信息安全等级保护项目计划书
- 格式:doc
- 大小:272.50 KB
- 文档页数:35
文档编号:zzzzzzxxxxxxxxxx信息系统等级保护测评项目项目计划书授权方:xxxxxxxxxx被授权方:rrrrrr编制日期:2016年2月29日目录1.概述 (1)1.1项目背景 (1)1.2项目目的 (1)1.3工作依据 (2)2.技术思路和工作内容 (3)2.1技术思路 (3)2.1.1测评指标 (3)2.1.2测评对象选择方法 (7)2.1.3测评方法 (8)2.2工作范围内容 (8)3.项目实施方案 (10)3.1项目实施过程 (10)3.2阶段工作产品 (11)4.项目组织方案 (13)4.1项目组织结构 (13)4.2人员构成和职责 (14)4.3项目实施计划 (15)5.项目质量管理和控制 (15)5.1过程质量控制管理 (16)5.1.1过程质量管理风险 (16)5.1.2过程质量风险控制 (16)5.2变更控制管理 (24)5.2.1变更管理存在的风险 (24)5.2.2变更管理控制方法 (24)5.3项目风险管理 (25)5.3.1项目进度风险的管理 (25)5.3.2项目协作与沟通风险的管理 (27)5.3.3测评工作引入风险的管理 (29)5.4保密控制管理 (31)5.4.1人员保密管理 (31)5.4.2设备保密管理 (32)5.4.3文档保密管理 (32)6.签字确认 (33)1. 概述1.1 项目背景根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护测评要求》、《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息安全等级保护管理规定》等一系列国家及信息安全技术针对信息系统等级保护颁布的政策法规及文件要求,定级为等级保护二级的信息系统应该每年至少进行一次等级测评。
目前xxxxxxxxxx信息系统尚未进行过等级保护专业测评。
为进一步加强xxxxxxxxxx信息系统等级保护工作,按照《信息安全技术信息安全等级保护管理规定》相关规定,计划对xxxxxxxxxx重要的信息系统进行等级保护专业测评。
依据《信息安全等级保护管理办法》(公通字[2007]43号)的相关要求,也为了持续有效提高信息系统的安全防护能力,受xxxxxxxxxx委托我中心计划与2016年2月29日起对xxxxxxxxxx信息系统实施信息安全等级测评工作,以期通过此次测评发现系统现有安全防护措施的薄弱环节,为下一步的信息系统安全建设整改提供可靠依据,以有效提高xxxxxxxxxx信息系统的安全运行能力。
1.2 项目目的通过对xxxxxxxxxx开展安全测评工作,可以全面、完整地了解当前xxxxxxxxxx 的安全状况,分析系统所面临的各种风险。
根据测评结果发现系统存在的安全问题,并对严重的问题提出相应的风险控制策略,并为下一步进行整个系统的信息系统安全建设做前期准备。
对信息系统进行安全等级测评是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
通过对xxxxxxxxxx实施等级测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,可以在技术和管理方面进行有针对性的加强和完善,使xxxxxxxxxx安全工作有的放矢。
xxxxxxxxxx可依据等级测评结果,并结合单位的实际情况,区分轻重缓急,制定针对性的安全整改建议,通过安全整改不断提高信息系统的整体安全保护水平。
1.3 工作依据➢《计算机信息系统安全保护等级划分准则》(GB17859-1999)➢《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)➢《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)➢《信息安全技术信息系统安全等级保护基本要求》➢《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)➢《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 28449-2012)➢《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)➢《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)➢《信息安全技术网络基础安全技术要求》(GB/T20270-2006)➢《信息安全技术操作系统安全技术要求》(GB/T20272-2006)➢《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)➢《信息安全技术服务器技术要求》(GB/T21028-2007)➢《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)➢《信息安全风险评估规范》(GB/T 20984-2007)2. 技术思路和工作内容2.1 技术思路2.1.1 测评指标测评指标暂定选取《信息安全技术信息系统安全等级保护基本要求》中2级系统基本要求指标,包括《信息安全技术信息系统安全等级保护基本要求》7.1节“技术要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2),和2级业务服务保证类(A2),以及7.2节“管理要求”中的所有要求,安全控制指标如下表:2.1.2 测评对象选择方法测评对象的确定采用抽查的方法,即:抽查信息系统中具有代表性的组件作为测评对象。
并且,在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。
第二级信息系统的等级测评,测评对象种类上基本覆盖,数量进行抽样,重点抽查主要的设备、设施、人员和文档等。
抽查的测评对象种类主要考虑以下几个方面:1)主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;2)存储被测系统重要数据的介质的存放环境;3)办公场地;4)整个系统的网络拓扑结构;5)安全设备,包括防火墙、入侵检测设备和防病毒网关等;6)边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;7)对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;8)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);9)管理终端和主要业务应用系统终端;10)业务备份系统;11)信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;12)涉及到信息系统安全的所有管理制度和记录。
在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份终端,每类应至少抽查一台作为测评对象。
2.1.3 测评方法现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。
文档审查是指检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备,是否有完整的制度执行情况记录以及文件的完整性和这些文件之间的内部一致性。
实地察看是指根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
配置检查是根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。
2.2 工作范围内容最终内容将通过现场需求调研、项目会议等方式与用户方最终确认,预计对xxxxxxxxxx进行信息安全现状与标准对照的符合性检查和检测。
这些系统既相互独立,又存在着一定的业务关联。
重点测试和评估的区域是位于中心机房的主要设备和其所支撑的网络和应用环境。
3. 项目实施方案3.1 项目实施过程项目实施过程共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,基本工作流程图如下:3.2 阶段工作产品1)测评准备活动阶段2)方案编制活动阶段3)现场测评活动阶段4)分析与报告编制活动阶段4. 项目组织方案4.1 项目组织结构项目管理组:负责人为双方项目负责人,负责整个项目的工作进展、时间、人员的安排及双方的协调工作。
管理测评组:负责管理方面的测评工作,包括:机构管理、人员管理、制度管理、建设管理、运维管理。
技术测评组:对物理、网络安全方面的进行测评,并做好现场记录,负责测评报告的编写等。
质量监督组:负责对整个项目的质量监督,包括方案、计划、报告等评审工作,针对测评工作中的异议问题进行核查解决。
业务专项配合组:由被测评单位组织,针对被测系统情况给予说明和配合。
4.2 人员构成和职责4.3 项目实施计划5. 项目质量管理和控制5.1 过程质量控制管理5.1.1过程质量管理风险等级测评项目的质量是整个测评工作的核心,如测评质量没有保障,整个测评工作的意义就无从谈起。
在质量管理方面,主要从以下几点进行说明:1)测评准备阶段本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。
测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。
2)方案编制阶段本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。
3)现场测评阶段本活动是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4)分析与报告编制阶段本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和《信息系统安全等级保护测评要求》的有关要求,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。
5.1.2过程质量风险控制1)测评准备阶段。