三级等保评测文件
- 格式:doc
- 大小:589.00 KB
- 文档页数:37
下载文档原格式
合集下载
三级测评指导书--等保2.0通用标准
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
等保三级评测方案
等保三级评测方案一、引言近年来,随着信息技术的快速发展,信息安全问题变得越来越突出。
为了保护国家重要信息基础设施的安全,等保三级评测方案应运而生。
本文将对等保三级评测方案进行介绍,并提出实施过程中应该注意的问题。
二、等保三级评测概述等保三级评测是根据国家标准《信息系统安全等级保护等级划分与评定》(GB/T 22239-2019)的要求,评估信息系统的安全性。
等保三级是国家标准中的最高级别,适用于存储、处理、传送重要信息的关键信息基础设施。
三、等保三级评测方案的制定步骤(一)确定评测范围评测范围应明确包括哪些信息系统,以及评测的具体目标。
(二)收集评测资料评测资料包括信息系统的设计文档、安全管理制度、日志记录等。
评测方应与被评测单位充分沟通,确保收集到准确、完整的资料。
(三)分析评估评测方根据收集到的资料,进行系统的安全性分析和风险评估。
对存在的风险,应提出相应的整改措施。
(四)编写评测报告评测报告应详细记录评测过程、评估结果和改进建议。
评测方应确保报告的准确性和客观性。
(五)组织评审评测报告完成后,应组织评审团队对报告进行评审。
评审团队成员应具备相关的安全评估经验和技术背景。
(六)确定等级评定评审团队根据评测报告和评审结果,确定信息系统的等级评定。
等级评定结果应公正、准确。
四、等保三级评测方案实施要点(一)重视安全管理评测方案实施过程中,应注重安全管理的层面,包括制定安全策略和规程、加强安全培训和意识提升等。
(二)严格控制访问权限评测方案的实施需要严格限制访问权限,确保仅有授权人员才能获取相关资料和信息系统。
(三)定期演练和测试定期演练和测试是评测方案实施的重要环节,可以发现系统中存在的安全漏洞和问题,并及时进行修复。
(四)持续改进评测方案不应只是一次性的工作,应建立持续改进的机制,及时跟进评测结果中提出的问题,并进行改进和优化。
五、总结等保三级评测方案的实施对于保护重要信息基础设施的安全具有重要意义。
等保三级每年测评一次的文件
等保三级每年测评一次的文件等保三级,即信息安全等级保护三级,是我国对信息系统安全的一种分类管理。
它针对的是具有较高安全需求的单位,如政府机关、金融机构、大型企业等。
等保三级认证是对企业信息系统安全的一种权威认可,也是保障企业信息安全的重要手段。
那么,为什么等保三级每年都需要进行一次测评呢?企业又该如何应对这一测评呢?一、等保三级的基本概念与意义等保三级是指根据我国《信息安全等级保护基本要求》,对信息系统的安全保护等级进行划分的一种管理模式。
三级保护是最高级别,要求信息系统具备较强的安全防护能力。
等保三级测评是对企业信息系统安全状况的全面检查,包括技术、管理、人员等多个方面。
通过测评,可以及时发现和修复安全隐患,防止安全事件的发生,确保信息系统的正常运行。
二、每年测评一次的原因和重要性1.信息安全形势严峻:随着互联网的快速发展,网络安全威胁不断增加。
对企业信息系统进行定期测评,有助于发现潜在的安全风险,提高安全防护能力。
2.法规政策要求:我国相关法律法规明确规定,涉及国家秘密的信息系统必须进行等保三级测评。
此外,许多行业主管部门也对企业的信息系统提出了等保三级要求。
3.保障业务稳定运行:定期进行等保三级测评,有助于企业及时发现和解决信息系统安全隐患,确保业务的稳定运行。
4.提升企业竞争力:通过等保三级测评,企业可以完善信息安全管理体系,提高整体信息安全水平,从而提升市场竞争力。
三、测评的主要内容和流程等保三级测评主要包括以下几个方面:1.信息系统安全现状评估:对信息系统的硬件、软件、网络、数据等进行全面检查,评估安全防护能力。
2.安全管理体系审查:审查企业的信息安全组织架构、管理制度、安全培训等方面的落实情况。
3.安全技术措施审查:检查信息系统安全技术措施的部署和运行情况,如防火墙、入侵检测系统等。
4.安全事件响应能力评估:评估企业在面临安全事件时的应急响应能力。
5.用户信息安全管理审查:检查企业对用户信息的安全保护措施。
三级等保测评报告
三级等保测评报告是一种评估信息系统安全等级的报告,其中涉及五个安全技术要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心。
以下是三级等保测评报告的简要内容:
1.安全物理环境:评估信息系统的物理环境是否安全,包括物理访问控制、物理
安全监测、防盗窃和防破坏等。
2.安全通信网络:评估信息系统的通信网络是否安全,包括通信传输、可信通信
网络和通信应用等。
