下载文档原格式
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表... ...1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
等级保护2.0第三级终端安全终端安全管理系统类安全防护产品功
能指标参考
1、桌面终端安全管理(至少具备5 项功能、支持3 种连接方式管理)
用于满足终端各种安全管理和合规性需求的终端安全管理软件。
①具备即时通讯管理、非授权外连管理、软件分发、打印管理、
文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、
上网行为控制与审计、敏感字审计、远程协助等11 项功能。
②支持对双网卡、WIFI、3G、蓝牙、红外等5 种违规连接
方式进行监测、审计和阻断。
2、移动终端安全管理(至少具备4 项功能、支持2 种操作系统类型)
支持组织内部移动业务终端安全防护的管理系统。
①具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5 项功能。
②支持主流移动操作系统。
3、移动存储介质管理(至少具备4 项功能、支持4 种存储介质管理、支持3 种管理规则、支持4 种管理策略)
解决组织内部移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。
①具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4 项功能。
②支持移动硬盘、闪存、U 盘、储存卡等4 种移动存储介质的管理。
③支持预置策略、自定义策略、预置标签及自定义
标签等4 种管理规则。
④支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6 种预置管理策略和预置标签管理策略。
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评考试(简答题部分)应用:1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?主机:1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
2、主机常见评测的问题?答:①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
7缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。
测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。
对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?答:①巨型、大型、中型、小型、微型计算机和单片机。
等级保护、风险评估和安全测评三者的区别⽂章来源|等级保护测评师等级保护、风险评估和安全测评三者的区别和联系都有哪些?本篇我们从基础的概念说起,⼀起搞清楚他们之间的关系三者的基本概念和⼯作背景A. 等级保护基本概念:信息安全等级保护是指对国家秘密信息、法⼈和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实⾏安全保护,对信息系统中使⽤的安全产品实⾏按等级管理,对信息系统中发⽣的信息安全事件等等级响应、处置。
这⾥所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照⼀定的应⽤⽬标和规则对信息进⾏存储、传输、处理的系统或者⽹络;信息是指在信息系统中存储、传输、处理的数字化信息。
⼯作背景:1994年×××颁布的《×××计算机信息系统安全保护条例》2规定:计算机信息系统实⾏安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能⼒的五个等级,即:第⼀级:⽤户⾃主保护级;第⼆级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是⼀种技术的分级,即对系统客观上具备的安全保护技术能⼒等级的划分。
2002年7⽉18⽇,公安部在GB17859的基础上,⼜发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护⽹络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通⽤技术要求》、GA391-2002 《计算机信息系统安全等级保护管理要求》。
三级等保测评具体标准
三级等保测评的具体标准包括以下几个方面:
1. 安全物理环境:包括机房和场地的选择、建筑安全、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电等方面。
2. 安全通信网络:包括网络架构、通信传输、可信设备、边界安全防护等方面。
3. 安全区域边界:包括区域隔离和访问控制、入侵防范、恶意代码和垃圾邮件防范等方面。
4. 安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等方面。
5. 安全管理中心:包括安全集中管理、安全审计管理、配置管理等方面。
此外,三级等保测评还要求建立完善的安全管理制度,包括安全事件处置、应急预案、安全审计等。
同时,应配备足够的安全管理专业人员,负责网络安全管理、安全监测、安全审计等工作。
以上信息仅供参考,如需获取更多详细信息,建议咨询网络安全专业人士。
等级保护测评考试(简答题部分)应用:1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?主机:1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
2、主机常见评测的问题?答:①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
7缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。
测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。
对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?答:①巨型、大型、中型、小型、微型计算机和单片机。
机房安全责任人值班记录文档,机房配电设施、空调设施、测温设施、消防设施,包含对配电、空调、温湿度控制、消防设备的设计/验收文档,维护管理记录文档。
1)应核查机房是否指定了专门的部门或者人员负责机房的安全,包含部门和人员岗位职责记录文档;2)应核查机房是否对出入管理人员进行了登记记录,需重点核查机房人员出入管理登记文档中的人员出入时间,时长,活动范围等;3)应核查机房的供配电设备、空调设备、温湿度控制设备、消防设备是否能够正常运行,是否存在个别损坏设备,针对长期运行的设备是否按时进行维护管理工作,特别是对各个设备维护记录文档的核查,应该包含维护日期、维护人、维护设备、维护原因和维护结果等。
机房安全管理制度,包含物理访问管理制度、物品进出管理制度、环境安全管理制度。
1)应核查机房是否制定了完善详细的安全管理制度,重点核查该机房安全管理制度审批文档;2)应核查机房安全管理制度是否做了详细的领域划分,主要应包含出入人员对机房的物理访问情况的记录文档、机房内物品进出时的登记文档以及审批记录、机房环境安全上是否有详细的措施,比如机房防静电措施等。
不同办公区域重要等级划分设计/验收文档,办公环境安全管理制度。
1)应核查安全管理制度是否包含办公环境相关说明;2)应核查制度中是否根据重要程度明确的划分了不同的办公区域;3)应核查安全管理制度文档中对诸如敏感信息纸质文档、挪移介质的管理条例,具体的如日常办公敏感信息纸质文档等是否采取了有效的保护措施,日常涉及工作的公用/私用挪移介质是否完好的收藏,并核查是否派专人对其管理。
