XX安全服務(wù)公司2018-2019年XXX項(xiàng)目等級保護(hù)差距測評實(shí)施方案201X 年 X 月目錄目錄0項(xiàng)目概述1項(xiàng)目背景1項(xiàng)目目標(biāo)2項(xiàng)目原則2項(xiàng)目依據(jù)3測評實(shí)施內(nèi)容4測評分析41.測評范圍4測評對象4測評內(nèi)容4測評對象5測評指標(biāo)6測評流程8測評準(zhǔn)備階段8方案編制階段8現(xiàn)場測評階段9分析與報(bào)告編制階段10測評方法11工具測試11配置檢查11人員訪談12文檔審查12實(shí)地查看13測評工具13輸出文檔14等級保護(hù)測評差距報(bào)告錯(cuò)誤!未定義書簽。等級測評報(bào)告錯(cuò)誤!未定義書簽。安全整改建議錯(cuò)誤!未定義書簽。時(shí)間安排14人員安排15組織結(jié)構(gòu)及分工15人員配置表16工作配合17其他相關(guān)事項(xiàng)18風(fēng)險(xiǎn)規(guī)避18項(xiàng)目信息管理20保密責(zé)任法律保證20現(xiàn)場安全保密管理20文檔安全保密管理21離場安全保密管理21其他情況說明21項(xiàng)目概述項(xiàng)目背景為了貫徹落實(shí)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》和《信息安全等級保護(hù)管理辦法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照國家《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》的要求，對XXXXXXXXXXXXXXXXXXX現(xiàn)有六個(gè)信息系統(tǒng)進(jìn)行全面的信息安全測評與評估工作,并且為XXXXXXXXXXXXXXXXXXX提供駐點(diǎn)咨詢、實(shí)施等服務(wù)?！窗踩夹g(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上的安全控制測評；安全管理測評包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測評，加大測評與風(fēng)險(xiǎn)評估力度，對信息系統(tǒng)的資產(chǎn)、威脅、弱點(diǎn)和風(fēng)險(xiǎn)等要素進(jìn)行全面評估，有效提升信心系統(tǒng)的安全防護(hù)能力，建立常態(tài)化的等級保護(hù)工作機(jī)制，深化信息安全等級保護(hù)工作，提高XXXXXXXXXXXXXXXXXXX網(wǎng)絡(luò)與信息系統(tǒng)的安全保障與運(yùn)維能力。項(xiàng)目目標(biāo)全面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有六個(gè)信息系統(tǒng)的信息安全測評與評估工作和協(xié)助整改工作,并且為XXXXXXXXXXXXXXXXXXX提供駐點(diǎn)咨詢、實(shí)施等服務(wù)，按照國家和XXXXXXXXXXXXXXXXXXX的有關(guān)要求，對XXXXXXXXXXXXXXXXXXX的網(wǎng)絡(luò)架構(gòu)進(jìn)行業(yè)務(wù)影響分析及網(wǎng)絡(luò)安全管理工作進(jìn)行梳理，提高XXXXXXXXXXXXXXXXXXX整個(gè)網(wǎng)絡(luò)的安全保障與運(yùn)維能力,減少信息安全風(fēng)險(xiǎn)和降低信息安全事件發(fā)生的概率,全面提高網(wǎng)絡(luò)層面的安全性，構(gòu)建XXXXXXXXXXXXXXXXXXX信息系統(tǒng)的整體信息安全架構(gòu)，確保全局信息系統(tǒng)高效穩(wěn)定運(yùn)行，并滿足XXXXXXXXXXXXXXXXXXX提出的基本要求，及時(shí)提供咨詢等服務(wù)。項(xiàng)目原則項(xiàng)目的方案設(shè)計(jì)與實(shí)施應(yīng)滿足以下原則：?符合性原則：應(yīng)符合國家信息安全等級保護(hù)制度及相關(guān)法律法規(guī),指出防范的方針和保護(hù)的原則。?標(biāo)準(zhǔn)性原則：方案設(shè)計(jì)、實(shí)施與信息安全體系的構(gòu)建應(yīng)依據(jù)國內(nèi)、國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。?規(guī)范性原則：項(xiàng)目實(shí)施應(yīng)由專業(yè)的等級測評師依照規(guī)范的操作流程進(jìn)行,在實(shí)施之前將詳細(xì)量化出每項(xiàng)測評內(nèi)容，對操作過程和結(jié)果提供規(guī)范的記錄，以便于項(xiàng)目的跟蹤和控制。?可控性原則：項(xiàng)目實(shí)施的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，實(shí)施進(jìn)度要按照進(jìn)度表進(jìn)度的安排，保證項(xiàng)目實(shí)施的可控性。?整體性原則：安全體系設(shè)計(jì)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，避免由于遺漏造成未來的安全隱患。?