xxxx等级保护测评工作方案

xxxx等级保护测评工作方案内容摘要：

方面的测试。 . 测评指标 对于二级系统，如业务信息安全等级为 S2，系统服务安全等级为 A2，则该系统 的测评指标 应 包括 GB/T 222392020《信息系统安全保护等级基本要求》中“技术要求”部分的 2级通用指标 类（ G2） ， 2级 业务信息安全 指标 类（ S2）， 2级 系统服务安全指标类（ A2），以及第 2级“管理要求”部分中的所有指标类，等级保护测评指标情况具体如下表所示： 测评指标（二级） 技术 /管理 层面 类数量 S类 (2级 ) A类 (2级 ) G类 (2级 ) 小计 安全技术 物理安全 1 1 8 10 网络安全 1 0 5 6 主机安全 2 1 3 6 应用安全 4 2 1 7 数据安全 2 1 0 3 安全管理 安全管理制度 0 0 3 3 安全管理机构 0 0 5 5 人员安全管理 0 0 5 5 系统建设管理 0 0 9 9 系统运维管理 0 0 12 12 合计 66（类） 第 9 页 共 24 页 对于三级系统，如业务信息安全等级为 S3，系统服务安全等级为 A3，则该系统 的测评指标 应 包括 GB/T 222392020《信息系统安全保护等级基本要求》中“技术要求”部分的 3级通用指标 类（ G3） ， 3级 业务信息安全 指标 类（ S3）， 3级 系统服务安全指标类（ A3），以及第 3级“管理要求 ”部分中的所有指标类，等级保护测评指标情况具体如下表所示： 测评指标（三级） 技术 /管理 层面 类数量 S 类 (3 级 ) A 类 (3 级 ) G 类 (3 级 ) 小计 安全技术 物理安全 1 1 8 10 网络安全 1 0 6 7 主机安全 3 1 3 7 应用安全 5 2 2 9 数据安全 2 1 0 3 安全管理 安全管理制度 0 0 3 3 安全管理机构 0 0 5 5 人 员安全管理 0 0 5 5 系统建设管理 0 0 11 11 系统运维管理 0 0 13 13 合 计 73（类） . 测评流程 等级保护测评实施过程包括以下四个阶段： 第 10 页 共 24. 测评准备阶段 ? 测评项目组组建：明确项目经理、测评人员及职责分工。 ? 项目计划书编制：项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。 ? 信息系统 调研：通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，明确被测系统的范围（特别是信息系统的边界），了解被测系统的详细构成，包括网络拓扑、业务应用、业务流程、设备信息（服务器、数据库、网络设备、安全设备、数据库等）、管理制度等。 ? 工具和表单准备：根据被测系统的实际情况，准备测评工具和各类测 第 11 页 共 24 页 评表单。 . 方案编制阶段 ? 测评对象确定：根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。 ? 测评指标确定：根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。 ? 测评工具接入点确定：确定需要进行工具测试的测评对象，选择测试路径，根据测试路径确定测试工具的接入点。 ? 测评内容确定：确定现场测评的具体实施内容，即单元测评内容。 ? 测评实施手册开发：编制测评实施手册，详细描述现场测评的工具、方法和操作步骤等，具体指导测评人员如何进行测评活动。 . 现场测评阶段 现场测评实际上就是单项测评，分别从技术上的 物理 安全 、网络 安全 、主机系统 安全 、应用 安全 和数据 安全五个层面和管理上的 安全管理机构 、 安全管理制度、人员安全管理、系统建设管理 和 系统运维管理 五个方面分别进行。 ? 物理安 全：通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。 主要涉及 对象为物理基础设施。 在内容上，物理安全层面 测评 实施过程涉及 10 个测评单元，包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 ? 网络安全：通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。 主要涉及 对象为网络互联设备、网络安全设备和网络拓扑结构。 在内容上，网络安全层面 测评 实施过程涉及 7 个测评单元，包括：结构安全、访问控制、安全审计、边界完整性 检查、入侵防范、网络设备防护、恶意代码防范（针对三级系统）。 ? 主机安全： 通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。 主要涉及 对象为各类服务器的操作系统、数据 第 12 页 共 24 页 库管理系统。 在内容上，主机系统安全层面 测评 实施过程涉及 7 个测评单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护（针对三级系统）。 ? 应用安全：通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况， 主要涉及 对象为各类应用系统。 在内容上，应用安全层面 测评 实施过程涉及 9 个测评单元， 包括：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护（针对三级系统）、抗抵赖（针对三级系统）。 ? 数据安全：通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况，主要涉及对象为信息系统的管理数据及业务数据等。 在内容上，数据安全层面测评实施过程涉及 3 个测评单元，包括：数据完整性、数据保密性、备份和恢复。 ? 安全管理制度：通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。 在内容上，安全管理制度方面测评实施过程涉及 3 个测评单元，包括：管理制度、制定和发 布、评审和修订。 ? 安全管理机构：通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。 在内容上，安全管理机构方面测评实施过程涉及 5 个测评单元，包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。 ? 人员安全管理：通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。 在内容上，人员安全管理方面测评实施过程涉及 5 个测评单元，包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。 ? 系统建设管理：通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。 在内容上，系统建设管 理方面测评实施过程涉及 11 个测评单元，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案（针对三级系统）、系统测评（针对三级系 第 13 页 共 24 页 统）。 ? 系统运维管理：通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。 在内容上，系统运维管理方面测评实施过程涉及 13 个测评单元，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心（针对三级系统）。 . 分析与报告编制阶段 ? 单项测评结果分析：针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据。 ? 单元测评结果判定：将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。 ? 整体测评：针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。 ? 风险分析：据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能 对被测系统安全造成的影响。 ? 等级测评结论形成：在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。 ? 测评报告编制：根据等级测评结论，编制测评报告，包括概述、被测。