没有合适的资源?快使用搜索试试~ 我知道了~
信息系统等级保护测评工作方案及对策.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 41 浏览量
2023-03-07
20:32:53
上传
评论
收藏 892KB PDF 举报
温馨提示
试读
28页
/
资源推荐
资源详情
资源评论
- -
XX 安全服务公司
2018-2019 年 XXX 项目
等级保护差距测评实施案
XXXXXXXXX 信息安全 XX
201X 年 X 月
目 录
目录 0
1.项目概述 2
1.1.项目背景 2
1.2.项目目标 2
1.3.项目原则 3
1.4.项目依据 4
2.测评实施容 5
2.1.测评分析 5
2.1.1.测评围 5
2.1.2.测评对象 5
2.1.3.测评容 6
- 可修编辑-
- -
2.1.4.测评对象 8
2.1.5.测评指标 9
2.2.测评流程 11
2.2.1.测评准备阶段 11
2.2.2.案编制阶段 12
2.2.3.现场测评阶段 12
2.2.4.分析与报告编制阶段 14
2.3.测评法 15
2.3.1.工具测试 15
2.3.2.配置检查 16
2.3.3.人员访谈 16
2.3.4.文档审查 17
2.3.5.实地查看 17
2.4.测评工具 18
2.5.输出文档 19
2.5.1.等级保护测评差距报告错误!未定义书签。
2.5.2.等级测评报告错误!未定义书签。
2.5.3.安全整改建议错误!未定义书签。
3.时间安排 19
4.人员安排 19
4.1.组织结构及分工 20
4.2.人员配置表 21
4.3.工作配合 22
5.其他相关事项 23
5.1.风险规避 23
5.2.项目信息管理 25
5.2.1.XX 责任法律保证 26
5.2.2.现场安全 XX 管理 26
- 可修编辑-
- -
5.2.3.文档安全 XX 管理 26
5.2.4.离场安全 XX 管理 27
5.2.5.其他情况说明 27
1. 项目概述
1.1. 项目背景
为了贯彻落实《信息化领导小组关于加强信息安全保障工作的意见》、
《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》
的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照《信息安全技术信息系统安全
等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系
统安全等级保护基本要求》、《信息系统安全等级保护测评 准则》的要求,对
XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,
并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测评包
括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的
安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全
管理、系统建设管理和系统运维管理等五个面的安全控制测评),加大测评与
风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,
有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信
息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障
与运维能力。
1.2. 项目目标
全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估
工作和协助整改工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服
务,按照和XXXXXXXXXXXXXXXXXXX的有关要求,对XXXXXXXXXXXXXXXXXXX的
网络架构进行业务影响分析及网络安全管理工作进行梳理,提高
- 可修编辑-
- -
XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力,减少信息安全风险和
降低信息安全事件发生的概率,全面提高网络层面的安全性,构建
XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构,确保全局信息系统高效
稳定运行,并满足XXXXXXXXXXXXXXXXXXX提出的基本要求,及时提供咨询等服
务。
1.3. 项目原则
项目的案设计与实施应满足以下原则:
符合性原则: 应符合信息安全等级保护制度及相关法律法规,指出防的
针和保护的原则。
标准性原则: 案设计、实施与信息安全体系的构建应依据国、国际的相
关标准进行。
规性原则: 项目实施应由专业的等级测评师依照规的操作流程进行,在
实施之前将详细量化出每项测评容,对操作过程和结果提供规的记录,以便于
项目的跟踪和控制。
可控性原则: 项目实施的法和过程要在双认可的围之,实施进度要按照
进度表进度的安排,保证项目实施的可控性。
整体性原则: 安全体系设计的围和容应当整体全面,包括安全涉及的各
个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则: 项目实施工作应尽可能小的影响网络和信息系统的正常
运行,不能对信息系统的运行和业务的正常提供产生显著影响。
XX 原则:对项目实施过程获得的数据和结果格 XX,未经授权不得泄露
给任单位和个人,不得利用此数据和结果进行任侵害测评委托单位利益的行
为。
- 可修编辑-
- -
1.4. 项目依据
信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统
安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制
测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综
合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:
《计算机信息系统安全保护等级划分准则》- GB17859-1999
《信息安全技术 信息系统安全等级保护实施指南》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全等级保护管理办法》
《信息安全技术 信息系统安全等级保护定级指南》( GB/T 22240-
2008)
《信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239-
2008)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
《信息安全技术 服务器技术要求》(GB/T21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》( GA/T671-
2006)
- 可修编辑-
剩余27页未读,继续阅读
资源评论
若♡
- 粉丝: 6209
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功