信息系統(tǒng)安全等級(jí)測(cè)評(píng)方案_模板

1、項(xiàng)目編號(hào)：（XXXX-XX）信息系統(tǒng)安全等級(jí)測(cè)評(píng)方案系統(tǒng)名稱： 被測(cè)單位： 測(cè)評(píng)單位： 目錄1概述21.1項(xiàng)目簡(jiǎn)介21.2測(cè)評(píng)依據(jù)22被測(cè)系統(tǒng)描述22.1定級(jí)情況22.2網(wǎng)絡(luò)結(jié)構(gòu)22.3系統(tǒng)夠成22.3.1業(yè)務(wù)應(yīng)用軟件22.3.2關(guān)鍵數(shù)據(jù)類別32.3.3主機(jī)/存儲(chǔ)設(shè)備32.3.4網(wǎng)絡(luò)互聯(lián)設(shè)備32.3.5安全設(shè)備32.3.6安全相關(guān)人員42.3.7安全管理文檔43測(cè)評(píng)對(duì)象與指標(biāo)43.1測(cè)評(píng)指標(biāo)43.2測(cè)評(píng)對(duì)象53.2.1機(jī)房53.2.2業(yè)務(wù)應(yīng)用軟件53.2.3主機(jī)（存儲(chǔ)）操作系統(tǒng)53.2.4數(shù)據(jù)庫(kù)管理系統(tǒng)63.2.5網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)63.2.6安全設(shè)備操作系統(tǒng)64測(cè)評(píng)方法與工具64.1測(cè)評(píng)方

2、法64.2主要測(cè)評(píng)工具75測(cè)評(píng)內(nèi)容與實(shí)施75.1物理安全測(cè)評(píng)75.1.1測(cè)評(píng)內(nèi)容75.1.2測(cè)評(píng)實(shí)施75.1.3配合需求75.2網(wǎng)絡(luò)安全測(cè)評(píng)95.2.1測(cè)評(píng)指標(biāo)95.2.2測(cè)評(píng)實(shí)施95.2.3配合需求95.3主機(jī)安全測(cè)評(píng)95.3.1測(cè)評(píng)指標(biāo)95.3.2測(cè)評(píng)實(shí)施95.3.3配合需求95.4應(yīng)用安全測(cè)評(píng)95.4.1測(cè)評(píng)指標(biāo)95.4.2測(cè)評(píng)實(shí)施95.4.3配合需求95.5數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)95.6安全管理制度測(cè)評(píng)95.6.1測(cè)評(píng)指標(biāo)95.6.2測(cè)評(píng)實(shí)施95.6.3配合需求105.7安全管理機(jī)構(gòu)測(cè)評(píng)105.8人員安全管理測(cè)評(píng)105.9系統(tǒng)建設(shè)管理測(cè)評(píng)105.10系統(tǒng)運(yùn)維管理測(cè)評(píng)105.11工具測(cè)試

3、105.12整體測(cè)評(píng)101 概述1.1 項(xiàng)目簡(jiǎn)介描述項(xiàng)目背景及意義、委托方、目標(biāo)系統(tǒng)的范圍以及測(cè)評(píng)輸出產(chǎn)品。1.2 測(cè)評(píng)依據(jù)2 被測(cè)系統(tǒng)描述參照備案信息簡(jiǎn)要描述信息系統(tǒng)。2.1 定級(jí)情況 描述信息系統(tǒng)承載的業(yè)務(wù)、處理的主要業(yè)務(wù)信息、涉及的相關(guān)業(yè)務(wù)應(yīng)用、提供的服務(wù)功能、服務(wù)范圍、服務(wù)對(duì)象以及安全保護(hù)等級(jí)等情況。2.2 網(wǎng)絡(luò)結(jié)構(gòu) 給出被測(cè)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說(shuō)明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡(jiǎn)介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備中心的情況。2.3 系統(tǒng)夠成2.3.1 業(yè)務(wù)應(yīng)用軟件以列表

