等保测评服务方案

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。

1）协助定级

对系统情况进行分析，通过分析系统所属类型、所属信息类别、服务范围，了解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、确定客体受侵害的程度，最终确定系统的系统服务保护等级和业务信息保护等级，协助用户编制定级报告。

2）协助备案

协助用户填写《信息系统安全等级保护备案表》，协助用户到各地公安机关进行系统备案，获得系统备案证。

—2—

1.2 等保测评

1.2.1 概述

1.2.1.1 项目简介

根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息化建设的内在需求。

随着信息化的不断发展，信息系统的应用为信息化的开展提供了重要的支撑平台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高度重视，安全建设也逐渐成为公司信息化建设的内在需求。

整个测评项目的实施主要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个阶段：一、安全整改活动阶段，二复测评活动阶段，三，分析和报告编制活动阶段。

其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在，为将来的安全整改和安全建设提供有力依据。 1.2.1.2 测评依据

本项目的测评按照以下标准或规范进行：

关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）；

—3—

关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）； 关于开展全省重要信息系统安全等级保护定级工作的通知（湘公通[2007]94号）； 关于进一步推进全省信息安全等级保护工作的函（湘公函[2011]21号）；

关于对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[2011]74号）； 《信息系统安全等级保护定级指南》（GB/T22240—2008）； 《信息系统安全等级保护测评过程指南》（国标报批稿）； 《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。 主要测评依据：

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）； 《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012）。

1.2.1.3 测评过程

—4—

1.2.2 被测系统描述

1.2.2.1 定级情况

本次安全等级测评所涉及的信息系统定级情况列表如下：

序号 1 2 3 系统名称 XX系统 XX系统 XX系统 业务描述 一般性描述如为某某部门或某人群提供某种信息服务。 一般性描述如为某某部门或某人群提供某种信息服务。 一般性描述如为某某部门或某人群提供某种信息服务。 安全保护等级 SXAXGX SXAXGX SXAXGX 1.2.2.2 网络结构

以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基础平台。其网络拓扑图如图2-1所示：

图 2-1信息管理系统网络拓扑图（示例）

—5—

1.2.2.3 系统构成

4.2.2.3.1业务应用软件

序号 1 2 3 软件名称 XX系统 XX系统 XX系统 主要功能 系统本身能够为服务者提供的业务功能和安全功能等。 系统本身能够为服务者提供的业务功能和安全功能等。 系统本身能够为服务者提供的业务功能和安全功能等。 重要程度 重要 重要 重要 4.2.2.3.2关键数据类别

序号 1 2 3 数据类别 管理数据 业务数据 鉴别信息 所属业务应用 被测评对象应用 被测评对象应用 被测评对象应用 主机/存储设备 应用服务器/数据库服务器 应用服务器/数据库服务器 应用服务器/数据库服务器 重要程度 重要 重要 重要 4.2.2.3.3主机/存储设备

操作系统/数据库管理系序号 1 2 3 设备名称 统 应用服务器/数据库服务器 应用服务器/数据库服务器 应用服务器/数据库服务器 举例：Windows/oracle 举例：Windows/oracle 举例：Windows/oracle XX系统 XX系统 XX系统 业务应用软件 4.2.2.3.4网络、安全设备

序号 1 2 3 4 设备名称 核心交换机 汇聚交换机 接入交换机 防火墙 设备类型 核心交换机 汇聚交换机 接入交换机 防火墙 重要程度 非常重要 重要 一般 重要 —6—

5 6 入侵防御设备 Web应用防火墙 入侵防御设备 Web应用防火墙 重要 重要 4.2.2.3.4安全相关人员

序号 1 2 3 4 5 6 7 8 姓名 网络管理员 安全建设管理员 安全运维管理员 安全制度管理员 人员安全管理员 机构安全管理员 物理机房管理员 应用软件管理员 岗位/角色 网络管理员 安全建设管理员 安全运维管理员 安全制度管理员 人员安全管理员 机构安全管理员 物理机房管理员 应用软件管理员 联系方式 12345678901 12345678901 12345678901 12345678901 12345678901 12345678901 12345678901 12345678901 4.2.2.3.5安全管理文档

序号 文档名称 主要内容 包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安1 制度类文档 全事件处置和应急预案等管理制度。 包括机房出入登记记录（包括第三方人员）、机房基础设施维护记录、2 记录类文档 各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训记录、离岗手续等记录。 包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人3 证据类文档 员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、系统备案材料等。 —7—

1.2.3 测评对象与指标

1.2.3.1 测评指标

GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。

本次测评的信息管理系统在实施时由建设方指定，包括二级和三级系统的等级测评，安全测评指标应包括《信息安全技术 信息系统安全等级保护基本要求》中的二级和三级要求，分为通用指标类（GX），业务信息安全性指标类（SX）和系统服务保证类（AX）。

1）二级测评所包括的安全控制指标类型情况具体如下表：

测评指标 安全子类数量 技术/管理 安全分类 S（2级） A（2级） G（2级） 物理安全 网络安全 安全技术 主机系统安全 数据安全及备份恢复 应用安全 安全管理制度 安全管理机构 安全管理 人员安全管理 系统建设管理 系统运维管理 合计

1 1 2 2 4 0 0 0 0 0 1 0 1 1 2 0 0 0 0 0 8 5 3 0 1 3 5 5 9 12 小计 10 6 6 3 7 3 5 5 9 12 66 —8—

本文来源：https://www.bwwdw.com/article/9voo.html