信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作實(shí)施方案

2018-2019年XXX項(xiàng)目目錄01.項(xiàng)目概述11.1.項(xiàng)目背景11.2.項(xiàng)目目標(biāo)21.3.項(xiàng)目原則21.4.項(xiàng)目依據(jù)32.測(cè)評(píng)實(shí)施內(nèi)容42.1.測(cè)評(píng)分析42.1.1.測(cè)評(píng)范圍42.1.2.測(cè)評(píng)對(duì)象42.1.3.測(cè)評(píng)內(nèi)容42.1.4.測(cè)評(píng)對(duì)象52.1.5.測(cè)評(píng)指標(biāo)62.2.測(cè)評(píng)流程82.2.1.測(cè)評(píng)準(zhǔn)備階段82.2.2.方案編制階段82.2.3.現(xiàn)場(chǎng)測(cè)評(píng)階段92.2.4.分析與報(bào)告編制階段102.3.測(cè)評(píng)方法112.3.1.工具測(cè)試112.3.2.配置檢查112.3.3.人員訪談122.3.4.文檔審查122.3.5.實(shí)地查看132.4.測(cè)評(píng)工具132.5.輸出文檔143.時(shí)間安排144.人員安排154.1.組織結(jié)構(gòu)及分工154.2.人員配置表164.3.工作配合175.其他相關(guān)事項(xiàng)185.1.風(fēng)險(xiǎn)規(guī)避185.2.項(xiàng)目信息管理205.2.1.保密責(zé)任法律保證205.2.2.現(xiàn)場(chǎng)安全保密管理205.2.3.文檔安全保密管理215.2.4.離場(chǎng)安全保密管理215.2.5.其他情況說(shuō)明211.1.項(xiàng)目背景評(píng)包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上的安全控制測(cè)評(píng)；安全管理測(cè)評(píng)包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)，加大測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估力度，對(duì)信息系統(tǒng)的資產(chǎn)、威脅、弱點(diǎn)和風(fēng)險(xiǎn)等要素進(jìn)行全面評(píng)估，有效提升信心系統(tǒng)的安全防護(hù)能力，建立常態(tài)化的等級(jí)保護(hù)工作機(jī)制，深化信息安全等級(jí)保護(hù)工作，提高XXXXXXXXXXXXXXXXXXX網(wǎng)絡(luò)與信息系統(tǒng)的安全保障與運(yùn)全面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有六個(gè)信息系統(tǒng)的信息安全測(cè)評(píng)與評(píng)估工進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提高XXXXXXXXXXXXXXXXXXX整個(gè)網(wǎng)絡(luò)的安全保障與運(yùn)維能力，減少信息安全風(fēng)險(xiǎn)和降低信息安全事件發(fā)生的概率，全面提高XXXXXXXXXXXXXXXXXXX項(xiàng)目的方案設(shè)計(jì)與實(shí)施應(yīng)滿足以下原則：今符合性原則：應(yīng)符合國(guó)家信息安全等級(jí)保護(hù)制度及相關(guān)法律法規(guī)，指出防今標(biāo)準(zhǔn)性原則：方案設(shè)計(jì)、實(shí)施與信息安全體系的構(gòu)建應(yīng)依據(jù)國(guó)內(nèi)、國(guó)際今規(guī)范性原則：項(xiàng)目實(shí)施應(yīng)由專業(yè)的等級(jí)測(cè)評(píng)師依照規(guī)范的操作流程進(jìn)行，在實(shí)施之前將詳細(xì)量化出每項(xiàng)測(cè)評(píng)內(nèi)容，對(duì)操作過(guò)程和結(jié)果提供規(guī)范的記錄，以今可控性原則：項(xiàng)目實(shí)施的方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi)，實(shí)施進(jìn)度今整體性原則：安全體系設(shè)計(jì)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的今最小影響原則：項(xiàng)目實(shí)施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行，不能對(duì)信息系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。今保密原則：對(duì)項(xiàng)目實(shí)施過(guò)程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)行任何侵害測(cè)評(píng)委托單位利益的信息系統(tǒng)等級(jí)測(cè)評(píng)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》,在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制測(cè)評(píng)及系統(tǒng)整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)相應(yīng)等級(jí)的信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜合系今《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》今《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》2008今《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999本項(xiàng)目范圍為對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)。