信息系統(tǒng)安全等級測評方案_模板

1、項目編號：（XXXX-XX）信息系統(tǒng)安全等級測評方案系統(tǒng)名稱： 被測單位： 測評單位： 目錄1概述21.1項目簡介21.2測評依據(jù)22被測系統(tǒng)描述22.1定級情況22.2網絡結構22.3系統(tǒng)夠成22.3.1業(yè)務應用軟件22.3.2關鍵數(shù)據(jù)類別32.3.3主機/存儲設備32.3.4網絡互聯(lián)設備32.3.5安全設備32.3.6安全相關人員42.3.7安全管理文檔43測評對象與指標43.1測評指標43.2測評對象53.2.1機房53.2.2業(yè)務應用軟件53.2.3主機（存儲）操作系統(tǒng)53.2.4數(shù)據(jù)庫管理系統(tǒng)63.2.5網絡互聯(lián)設備操作系統(tǒng)63.2.6安全設備操作系統(tǒng)64測評方法與工具64.1測評方

2、法64.2主要測評工具75測評內容與實施75.1物理安全測評75.1.1測評內容75.1.2測評實施75.1.3配合需求75.2網絡安全測評95.2.1測評指標95.2.2測評實施95.2.3配合需求95.3主機安全測評95.3.1測評指標95.3.2測評實施95.3.3配合需求95.4應用安全測評95.4.1測評指標95.4.2測評實施95.4.3配合需求95.5數(shù)據(jù)安全及備份恢復測評95.6安全管理制度測評95.6.1測評指標95.6.2測評實施95.6.3配合需求105.7安全管理機構測評105.8人員安全管理測評105.9系統(tǒng)建設管理測評105.10系統(tǒng)運維管理測評105.11工具測試

3、105.12整體測評101 概述1.1 項目簡介描述項目背景及意義、委托方、目標系統(tǒng)的范圍以及測評輸出產品。1.2 測評依據(jù)2 被測系統(tǒng)描述參照備案信息簡要描述信息系統(tǒng)。2.1 定級情況 描述信息系統(tǒng)承載的業(yè)務、處理的主要業(yè)務信息、涉及的相關業(yè)務應用、提供的服務功能、服務范圍、服務對象以及安全保護等級等情況。2.2 網絡結構 給出被測信息系統(tǒng)的拓撲結構示意圖，并基于示意圖說明被測信息系統(tǒng)的網絡結構基本情況，包括功能/安全區(qū)域劃分、隔離與防護情況、關鍵網絡和主機設備的部署情況和功能簡介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設備以及本地備份和災備中心的情況。2.3 系統(tǒng)夠成2.3.1 業(yè)務應用軟件以列表

4、的形式給出被測信息系統(tǒng)中的業(yè)務應用軟件（包括含中間件等應用平臺軟件），描述項目包括軟件名稱、主要功能簡介。序號軟件名稱主要功能重要程度2.3.2 關鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務屬性和安全需求的數(shù)據(jù)集合。序號數(shù)據(jù)類別所屬業(yè)務應用重要程度2.3.3 主機/存儲設備以列表形式給出被測信息系統(tǒng)中的主機設備，描述主機設備的項目包括設備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務應用軟件。序號設備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務應用軟件2.3.4 網絡互聯(lián)設備以列表形式給出被測信息系統(tǒng)中的網絡互聯(lián)設備。序號設備名稱用途重要程度2.3.5 安全設備以列表形式給出被信息系統(tǒng)中的安全設備。序號設備名稱用

5、途重要程度2.3.6 安全相關人員以列表形式給出與被測信息系統(tǒng)安全相關的人員情況。相關人員包括（但不限于）安全主管、系統(tǒng)建設負責人、系統(tǒng)運維負責人、網絡（安全）管理員、主機（安全）管理員、數(shù)據(jù)庫（安全）管理員、應用（安全）管理員、機房管理人員、資產管理員、業(yè)務操作員、安全審計人員等。序號姓名崗位/角色聯(lián)系方式2.3.7 安全管理文檔以列表形式給出與信息系統(tǒng)安全相關的文檔，包括管理類文檔、記錄類文檔和其它文檔。序號文檔名稱主要內容3 測評對象與指標3.1 測評指標 依據(jù)信息系統(tǒng)確定的業(yè)務信息安全等級保護等級和系統(tǒng)服務安全保護等級，選擇基本要求中對應級別的安全要求作為等級測評的測評指標。測評指標技

6、術/管理2安全分類3安全子類數(shù)量S類A類G類小計合計3.2 測評對象描述測評對象選擇結果3.2.1 機房序號機房名稱物理位置3.2.2 業(yè)務應用軟件序號軟件名稱主要功能3.2.3 主機（存儲）操作系統(tǒng)序號設備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng) 2 技術/管理對應基本要求中的技術安全和管理安全。3 層面對應基本要求中的物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全與備份恢復、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等10個安全要求類別。3.2.4 數(shù)據(jù)庫管理系統(tǒng)序號設備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)3.2.5 網絡互聯(lián)設備操作系統(tǒng)序號操作系統(tǒng)名稱設備名稱3.2.6 安全設備

7、操作系統(tǒng)序號操作系統(tǒng)名稱設備名稱4 測評方法與工具4.1 測評方法描述等級測評工作中采用的訪談、檢查、測試和風險分析等方法。4.2 主要測評工具描述等級測評工作中采用的漏洞掃描、滲透測試等用到的工具。5 測評內容與實施 等級測評的現(xiàn)場實施過程由單元測試和整體測評兩部分構成。對應基本要求各安全控制點的測評稱為單元測試，具體可分為物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等10各測評任務。整體測評是在單元測評的基礎上，通過進一步的分析信息系統(tǒng)安全保護功能的整體相關性，對信息系統(tǒng)實施的綜合安全測評。5.1 物理安全測評5.1.1 測評內容以表格形式給出物理安全的測評內容。序號安全子類測評指標描述1物理位置的選擇5.1.2 測評實施針對物理安全測評內容所采取的測評實施方法及過程。5.1.3 配合需求以列表形式描述物理安全測評的配合需求配合項目需求說明5.2 網絡安全測評5.2.1 測評指標5.2.2 測評實施5.2.3 配合需求5.3 主機安全測評5.3.1 測評指標5.3.2 測評實施5.3.3 配合需求5.4 應用安全測評5.4.1 測評指標5.4.2 測評實施5.4.3 配合需求5.5 數(shù)據(jù)安全及備份恢復測評5.6 安全管理制度測評5.6.1 測評指標