最小影響原則：項(xiàng)目實(shí)施工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行，不能對信息系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。?保密原則：對項(xiàng)目實(shí)施過程獲得的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)和結(jié)果進(jìn)行任何侵害測評委托單位利益的行為。項(xiàng)目依據(jù)信息系統(tǒng)等級測評依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)測評要求》，在對信息系統(tǒng)進(jìn)行安全技術(shù)和安全管理的安全控制測評及系統(tǒng)整體測評結(jié)果基礎(chǔ)上,針對相應(yīng)等級的信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜合系統(tǒng)測評，提出相應(yīng)的系統(tǒng)安全整改建議。主要參考標(biāo)準(zhǔn)如下：?《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》-GB17859-1999?《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》?《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》?《信息安全等級保護(hù)管理辦法》?《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》〔GB/T222402008?《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》〔GB/T22239-2008?《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》〔GB17859-1999?《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》〔GB/T20271-2006?《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》〔GB/T20270-2006?《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》〔GB/T20272-2006?《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》〔GB/T20273-2006?《信息安全技術(shù)服務(wù)器技術(shù)要求》〔GB/T21028-2007?《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》〔GA/T671-2006?《信息安全風(fēng)險(xiǎn)評估規(guī)范》〔GB/T20984-2007測評實(shí)施內(nèi)容測評分析測評范圍本項(xiàng)目范圍為對XXXXXXXXXXXXXXXXXXX已定級信息系統(tǒng)的等級保護(hù)測評。測評對象本次測評對象為XXXXXXXXXXXXXXXXXXX信息系統(tǒng)，具體如下:序號信息系統(tǒng)名稱級別1XXXXXXXXX信息系統(tǒng)三級2XXXXXXXXX信息系統(tǒng)三級3XXXXXXXXX信息系統(tǒng)三級4XXXXXXXXX信息系統(tǒng)三級5XXXXXXXXX信息系統(tǒng)二級6XXXXXXXXX信息系統(tǒng)二級2.1.3.本次測評結(jié)合XXXXXXXXXXXXXXXXXXX系統(tǒng)的信息管理特點(diǎn),進(jìn)行不同層次的測評工作,如下表所示：測評內(nèi)容本項(xiàng)目主要分為兩步開展實(shí)施。第一步，對XXXXXXXXXXXXXXXXXXX六個(gè)信息系統(tǒng)進(jìn)行定級和備案工作。第二步，對XXXXXXXXXXXXXXXXXXX已經(jīng)定級備案的系統(tǒng)進(jìn)行十個(gè)安全層面的等級保護(hù)安全測評〔物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。其中安全測評分為差距測評和驗(yàn)收測評。差距測評主要針對XXXXXXXXXXXXXXXXXXX已定級備案系統(tǒng)執(zhí)行國家標(biāo)準(zhǔn)的安全測評,差距測評交付差距測評報(bào)告以及差距測評整改方案；差距整改完畢后協(xié)助完成系統(tǒng)配置方面的整改。最后進(jìn)行驗(yàn)收測評，驗(yàn)收測評將按照國家標(biāo)準(zhǔn)和國家公安承認(rèn)的測評要求、測評過程、測評報(bào)告,協(xié)助對XXXXXXXXXXXXXXXXXXX已定級備案的系統(tǒng)執(zhí)行系統(tǒng)安全驗(yàn)收測評，驗(yàn)收測評交付具有國家承認(rèn)的驗(yàn)收測評報(bào)告。信息系統(tǒng)安全等級保護(hù)測評包括兩個(gè)方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。安全控制測評使用測評單元方式組織，分為安全技術(shù)測評和安全管理測評兩大類。安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上的安全控制測評；安全管理測評包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面的安全控制測評。