信息系統(tǒng)等級測評文檔準(zhǔn)備指引_第1頁
信息系統(tǒng)等級測評文檔準(zhǔn)備指引_第2頁
信息系統(tǒng)等級測評文檔準(zhǔn)備指引_第3頁
已閱讀5頁,還剩29頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、信息系統(tǒng)等級測評文檔準(zhǔn)備指南電力行業(yè)等級保護測評中心華電卓識實驗室2009年9月目錄一、文檔提交要求 2二、準(zhǔn)備文檔時需注意的問題 3附件一 信息系統(tǒng)基本情況調(diào)查表 5表 1-1. 單位基本情況 7表 1-2. 參與人員名單 8表 1-3. 物理環(huán)境情況 9表 1-4. 信息系統(tǒng)基本情況 10表 1-5. 信息系統(tǒng)承載業(yè)務(wù)(服務(wù))情況 11表 1-6. 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)(環(huán)境)情況 12表 1-7. 外聯(lián)線路及設(shè)備端口(網(wǎng)絡(luò)邊界)情況調(diào)查 13表 1-8. 網(wǎng)絡(luò)設(shè)備情況 14表 1-9. 安全設(shè)備情況 15表 1-10. 服務(wù)器設(shè)備情況 16表 1-11. 終端設(shè)備情況 17表 1-12. 系

2、統(tǒng)軟件情況 18表 1-13. 應(yīng)用系統(tǒng)軟件情況 19表 1-14. 業(yè)務(wù)數(shù)據(jù)情況 20表 1-15. 數(shù)據(jù)備份情況 21表 1-16. 應(yīng)用系統(tǒng)軟件處理流程(多表) 22表 1-17. 業(yè)務(wù)數(shù)據(jù)流程(多表) 23表 1-18. 安全威脅情況 24附件二 信息系統(tǒng)安全技術(shù)方案 26附件三 信息安全管理制度 27表 3-1. 安全管理機構(gòu)類文檔 27表 3-2. 安全管理制度類文檔 28表 3-3. 人員安全管理類文檔 29表 3-4. 系統(tǒng)建設(shè)管理類文檔 30表 3-5. 系統(tǒng)運維管理類文檔 32一、文檔提交要求當(dāng)委托機構(gòu)正式委托電力行業(yè)等級保護測評中心華電卓識實驗室對其信息系統(tǒng)實施等級測評時

3、,為了使測評人員在現(xiàn)場測評前期就能夠?qū)Ρ辉u估系統(tǒng)有清 晰而全面地了解,委托機構(gòu)應(yīng)根據(jù)申請的測評類型準(zhǔn)備文檔。委托測評類型主要包括:等級符合性檢驗風(fēng)險評估滲透測試方案咨詢需準(zhǔn)備的測評文檔主要包括:信息系統(tǒng)基本情況調(diào)查表信息系統(tǒng)安全技術(shù)方案信息安全管理制度其他委托單位在準(zhǔn)備測評文檔時,應(yīng)根據(jù)所申請的測評業(yè)務(wù)類型準(zhǔn)備相應(yīng)的文 檔。二者對應(yīng)關(guān)系如下:文檔類型委托測評類型7、信息系統(tǒng)基 本情況調(diào)查 表(附件一)信息系統(tǒng)安 全技術(shù)方案(附件二)信息安全管 理制度(附件三)其他等級符合性檢驗VVV風(fēng)險評估VVV滲透測試測試IP范圍方案咨詢V相關(guān)方案二、準(zhǔn)備文檔時需注意的問題保證提交文檔內(nèi)容真實、全面、詳細(xì)、