3.安全区域边界:评估信息系统的区域边界是否安全,包括边界防护、入侵检测
和防御等。
4.安全计算环境:评估信息系统的计算环境是否安全,包括身份鉴别、访问控制、
数据完整性、数据备份和恢复等。
5.安全管理中心:评估信息系统的安全管理中心是否安全,包括集中管理、审计
和监控等。
在每个安全技术要求下,三级等保测评报告都会进行详细的测试和评估,并提供相应的建议和改进措施。
此外,报告还将提供综合安全等级评估结果,并对现有的安全措施进行总体评价。
如果需要获取完整的三级等保测评报告,建议联系专业的信息安全机构或相关组织进行评估和审计。
三级等保评估书范本
三级等保评估书范本1. 介绍1.1 背景1.2 目的1.3 范围2. 系统概述2.1 系统描述2.2 系统功能2.3 系统边界3. 安全需求3.1 安全目标3.2 安全需求1.保密性要求2.完整性要求3.可用性要求4. 安全威胁分析4.1 威胁辨识1.内部威胁2.外部威胁 ### 4.2 威胁分析3.威胁类型4.威胁影响5.威胁概率5. 安全风险评估5.1 风险辨识1.潜在风险2.已知风险 ### 5.2 风险分析3.风险等级4.风险概率5.风险影响6. 安全控制措施6.1 控制策略1.防范措施2.检测措施3.响应措施 ### 6.2 控制实施4.系统配置5.访问控制6.加密技术7. 安全测试与验证7.1 测试方法7.2 测试结果7.3 验证方法7.4 验证结果8. 安全运维8.1 安全培训8.2 安全演练8.3 安全监控8.4 安全维护9. 总结9.1 评估结论9.2 建议和改进措施以上是一个三级等保评估书的范本。
根据任务名称,我们需要编写一个不少于2000字的文章,来详细探讨三级等保评估书的内容和要求。
在文章中,我们首先介绍了评估书的背景、目的和范围,以便读者了解评估书的重要性和应用场景。
然后,我们详细描述了评估书中的各个章节,包括系统概述、安全需求、安全威胁分析、安全风险评估、安全控制措施、安全测试与验证、安全运维等。
每个章节都有对应的二级标题,并在其中使用有序列表的格式来清晰划分不同部分。
在安全需求章节中,我们列举了保密性、完整性和可用性等方面的要求。
在安全威胁分析章节中,我们辨识了内部和外部威胁,并进行了威胁分析。
在安全风险评估章节中,我们辨识了潜在风险和已知风险,并进行了风险分析。
在安全控制措施章节中,我们介绍了防范、检测和响应措施,并对其进行了实施。
在安全测试与验证章节中,我们介绍了测试方法、测试结果、验证方法和验证结果。
在安全运维章节中,我们介绍了安全培训、安全演练、安全监控和安全维护等。
等保2.0管理测评文档清单(三级)
记录介质的存储、归档、查询和使用等情况
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
等保三级记录类文档模板
等保三级记录类文档模板一、概述等保三级记录类文档模板是一套用于记录等保三级测评过程中发现的安全问题、整改措施和整改结果的文档模板。
本模板旨在帮助企业建立完善的安全记录管理制度,确保安全问题的可追溯性和整改措施的有效执行。
二、文档内容1.安全问题记录表:用于记录测评过程中发现的安全问题,包括问题的类型、发生时间、发生地点、影响范围、问题描述等信息。
2.整改措施记录表:用于记录针对发现的安全问题所采取的整改措施,包括整改措施的执行人、执行时间、实施过程、完成情况等信息。
3.测评报告:包括测评的基本信息、测评范围、测评方法、发现的安全问题、问题等级划分、整改建议等内容。
4.整改报告:包括整改的基本信息、整改范围、整改措施、实施过程、完成情况、复查结果等内容。
三、使用方法1.在测评和整改过程中,按照要求填写安全问题记录表和整改措施记录表,确保信息的准确性和完整性。
2.在整理测评和整改结果时,将相关资料整理成测评报告和整改报告,并按照文档模板的格式要求进行排版和打印。
3.将整理好的测评报告和整改报告存档,以便后续查阅和复查。
4.在每次安全检查和整改过程中,都要认真记录发现的问题和采取的措施,确保安全问题的可追溯性。
四、注意事项1.确保文档内容真实、准确、完整,不得虚假记录或故意遗漏。
2.文档排版要规范,格式要统一,易于阅读和存档。
3.每次填写记录表时要注明检查时间和地点,确保记录的真实性。
4.整改措施要具有针对性和可行性,确保能够真正解决问题。
5.对于重要安全问题的整改结果,要进行复查,确保整改到位。
总之,等保三级记录类文档模板是一套重要的安全管理制度文档,对于企业建立完善的安全管理体系具有重要意义。
通过正确使用文档模板,可以确保安全问题的可追溯性和整改措施的有效执行,提高企业的安全保障水平。
等保三级评测方案
等保三级评测方案随着信息化的快速发展,网络安全问题也日益成为人们关注的焦点。
为了保障国家和社会信息安全,我国提出了等保三级评测方案。