具體見下圖：系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu),也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)。在安全控制測評的基礎(chǔ)上，重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系,分析評估安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性。綜合測評總結(jié)將在安全控制測評和系統(tǒng)整體測評兩個(gè)方面的內(nèi)容基礎(chǔ)上進(jìn)行，由此而獲得信息系統(tǒng)對應(yīng)安全等級保護(hù)級別的符合性結(jié)論。測評對象依照信息安全等級保護(hù)的要求、參考業(yè)界權(quán)威的安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)與模型，同時(shí)結(jié)合本公司多年的安全風(fēng)險(xiǎn)評估經(jīng)驗(yàn)與實(shí)踐，從信息系統(tǒng)的核心資產(chǎn)出發(fā)，以威脅和弱點(diǎn)為導(dǎo)向，對比信息安全等級保護(hù)的具體要求,全方面對信息系統(tǒng)進(jìn)行全面評估。測評對象種類主要考慮以下幾個(gè)方面：整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);機(jī)房環(huán)境、配套設(shè)施；網(wǎng)絡(luò)設(shè)備：包括路由器、核心交換機(jī)、匯聚層交換機(jī)等；安全設(shè)備：包括防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；主機(jī)系統(tǒng)〔包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)；業(yè)務(wù)應(yīng)用系統(tǒng)；重要管理終端〔針對三級以上系統(tǒng)；安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；涉及到系統(tǒng)安全的所有管理制度和記錄。根據(jù)信息系統(tǒng)的測評強(qiáng)度要求，在執(zhí)行具體的核查方法時(shí)，在廣度上要做到從測評范圍中抽取充分的測評對象種類和數(shù)量；在執(zhí)行具體的檢測方法,在深度上要做到對功能等各方面的測試。測評指標(biāo)對于二級系統(tǒng)，如業(yè)務(wù)信息安全等級為S2,系統(tǒng)服務(wù)安全等級為A2，則該系統(tǒng)的測評指標(biāo)應(yīng)包括GB/T22239-2008《信息系統(tǒng)安全保護(hù)等級基本要求》中〃技術(shù)要求〃部分的2級通用指標(biāo)類〔G2,2級業(yè)務(wù)信息安全指標(biāo)類〔S2,2級系統(tǒng)服務(wù)安全指標(biāo)類〔A2,以及第2級〃管理要求〃部分中的所有指標(biāo)類，等級保護(hù)測評指標(biāo)情況具體如下表所示：測評指標(biāo)〔二級技術(shù)/管理層面類數(shù)量S類＜2級〉A(chǔ)類＜2級〉G類＜2級〉小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機(jī)安全2136應(yīng)用安全4217

數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運(yùn)維管理001212合計(jì)66〔類對于三級系統(tǒng)，如業(yè)務(wù)信息安全等級為S3,系統(tǒng)服務(wù)安全等級為A3，則該系統(tǒng)的測評指標(biāo)應(yīng)包括GB/T22239-2008《信息系統(tǒng)安全保護(hù)等級基本要求》中〃技術(shù)要求〃部分的3級通用指標(biāo)類〔G3,3級業(yè)務(wù)信息安全指標(biāo)類〔S3,3級系統(tǒng)服務(wù)安全指標(biāo)類〔A3,以及第3級〃管理要求〃部分中的所有指標(biāo)類，等級保護(hù)測評指標(biāo)情況具體如下表所示：測評指標(biāo)〔三級技術(shù)/管理層面類數(shù)量S類＜3級〉A(chǔ)類＜3級〉G類＜3級〉小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313合計(jì)73（類2.2.測評流程等級保護(hù)測評實(shí)施過程包括以下四個(gè)階段：測評準(zhǔn)備階段測評項(xiàng)目組組建：明確項(xiàng)目經(jīng)理、測評人員及職責(zé)分工。項(xiàng)目計(jì)劃書編制：項(xiàng)目計(jì)劃書包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。信息系統(tǒng)調(diào)研：通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，明確被測系統(tǒng)的范圍〔特別是信息系統(tǒng)的邊界，了解被測系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息〔服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等、管理制度等。