級(jí)別1三級(jí)2三級(jí)3三級(jí)4三級(jí)5二級(jí)6二級(jí)本次測(cè)評(píng)結(jié)合XXXXXXXXXXXXXXXXXXX系統(tǒng)的信息管理特點(diǎn)，進(jìn)行不同層次的本項(xiàng)目主要分為兩步開(kāi)展實(shí)施XXXXXXXXXXXXXXXXXXX統(tǒng)進(jìn)行十個(gè)安全層面的等級(jí)保護(hù)安全測(cè)評(píng)〔物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。大類(lèi)。安全技術(shù)測(cè)評(píng)包括：物理安全、網(wǎng)絡(luò)安全分析評(píng)估安全控制間、層面間和區(qū)域間是否存在安物理安全118網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217數(shù)據(jù)安全2103安全管理制度0033安全管理機(jī)構(gòu)00550055系統(tǒng)建設(shè)管理0099系統(tǒng)運(yùn)維管理0066〔類(lèi)對(duì)于三級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為S3,系統(tǒng)服務(wù)安全等級(jí)為A3,則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T22239-2008《信息系統(tǒng)安全保護(hù)等級(jí)基本要求》術(shù)要求"部份的3級(jí)通用指標(biāo)類(lèi)〔G3,3級(jí)業(yè)務(wù)信息安全指標(biāo)類(lèi)〔S3,3級(jí)系統(tǒng)服務(wù)安全指標(biāo)類(lèi)(A3,以及第3級(jí)"管理要求"部份中的所有指標(biāo)類(lèi)，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)情況具體如下表所示：安全技術(shù)物理安全118網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理00系統(tǒng)運(yùn)維管理00合計(jì)73(類(lèi)2.2.1.測(cè)評(píng)準(zhǔn)備階段2.2.2.方案編制階段安全層面測(cè)評(píng)實(shí)施過(guò)程涉及10個(gè)測(cè)評(píng)單元，包括：物理位置的選擇、庫(kù)管理系統(tǒng)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及7個(gè)測(cè)評(píng)今應(yīng)用安全：通過(guò)人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系安全層面測(cè)評(píng)實(shí)施過(guò)程涉及9個(gè)測(cè)評(píng)單元，包括：身份鑒別、訪問(wèn)控2.2.4.分析與報(bào)告編制階段2.3.測(cè)評(píng)方法工具測(cè)試?yán)眉夹g(shù)工具，從網(wǎng)絡(luò)的不同接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析發(fā)掘系統(tǒng)的安全漏洞1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工具測(cè)試結(jié)果記錄配置檢查通過(guò)登陸系統(tǒng)控制臺(tái)的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置情況發(fā)現(xiàn)配置的安全隱患1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合配置檢查結(jié)果記錄通過(guò)交流、討論的方式，對(duì)技術(shù)和管理方面進(jìn)發(fā)掘技術(shù)和管理方面存在的安全問(wèn)題1-2人工作環(huán)境，甲方人員配合人員訪談結(jié)果記錄文檔審查通過(guò)文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性發(fā)掘技術(shù)和管理方面存在的安全問(wèn)題1-2人工作環(huán)境，甲方人員、各類(lèi)文檔資料配合文檔審查結(jié)果記錄通過(guò)現(xiàn)場(chǎng)查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。