信息系統(tǒng)安全等級測評方案_模板

1、項目編號：（XXXX-XX）信息系統(tǒng)安全等級測評方案系統(tǒng)名稱： 被測單位： 測評單位： 目錄1概述21.1項目簡介21.2測評依據(jù)22被測系統(tǒng)描述22.1定級情況22.2網(wǎng)絡(luò)結(jié)構(gòu)22.3系統(tǒng)夠成22.3.1業(yè)務(wù)應(yīng)用軟件22.3.2關(guān)鍵數(shù)據(jù)類別32.3.3主機(jī)/存儲設(shè)備32.3.4網(wǎng)絡(luò)互聯(lián)設(shè)備32.3.5安全設(shè)備32.3.6安全相關(guān)人員42.3.7安全管理文檔43測評對象與指標(biāo)43.1測評指標(biāo)43.2測評對象53.2.1機(jī)房53.2.2業(yè)務(wù)應(yīng)用軟件53.2.3主機(jī)（存儲）操作系統(tǒng)53.2.4數(shù)據(jù)庫管理系統(tǒng)63.2.5網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)63.2.6安全設(shè)備操作系統(tǒng)64測評方法與工具64.1測評方

2、法64.2主要測評工具75測評內(nèi)容與實施75.1物理安全測評75.1.1測評內(nèi)容75.1.2測評實施75.1.3配合需求75.2網(wǎng)絡(luò)安全測評95.2.1測評指標(biāo)95.2.2測評實施95.2.3配合需求95.3主機(jī)安全測評95.3.1測評指標(biāo)95.3.2測評實施95.3.3配合需求95.4應(yīng)用安全測評95.4.1測評指標(biāo)95.4.2測評實施95.4.3配合需求95.5數(shù)據(jù)安全及備份恢復(fù)測評95.6安全管理制度測評95.6.1測評指標(biāo)95.6.2測評實施95.6.3配合需求105.7安全管理機(jī)構(gòu)測評105.8人員安全管理測評105.9系統(tǒng)建設(shè)管理測評105.10系統(tǒng)運維管理測評105.11工具測試

3、105.12整體測評101 概述1.1 項目簡介描述項目背景及意義、委托方、目標(biāo)系統(tǒng)的范圍以及測評輸出產(chǎn)品。1.2 測評依據(jù)2 被測系統(tǒng)描述參照備案信息簡要描述信息系統(tǒng)。2.1 定級情況 描述信息系統(tǒng)承載的業(yè)務(wù)、處理的主要業(yè)務(wù)信息、涉及的相關(guān)業(yè)務(wù)應(yīng)用、提供的服務(wù)功能、服務(wù)范圍、服務(wù)對象以及安全保護(hù)等級等情況。2.2 網(wǎng)絡(luò)結(jié)構(gòu) 給出被測信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備中心的情況。2.3 系統(tǒng)夠成2.3.1 業(yè)務(wù)應(yīng)用軟件以列表

4、的形式給出被測信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺軟件），描述項目包括軟件名稱、主要功能簡介。序號軟件名稱主要功能重要程度2.3.2 關(guān)鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。序號數(shù)據(jù)類別所屬業(yè)務(wù)應(yīng)用重要程度2.3.3 主機(jī)/存儲設(shè)備以列表形式給出被測信息系統(tǒng)中的主機(jī)設(shè)備，描述主機(jī)設(shè)備的項目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件。序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件2.3.4 網(wǎng)絡(luò)互聯(lián)設(shè)備以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)設(shè)備。序號設(shè)備名稱用途重要程度2.3.5 安全設(shè)備以列表形式給出被信息系統(tǒng)中的安全設(shè)備。序號設(shè)備名稱用

5、途重要程度2.3.6 安全相關(guān)人員以列表形式給出與被測信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限于）安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計人員等。序號姓名崗位/角色聯(lián)系方式2.3.7 安全管理文檔以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管理類文檔、記錄類文檔和其它文檔。序號文檔名稱主要內(nèi)容3 測評對象與指標(biāo)3.1 測評指標(biāo) 依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全等級保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級，選擇基本要求中對應(yīng)級別的安全要求作為等級測評的測評指標(biāo)。測評指標(biāo)技

6、術(shù)/管理2安全分類3安全子類數(shù)量S類A類G類小計合計3.2 測評對象描述測評對象選擇結(jié)果3.2.1 機(jī)房序號機(jī)房名稱物理位置3.2.2 業(yè)務(wù)應(yīng)用軟件序號軟件名稱主要功能3.2.3 主機(jī)（存儲）操作系統(tǒng)序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng) 2 技術(shù)/管理對應(yīng)基本要求中的技術(shù)安全和管理安全。3 層面對應(yīng)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等10個安全要求類別。3.2.4 數(shù)據(jù)庫管理系統(tǒng)序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)3.2.5 網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號操作系統(tǒng)名稱設(shè)備名稱3.2.6 安全設(shè)備

7、操作系統(tǒng)序號操作系統(tǒng)名稱設(shè)備名稱4 測評方法與工具4.1 測評方法描述等級測評工作中采用的訪談、檢查、測試和風(fēng)險分析等方法。4.2 主要測評工具描述等級測評工作中采用的漏洞掃描、滲透測試等用到的工具。5 測評內(nèi)容與實施 等級測評的現(xiàn)場實施過程由單元測試和整體測評兩部分構(gòu)成。對應(yīng)基本要求各安全控制點的測評稱為單元測試，具體可分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等10各測評任務(wù)。整體測評是在單元測評的基礎(chǔ)上，通過進(jìn)一步的分析信息系統(tǒng)安全保護(hù)功能的整體相關(guān)性，對信息系統(tǒng)實施的綜合安全測評。5.1 物理安全測評5.1.1 測評內(nèi)容以表格形式給出物理安全的測評內(nèi)容。序號安全子類測評指標(biāo)描述1物理位置的選擇5.1.2 測評實施針對物理安全測評內(nèi)容所采取的測評實施方法及過程。5.1.3 配合需求以列表形式描述物理安全測評的配合需求配合項目需求說明5.2 網(wǎng)絡(luò)安全測評5.2.1 測評指標(biāo)5.2.2 測評實施5.2.3 配合需求5.3 主機(jī)安全測評5.3.1 測評指標(biāo)5.3.2 測評實施5.3.3 配合需求5.4 應(yīng)用安全測評5.4.1 測評指標(biāo)5.4.2 測評實施5.4.3 配合需求5.5 數(shù)據(jù)安全及備份恢復(fù)測評5.6 安全管理制度測評5.6.1 測評指標(biāo)