4、準(zhǔn)確文檔材料,紙版和電子版文檔均可提交文檔時做好詳細(xì)的文檔交接記錄附件一 信息系統(tǒng)基本情況調(diào)查表1、請?zhí)峁┬畔⑾到y(tǒng)的最新網(wǎng)絡(luò)結(jié)構(gòu)圖(拓?fù)鋱D) 網(wǎng)絡(luò)結(jié)構(gòu)圖要求: 應(yīng)該標(biāo)識出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱 應(yīng)該標(biāo)識出服務(wù)器設(shè)備的 IP 地址 應(yīng)該標(biāo)識網(wǎng)絡(luò)區(qū)域劃分等情況 應(yīng)該標(biāo)識網(wǎng)絡(luò)與外部的連接等情況 應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說明所有業(yè)務(wù)流程和系統(tǒng)組成如果一張圖無法表示,可以將核心部分和接入部分分別劃出,或以多張圖 表示。2、請根據(jù)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖填寫各類調(diào)查表格。調(diào)查表清單表 1-1. 單位基本情況表 1-2. 參與人員名單表 1-3. 物理環(huán)境情況表 1-4. 信息系統(tǒng)基本情況表

5、1-5. 信息系統(tǒng)承載業(yè)務(wù)(服務(wù))情況表 1-6. 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)(環(huán)境)情況表 1-7. 外聯(lián)線路及設(shè)備端口(網(wǎng)絡(luò)邊界)情況調(diào)查 表 1-8. 網(wǎng)絡(luò)設(shè)備情況表 1-9. 安全設(shè)備情況表 1-10. 服務(wù)器設(shè)備情況表 1-11. 終端設(shè)備情況表 1-12. 系統(tǒng)軟件情況表 1-13. 應(yīng)用系統(tǒng)軟件情況表 1-14. 業(yè)務(wù)數(shù)據(jù)情況表 1-15. 數(shù)據(jù)備份情況表 1-16. 應(yīng)用系統(tǒng)軟件處理流程(多表)表 1-17. 業(yè)務(wù)數(shù)據(jù)流程(多表)表 1-18. 安全威脅情況表1-1.單位基本情況填表人:日期:單位全稱簡稱單位情況簡介單位所屬類型 黨政機關(guān) 國家重要行業(yè)、重要領(lǐng)域或重要企事業(yè)單位 一般企事

6、業(yè)單位 其他類型單位地址郵政編碼負(fù)責(zé)人姓名電話傳真電子郵件地址聯(lián)系人電話傳真電子郵件地址上級主管部門注:情況簡介一欄,請?zhí)顚懪c被測評系統(tǒng)有關(guān)的機構(gòu)的內(nèi)容表1-2.參與人員名單填表人:日期:序號人員名稱所屬部門職務(wù)/職稱負(fù)責(zé)范圍聯(lián)系方法12345678910111213表1-3.物理環(huán)境情況填表人:日期:序號物理環(huán)境名稱物理位置涉及信息系統(tǒng)1234567注:物理環(huán)境包括主機房、輔機房、辦公環(huán)境等。表1-4.信息系統(tǒng)基本情況填表人:日期:序號信息系統(tǒng)名稱安全保護等級業(yè)務(wù)信息安全保護等級系統(tǒng)服務(wù)安全保護等級承載業(yè)務(wù)應(yīng)用123456789表1-5.信息系統(tǒng)承載業(yè)務(wù)(服務(wù))情況填表人:日期:序號業(yè)務(wù)(服

7、務(wù)) 名稱業(yè)務(wù)描述業(yè)務(wù)處理 信息類別用戶 數(shù)量用戶分布范圍涉及的應(yīng)用系統(tǒng)軟件是否24小時運行是否可以脫 離系統(tǒng)兀成重要程度責(zé)任 部門123456789注:1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位2、業(yè)務(wù)信息類別一欄填寫:a)國家秘密信息b)非密敏感信息(機構(gòu)或公民的專有信息)c)可公開信息表1-6.重要程度欄填寫非常重要、重要、一般表1-6.信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)(環(huán)境)情況填表人:日期:序號網(wǎng)絡(luò)區(qū)域名稱主要業(yè)務(wù)和信息描述IP網(wǎng)段地址服務(wù)器數(shù)量終端數(shù)量與其連接的其它 網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域邊界設(shè)備重要程度責(zé)任部門備注12345注:重要程度填寫非常重要、重要、一般表1-7.外聯(lián)線路及設(shè)備端口(網(wǎng)絡(luò)邊

