信息系統(tǒng)等級(jí)保護(hù)(20)測(cè)評(píng)工作方案

信息系統(tǒng)等級(jí)保護(hù)2.0-CAL-FENGHAI-(2023YEAR-YICAI)_JINGBIAN信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作方案10目錄信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作方案 錯(cuò)誤!未定義書簽。目錄 錯(cuò)誤!未定義書簽。工程概述 錯(cuò)誤!未定義書簽。. 工程背景 錯(cuò)誤!未定義書簽。. 工程目標(biāo) 錯(cuò)誤!未定義書簽。. 工程原則 錯(cuò)誤!未定義書簽。. 工程依據(jù) 錯(cuò)誤!未定義書簽。測(cè)評(píng)實(shí)施內(nèi)容 錯(cuò)誤!未定義書簽。. 測(cè)評(píng)分析 錯(cuò)誤!未定義書簽。測(cè)評(píng)范圍 錯(cuò)誤!未定義書簽。測(cè)評(píng)對(duì)象 錯(cuò)誤!未定義書簽。測(cè)評(píng)架構(gòu)圖 錯(cuò)誤!未定義書簽。測(cè)評(píng)內(nèi)容 錯(cuò)誤!未定義書簽。測(cè)評(píng)對(duì)象 錯(cuò)誤!未定義書簽。測(cè)評(píng)指標(biāo) 錯(cuò)誤!未定義書簽。. 測(cè)評(píng)流程 錯(cuò)誤!未定義書簽。測(cè)評(píng)預(yù)備階段 錯(cuò)誤!未定義書簽。方案編制階段 錯(cuò)誤!未定義書簽?，F(xiàn)場(chǎng)測(cè)評(píng)階段 錯(cuò)誤!未定義書簽。分析與報(bào)告編制階段 錯(cuò)誤!未定義書簽。. 測(cè)評(píng)方法 錯(cuò)誤!未定義書簽。工具測(cè)試 錯(cuò)誤!未定義書簽。配置檢查 錯(cuò)誤!未定義書簽。人員訪談 錯(cuò)誤!未定義書簽。文檔審查 錯(cuò)誤!未定義書簽。實(shí)地查看 錯(cuò)誤!未定義書簽。. 測(cè)評(píng)工具 錯(cuò)誤!未定義書簽。. 輸出文檔 錯(cuò)誤!未定義書簽。時(shí)間安排 錯(cuò)誤!未定義書簽。人員安排 錯(cuò)誤!未定義書簽。. 組織構(gòu)造 錯(cuò)誤!未定義書簽。. 工程工作分工 錯(cuò)誤!未定義書簽。. 人員配置表 錯(cuò)誤!未定義書簽。. 工作協(xié)作 錯(cuò)誤!未定義書簽。其他相關(guān)事項(xiàng) 錯(cuò)誤!未定義書簽。. 風(fēng)險(xiǎn)躲避 錯(cuò)誤!未定義書簽。. 工程信息治理 錯(cuò)誤!未定義書簽。保密責(zé)任法律保證 錯(cuò)誤!未定義書簽?，F(xiàn)場(chǎng)安全保密治理 錯(cuò)誤!未定義書簽。文檔安全保密治理 錯(cuò)誤!未定義書簽。離場(chǎng)安全保密治理 錯(cuò)誤!未定義書簽。其他狀況說明 錯(cuò)誤!未定義書簽。工程概述工程背景為了貫徹落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》和《信息安全等級(jí)保護(hù)治理方法》的精神，2023年某司需要依據(jù)國(guó)家《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息系統(tǒng)安全有N個(gè)信息系統(tǒng)進(jìn)展全面的信息安全測(cè)評(píng)與評(píng)估工作,并且為某司供給駐點(diǎn)咨算環(huán)境、安全區(qū)域邊界和安全治理中心五個(gè)層面上的安全把握測(cè)評(píng)；安全治理測(cè)評(píng)包括：安全建設(shè)治理、安全治理人員、安全治理制度、安全治理機(jī)構(gòu)和安全運(yùn)維治理等五個(gè)方面的安全把握測(cè)評(píng)〕，加大測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估力度，對(duì)信息系統(tǒng)的資產(chǎn)、威逼、弱點(diǎn)和風(fēng)險(xiǎn)等要素進(jìn)展全面評(píng)估，有效提升信念系統(tǒng)的安提高某司網(wǎng)絡(luò)與信息系統(tǒng)的安全保障與運(yùn)維力氣。工程目標(biāo)全面完成某司現(xiàn)有N個(gè)信息系統(tǒng)的信息安全測(cè)評(píng)與評(píng)估工作和幫助整改工詢問等效勞。工程原則工程的方案設(shè)計(jì)與實(shí)施應(yīng)滿足以下原則：符合性原則：應(yīng)符合國(guó)家信息安全等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，指出防范的方針和保護(hù)的原則。標(biāo)準(zhǔn)性原則：方案設(shè)計(jì)、實(shí)施與信息安全體系的構(gòu)建應(yīng)依據(jù)國(guó)內(nèi)、國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)展。