工具和表單準(zhǔn)備：根據(jù)被測系統(tǒng)的實(shí)際情況，準(zhǔn)備測評工具和各類測評表單。方案編制階段測評對象確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個(gè)被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。測評指標(biāo)確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測評指標(biāo)。測評工具接入點(diǎn)確定：確定需要進(jìn)行工具測試的測評對象，選擇測試路徑，根據(jù)測試路徑確定測試工具的接入點(diǎn)。測評內(nèi)容確定：確定現(xiàn)場測評的具體實(shí)施內(nèi)容，即單元測評內(nèi)容。測評實(shí)施手冊開發(fā)：編制測評實(shí)施手冊，詳細(xì)描述現(xiàn)場測評的工具、方法和操作步驟等，具體指導(dǎo)測評人員如何進(jìn)行測評活動。現(xiàn)場測評階段現(xiàn)場測評實(shí)際上就是單項(xiàng)測評，分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。物理安全：通過人員訪談、文檔審查和實(shí)地察看的方式測評信息系統(tǒng)的物理安全保障情況。主要涉及對象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物理安全層面測評實(shí)施過程涉及10個(gè)測評單元，包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。網(wǎng)絡(luò)安全：通過訪人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面測評實(shí)施過程涉及7個(gè)測評單元，包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范〔針對三級系統(tǒng)。主機(jī)安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的主機(jī)安全保障情況。主要涉及對象為各類服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面測評實(shí)施過程涉及7個(gè)測評單元，包括：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、剩余信息保護(hù)〔針對三級系統(tǒng)。應(yīng)用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的應(yīng)用安全保障情況，主要涉及對象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面測評實(shí)施過程涉及9個(gè)測評單元，包括：身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制、剩余信息保護(hù)〔針對三級系統(tǒng)、抗抵賴〔針對三級系統(tǒng)。數(shù)據(jù)安全：通過人員訪談、配置檢查的方式測評信息系統(tǒng)的數(shù)據(jù)安全保障情況，主要涉及對象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi)容上，數(shù)據(jù)安全層面測評實(shí)施過程涉及3個(gè)測評單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全管理制度：通過人員訪談、文檔審查和實(shí)地察看的方式測評信息系統(tǒng)的安全管理制度情況。在內(nèi)容上，安全管理制度方面測評實(shí)施過程涉及3個(gè)測評單元，包括：管理制度、制定和發(fā)布、評審和修訂。安全管理機(jī)構(gòu)：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的安全管理機(jī)構(gòu)情況。在內(nèi)容上，安全管理機(jī)構(gòu)方面測評實(shí)施過程涉及5個(gè)測評單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。人員安全管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的人員安全管理情況。在內(nèi)容上，人員安全管理方面測評實(shí)施過程涉及5個(gè)測評單元，包括：人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理。系統(tǒng)建設(shè)管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)建設(shè)管理情況。在內(nèi)容上，系統(tǒng)建設(shè)管理方面測評實(shí)施過程涉及11個(gè)測評單元，包括：系統(tǒng)定級、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇、系統(tǒng)備案〔針對三級系統(tǒng)、系統(tǒng)測評〔針對三級系統(tǒng)。系統(tǒng)運(yùn)維管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)運(yùn)維管理情況。