这个方案是什么?它的实施意义和所面临的挑战是什么?本文将从多个角度探讨这个话题。
一、等保三级评测方案是什么?等保三级评测方案是我国网络安全等级保护的一项重要措施,其目的是通过评估和指导,提高政府机构和企业的网络安全等级,有效防范和抵御网络攻击、病毒等安全风险。
等保三级评测方案基于ISO27001/27002标准和《信息系统安全等级保护基本要求》,采用“等级评定+应用评估+验证检查”的方式,评测单位必须通过专业机构进行评测。
评测结果将根据该单位的网络等级保护安全级别,最终将单位划分为等级一、等级二、等级三。
二、等保三级评测方案的背景和意义等保三级评测方案的实施主要是因为我国在网络安全方面面临的严峻挑战。
随着社会信息化程度的加深,网络安全事件频频发生,这不仅给国家和个人带来了经济损失,还对社会造成了不小的威胁。
等保三级评测方案的实施,可以促进政府机构和企业的信息安全管理水平提高,提高国家和社会的信息安全保障能力。
同时,对于加强我国网络安全研究和发展也具有一定的推动作用,使我国网络安全技术与国际接轨,与时俱进,逐步成为国际网络安全领域的重要力量。
三、等保三级评测方案的具体实施步骤等保三级评测方案的实施有以下具体步骤:1、确定评测对象:评测对象为政府机构和企业。
2、进行等级评定:根据标准和要求,对评测对象的信息系统进行等级评定。
3、进行应用评估:对评测对象的信息系统进行系统应用评估,包括对应用系统的功能、漏洞、应对能力等方面的测试。
4、进行验证检查:对评测对象进行现场的漏洞测试和评测结果检查,保证评测结果的真实性和可信度。
5、发布评测报告:评测机构根据评测结果,向评测对象发布评测报告,最终确定其安全等级。
四、等保三级评测方案面临的挑战和未来发展趋势尽管等保三级评测方案的实施是我国网络安全工作的一项重要举措,但其也面临不少挑战。
等保三级每年测评一次的文件
等保三级每年测评一次的文件等保三级是指信息系统安全等级保护的一种评估标准,要求对系统进行每年一次的测评。
本文档旨在说明等保三级每年测评的相关流程和要求。
一、测评目的和意义等保三级每年测评的目的在于检验信息系统的安全性和合规性,确保系统能够达到等级保护要求,预防和及时发现安全隐患,保护信息资产的完整性、可用性和机密性,提高系统的稳定性和安全性,确保信息系统能够稳健运行。
二、测评要求1.测评频率:每年进行一次测评,确保及时发现和修复安全漏洞。
2.测评范围:对所有涉及等保三级的信息系统进行测评,包括硬件设备、软件系统、网络设备、数据库等。
3.测评方法:采用综合性的评估手段,包括漏洞扫描、风险评估、安全测试和安全审计等,确保系统的安全性全面评估。
4.测评内容:包括系统安全管理、身份认证和访问控制、数据加密和传输、安全审计和监控等方面的评估,确保系统满足等级保护要求。
三、测评流程1.测评计划制定:由安全管理人员根据系统特点制定测评计划,明确测评的时间、范围和方法。
2.测评准备工作:根据测评计划,准备测评所需的相关材料和环境,包括系统文档、安全策略、安全设备和测试工具等。
3.测评执行:按照测评计划进行系统漏洞扫描、风险评估、安全测试和安全审计等工作,记录发现的问题和建议。
4.安全漏洞修复:根据测评结果,及时修复系统中存在的安全漏洞并进行验证。
5.测评报告编写:根据测评结果和修复情况,编写测评报告,包括测评过程、发现的问题和改进建议等。
6.测评结果评审:由安全管理人员对报告进行评审,确认测评结果和整改情况。
7.整改工作落实:根据评审结果,及时落实整改措施,确保问题得到解决。
8.测评追踪和监督:对整改措施的落实进行监督和追踪,确保问题不再发生。
四、测评周期和改进1.测评周期:按照每年一次的原则进行测评,确保信息系统安全长效运行。
2.改进措施:根据测评结果和系统运行情况,及时调整和改进安全策略和控制措施,提升系统的安全性和稳定性。
等保三级每年测评一次的文件
等保三级每年测评一次的文件【原创版】目录1.等保三级测评的概述2.等保三级测评的频率3.等保三级测评的重要性4.如何进行等保三级测评5.等保三级测评的成果和应用正文等保三级测评是我国信息安全保障体系中的一项重要工作。
等保,全称为信息安全等级保护,是指按照信息系统的重要程度和安全需求,对其进行等级划分,并实施相应的安全保护措施。
等保三级是其中的一个等级,主要针对的是关键信息基础设施,其安全保护要求严格,需要进行定期的测评。
等保三级测评的频率是每年一次。
这是因为信息系统的安全状态是不断变化的,需要定期检查和评估,以确保其安全。
每年的测评可以及时发现信息系统的安全问题,及时采取措施进行修复,以保障信息系统的正常运行。
等保三级测评的重要性不言而喻。
首先,它是保障信息系统安全的重要手段。
通过对信息系统进行等保三级测评,可以全面了解其安全状态,发现并解决安全问题,防止信息泄露、篡改等安全事件的发生。
其次,等保三级测评也是信息系统合规的必要条件。
