2018-2019年XXX項目目錄01.項目概述11.1.項目背景11.2.項目目標21.3.項目原則21.4.項目依據(jù)32.測評實施內容42.1.測評分析42.1.1.測評范圍42.1.2.測評對象42.1.3.測評內容42.1.4.測評對象52.1.5.測評指標62.2.測評流程82.2.1.測評準備階段82.2.2.方案編制階段82.2.3.現(xiàn)場測評階段92.2.4.分析與報告編制階段102.3.測評方法112.3.1.工具測試112.3.2.配置檢查112.3.3.人員訪談122.3.4.文檔審查122.3.5.實地查看132.4.測評工具132.5.輸出文檔143.時間安排144.人員安排154.1.組織結構及分工154.2.人員配置表164.3.工作配合175.其他相關事項185.1.風險規(guī)避185.2.項目信息管理205.2.1.保密責任法律保證205.2.2.現(xiàn)場安全保密管理205.2.3.文檔安全保密管理215.2.4.離場安全保密管理215.2.5.其他情況說明211.1.項目背景評包括：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評，加大測評與風險評估力度，對信息系統(tǒng)的資產(chǎn)、威脅、弱點和風險等要素進行全面評估，有效提升信心系統(tǒng)的安全防護能力，建立常態(tài)化的等級保護工作機制，深化信息安全等級保護工作，提高XXXXXXXXXXXXXXXXXXX網(wǎng)絡與信息系統(tǒng)的安全保障與運全面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有六個信息系統(tǒng)的信息安全測評與評估工進行業(yè)務影響分析及網(wǎng)絡安全管理工作進行梳理，提高XXXXXXXXXXXXXXXXXXX整個網(wǎng)絡的安全保障與運維能力，減少信息安全風險和降低信息安全事件發(fā)生的概率，全面提高XXXXXXXXXXXXXXXXXXX項目的方案設計與實施應滿足以下原則：今符合性原則：應符合國家信息安全等級保護制度及相關法律法規(guī)，指出防今標準性原則：方案設計、實施與信息安全體系的構建應依據(jù)國內、國際今規(guī)范性原則：項目實施應由專業(yè)的等級測評師依照規(guī)范的操作流程進行，在實施之前將詳細量化出每項測評內容，對操作過程和結果提供規(guī)范的記錄，以今可控性原則：項目實施的方法和過程要在雙方認可的范圍之內，實施進度今整體性原則：安全體系設計的范圍和內容應當整體全面，包括安全涉及的今最小影響原則：項目實施工作應盡可能小的影響網(wǎng)絡和信息系統(tǒng)的正常運行，不能對信息系統(tǒng)的運行和業(yè)務的正常提供產(chǎn)生顯著影響。今保密原則：對項目實施過程獲得的數(shù)據(jù)和結果嚴格保密，未經(jīng)授權不得泄露給任何單位和個人，不得利用此數(shù)據(jù)和結果進行任何侵害測評委托單位利益的信息系統(tǒng)等級測評依據(jù)《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護測評要求》,在對信息系統(tǒng)進行安全技術和安全管理的安全控制測評及系統(tǒng)整體測評結果基礎上，針對相應等級的信息系統(tǒng)遵循的標準進行綜合系今《信息安全技術信息系統(tǒng)安全等級保護實施指南》今《信息安全技術信息系統(tǒng)安全等級保護測評要求》2008今《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999本項目范圍為對XXXXXXXXXXXXXXXXXXX已定級信息系統(tǒng)的等級保護測評。級別1三級2三級3三級4三級5二級6二級本次測評結合XXXXXXXXXXXXXXXXXXX系統(tǒng)的信息管理特點，進行不同層次的本項目主要分為兩步開展實施XXXXXXXXXXXXXXXXXXX統(tǒng)進行十個安全層面的等級保護安全測評〔物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。大類。安全技術測評包括：物理安全、網(wǎng)絡安全分析評估安全控制間、層面間和區(qū)域間是否存在安物理安全118網(wǎng)絡安全1056主機安全2136應用安全4217數(shù)據(jù)安全2103安全管理制度0033安全管理機構00550055系統(tǒng)建設管理0099系統(tǒng)運維管理0066〔類對于三級系統(tǒng)，如業(yè)務信息安全等級為S3,系統(tǒng)服務安全等級為A3,則該系統(tǒng)的測評指標應包括GB/T22239-2008《信息系統(tǒng)安全保護等級基本要求》術要求"部份的3級通用指標類〔G3,3級業(yè)務信息安全指標類〔S3,3級系統(tǒng)服務安全指標類(A3,以及第3級"管理要求"部份中的所有指標類，等級保護測評指標情況具體如下表所示：安全技術物理安全118網(wǎng)絡安全1067主機安全3137應用安全5229數(shù)據(jù)安全2103安全管理安全管理制度0033安全管理機構0055人員安全管理0055系統(tǒng)建設管理00系統(tǒng)運維管理00合計73(類2.2.1.測評準備階段2.2.2.方案編制階段安全層面測評實施過程涉及10個測評單元，包括：物理位置的選擇、庫管理系統(tǒng)。