標(biāo)準(zhǔn)性原則：工程實(shí)施應(yīng)由專業(yè)的等級(jí)測(cè)評(píng)師依照標(biāo)準(zhǔn)的操作流程進(jìn)展，以便于工程的跟蹤和把握?？煽匦栽瓌t：工程實(shí)施的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，實(shí)施進(jìn)度要依據(jù)進(jìn)度表進(jìn)度的安排，保證工程實(shí)施的可控性。整體性原則：安全體系設(shè)計(jì)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，避開由于遺漏造成將來的安全隱患。最小影響原則：工程實(shí)施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行，不能對(duì)信息系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常供給產(chǎn)生顯著影響。保密原則：對(duì)工程實(shí)施過程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)展任何侵害測(cè)評(píng)托付單位利益的行為。工程依據(jù)合系統(tǒng)測(cè)評(píng)，提出相應(yīng)的系統(tǒng)安全整改建議。主要參考標(biāo)準(zhǔn)如下：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》-GB17859-1999《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全等級(jí)保護(hù)治理方法》《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》〔GB/T22240-2023〕《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)根本要求》〔GB/T22239-2023〕《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》〔GB17859-1999〕《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》〔GB/T20271-2023〕《信息安全技術(shù)網(wǎng)絡(luò)根底安全技術(shù)要求》〔GB/T20270-2023〕《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》〔GB/T20272-2023〕《信息安全技術(shù)數(shù)據(jù)庫治理系統(tǒng)安全技術(shù)要求》〔GB/T20273-2023〕《信息安全技術(shù)效勞器技術(shù)要求》〔GB/T21028-2023〕《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》〔 GA/T671-2023〕《信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)》〔GB/T20984-2023〕測(cè)評(píng)實(shí)施內(nèi)容測(cè)評(píng)分析測(cè)評(píng)范圍本工程范圍為對(duì)某司已定級(jí)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)。測(cè)評(píng)對(duì)象本次測(cè)評(píng)對(duì)象為某司信息系統(tǒng)，具體如下：序號(hào)序號(hào)信息系統(tǒng)名稱級(jí)別1A三級(jí)2B三級(jí)3C三級(jí)4D三級(jí)5E二級(jí)6F二級(jí)測(cè)評(píng)架構(gòu)圖表所示：測(cè)評(píng)內(nèi)容N〔安全物理環(huán)境、安全通信網(wǎng)絡(luò)、主機(jī)安全、安全區(qū)域邊界、安全管機(jī)構(gòu)、安全運(yùn)維治理〕。成認(rèn)的驗(yàn)收測(cè)評(píng)報(bào)告。評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的根底。安全區(qū)域邊界和安全治理中心五個(gè)層面上的安全把握測(cè)評(píng)；安全治理測(cè)評(píng)包治理五個(gè)方面的安全把握測(cè)評(píng)。具體見以以下圖：補(bǔ)充和減弱作用以及信息系統(tǒng)整體構(gòu)造安全性、不同信息系統(tǒng)之間整體安全性。系統(tǒng) 系統(tǒng)間構(gòu)造系統(tǒng) 系統(tǒng)間構(gòu)造系統(tǒng)系統(tǒng)間外部與 邊界與 ………區(qū)域間構(gòu)造邊界間內(nèi)部區(qū)域間

