等保测评服务方案

1、等保测评技术方案2021年7月1.2等保测评1等级保护测评1.1定级与备案1.1.1调研信息数据使用者业务处数据平安性要求系统名称或管理者及其访问权限理信息类别保密性S数据泄露将造成的影响完整性S数据篡改或丧失将造成的影响可用性A系统中断将造成的影响XX系统系统开发人 员、系统运 维人员、系 统使用人员管理数 据、业 务数 据、鉴 别信息局中低数据泄露是否会引 起法律纠 纷和导致财产损失局中低数据篡改或丧失是否会 引起法律纠 纷和导致财 产损失高中低描述系统中 断对工作职 能和业务能 力的影响通过调研初步确定各信息系统的名称和级别1.1.2定级报告和备案表信息平安等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级 保护工作的根底，信息系统的平安保护等级应当根据信息系统在国家平安、经济建 设、社会生活中的重要程度，信息系统遭到破坏后对国家平安、社会秩序、公共利 益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是 确定定级对象、确定信息系统平安等级保护等级、组织专家评审、主管部门审批、 公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续

2、, 备案工作的流程是信息系统备案、受理、审核和备案信息管理等。1协助定级对系统情况进行分析，通过分析系统所届类型、所届信息类别、效劳范围，了 解系统的可用性、完整性、保密性需求，活晰确定保护对象，确定受侵害的客体、 确定客体受侵害的程度，最终确定系统的系统效劳保护等级和业务信息保护等级， 协助用户编制定级报告。2协助备案协助用户填写?信息系统平安等级保护备案表?，协助用户到各地公安机关进 行系统备案，获得系统备案证一3-1.2.1概述1.2.1.1工程简介根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的 一项根本国策和信息平安的根本保障，同时等级保护工作的开展也是各行各业信息 化建设的内在需求。随着信息化的不断开展，信息系统的应用为信息化的开展提供了重要的支撑平 台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息平安建 设工作受到XXXX集团各级领导的高度重视。等级保护政策作为国家在信 息系统信息平安上的一项重要决策，信息化建设工作和信息平安工作贯穿XXXX集团的关键业务中。等级保护工作受到了 XXXX集团各级领导的高 度重视，平安建设也逐渐成为公司

3、信息化建设的内在需求。整个测评工程的实施主要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分 析和报告编制活动阶段；复测评分为三个阶段：一、平安整改活动阶段，二复测评 活动阶段，三，分析和报告编制活动阶段。其测评目的在于对XXXX集团信息系统当前平安防护能力做出客观评 价。通过对物理平安、网络平安、主机系统平安、应用平安、数据平安及备份恢复、 平安管理机构、平安管理制度、人员平安管理、系统建设管理、系统运维管理、渗 透测试等方面的平安检查，以国家信息平安等级保护根本要求作为平安基线，进行 客观符合性判定，进一步衡量当前系统的平安防护能力，以及系统所面临的威胁和 风险所在，为将来的平安整改和平安建设提供有力依据。1.2.1.2测评依据本工程的测评按照以下标准或标准进行：关于开展全国重要信息系统平安等级保护定级工作的通知公信安2007861号；关于印发信息平安等级保护管理方法?的通知公通字200743号；关于开展全省重要信息系统平安等级保护定级工作的通知湘公通200794号；关于进一步推进全省信息平安等级保护工作的函湘

4、公函202121号；关于对全省重要信息系统开展信息平安等级保护专项检查工作的函湘公函202174号；信息系统平安等级保护定级指南?GB/T22240 2021;信息系统平安等级保护测评过程指南?国标报批稿；信息系统等级保护平安设计技术要求?GB/T25070-2021 。主要测评依据：信息平安技术信息系统平安等级保护根本要求? GB/T 22239-2021 ;?信息平安技术信息系统平安等级保护测评要求? GB/T 28448-2021 。1.2.1.3测评过程1.2.2.3系统构成本次平安等级测评所涉及的信息系统定级情况列表如下:序号系统名称业务描述平安保护等级1XX系统一般性描述如为某某部门或某人群提供某种信息效劳。SXAXGX2XX系统一般性描述如为某某部门或某人群提供某种信息效劳。SXAXGX3XX系统一般性描述如为某某部门或某人群提供某种信息效劳。SXAXGX1.2.2.2网络结构以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基础平台。其网络拓扑图如图2-1所示:域前置成用域模心成用域图2-1信息管理系统网络拓扑图例如4.2.2.3.1业务应用软件序号软件