發(fā)掘技術(shù)和管理方面存在的安全問(wèn)題1-2人工作環(huán)境，甲方人員配合實(shí)地查看結(jié)果記錄工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評(píng)估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具IBM公司出品的商業(yè)Web應(yīng)用安全掃描系統(tǒng)一個(gè)自動(dòng)化的Web應(yīng)用程序安全測(cè)試工具，它可以掃描任何可通過(guò)Web瀏覽器訪問(wèn)的和遵循HTTP/HTTPS規(guī)則的Web站點(diǎn)和Web應(yīng)用程序序號(hào)任務(wù)名稱工作內(nèi)容開(kāi)始時(shí)間完成時(shí)間階段完成標(biāo)志主要負(fù)責(zé)人配合人員1《實(shí)施方案》2資產(chǎn)采集表34前期調(diào)資產(chǎn)采集表5差距測(cè)評(píng)完成信息系統(tǒng)6差距測(cè)評(píng)報(bào)告編制單元測(cè)評(píng)、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、報(bào)告編制《差距測(cè)評(píng)報(bào)7安全整改建議較高的出整改報(bào)告8安全加固與檢查內(nèi)容進(jìn)行復(fù)檢1《整改方案》9過(guò)第三方測(cè)評(píng)《整改報(bào)告》8書(shū)項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)協(xié)調(diào)XXXXXXXXXXXXXXXXXXX整體項(xiàng)目資源，解決項(xiàng)目中需要XXXXXXXXXXXXXXXXXXX配合的問(wèn)題，監(jiān)督項(xiàng)目整體質(zhì)量、推進(jìn)項(xiàng)目整體進(jìn)度XXXXXXXXXXXXXXXXXXX信息安全有限公司：項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)估實(shí)施隊(duì)伍，做好整體日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理的各個(gè)要素，具體包括：今項(xiàng)目方案設(shè)計(jì)今項(xiàng)目計(jì)劃與組織今項(xiàng)目協(xié)調(diào)與溝通〔含召集項(xiàng)目周例會(huì)今項(xiàng)目進(jìn)度管理〔含編寫(xiě)項(xiàng)目周報(bào)今項(xiàng)目質(zhì)量控制技術(shù)人員項(xiàng)目技術(shù)人員，包括項(xiàng)目分組組長(zhǎng)和實(shí)施人員，在項(xiàng)目經(jīng)理的帶和評(píng)估工作，需要提交：今每天工作日?qǐng)?bào)今單項(xiàng)測(cè)評(píng)結(jié)果記錄今單項(xiàng)安全整改建議人員負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織等級(jí)保護(hù)測(cè)評(píng)和評(píng)估實(shí)施隊(duì)伍，做好整體日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理的各個(gè)要素，具體包括：今項(xiàng)目方案設(shè)計(jì)今項(xiàng)目計(jì)劃與組織今項(xiàng)目協(xié)調(diào)與溝通〔含召集項(xiàng)目周例會(huì)今項(xiàng)目進(jìn)度管理〔含編寫(xiě)項(xiàng)目周報(bào)今項(xiàng)目質(zhì)量控制技術(shù)人員負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測(cè)評(píng)工作，需要提交：今每天工作日?qǐng)?bào)今單項(xiàng)測(cè)評(píng)結(jié)果記錄為保證本項(xiàng)目的順利實(shí)施，對(duì)現(xiàn)場(chǎng)測(cè)評(píng)階段的各項(xiàng)工作點(diǎn)提出雙方工作配序號(hào)工作點(diǎn)甲方配合乙方配合1現(xiàn)場(chǎng)工具1、人員要求系統(tǒng)管理員系統(tǒng)檢收文檔。*提供可以訪問(wèn)網(wǎng)絡(luò)設(shè)備及測(cè)評(píng)系統(tǒng)的2個(gè)IP地址1、準(zhǔn)備測(cè)評(píng)工具2、測(cè)評(píng)技術(shù)人員2檢查1、人員要求網(wǎng)絡(luò)管理員*前期提供網(wǎng)絡(luò)拓樸圖。查設(shè)備配置。系統(tǒng)管理員查設(shè)備配置?？傻卿浵到y(tǒng)及網(wǎng)絡(luò)設(shè)備1、準(zhǔn)備配合檢查方案2、測(cè)評(píng)技術(shù)人員31、訪談對(duì)象要求信息部管理人員系統(tǒng)開(kāi)辟&管理人員問(wèn)題網(wǎng)絡(luò)管理人員配置操作的相關(guān)問(wèn)題1、準(zhǔn)備訪談安排及訪談大綱2、測(cè)評(píng)技術(shù)人員提供會(huì)議室4文檔審查1、人員要求信息部管理人員系統(tǒng)開(kāi)辟&管理人員檔網(wǎng)絡(luò)管理人員檔1、準(zhǔn)備測(cè)評(píng)表人員5實(shí)地查看1、人員要求機(jī)房管理員1、準(zhǔn)備測(cè)評(píng)表2、測(cè)評(píng)技術(shù)人員內(nèi)容信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高規(guī)安全管理測(cè)評(píng)安全管理信息泄漏高網(wǎng)絡(luò)設(shè)備測(cè)誤操作引起設(shè)備崩潰或者數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇測(cè)評(píng)師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃網(wǎng)絡(luò)/安全設(shè)備資源占用低避開(kāi)業(yè)務(wù)高峰；度漏洞掃描網(wǎng)絡(luò)流量低避開(kāi)業(yè)務(wù)高峰；度主機(jī)資源占用低避開(kāi)業(yè)