安全运维资产管理清单,包含各级资产责任部门划分文档、资产责任部门的重要程度记录文档和资产部门所处位置的记录文档等。
1)应核查资产清单中是否包含设备资产、软件资产、各种文档资产等;2)应核查具体资产责任部门,该责任部门的重要程度审批文档和所处位置审批文档。
资产管理员,资产分类标识,资产管理措施管理制度类文档和设备包含资产入库、维修、出库等相关的资产记录单,信息资产管理制度等。
一、单选题(20分)1、《基本要求》中管理要求中,下面那一个不是其中的内容?()A、安全管理机构。
B、安全管理制度。
C、人员安全管理。
D、病毒安全管理。
2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求?()A、一级。
B、二级。
C、三级。
D、四级。
3、三级系统基本要求中管理要求控制类共有()项?A、32。
B、36。
C、37。
D、38。
4、《测评要求》和哪一个文件是对用户系统测评的依据?A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
这应当属于等级保护的什么级别?()A、强制保护级。
B、监督保护级。
C、指导保护级。
D、自主保护级。
7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重要内容?A、安全定级。
B、安全评估。
C、安全规划。
D、安全实施。
8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、第三方人员访问管理5各方面。
A、人员教育。
B、人员裁减。
C、人员考核。
D、人员审核。
9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作?A、公安机关。
测评要求(S3A3G3)1机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(G2)访谈,检查。
2机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(G3)物理安全负责人,机房,办公场地,机房场地设计/验收文档。
3机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
(G2)访谈,检查。
4需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
(G2)物理安全负责人,机房值守 人员,机房,机房安全管理制度,值守记录,进入机房的 登记记录,来访人员进入机房的审批记录。
5应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
(G3)6重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(G3)7应将主要设备放置在机房内。
(G2)访谈,检查。
8应将设备或主要部件进行固定,并设置明显的不易除去的标记。
(G2)物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信 线路布线文档,报警设施的安装测试/验收报告。
9应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
(G2)10应对介质分类标识,存储在介质库或档案室中。
(G2)11应利用光、电等技术设置机房防盗报警系统。
(G3)等级保护三级技术类测评控制点(S3A3G3)类别序号测 评 内 容测评方法物理位置的选择物理访问控制防盗窃和防破坏12应对机房设置监控报警系统。
(G3)13机房建筑应设置避雷装置。
(G2)访谈,检查。
14应设置防雷保安器,防止感应雷。
(G3)物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设 计/验收文档。
15机房应设置交流电源地线。
(G2)16机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
(G3)访谈,检查。
17机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
(G3)物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收 文档,火灾自动报警系统设计/验收文档。
信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内;检查主要设备或设备的主要部件的固定情况,查看其是否不易被移动
c) 应访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、
渗透和返潮现象,则查看是否能够及时修复解决;
7.1.1物理安全
潮
护措施;b) 应检查机房设备外壳是否有安全接地;
电磁防护7.1.1.6。
安全管理人员1 人员录用1.1 应指定或授权专门的部门或人员负责人员录用1.1.1对象选择被测单位信息/网络安全主管,以及人员录用的制度类文档和记录表单类文档。
1.1.2实施要点1)应访谈被测单位信息/网络安全主管,了解部门人员招聘、录用的流程。
为保证人员录用过程的规范,应明确专门的部门或人员负责。
2)应核查人员录用相关制度类文档,是否明确体现人员录用过程的相关人员职责,以及录用的流程等内容。
3)应核查在岗信息/网络安全部门员工合同,以及招聘、录用的相关材料,无论是长期聘用的员工还是合同员工、临时员工。
4)员工的聘用合同中,是否明确说明员工在网络安全方面应遵守的规定和应承担的安全责任,并在员工的聘用期内实施监督机制。
1.2 应对被录用人员的身份,安全背景,专业资格或资质等进行审查,对其所具有的技术技能进行考核1.2.1对象选择被测单位信息/网络安全主管,负责人力资源管理相关人员,以及人员录用的制度类文档和记录表单类文档。
1.2.2实施要点1)应核查人员录用相关制度类文档,是否明确体现人员录用身份、安全背景、专业资格或资质审查的要求;2)应核查人员录用时对录用人身份、背景、专业资格和审查的相关记录表单类文档。
3)应核查人员录用时的技能考核文档或记录,考核是否形成记录并保留。
1.3 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议1.3.1对象选择被测单位人员招聘、录用工作的负责人,人员录用的制度类文档和记录表单类文档。
1.3.2实施要点1)应访谈被测单位人员招聘、录用工作负责人,了解人员招聘和录用的流程。
2)应检查人员招聘、录用相关制度类文档,是否明确体现人员在录用前与组织签署保密协议、关键岗位人员签署岗位责任协议等安全要求。
3)应抽查被测单位录用人员的保密协议,是否明确体现员工的保密范围、保密责任、违约责任、协议的有效期限和责任人签字等。
4)抽查关键岗位(如部门负责人、系统管理员或数据库管理员等涉及组织重要敏感信息的岗位)安全协议,关键岗位安全协议是否明确体现该岗位的安全职责、协议有效期限和责任人签字等内容。
.1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。
但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。
在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。
1.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。
测评使用的主要指标依据如下:系统定级使用的主要指标依据有:《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012) 《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:制度检查:以GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。