5、名称主要功能重要程度1XX系统系统本身能够为效劳者提供的业务功能和平安功能等。重要2XX系统系统本身能够为效劳者提供的业务功能和平安功能等。重要3XX系统系统本身能够为效劳者提供的业务功能和平安功能等。重要4.2.2.3.2 关键数据类别序号数据类别所属业务应用主机/存储设备重要程度1管理数据被测评对象应用应用效劳器/数据库效劳器重要2业务数据被测评对象应用应用效劳器/数据库效劳器重要3鉴别信息被测评对象应用应用效劳器/数据库效劳器重要4.2.2.3.3主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用效劳器/数据库效劳器举例:Windows/oracleXX系统2应用效劳器/数据库效劳器举例:Windows/oracleXX系统3应用效劳器/数据库效劳器举例:Windows/oracleXX系统4.2.2.3.4 网络、平安设备序号设备名称设备类型重要程度1核心交换机核心交换机非常重要2会聚交换机会聚交换机重要3接入交换机接入交换机一般4防火墙防火墙重要5入侵防御设备入侵防御设备重要6Web应用防火墙Web应用防火墙重要4.2.2.3.4 平安相关人员序号姓名岗位/

6、角色联系方式1网络管理员网络管理员123456789012平安建设管理员平安建设管理员123456789013平安运维管理员平安运维管理员123456789014平安制度管理员平安制度管理员123456789015人员平安管理员人员平安管理员123456789016机构平安菅理贝机构平安菅理贝123456789017物理机房管理员物理机房管理员123456789018应用软件管理员应用软件管理员123456789014.2.2.3.5 平安管理文档序号文档名称主要内容1制度类文档包括网络平安管理、设备平安管理、系统平安管理、备份与恢复、安 全事件处置和应急预案等管理制度。2记录类文档包括机房出入登记记录包括第三方人员、机房根底设施维护记录、各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训 记录、离岗手续等记录。3证据类文档包括资产清单、机构平安管理人员岗位名单、外联单位联系列表、人 员保密协议、关键岗位平安协议、信息系统定级报告或定级建议书、 系统备案材料等。#1.2.3测评对象与指标1.2.3.1测评指标GB/T22239-2021中对不同等级信息系统的平安功能和措施提出

7、了具体要求， 等级测评应根据信息系统的平安保护等级从中选取相应等级的平安测评指标，并依 据?信息系统平安等级保护根本要求?和?信息平安技术信息系统平安等级测评过 程指南?对信息系统实施平安测评。本次测评的信息管理系统在实施时由建设方指定，包括二级和三级系统的等级 测评，平安测评指标应包括?信息平安技术信息系统平安等级保护根本要求?中的二级和三级要求，分为通用指标类GX,业务信息平安性指标类SX和系统服 务保证类AX 。1二级测评所包括的平安控制指标类型情况具体如下表:测评指标技术/管理平安分类平安子类数量S 2 级A 2 级G2 级小计平安技术物理平安11810网络平安1056主机系统平安2136数据平安及备份恢复2103应用平安4217平安管理平安管理制度0033平安管理机构0055人员平安管理0055系统建设管理0099系统运维管理001212合计66#-2三级测评所包括的平安控制指标类型情况具体如下表:测评指标技术/管理平安分类平安子类数量S 3 级A 3 级G 3 级小计平安技术物理平安11810网络平安1067主机系统平安3137数据平安及备份恢复5229应用平安2103平安管理平安管理制度0033平安管理机构0055人员平安管理0055系统建设管理001111系统运维管理001313合计731.2.3.2测评对象4.2.3.2.1 机房序号机房名称物理位置1机房XXXX集团办公楼4.2.3.2.2业务软件序号软件名称主要功能1XX系统系统本身能够为效劳者提供的业务功能和平安功能等。2XX系统系统本身能够为效劳者提供的业务功能和平安功能等。3XX系统系统本身能够为效劳者提供的业务功能和平安功能等。4.2.3.2.3 主机序号设备名称业务应用软件1应用效劳器XX系统2应用效劳器XX系统3应用效劳器XX系统4.2.3.2.4 数据库序号设备名称业务应用软件1数据库效劳器XX系统2数据库效劳器XX系统3数据库效劳器XX系统4.2.3.2.5 网络、平安设备序号设备名称操作系统名称1核心交换机核心交换机2会聚交换机会聚交换机3接入交换机接入交换机4防火墙防火墙5入侵防御设备入侵防御设备6Web应用防火墙Web应用防火墙4.2.3.2.6 平安管理文档序号文档名称主要内容1制度类文档

《等保测评服务方案》由会员枫**分享，可在线阅读，更多相关《等保测评服务方案》请在金锄头文库上搜索。