主機(jī)系統(tǒng)與 應(yīng)用與運(yùn)維治理間人員安全間

層面間物 網(wǎng)理 絡(luò)安 安全 全物 網(wǎng) 網(wǎng)理 防 絡(luò) 絡(luò)訪 盜 訪 入問 竊 問 侵控 控 防制 制 范

主機(jī) 人員系統(tǒng) 安全安全 治理自 身 主 人 份 訪 員 鑒 問 離 別 控 崗 制

治理 …安 應(yīng)設(shè) 全 急…備 事 預(yù)…管 件 案理 處 管置 理

把握間，由此而獲得信息系統(tǒng)對(duì)應(yīng)安全等級(jí)保護(hù)級(jí)別的符合性結(jié)論。測(cè)評(píng)對(duì)象依照信息安全等級(jí)保護(hù)的要求、參考業(yè)界權(quán)威的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與模息系統(tǒng)進(jìn)展全面評(píng)估。1．整體網(wǎng)絡(luò)拓?fù)錁?gòu)造；機(jī)房環(huán)境、配套設(shè)施；網(wǎng)絡(luò)設(shè)備：包括路由器、核心交換機(jī)、會(huì)聚層交換機(jī)等；安全設(shè)備：包括防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；主機(jī)系統(tǒng)〔包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)〕；業(yè)務(wù)應(yīng)用系統(tǒng)；重要治理終端〔針對(duì)三級(jí)以上系統(tǒng)〕；安全治理員、網(wǎng)絡(luò)治理員、系統(tǒng)治理員、業(yè)務(wù)治理員；涉及到系統(tǒng)安全的全部治理制度和記錄。深度上要做到對(duì)功能等各方面的測(cè)試。測(cè)評(píng)指標(biāo)對(duì)于二級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為S2，系統(tǒng)效勞安全等級(jí)為A2，則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T22239-2023《信息系統(tǒng)安全保護(hù)等級(jí)根本要求》中2級(jí)通用指標(biāo)類〔G2〕，2級(jí)業(yè)務(wù)信息安全指標(biāo)類〔S2〕，2〔A2〕，以及第2級(jí)“治理要求”局部中的全部指標(biāo)類，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)狀況具體如下表所示：測(cè)評(píng)指標(biāo)〔二級(jí)〕測(cè)評(píng)指標(biāo)〔二級(jí)〕類數(shù)量技術(shù)/治理層面S類(2級(jí))A類(2級(jí))G類(2級(jí))小計(jì)安全物理環(huán)境安全通信網(wǎng)絡(luò)安全技術(shù)主機(jī)安全安全區(qū)域邊界安全治理中心安全治理人員安全建設(shè)治理安全治理安全治理制度安全治理機(jī)構(gòu)安全運(yùn)維治理合計(jì)〔類〕對(duì)于三級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為S3，系統(tǒng)效勞安全等級(jí)為A3，則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T22239-2023《信息系統(tǒng)安全保護(hù)等級(jí)根本要求》中3級(jí)通用指標(biāo)類〔G3〕，3級(jí)業(yè)務(wù)信息安全指標(biāo)類〔S3〕，3〔A3〕，以及第3級(jí)“治理要求”局部中的全部指標(biāo)類，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)狀況具體如下表所示：測(cè)評(píng)指標(biāo)〔三級(jí)〕技術(shù)/治理 層面安全技術(shù) 主機(jī)安全安全治理

類數(shù)量S(3合計(jì)

