准—建筑与建筑群综合布线系统工程设计规
范》(CECS72:95)
1.3. 项目建设内容项目建设内容
首先,本次项目以满足国家信息系统等级保护的相关要求为实施指导原则,某
信息化公司公司对某市某单位 OA 系统、某市某单位档案系统、某市某单位大道班
系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这 6 个系
统业务系统进行协助等保定级,并开展等保评估工作,对以后的人员组织结构调整、
安全制度提供相应建议,并对其网络、应用和主机等方面进行整改规划实施,来使
其具备良好的保密性、完整性、可用性。通过对国家等级保护测评单位的测评;再
次,某信息化公司公司可配合用户单位,完成第三方测评单位对全部 6 个系统进行
验收测评。
具体来讲,本项目的建设内容包括:具体来讲,本项目的建设内容包括:
剩余49页未读,继续阅读
资源评论
kfkaka
- 粉丝: 1
- 资源: 16
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功