没有合适的资源?快使用搜索试试~ 我知道了~
信息系统等级保护测评工作方案.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 173 浏览量
2022-10-23
01:53:45
上传
评论
收藏 1.11MB PDF 举报
温馨提示
试读
26页
。。。
资源推荐
资源详情
资源评论
XX 安全服务公司
2018—2019 年 XXX 项目
等级保护差距测评实施方案
XXXXXXXXX 信息安全有限公司
201X 年 X 月
目 录
目 录................................................................ 1
1。 项目概述 .......................................................... 2
1.1。项目背景....................................................... 2
1。2。 项目目标 ..................................................... 3
1。3。 项目原则 ..................................................... 3
1。4。 项目依据 ..................................................... 4
2。 测评实施内容 ...................................................... 4
2。1.测评分析....................................................... 5
2。1.1.
...........................................................
测评范围5
2.1.2。
...........................................................
测评对象5
2。1。3。
.........................................................
测评内容5
2.1。4。
..........................................................
测评对象8
2.1。5.
...........................................................
测评指标9
2。2.测评流程...................................................... 10
2.2.1. 测评准备阶段 .............................................. 11
2。2.2.
.......................................................
方案编制阶段12
2。2.3.
.......................................................
现场测评阶段12
2.2.4。
................................................
分析与报告编制阶段14
2.3. 测评方法...................................................... 14
2。3.1.
...........................................................
工具测试14
2。3。2。
.........................................................
配置检查15
2.3。3.
...........................................................
人员访谈15
2。3。4。
.........................................................
文档审查16
2。3.5。
..........................................................
实地查看16
2.4。 测评工具 .................................................... 17
2.5。 输出文档 .................................................... 18
2。5.1。
.............................................
等级保护测评差距报告错误!未定义书
2。5。2。
.....................................................
等级测评报告错误!未定义书
2.5。3.
.......................................................
安全整改建议错误!未定义书
3。 时间安排 ......................................................... 18
4。 人员安排 ......................................................... 19
4。1。 组织结构及分工 .............................................. 19
4。2. 人员配置表 .................................................. 20
4.3。工作配合...................................................... 21
5。 其他相关事项 ..................................................... 22
5.1。 风险规避 .................................................... 22
5.2。项目信息管理.................................................. 24
5。2.1.
..................................................
保密责任法律保证24
5。2.2.
..................................................
现场安全保密管理24
5。2。3。
................................................
文档安全保密管理25
5。2。4.
.................................................
离场安全保密管理25
5.2.5。
.......................................................
其他情况说明25
1. 项目概述
1.1. 项目背景
为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意
见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理
办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息
系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、
《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评 准则》的
要求,对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评
估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术
测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层
面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人
员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加
大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全
面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机
制,深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的
安全保障与运维能力。
1.2. 项目目标
全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工
作和协助整改工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务,
按照国家和XXXXXXXXXXXXXXXXXXX的有关要求,对XXXXXXXXXXXXXXXXXXX的网络
架构进行业务影响分析及网络安全管理工作进行梳理,提高
XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力,减少信息安全风险和降
低信息安全事件发生的概率,全面提高网络层面的安全性,构建
XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构,确保全局信息系统高效稳
定运行,并满足XXXXXXXXXXXXXXXXXXX提出的基本要求,及时提供咨询等服务.
1.3. 项目原则
项目的方案设计与实施应满足以下原则:
符合性原则: 应符合国家信息安全等级保护制度及相关法律法规,指出
防范的方针和保护的原则。
标准性原则: 方案设计、实施与信息安全体系的构建应依据国内、国际
的相关标准进行.
规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,
在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,
以便于项目的跟踪和控制.
可控性原则: 项目实施的方法和过程要在双方认可的范围之内,实施进
度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则: 安全体系设计的范围和内容应当整体全面,包括安全涉及
的各个层面,避免由于遗漏造成未来的安全隐患.
最小影响原则: 项目实施工作应尽可能小的影响网络和信息系统的正常
运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则: 对项目实施过程获得的数据和结果严格保密,未经授权不得
泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利
益的行为。
第 3 页 共 24 页
1.4. 项目依据
信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统
安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制
测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综
合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:
《计算机信息系统安全保护等级划分准则》- GB17859-1999
《信息安全技术 信息系统安全等级保护实施指南》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全等级保护管理办法》
《信息安全技术 信息系统安全等级保护定级指南》( GB/T 22240-
2008)
《信息安全技术 信息系统安全等级保护基本要求》 (GB/T 22239 —
2008)
《计算机信息系统安全保护等级划分准则》(GB17859—1999)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 网络基础安全技术要求》(GB/T20270—2006)
《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术 数据库管理系统安全技术要求》(GB/T20273—2006)
《信息安全技术 服务器技术要求》(GB/T21028—2007)
《信 息安 全技 术 终端计算机系统安全等级技术要求》 (GA/T671-
2006)
《信息安全风险评估规范》(GB/T 20984-2007)
2. 测评实施内容
第 4 页 共 24 页
剩余25页未读,继续阅读
资源评论
xxpr_ybgg
- 粉丝: 6559
- 资源: 3万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功