A類(3級(jí)) G類(3級(jí)) 小計(jì)〔類〕測(cè)評(píng)流程等級(jí)保護(hù)測(cè)評(píng)實(shí)施過程包括以下四個(gè)階段：階段階段階段階段方人員訪談方人員訪談方人員訪談方人員訪談方人員訪談方式文檔審查式文檔審查式文檔審查式文檔審查式段組建組建編制調(diào)研預(yù)備確定確定定確定測(cè)評(píng)實(shí)施手冊(cè)開發(fā)物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全人員訪談文檔審查方實(shí)地觀看式人員訪談配置檢查方工具測(cè)試式互聯(lián)設(shè)備安全設(shè)備網(wǎng)絡(luò)拓?fù)涔ぞ邷y(cè)試操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)方式人員訪談配置檢查工具測(cè)試方式人員訪談方配置檢查式物理根底設(shè)對(duì)施 象對(duì)象對(duì)象應(yīng)用系統(tǒng)對(duì)象治理數(shù)據(jù)對(duì)業(yè)務(wù)數(shù)據(jù)象安全治理制度安全治理機(jī)構(gòu)人員安全治理系統(tǒng)建設(shè)治理系統(tǒng)運(yùn)維治理人員訪談文檔審查實(shí)地觀看單項(xiàng)測(cè)評(píng)結(jié)果分析單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成編制測(cè)評(píng)工程組組建：明確工程經(jīng)理、測(cè)評(píng)人員及職責(zé)分工。工作內(nèi)容和工程組織等?！蔡貏e是信息系統(tǒng)的邊界〕，了解被測(cè)系統(tǒng)的具體構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)〔效勞器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等〕、治理制度等。評(píng)表單。方案編制階段及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。評(píng)的測(cè)評(píng)指標(biāo)。路徑，依據(jù)測(cè)試路徑確定測(cè)試工具的接入點(diǎn)。測(cè)評(píng)內(nèi)容確定：確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。方法和操作步驟等，具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)展測(cè)評(píng)活動(dòng)?，F(xiàn)場(chǎng)測(cè)評(píng)階段方面分別進(jìn)展。安全物理環(huán)境：通過人員訪談、文檔審查和實(shí)地觀看的方式測(cè)評(píng)信息系統(tǒng)的安全物理環(huán)境保障狀況。主要涉及對(duì)象為物理根底設(shè)施。在內(nèi)10理位置的選擇、物理訪問把握、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度把握、電力供給、電磁防護(hù)。實(shí)施過程涉及7個(gè)測(cè)評(píng)單元，包括：構(gòu)造安全、訪問把握、安全審〔針對(duì)三級(jí)系統(tǒng)〕。主機(jī)安全：通過人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的主機(jī)安全保障狀況。主要涉及對(duì)象為各類效勞器的操作系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)。在內(nèi)容上，安全計(jì)算環(huán)境層面測(cè)評(píng)實(shí)施過程涉及7評(píng)單元，包括：身份鑒別、訪問把握、安全審計(jì)、入侵防范、惡意代碼防范、資源把握、剩余信息保護(hù)〔針對(duì)三級(jí)系統(tǒng)〕。安全區(qū)域邊界：通過人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的安全區(qū)域邊界保障狀況，主要涉及對(duì)象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，安全區(qū)域邊界層面測(cè)評(píng)實(shí)施過程涉及9份鑒別、訪問把握、安全審計(jì)、通信完整性、通信保密性、軟件容〔針對(duì)三級(jí)系統(tǒng)〕、抗抵賴〔針對(duì)三級(jí)系統(tǒng)〕。安全治理中心：通過人員訪談、配置檢查的方式測(cè)評(píng)信息系統(tǒng)的安全治理中心保障狀況，主要涉及對(duì)象為信息系統(tǒng)的治理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi)容上，安全治理中心層面測(cè)評(píng)實(shí)施過程涉及3包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全建設(shè)治理：通過人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全建設(shè)治理狀況。在內(nèi)容上，安全建設(shè)治理方面測(cè)評(píng)實(shí)施過程涉及5個(gè)測(cè)評(píng)單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。安全治理制度：通過人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全治理制度狀況。在內(nèi)容上，安全治理制度方面測(cè)評(píng)實(shí)施過程涉及5個(gè)測(cè)評(píng)單元，包括：人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問治理。安全治理機(jī)構(gòu)：通過人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全11商選擇、系統(tǒng)備案〔針對(duì)三級(jí)系統(tǒng)〕、系統(tǒng)測(cè)評(píng)〔針對(duì)三級(jí)系統(tǒng)〕。