4、的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱、主要功能簡(jiǎn)介。序號(hào)軟件名稱主要功能重要程度2.3.2 關(guān)鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。序號(hào)數(shù)據(jù)類別所屬業(yè)務(wù)應(yīng)用重要程度2.3.3 主機(jī)/存儲(chǔ)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的主機(jī)設(shè)備，描述主機(jī)設(shè)備的項(xiàng)目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件。序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件2.3.4 網(wǎng)絡(luò)互聯(lián)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)設(shè)備。序號(hào)設(shè)備名稱用途重要程度2.3.5 安全設(shè)備以列表形式給出被信息系統(tǒng)中的安全設(shè)備。序號(hào)設(shè)備名稱用

5、途重要程度2.3.6 安全相關(guān)人員以列表形式給出與被測(cè)信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限于）安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫(kù)（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。序號(hào)姓名崗位/角色聯(lián)系方式2.3.7 安全管理文檔以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管理類文檔、記錄類文檔和其它文檔。序號(hào)文檔名稱主要內(nèi)容3 測(cè)評(píng)對(duì)象與指標(biāo)3.1 測(cè)評(píng)指標(biāo) 依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全等級(jí)保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，選擇基本要求中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的測(cè)評(píng)指標(biāo)。測(cè)評(píng)指標(biāo)技

6、術(shù)/管理2安全分類3安全子類數(shù)量S類A類G類小計(jì)合計(jì)3.2 測(cè)評(píng)對(duì)象描述測(cè)評(píng)對(duì)象選擇結(jié)果3.2.1 機(jī)房序號(hào)機(jī)房名稱物理位置3.2.2 業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱主要功能3.2.3 主機(jī)（存儲(chǔ)）操作系統(tǒng)序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng) 2 技術(shù)/管理對(duì)應(yīng)基本要求中的技術(shù)安全和管理安全。3 層面對(duì)應(yīng)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等10個(gè)安全要求類別。3.2.4 數(shù)據(jù)庫(kù)管理系統(tǒng)序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)3.2.5 網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱設(shè)備名稱3.2.6 安全設(shè)備

7、操作系統(tǒng)序號(hào)操作系統(tǒng)名稱設(shè)備名稱4 測(cè)評(píng)方法與工具4.1 測(cè)評(píng)方法描述等級(jí)測(cè)評(píng)工作中采用的訪談、檢查、測(cè)試和風(fēng)險(xiǎn)分析等方法。4.2 主要測(cè)評(píng)工具描述等級(jí)測(cè)評(píng)工作中采用的漏洞掃描、滲透測(cè)試等用到的工具。5 測(cè)評(píng)內(nèi)容與實(shí)施 等級(jí)測(cè)評(píng)的現(xiàn)場(chǎng)實(shí)施過(guò)程由單元測(cè)試和整體測(cè)評(píng)兩部分構(gòu)成。對(duì)應(yīng)基本要求各安全控制點(diǎn)的測(cè)評(píng)稱為單元測(cè)試，具體可分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等10各測(cè)評(píng)任務(wù)。整體測(cè)評(píng)是在單元測(cè)評(píng)的基礎(chǔ)上，通過(guò)進(jìn)一步的分析信息系統(tǒng)安全保護(hù)功能的整體相關(guān)性，對(duì)信息系統(tǒng)實(shí)施的綜合安全測(cè)評(píng)。5.1 物理安全測(cè)評(píng)5.1.1 測(cè)評(píng)內(nèi)容以表格形式給出物理安全的測(cè)評(píng)內(nèi)容。序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1物理位置的選擇5.1.2 測(cè)評(píng)實(shí)施針對(duì)物理安全測(cè)評(píng)內(nèi)容所采取的測(cè)評(píng)實(shí)施方法及過(guò)程。5.1.3 配合需求以列表形式描述物理安全測(cè)評(píng)的配合需求配合項(xiàng)目需求說(shuō)明5.2 網(wǎng)絡(luò)安全測(cè)評(píng)5.2.1 測(cè)評(píng)指標(biāo)5.2.2 測(cè)評(píng)實(shí)施5.2.3 配合需求5.3 主機(jī)安全測(cè)評(píng)5.3.1 測(cè)評(píng)指標(biāo)5.3.2 測(cè)評(píng)實(shí)施5.3.3 配合需求5.4 應(yīng)用安全測(cè)評(píng)5.4.1 測(cè)評(píng)指標(biāo)5.4.2 測(cè)評(píng)實(shí)施5.4.3 配合需求5.5 數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)5.6 安全管理制度測(cè)評(píng)5.6.1 測(cè)評(píng)指標(biāo)