8、界)情況調(diào)查填表人:日期:序號外聯(lián)線路名稱(邊界名稱)所屬網(wǎng)絡(luò)區(qū)域連接對象名稱接入線路種類傳輸速率(帶寬)線路接入設(shè)備承載主要業(yè)務(wù) 應(yīng)用備注12345678910表1-8.網(wǎng)絡(luò)設(shè)備情況填表人:日期:序號網(wǎng)絡(luò)設(shè)備 名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件 及版本端口類型 及數(shù)量主要用途是否 熱備重要程度備注12345678910注:重要程度填寫非常重要、重要、一般表1-9.安全設(shè)備情況填表人:日期:序號網(wǎng)絡(luò)安全設(shè)備 名稱型號(軟件/硬件)物理位置所屬網(wǎng)絡(luò) 區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)及運行平臺端口類型 及數(shù)量是否 熱備備注12345678910表1-10.服務(wù)器設(shè)備情況填表人:日

9、期:序號服務(wù)器設(shè) 備名稱型號物理位 置所屬網(wǎng)絡(luò) 區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補丁安裝應(yīng)用系 統(tǒng)軟件名稱主要業(yè)務(wù) 應(yīng)用涉及數(shù)據(jù)是否 設(shè)備重要程度注:1、重要程度填寫非常重要、重要、一般2、包括數(shù)據(jù)存儲設(shè)備表1-11.終端設(shè)備情況填表人:日期:序號終端設(shè)備 名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域設(shè)備數(shù)量IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)安裝應(yīng)用系 統(tǒng)軟件名稱涉及數(shù)據(jù)主要用途重要程度注:1、重要程度填寫非常重要、重要、一般2、包括專用終端設(shè)備以及網(wǎng)管終端、安全設(shè)備控制臺等表1-12.系統(tǒng)軟件情況填表人:日期:序號系統(tǒng)軟件名稱版本軟件廠商硬件平臺涉及應(yīng)用系統(tǒng)12345678910注:包括操作系統(tǒng)、數(shù)據(jù)庫系

10、統(tǒng)等軟件表1-13.應(yīng)用系統(tǒng)軟件情況填表人:日期:序號應(yīng)用系統(tǒng)軟件名稱開發(fā)商硬件/軟件平臺C/S或B/S模式涉及數(shù)據(jù)現(xiàn)有用戶數(shù)量主要用戶角色123456789101112表1-14.業(yè)務(wù)數(shù)據(jù)情況填表人:日期:序號數(shù)據(jù)名稱數(shù)據(jù)使用者或管理者 及其訪問權(quán)限數(shù)據(jù)安全性要求數(shù)據(jù)總量 及日增量涉及業(yè)務(wù)應(yīng)用涉及存儲系統(tǒng)與 處理設(shè)備保密完整可用12345678注:數(shù)據(jù)安全性要求每項填寫高、中、低 如本頁不夠、請繼頁填寫。表1-15.數(shù)據(jù)備份情況填表人:日期:序號備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地保存過期處理辦法所屬備份系統(tǒng)1234567891011注:備份數(shù)據(jù)名與表1-12對應(yīng)的數(shù)據(jù)名稱一致表1-16