安全運(yùn)維治理：通過人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全13測(cè)評(píng)單元，包括：環(huán)境治理、資產(chǎn)治理、介質(zhì)治理、設(shè)備治理、安全通信網(wǎng)絡(luò)治理、系統(tǒng)安全治理、惡意代碼防范治理、密碼治理、變更治理、備份與恢復(fù)治理、安全大事處置、應(yīng)急預(yù)案治理、監(jiān)控治理和安全治理中心〔針對(duì)三級(jí)系統(tǒng)〕。分析與報(bào)告編制階段象，客觀、準(zhǔn)確地分析測(cè)評(píng)證據(jù)。出。并對(duì)系統(tǒng)構(gòu)造進(jìn)展整體安全測(cè)評(píng)。等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題可能對(duì)被測(cè)系統(tǒng)安全造成的影響。等級(jí)保護(hù)根本要求之間的差距，并形成等級(jí)測(cè)評(píng)結(jié)論。元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改建議等。測(cè)評(píng)方法在等級(jí)保護(hù)測(cè)評(píng)過程目中，將承受以下測(cè)評(píng)方法：工具測(cè)試〔漏洞掃描工具、滲透測(cè)試工具、壓力測(cè)試工具等〕對(duì)系統(tǒng)進(jìn)展測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透測(cè)試等。測(cè)評(píng)方法測(cè)評(píng)方法工具測(cè)試?yán)眉夹g(shù)工具，從網(wǎng)絡(luò)的不同接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)、效勞器、數(shù)簡(jiǎn)要描述據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)展脆弱性檢查和分析達(dá)成目標(biāo)開掘系統(tǒng)的安全漏洞1-2工作條件合工作結(jié)果工具測(cè)試結(jié)果記錄配置檢查〔包括日志審計(jì)等〕，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查牢靠性的要求。測(cè)評(píng)方法測(cè)評(píng)方法配置檢查通過登陸系統(tǒng)把握臺(tái)的方式，人工核查和分析主機(jī)、效勞器、數(shù)據(jù)簡(jiǎn)要描述庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置狀況達(dá)成目標(biāo)覺察配置的安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)協(xié)作工作結(jié)果配置檢查結(jié)果記錄人員訪談〔個(gè)人/群體〕進(jìn)展溝通、爭(zhēng)論等活動(dòng)，獵取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)根本掩蓋全部的安全相關(guān)人員類型，在數(shù)量上可以抽樣。測(cè)評(píng)方法測(cè)評(píng)方法人員訪談簡(jiǎn)要描述通過溝通、爭(zhēng)論的方式，對(duì)技術(shù)和治理方面進(jìn)展脆弱性檢查和分析達(dá)成目標(biāo)開掘技術(shù)和治理方面存在的安全問題工作條件1-2工作結(jié)果人員訪談結(jié)果記錄文檔審查〔包括安全方針文〕的完整性，以及這些文件之間的內(nèi)部全都性。測(cè)評(píng)方法測(cè)評(píng)方法文檔審查通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行狀況簡(jiǎn)要描述記錄的完整性和內(nèi)部全都性達(dá)成目標(biāo)開掘技術(shù)和治理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料協(xié)作工作結(jié)果文檔審查結(jié)果記錄實(shí)地查看通過實(shí)地的觀看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況推斷人員的安全意了相應(yīng)等級(jí)的安全要求。工程名稱實(shí)地查看工程名稱實(shí)地查看通過現(xiàn)場(chǎng)查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安簡(jiǎn)要描述全意識(shí)、業(yè)務(wù)操作、治理程序和系統(tǒng)物理環(huán)境等方面的安全狀況。達(dá)成目標(biāo)達(dá)成目標(biāo)開掘技術(shù)和治理方面存在的安全問題工作條件1-2工作結(jié)果實(shí)地查看結(jié)果記錄測(cè)評(píng)工具使用的測(cè)評(píng)工具將事先提交給甲方檢查確認(rèn)，確保在雙方認(rèn)可的范圍之內(nèi)，而且測(cè)評(píng)過程中承受的技術(shù)手段確保已經(jīng)過牢靠的實(shí)際應(yīng)用。在本工程中，將承受以下測(cè)評(píng)工具：工具類工具類工具名稱工具介紹別工具Web輸出文檔本工程輸出的主要輸出文檔為《等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案〔資產(chǎn)收集、測(cè)評(píng)表〕》《等級(jí)保護(hù)測(cè)評(píng)差距分析報(bào)告》《等級(jí)保護(hù)測(cè)評(píng)安全整改方案》《等級(jí)保護(hù)測(cè)評(píng)安全整改報(bào)告》時(shí)間安排序序號(hào)任務(wù)名稱工作內(nèi)容開頭時(shí)間完成時(shí)間階段完成標(biāo)志主要負(fù)責(zé)人協(xié)作人員1編制實(shí)施方案《實(shí)施方案》2工程預(yù)備階段編制資產(chǎn)收集資產(chǎn)收集表3編制測(cè)評(píng)表測(cè)評(píng)表4前期調(diào)研資產(chǎn)收集完成資產(chǎn)收集表差距測(cè)評(píng) 技術(shù)和治理單項(xiàng)測(cè)評(píng)單元測(cè)評(píng)、整體

