等保测评服务方案

等保测评等保测评 技术方案技术方案 2018 年 7 月 —1— 1等级保护测评 1.1定级与备案 1.1.1 调研 信息 系统 数据使用者 或管理者及 业务处 理信息 类别 管理数 据、业 务数 据、鉴 别信息 高中 低 保密 性 S 数据泄露 将造成的 影响 数据泄露 是否会引 起法律纠 纷和导致 财产损失 高中 低 数据安全性要求 完整 性 S 数据篡改或 丢失将造成 的影响 数据篡改或 丢失是否会 引起法律纠 纷和导致财 产损失 高中 低 可用系统中断将 名称其访问权限 性 A造成的影响 描述系统中 断对工作职 能和业务能 力的影响 系统开发人 XX 系 统 员、系统运 维人员、系 统使用人员 通过调研初步确定各信息系统的名称和级别。 1.1.2 定级报告和备案表 信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级 保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建 设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利 益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是 确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、 公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续， 备案工作的流程是信息系统备案、受理、审核和备案信息管理等。 1）协助定级 对系统情况进行分析，通过分析系统所属类型、所属信息类别、服务范围，了 解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、 确定客体受侵害的程度，最终确定系统的系统服务保护等级和业务信息保护等级， 协助用户编制定级报告。 2）协助备案 协助用户填写《信息系统安全等级保护备案表》，协助用户到各地公安机关进 行系统备案，获得系统备案证。 —2— 1.2等保测评 1.2.1 概述 1.2.1.11.2.1.1项目简介 项目简介 根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的 一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息 化建设的内在需求。 随着信息化的不断发展，信息系统的应用为信息化的开展提供了重要的支撑平 台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息安全建 设工作受到 XXXX 集团有限公司各级领导的高度重视。等级保护政策作为国家在信 息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿 XXXX 集 团有限公司的关键业务中。等级保护工作受到了 XXXX 集团有限公司各级领导的高 度重视，安全建设也逐渐成为公司信息化建设的内在需求。 整个测评项目的实施主要分为现场测评和复测评，其中现场测评分为四个阶段： 一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分 析和报告编制活动阶段；复测评分为三个阶段：一、安全整改活动阶段，二复测评 活动阶段，三，分析和报告编制活动阶段。 其测评目的在于对 XXXX 集团有限公司信息系统当前安全防护能力做出客观评 价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、 安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗 透测试等方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行 客观符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和 风险所在，为将来的安全整改和安全建设提供有力依据。 1.2.1.21.2.1.2测评依据 测评依据 本项目的测评按照以下标准或规范进行：本项目的测评按照以下标准或规范进行： 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861 号）； —3— 关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43 号）； 关于开展全省重要信息系统安全等级保护定级工作的通知（湘公通[2007]94 号）； 关于进一步推进全省信息安全等级保护工作的函（湘公函[2011]21号）； 关于对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[2011]74号）； 《信息系统安全等级保护定级指南》（GB/T22240—2008）； 《信息系统安全等级保护测评过程指南》（国标报批稿）； 《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。 主要测评依据：主要测评依据： 《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）； 《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012）。 1.2.1.31.2.1.3测评过程 测评过程 —4— 1.2.2 被测系统描述 1.2.2.11.2.2.1定级情况定级情况 本次安全等级测评所涉及的信息系统定级情况列表如下： 序号 1 2 3 系统名称 XX 系统 XX 系统 XX 系统 业务描述 一般性描述如为某某部门或某人群提供某种信息服务。 一般性描述如为某某部门或某人群提供某种信息服务。 一般性描述如为某某部门或某人群提供某种信息服务。 安全保护等级 SXAXGX SXAXGX SXAXGX 1.2.2.21.2.2.2网络结构网络结构 以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基 础平台。其网络拓扑图如图 2-1 所示： 图 2-1 信息管理系统网络拓扑图（示例） —5— 1.2.2.31.2.2.3 系统构成系统构成 4.2.2.3.1 业务应用软件 序号 1 2 3 软件名称 XX 系统 XX 系统 XX 系统 主要功能 系统本身能够为服务者提供的业务功能和安全功能等。 系统本身能够为服务者提供的业务功能和安全功能等。 系统本身能够为服务者提供的业务功能和安全功能等。 重要程度 重要 重要 重要 4.2.2.3.2 关键数据类别 序号 1 2 3 数据类别 管理数据 业务数据 鉴别信息 所属业务应用 被测评对象应用 被测评对象应用 被测评对象应用 主机/存储设备 应用服务器/数据库服务器 应用服务器/数据库服务器 应用服务器/数据库服务器 重要程度 重要 重要 重要 4.2.2.3.3 主机/存储设备 操作系统/数据库管理系 序号 1 2 3 设备名称 统 应用服务器/数据库服务器 应用服务器/数据库服务器 应用服务器/数据库服务器 举例：Windows/oracle 举例：Windows/oracle 举例：Windows/oracle XX 系统 XX 系统 XX 系统 业务应用软件 4.2.2.3.4 网络、安全设备 序号 1 2 3 4 设备名称 核心交换机 汇聚交换机 接入交换机 防火墙 设备类型 核心交换机 汇聚交换机 接入交换机 防火墙 重要程度 非常重要 重要 一般 重要 —6— 5 6 入侵防御设备 Web 应用防火墙 入侵防御设备 Web 应用防火墙 重要 重要 4.2.2.3.4 安全相关人员 序号 1 2 3 4 5 6 7 8 姓名 网络管理员 安全建设管理员 安全运维管理员 安全制度管理员 人员安全管理员 机构安全管理员 物理机房管理员 应用软件管理员 岗位/角色 网络管理员 安全建