11、.應(yīng)用系統(tǒng)軟件處理流程(多表)填表人:日期:應(yīng)用系統(tǒng)軟件處理流程圖(應(yīng)用軟件名稱:)應(yīng)用系統(tǒng)軟件處理流程圖(應(yīng)用軟件名稱:)注:重要應(yīng)用系統(tǒng)軟件應(yīng)該描繪處理流程圖,說明主要處理步驟、過程、流向、涉及設(shè)備和用戶 如本頁不夠,請續(xù)頁填寫。表1-17.業(yè)務(wù)數(shù)據(jù)流程(多表)填表人:日期:數(shù)據(jù)流程圖(數(shù)據(jù)名稱:)數(shù)據(jù)流程圖(數(shù)據(jù)名稱:)注:重要數(shù)據(jù)應(yīng)該描繪數(shù)據(jù)流程圖,從數(shù)據(jù)產(chǎn)生到傳輸經(jīng)過的主要設(shè)備,再到存儲設(shè)備等流程 如本頁不夠,請續(xù)頁填寫。表1-18.安全威脅情況填表人:日期:序號安全事件調(diào)查調(diào)查結(jié)果1是否發(fā)生過網(wǎng)絡(luò)安全事件 沒有 口 1次/年 口2次/年 口3次以上/年 不清楚 安全事件說明:(時間

12、、影響)2發(fā)生的網(wǎng)絡(luò)安全事件類型(多選)感染病毒/蠕蟲/特洛伊木馬程序拒絕服務(wù)攻擊端口掃描攻擊數(shù)據(jù)竊取 破壞數(shù)據(jù)或網(wǎng)絡(luò)篡改網(wǎng)頁垃圾郵件內(nèi)部人員有意破壞內(nèi)部人員濫用網(wǎng)絡(luò)端口、系統(tǒng)資源被利用發(fā)送和傳播有害信息口網(wǎng)絡(luò)詐騙和盜竊口其他其他說明:3如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件(多選)網(wǎng)絡(luò)(系統(tǒng))管理員工作檢測發(fā)現(xiàn)通過事后分析發(fā)現(xiàn)通過安全產(chǎn)品發(fā)現(xiàn)有關(guān)部門通知或意外發(fā)現(xiàn)他人告知其他其他說明:4網(wǎng)絡(luò)安全事件造成損失評估非常嚴(yán)重嚴(yán)重一般比較輕微輕微無法評估5可能的攻擊來源內(nèi)部外部都有病毒其他原因不清楚6導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的可能原因未修補或防范軟件漏洞口網(wǎng)絡(luò)或軟件配置錯誤 登陸密碼過于簡單或未修改缺少訪冋控制口攻擊者使

13、用拒絕服務(wù)攻擊攻擊者利用軟件默認(rèn)設(shè)置利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)網(wǎng)攻擊者使用欺詐方法不知原因其他其他說明:7是否發(fā)生過硬件故障有(注明時間、頻率)無造成的影響是8是否發(fā)生過軟件故障有(注明時間、頻率)無造成的影響是9是否發(fā)生過維護失誤有(注明時間、頻率)無造成的影響是10是否發(fā)生過因用戶操作失誤引起的安全事 件有(注明時間、頻率)無造成的影響是11是否發(fā)生過物理設(shè)施/設(shè)備被物理破壞有(注明時間、頻率)無造成的影響是12有無遭受自然性破壞(如雷擊等)有(注明時間、頻率)無有請注明時間、事件后果13有無發(fā)生過莫名其妙的故障有(注明時間、頻率)無有請注明時間、事件后果附

14、件二 信息系統(tǒng)安全技術(shù)方案1. 信息系統(tǒng)建設(shè)的背景、目的2. 信息系統(tǒng)的主要業(yè)務(wù)功能、使用用戶和業(yè)務(wù)信息流3. 信息系統(tǒng)的安全需要4. 信息系統(tǒng)安全功能設(shè)計描述應(yīng)用軟件的安全功能 一般的安全機制包括身份鑒別、訪問控制、安全審計、通信安全、抗抵賴、軟件容錯、資源控制、代碼安全等。描述網(wǎng)絡(luò)層采取的安全設(shè)置一般的安全機制包括結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范等描述系統(tǒng)層采取的安全設(shè)置一般的安全機制包括后臺用戶的身份鑒別、訪問控制、安全審計等描述針對此系統(tǒng)的特殊安全控制附件三信息安全管理制度表3-1.安全管理機構(gòu)類文檔安全管理機構(gòu)提交文檔名稱提交