完成信息告編制議檢查收測(cè)評(píng)

測(cè)評(píng)、編制的改報(bào)告進(jìn)展復(fù)檢三方測(cè)評(píng)

告》《整改方案》人員安排組織構(gòu)造組織構(gòu)造圖工程工作分工組，并對(duì)工程組織機(jī)構(gòu)進(jìn)展如下規(guī)劃：某司：名稱人

職 責(zé)司協(xié)作的問題，監(jiān)視工程整體質(zhì)量、推開工程整體進(jìn)度名稱 職 責(zé)工程

的各個(gè)要素，具體包括：工程方案設(shè)計(jì)〔含召集工程周例會(huì)〕工程進(jìn)度治理〔含編寫工程周報(bào)〕工程質(zhì)量把握和評(píng)估工作，需要提交：每天工作日?qǐng)?bào)人員配置表名稱名稱職責(zé)人員工程總體負(fù)責(zé)人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)工程估實(shí)施隊(duì)伍，做好整體日常資源治理、安排與負(fù)責(zé)人協(xié)調(diào)工作，并直接把握整體工程治理的各個(gè)要素，具體包括：工程方案設(shè)計(jì)工程工作協(xié)作

工程打算與組織〔含召集工程周例會(huì)〕工程進(jìn)度治理〔含編寫工程周報(bào)〕工程質(zhì)量把握工作，需要提交：每天工作日?qǐng)?bào)：序號(hào) 工作點(diǎn) 甲方協(xié)作系統(tǒng)治理員系統(tǒng)檢收文檔。

乙方協(xié)作及接入方案2、測(cè)評(píng)技術(shù)人員測(cè)評(píng)

2、環(huán)境要求統(tǒng)的2個(gè)IP地址與系統(tǒng)之間的防火墻。檢查

網(wǎng)絡(luò)治理員前期供給網(wǎng)絡(luò)拓樸圖。查設(shè)備配置。系統(tǒng)治理員查設(shè)備配置。2、環(huán)境要求

方案2、測(cè)評(píng)技術(shù)人員可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、訪談對(duì)象要求信息部治理人員系統(tǒng)開發(fā)&治理人員協(xié)作測(cè)評(píng)回同意用系統(tǒng)操作相關(guān)1、預(yù)備訪談安排及訪談大綱2、測(cè)評(píng)技術(shù)人員3人員訪談問題網(wǎng)絡(luò)治理人員配置操作的相關(guān)問題2、環(huán)境要求1、人員要求信息部治理人員系統(tǒng)開發(fā)&治理人員檔網(wǎng)絡(luò)治理人員檔規(guī)劃文檔等2、環(huán)境要求供給辦公場(chǎng)所1、預(yù)備測(cè)評(píng)表人員4文檔審查5實(shí)地查看1、人員要求機(jī)房治理員境。2、環(huán)境要求可訪問機(jī)房、辦公等物理區(qū)域1、預(yù)備測(cè)評(píng)表2、測(cè)評(píng)技術(shù)人員其他相關(guān)事項(xiàng)風(fēng)險(xiǎn)躲避行的干擾，從而減小損失。下表給出了測(cè)評(píng)過程中可能存在的風(fēng)險(xiǎn)與把握措施。內(nèi)容可能存在的風(fēng)險(xiǎn)等級(jí)把握措施信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高協(xié)議、規(guī)章、制度、法律、法規(guī)安全治理測(cè)評(píng)安全治理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)標(biāo)準(zhǔn)審計(jì)流程；網(wǎng)絡(luò)設(shè)備測(cè)誤操作引起設(shè)備崩潰或數(shù)據(jù)喪失、損壞高嚴(yán)格選擇測(cè)評(píng)師；甲方進(jìn)展全程監(jiān)控；評(píng)/安全設(shè)備制定可能的恢復(fù)打算測(cè)評(píng)安全設(shè)備資源占用低避開業(yè)務(wù)頂峰；〔線程數(shù)量、強(qiáng)度〕避開業(yè)務(wù)頂峰；網(wǎng)絡(luò)流量低把握掃描策略〔線程數(shù)量、強(qiáng)漏洞掃描度〕避開業(yè)務(wù)頂峰；主機(jī)資源占用低把握掃描策略〔線程數(shù)量、強(qiáng)度〕標(biāo)準(zhǔn)