在內(nèi)容上，系統(tǒng)運(yùn)維管理方面測評實(shí)施過程涉及13個(gè)測評單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、監(jiān)控管理和安全管理中心〔針對三級系統(tǒng)。分析與報(bào)告編制階段單項(xiàng)測評結(jié)果分析：針對測評指標(biāo)中的單個(gè)測評項(xiàng)，結(jié)合具體測評對象,客觀、準(zhǔn)確地分析測評證據(jù)。單元測評結(jié)果判定：將單項(xiàng)測評結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測評對象的單項(xiàng)測評結(jié)果，從而判定單元測評結(jié)果,并以表格的形式逐一列出。

整體測評：針對單項(xiàng)測評結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果，并對系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測評。風(fēng)險(xiǎn)分析：據(jù)等級保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造成的影響。等級測評結(jié)論形成：在測評結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與等級保護(hù)基本要求之間的差距，并形成等級測評結(jié)論。測評報(bào)告編制：根據(jù)等級測評結(jié)論，編制測評報(bào)告，包括概述、被測系統(tǒng)描述、測評對象說明、測評指標(biāo)說明、測評內(nèi)容和方法說明、單元測評、整體測評、測評結(jié)果匯總、風(fēng)險(xiǎn)分析和評價(jià)、等級測評結(jié)論、整改建議等。2.3.測評方法在等級保護(hù)測評過程目中，將采用以下測評方法：工具測試?yán)眉夹g(shù)工具〔漏洞掃描工具、滲透測試工具、壓力測試工具等對系統(tǒng)進(jìn)行測試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)的漏洞掃描、滲透測試等。測評方法工具測試測評方法工具測試簡要描述利用技術(shù)工具，從網(wǎng)絡(luò)的不同接入點(diǎn)對網(wǎng)絡(luò)內(nèi)的主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果工具測試結(jié)果記錄2.3.2. 配置檢查利用上機(jī)驗(yàn)證的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核

的內(nèi)容進(jìn)行核實(shí)〔包括日志審計(jì)等，測評其實(shí)施的正確性和有效性，檢查配置的完整性，測試網(wǎng)絡(luò)連接規(guī)則的一致性,從而測試系統(tǒng)是否達(dá)到可用性和可靠性的要求。測評方法配置檢查簡要描述通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置情況達(dá)成目標(biāo)發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄273.3：人員訪談與被測系統(tǒng)有關(guān)人員〔個(gè)人/群體進(jìn)行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信息系統(tǒng)在測評時(shí)有不同的要求,一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。測評方法人員訪談簡要描述通過交流、討論的方式，對技術(shù)和管理方面進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果人員訪談結(jié)果記錄27374： 文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔〔包括安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等過程記錄文檔的完整性，以及這些文件之間的內(nèi)部一致性。

測評方法文檔審查簡要描述通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合工作結(jié)果文檔審查結(jié)果記錄2.3.5 實(shí)地查看通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到了相應(yīng)等級的安全要求。項(xiàng)目名稱實(shí)地查看簡要描述通過現(xiàn)場查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作結(jié)果實(shí)地查看結(jié)果記錄2.4.測評工具我們在等級保護(hù)測評過程中使用的測評工具嚴(yán)格遵循可控性原則，即所有使用的測評工具將事先提交給甲方檢查確認(rèn)，確保在雙方認(rèn)可的范圍之內(nèi)，而且測評過程中采用的技術(shù)手段確保已經(jīng)過可靠的實(shí)際應(yīng)用。在本項(xiàng)目中，將采用以下測評工具：