15、人提交時間制度類1部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度2安全保障人事管理制度3授權(quán)和審批流程4安全審批和安全檢查方面的管制制度證據(jù)類5機構(gòu)安全管理人員崗位名單6外聯(lián)單位聯(lián)系列表記錄類7各類會議紀(jì)要或記錄(部門內(nèi)、部門間協(xié)調(diào)會、領(lǐng)導(dǎo)小組)其他表3-2.安全管理制度類文檔安全管理制度提交文檔名稱提交人提交時間制度類1機構(gòu)總體安全方針和政策方面的管理制度2管理制度、操作規(guī)程修訂、維護方面的管理制度3安全管理制度改收發(fā)規(guī)范4授權(quán)審批、審批流程等方面的管理制度證據(jù)類5總體安全策略等配套文件的專家論證文檔記錄類6安全管理制度的收發(fā)登記記錄7各類評審和修訂記錄(安全制度和體系)其他表3-3.人員安

16、全管理類文檔人員安全管理提交文檔名稱提交人提交時間制度類1人員錄用、離崗、考核等方面的管理制度2人員安全教育和培訓(xùn)方面的管理制度3第二方人員訪冋控制方面的管理制度證據(jù)類4人員保密協(xié)議5關(guān)鍵岡位安全協(xié)議6離崗人員保密協(xié)議記錄類7人員考核、審查、培訓(xùn)記錄(人員錄用、人員定期考核)、離 崗手續(xù)8各項審批和批準(zhǔn)執(zhí)行記錄(來訪人員進入機房審批、介質(zhì) /設(shè)備 外帶審批、系統(tǒng)外聯(lián)審批等)(外聯(lián)接入、服務(wù)訪問、配置變更、 采購、外來人員訪問和管理)其他表3-4.系統(tǒng)建設(shè)管理類文檔系統(tǒng)建設(shè)管理提交文檔名稱提交人提交時間制度類1產(chǎn)品選型、米購方面的管理制度2軟件外包開發(fā)或自我開發(fā)方面的管理制度3工程實施過程管理方

17、面的管理制度4測試、驗收方面的管理制度證據(jù)類5信息系統(tǒng)定級報告或定級建議書6近期和遠(yuǎn)期安全建設(shè)工作計劃、總體建設(shè)規(guī)劃書7詳細(xì)設(shè)計方案8候選產(chǎn)品名單9軟件開發(fā)協(xié)議10與安全服務(wù)商或外包開發(fā)商簽訂的服務(wù)合冋和安全協(xié)議11軟件開發(fā)設(shè)計和用戶指南等相關(guān)文檔(目錄體系框架或交換原形系統(tǒng))、軟件測試報告12工程實施方案13系統(tǒng)交付清單14系統(tǒng)驗收測試方案15系統(tǒng)測試、驗收報告16系統(tǒng)備案材料17前一次測評報告18測評資質(zhì)條件記錄類19產(chǎn)品的選型測試結(jié)果記錄20系統(tǒng)驗收測試記錄、報告其他表3-5.系統(tǒng)運維管理類文檔系統(tǒng)運維管理提交文檔名稱提交人提交時間制度類1機房安全管理方面的管理制度2辦公環(huán)境安全管理方面的管理制度3資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度4信息分類、標(biāo)識、發(fā)布、使用方面的管理制度5配套設(shè)施、軟硬件維護方面的管理制度6系統(tǒng)監(jiān)控、風(fēng)險評估、漏洞掃描方面的管理制度7設(shè)備操作手冊8維護管理規(guī)范9維護、監(jiān)控記錄10網(wǎng)絡(luò)安全管理(系統(tǒng)配置、賬號管理等)方面的管理制度11系統(tǒng)安全管理(系統(tǒng)配置、賬號管理等)方面的管理制度12病毒防范方面的管理制度13密碼管理方面的管理制度14系統(tǒng)變更控制方面的管理制度15備份和恢復(fù)方面的管理制度16安全事件報告和處置方面的管理制度17應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計劃等方面的文件證據(jù)類18機房

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論