在內容上，主機系統(tǒng)安全層面測評實施過程涉及7個測評今應用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系安全層面測評實施過程涉及9個測評單元，包括：身份鑒別、訪問控2.2.4.分析與報告編制階段2.3.測評方法工具測試利用技術工具，從網(wǎng)絡的不同接入點對網(wǎng)絡內的主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備等進行脆弱性檢查和分析發(fā)掘系統(tǒng)的安全漏洞1-2人工作環(huán)境，電源和網(wǎng)絡接入環(huán)境，甲方人員、網(wǎng)絡、系統(tǒng)配合工具測試結果記錄配置檢查通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、應用系統(tǒng)的安全配置情況發(fā)現(xiàn)配置的安全隱患1-2人工作環(huán)境，甲方人員、網(wǎng)絡、系統(tǒng)配合配置檢查結果記錄通過交流、討論的方式，對技術和管理方面進發(fā)掘技術和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員配合人員訪談結果記錄文檔審查通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內部一致性發(fā)掘技術和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員、各類文檔資料配合文檔審查結果記錄通過現(xiàn)場查看人員行為、技術設施和物理環(huán)境狀意識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。發(fā)掘技術和管理方面存在的安全問題1-2人工作環(huán)境，甲方人員配合實地查看結果記錄工具介紹漏洞掃描工具綠盟極光遠程安全評估系統(tǒng)綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)Web應用掃描工具IBM公司出品的商業(yè)Web應用安全掃描系統(tǒng)一個自動化的Web應用程序安全測試工具，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規(guī)則的Web站點和Web應用程序序號任務名稱工作內容開始時間完成時間階段完成標志主要負責人配合人員1《實施方案》2資產(chǎn)采集表34前期調資產(chǎn)采集表5差距測評完成信息系統(tǒng)6差距測評報告編制單元測評、整體測評、風險分析、報告編制《差距測評報7安全整改建議較高的出整改報告8安全加固與檢查內容進行復檢1《整改方案》9過第三方測評《整改報告》8書項目負責人項目總體負責人，負責協(xié)調XXXXXXXXXXXXXXXXXXX整體項目資源，解決項目中需要XXXXXXXXXXXXXXXXXXX配合的問題，監(jiān)督項目整體質量、推進項目整體進度XXXXXXXXXXXXXXXXXXX信息安全有限公司：項目負責人項目總體負責人，負責組織等級保護測評和評估實施隊伍，做好整體日常資源管理、分配與協(xié)調工作，并直接控制整體項目管理的各個要素，具體包括：今項目方案設計今項目計劃與組織今項目協(xié)調與溝通〔含召集項目周例會今項目進度管理〔含編寫項目周報今項目質量控制技術人員項目技術人員，包括項目分組組長和實施人員，在項目經(jīng)理的帶和評估工作，需要提交：今每天工作日報今單項測評結果記錄今單項安全整改建議人員負責人項目總體負責人，負責組織等級保護測評和評估實施隊伍，做好整體日常資源管理、分配與協(xié)調工作，并直接控制整體項目管理的各個要素，具體包括：今項目方案設計今項目計劃與組織今項目協(xié)調與溝通〔含召集項目周例會今項目進度管理〔含編寫項目周報今項目質量控制技術人員負責按照項目技術方案和項目計劃實施測評工作，需要提交：今每天工作日報今單項測評結果記錄為保證本項目的順利實施，對現(xiàn)場測評階段的各項工作點提出雙方工作配序號工作點甲方配合乙方配合1現(xiàn)場工具1、人員要求系統(tǒng)管理員系統(tǒng)檢收文檔。*提供可以訪問網(wǎng)絡設備及測評系統(tǒng)的2個IP地址1、準備測評工具2、測評技術人員2檢查1、人員要求網(wǎng)絡管理員*前期提供網(wǎng)絡拓樸圖。查設備配置。系統(tǒng)管理員查設備配置?？傻卿浵到y(tǒng)及網(wǎng)絡設備1、準備配合檢查方案2、測評技術人員31、訪談對象要求信息部管理人員系統(tǒng)開辟&管理人員問題網(wǎng)絡管理人員配置操作的相關問題1、準備訪談安排及訪談大綱2、測評技術人員提供會議室4文檔審查1、人員要求信息部管理人員系統(tǒng)開辟&管理人員檔網(wǎng)絡管理人員檔1、準備測評表人員5實地查看1、人員要求機房管理員1、準備測評表2、測評技術人員內容信息資產(chǎn)調研資產(chǎn)信息泄漏高規(guī)安全管理測評安全管理信息泄漏高網(wǎng)絡設備測誤操作引起設備崩潰或者數(shù)據(jù)丟失、損壞高規(guī)范審計流程；嚴格選擇測評師；甲方進行全程監(jiān)控；制定可能的恢復計劃網(wǎng)絡/安全設備資源占用低避開業(yè)務高峰；度漏洞掃描網(wǎng)絡流量低避開業(yè)務高峰；度主機資源占用低避開業(yè)