根据我国的相关法律法规,关键信息基础设施必须进行等保三级测评,否则将面临法律责任。
那么,如何进行等保三级测评呢?首先,需要制定详细的测评计划,明确测评的目标、内容、方法等。
然后,由专业的测评机构进行测评,测评结果需要经过专家评审,以确保其科学、客观、公正。
最后,测评机构需要出具测评报告,对测评结果进行详细分析,并提出改进建议。
等保三级测评的成果和应用主要体现在两个方面。
一方面,测评成果可以作为信息系统安全管理的依据,帮助信息系统管理者了解信息系统的安全状态,制定和改进安全管理措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (2)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (6)2.4.6安全管理文档 (6)2.5安全环境 (7)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (10)3.2.1选择方法 (10)3.2.2选择结果 (10)3.3测评方法 (12)3.3.1现场测评方法 (12)3.3.2风险分析方法 (12)4等级测评容 (13)4.1物理安全 (13)4.1.1结果记录 (13)4.1.2问题分析 (13)4.1.3单元测评结果 (13)4.2网络安全 (13)4.2.1结果记录 (13)4.2.2问题分析 (15)4.2.3单元测评结果 (15)4.3主机安全 (16)4.3.1结果记录 (16)4.3.2问题分析 (16)4.3.3单元测评结果 (16)4.4应用安全 (16)4.4.1结果记录 (16)4.4.2问题分析 (16)4.4.3单元测评结果 (16)4.5数据安全及备份恢复 (16)4.5.1结果记录 (16)4.5.2问题分析 (16)4.5.3单元测评结果 (16)4.6安全管理制度 (17)4.6.1结果记录 (17)4.6.2问题分析 (17)4.6.3单元测评结果 (17)4.7安全管理机构 (17)4.7.1结果记录 (17)4.7.2问题分析 (17)4.7.3单元测评结果 (17)4.8人员安全管理 (17)4.8.1结果记录 (17)4.8.2问题分析 (17)4.8.3单元测评结果 (17)4.9系统建设管理 (18)4.9.1结果记录 (18)4.9.2问题分析 (18)4.9.3单元测评结果 (18)4.10系统运维管理 (18)4.10.1结果记录 (18)4.10.2问题分析 (18)4.10.3单元测评结果 (18)4.11工具测试 (18)4.11.1结果记录 (18)4.11.2问题分析 (18)5等级测评结果 (19)5.1整体测评 (19)5.1.1安全控制间安全测评 (19)5.1.2层面间安全测评 (19)5.1.3区域间安全测评 (19)5.1.4系统结构安全测评 (19)5.2测评结果 (19)5.3统计图表 (24)6风险分析和评价 (24)6.1安全事件可能性分析 (24)6.2安全事件后果分析 (25)6.3风险分析和评价 (25)7系统安全建设、整改建议 (27)7.1物理安全 (27)7.2网络安全 (27)7.3主机安全 (27)7.4应用安全 (27)7.5数据安全及备份恢复 (27)7.6安全管理制度 (28)7.7安全管理机构 (28)7.8人员安全管理 (28)7.9系统建设管理 (28)7.10系统运维管理 (28)附:信息系统安全等级保护备案表-1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
描述等级测评工作的基本情况,包括委托单位、测评单位、测评围及预期(如,通过等级测评找出与国家标准要求之间的差距)。
描述测评报告的用途(如,作为后续安全整改的依据)。
1.2测评依据开展测评活动所依据的合同、标准和文件:1)《信息安全等级保护管理办法》(公通字[2007]43号)2)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)13)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求4)GB/T 20984-2007 信息安全技术信息安全风险评估规5)《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)6)被测信息系统安全等级保护定级报告7)等级测评任务书/测评合同等1针对“国家电子政务工程建设项目”有效1.3测评过程描述本次等级测评的工作流程(可参考《信息系统安全等级保护测评过程指南》),具体容包括但不限于:(一)测评工作流程图(二)各阶段完成的关键任务(三)工作的时间节点1.4报告分发围依据项目需求,明确应交付等级测评报告的数量与分发围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。