工具類別工具名稱工具介紹漏洞掃描工具綠盟極光遠(yuǎn)程安全評估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具IBMAPPScanIBM公司出品的商業(yè)Web應(yīng)用安全掃描系統(tǒng)WVS<WebVulnerabilityScanner>一個(gè)自動化的Web應(yīng)用程序安全測試工具，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規(guī)則的Web站點(diǎn)和Web應(yīng)用程序2.5.輸出文檔本項(xiàng)目輸出的主要輸出文檔為《等級保護(hù)測評實(shí)施方案〔資產(chǎn)收集、測評表》《等級保護(hù)測評差距分析報(bào)告》《等級保護(hù)測評安全整改方案》《等級保護(hù)測評安全整改報(bào)告》時(shí)間安排序號任務(wù)名稱工作內(nèi)容開始時(shí)間完成時(shí)間階段完成標(biāo)志主要負(fù)責(zé)人配合人員1項(xiàng)目準(zhǔn)備階段編制實(shí)施方案2015/7/8《實(shí)施方案》2編制資產(chǎn)收集2015/7/92015/7/15資產(chǎn)收集表3編制測評表測評表4前期調(diào)研資產(chǎn)收集2015/7/162015/7/17完成資產(chǎn)收集表

5差距測評技術(shù)和管理單項(xiàng)測評2015/7/202015/8/21完成信息系統(tǒng)測評表6差距測評報(bào)告編制單兀測評、整體測評、風(fēng)險(xiǎn)分析、報(bào)告編制2015/8/242015/8/28《差距測評報(bào)告》7安全整改建議對部分風(fēng)行較高的不符合項(xiàng)給出整改報(bào)告2015/8/312015/9/4《整改方案》8安全加固與檢查對整改部分內(nèi)容進(jìn)行復(fù)檢2015/9/72015/9/25《整改報(bào)告》9等級保護(hù)驗(yàn)收測評協(xié)助中心通過第三方測評2015/9/282015/11/31獲得測評證書4.人員安排組織結(jié)構(gòu)項(xiàng)目工作分工為確保測評工作的順利進(jìn)行，XXXXXXXXXXXXXXXXXXX與XXXXXXXXXXXXXXXXXXX信息安全有限公司協(xié)商組建項(xiàng)目組，并對項(xiàng)目組織機(jī)構(gòu)進(jìn)行如下規(guī)劃：■XXXXXXXXXXXXXXXXXXX:名稱職責(zé)項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)協(xié)調(diào)XXXXXXXXXXXXXXXXXXX整體項(xiàng)目資源，解決項(xiàng)目中需要XXXXXXXXXXXXXXXXXXX配合的問題，監(jiān)督項(xiàng)目整體質(zhì)量、推進(jìn)項(xiàng)目整體進(jìn)度■XXXXXXXXXXXXXXXXXXX信息安全有限公司:名稱職責(zé)項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人，負(fù)責(zé)組織等級保護(hù)測評和評估實(shí)施隊(duì)伍,做好整

體日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理的各個(gè)要素，具體包括：項(xiàng)目方案設(shè)計(jì)項(xiàng)目計(jì)劃與組織項(xiàng)目協(xié)調(diào)與溝通〔含召集項(xiàng)目周例會項(xiàng)目進(jìn)度管理〔含編寫項(xiàng)目周報(bào)項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員項(xiàng)目技術(shù)人員，包括項(xiàng)目分組組長和實(shí)施人員，在項(xiàng)目經(jīng)理的帶領(lǐng)、分工和控制下，負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測評和評估工作，需要提交：每天工作日報(bào)單項(xiàng)測評結(jié)果記錄單項(xiàng)安全整改建議4.3.人員配置表名稱職責(zé)人員項(xiàng)目負(fù)責(zé)人項(xiàng)目總體負(fù)責(zé)人,負(fù)責(zé)組織等級保護(hù)測評和評估實(shí)施隊(duì)伍，做好整體日常資源管理、分配與協(xié)調(diào)工作，并直接控制整體項(xiàng)目管理的各個(gè)要素，具體包括：項(xiàng)目方案設(shè)計(jì)項(xiàng)目計(jì)劃與組織項(xiàng)目協(xié)調(diào)與溝通〔含召集項(xiàng)目周例會項(xiàng)目進(jìn)度管理〔含編寫項(xiàng)目周報(bào)項(xiàng)目質(zhì)量控制項(xiàng)目技術(shù)人員負(fù)責(zé)按照項(xiàng)目技術(shù)方案和項(xiàng)目計(jì)劃實(shí)施測評工作，需要提交：?每天工作日報(bào)