2被测系统情况2.1基本信息2本报告模板针对作为单一定级对象的信息系统制定。
2.2业务应用描述信息系统承载的业务应用情况。
2.3网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于:(一)功能/安全区域划分、隔离与防护情况(二)关键网络和主机设备的部署情况和功能简介(三)与其他信息系统的互联情况和边界设备(四)本地备份和灾备中心的情况2.4系统构成以列表的形式分类描述信息系统的软、硬件构成情况。
2.4.1业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。
2.4.2关键数据类别2.4.3主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
2.4.4网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备。
设备名称应确保在被测信息系统围的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。
2.4.5安全相关人员以列表形式给出与被测信息系统安全相关的人员,描述项目包括、岗位/角色和联系方式。
人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
2.4.6安全管理文档与信息系统安全相关的文档,包括:(一)管理类文档,如机构总体安全方针和政策方面的管理制度、、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等;(二)记录类文档,如设备运行维护记录、会议记录等;(三)其他类文档,如专家评审意见等。
2.5安全环境描述被测信息系统的运行环境中与安全相关的部分:如数据中心位于运营服务商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。
以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行威胁赋值,具体容可参考《风险评估规》。
3等级测评围与方法3.1测评指标测评指标包括基本指标和附加指标两部分,以列表的形式给出。
依据定级结果选择《基本要求》中对应级别的安全要求作为等级测评的基本指标;3.1.1基本指标基本指标(物理和网络子类)的例子如下所示:3测评项数量随信息系统的安全保护等级不同而变化3.1.2附加指标参照基本指标的表述模式以列表形式给出附加指标。
附加指标包括但不限于:1)行业标准/规的具体指标2)主管部门的规定的具体指标3)信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体指标3.2测评对象3.2.1测评对象选择方法描述本次等级测评中采用的测评对象选择方法和具体规则,通常采用抽查的方法,兼顾类别与数量。
测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系。
其中,主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定;机房、介质4和管理文档不需要抽样。
具体方法和规则可参考《信息系统安全等级保护测评过程指南》。
3.2.2测评对象选择结果1)网络互联设备操作系统2)安全设备操作系统4非个人使用存储介质3)业务应用软件4)主机(存储)操作系统5)数据库管理系统6)访谈人员7)安全管理文档3.3测评方法3.3.1现场测评方法描述本次等级测评工作中采用的测评方法。
现场测评方法主要包括访谈、检查和测试等三类,可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。
如果采用工具测试,应给出工具接入示意图,并对测评工具的接入点和预期的测试路径进行描述。
3.3.2风险分析方法本项目依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析,分析过程包括:1)判断信息系统安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁利用导致安全事件发生的可能性,可能性的取值围为高、中和低;2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度,影响程度取值围为高、中和低;3)综合1)和2)的结果对信息系统面临的风险进行汇总和分等级,风险等级的取值围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。