單項(xiàng)測評結(jié)果記錄單項(xiàng)安全整改建議4.4.工作配合為保證本項(xiàng)目的順利實(shí)施，對現(xiàn)場測評階段的各項(xiàng)工作點(diǎn)提出雙方工作配合：序號工作點(diǎn)甲方配合乙方配合1現(xiàn)場工具測評1、 人員要求系統(tǒng)管理員*前期提供系統(tǒng)軟硬件配置，相關(guān)系統(tǒng)檢收文檔。*現(xiàn)場登錄設(shè)備運(yùn)行檢查腳本工具*登錄設(shè)備查看安全配置2、 環(huán)境要求*提供可以訪問網(wǎng)絡(luò)設(shè)備及測評系統(tǒng)的2個(gè)IP地址*關(guān)閉測評IP與系統(tǒng)之間的防火墻。1、 準(zhǔn)備測評工具及接入方案2、 測評技術(shù)人員2現(xiàn)場配置檢查1、 人員要求網(wǎng)絡(luò)管理員*前期提供網(wǎng)絡(luò)拓樸圖。*登錄網(wǎng)絡(luò)設(shè)備，配合測評人員檢查設(shè)備配置。系統(tǒng)管理員*登錄網(wǎng)絡(luò)設(shè)備，配合測評人員檢查設(shè)備配置。2、 環(huán)境要求可登錄系統(tǒng)及網(wǎng)絡(luò)設(shè)備1、 準(zhǔn)備配合檢查方^2、 測評技術(shù)人員3人員訪談1、 訪談對象要求信息部管理人員*配合倜查表的訪談系統(tǒng)開發(fā)&管理人員*配合測評回答應(yīng)用系統(tǒng)操作相關(guān)問題網(wǎng)絡(luò)管理人員*配合測評回答網(wǎng)絡(luò)架構(gòu),及設(shè)備配置操作的相關(guān)問題2、 環(huán)境要求1、 準(zhǔn)備訪談安排及訪談大綱2、 測評技術(shù)人員

提供會議室4文檔審查1、 人員要求信息部管理人員*提供等保相關(guān)的管理制度系統(tǒng)開發(fā)&管理人員*提供相應(yīng)系統(tǒng)建設(shè)方案及驗(yàn)收文檔網(wǎng)絡(luò)管理人員*提供網(wǎng)絡(luò)系統(tǒng)建設(shè)方案及驗(yàn)收文檔*IP規(guī)劃文檔等2、 環(huán)境要求提供辦公場所1、 準(zhǔn)備測評表2、 二位測評技術(shù)人員5實(shí)地查看1、 人員要求機(jī)房管理員*配合測評人員檢查機(jī)房物理環(huán)境。2、 環(huán)境要求*可訪問機(jī)房、辦公等物理區(qū)域1、 準(zhǔn)備測評表2、 測評技術(shù)人員5.其他相關(guān)事項(xiàng)5.1.風(fēng)險(xiǎn)規(guī)避在測評過程中，可能會對被測系統(tǒng)造成影響，相應(yīng)地會造成各種損失。這些影響包括信息泄漏、業(yè)務(wù)停頓或處理能力受損等。因此，必須充分考慮各種可能的影響及其危害并準(zhǔn)備好相應(yīng)的應(yīng)對措施，盡可能減小對目標(biāo)系統(tǒng)正常運(yùn)行的十?dāng)_，從而減小損失。下表給出了測評過程中可能存在的風(fēng)險(xiǎn)與控制措施。內(nèi)容可能存在的風(fēng)險(xiǎn)等級控制措施信息資產(chǎn)調(diào)研資產(chǎn)信息泄漏高協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理測評安全管理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)

網(wǎng)絡(luò)設(shè)備測評/安全設(shè)備測評誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇測評師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃網(wǎng)絡(luò)/安全設(shè)備資源占用低避開業(yè)務(wù)高峰；控制掃描策略〔線程數(shù)量、強(qiáng)度漏洞掃描網(wǎng)絡(luò)流量低避開業(yè)務(wù)高峰；控制掃描策略〔線程數(shù)量、強(qiáng)度主機(jī)資源占用低避開業(yè)務(wù)高峰；控制掃描策略〔線程數(shù)量、強(qiáng)度控制臺審計(jì)誤操作引起系統(tǒng)崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇測評師；甲方進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃；網(wǎng)絡(luò)流量和主機(jī)資源占用低避開業(yè)務(wù)高峰應(yīng)用測評產(chǎn)生非法數(shù)據(jù)，致使系統(tǒng)不能正常工作中做好系統(tǒng)備份和恢復(fù)措施異常輸入〔畸形數(shù)據(jù)、極限測試導(dǎo)致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復(fù)措施5.2.項(xiàng)目信息管理為了保障XXXXXXXXXXXXXXXXXXX信息系統(tǒng)的安全,XXXXXXXXXXXXXXXXXXX信息安全有限公司將嚴(yán)格遵守XXXXXXXXXXXXXXXXXXX關(guān)于保密方面的規(guī)定，自覺保守XXXXXXXXXXXXXXXXXXX商業(yè)秘密。XXXXXXXXXXXXXXXXXXX為方便項(xiàng)目實(shí)施所提供給投標(biāo)人的工作流程、管理模式、規(guī)程、程序等相關(guān)資料文檔以及實(shí)施過程中所產(chǎn)生的資料、文檔、數(shù)據(jù)均屬于XXXXXXXXXXXXXXXXXXX知識產(chǎn)權(quán)，未經(jīng)XXXXXXXXXXXXXXXXXXX授權(quán)同意,XXXXXXXXXXXXXXXXXXX信息安全有限公司不得另作他用,XXXXXXXXXXXXXXXXXXX信息安全有限公司采用管理和技術(shù)措施保證信息的機(jī)