企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)評(píng)測(cè)方案

企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)評(píng)測(cè)方案一、總體方案概述工程目標(biāo)通過(guò)對(duì)****單位信息系統(tǒng)的指導(dǎo)**單位下一步等級(jí)保護(hù)工作的開(kāi)展,確保有效保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。測(cè)評(píng)范圍本次等級(jí)測(cè)評(píng)效勞針對(duì)信息系統(tǒng)以及業(yè)務(wù)系統(tǒng)所依托的內(nèi)部局域網(wǎng)網(wǎng)絡(luò)環(huán)〔、效勞。具體評(píng)估范圍包括但不限于：防水、防雷、防盜和不連續(xù)電源等保障物理安全的各種設(shè)施?；饓蚱渌畔踩O(shè)備、各應(yīng)用效勞器和整體網(wǎng)絡(luò)的數(shù)據(jù)流信息。操作系統(tǒng)：檢查全部網(wǎng)絡(luò)設(shè)備、信息安全設(shè)備和效勞器的操作系統(tǒng)，對(duì)全部查。應(yīng)包含在本次安全評(píng)估范圍內(nèi)的信息系統(tǒng)都應(yīng)被認(rèn)定為重要治理信息系統(tǒng)。最補(bǔ)丁，治理帳戶是否存在弱口令等進(jìn)展檢測(cè)。未把握網(wǎng)絡(luò)鏈接：獲得全部未把握并能夠連接到網(wǎng)絡(luò)的設(shè)備信息〔例如調(diào)1394。防止未經(jīng)授權(quán)的撥入。防病毒及惡意軟件：檢查全部效勞器的殺毒軟件系統(tǒng)和單機(jī)防惡意軟件系統(tǒng)。演練，并提出改進(jìn)建議。的安全意識(shí)、各種安全治理規(guī)章制度等。測(cè)評(píng)原則我公司等級(jí)保護(hù)差距測(cè)評(píng)效勞將遵循以下原則：****守保密協(xié)議中規(guī)定的要求確保信息安全。標(biāo)準(zhǔn)性原則**單位等級(jí)保護(hù)測(cè)距測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施將依據(jù)相關(guān)的等級(jí)保護(hù)安全標(biāo)準(zhǔn)以及國(guó)家有關(guān)部門制定信息安全和風(fēng)險(xiǎn)治理領(lǐng)建設(shè)成果供給了質(zhì)量保證。我公司在等級(jí)保護(hù)差距測(cè)評(píng)工程中供給標(biāo)準(zhǔn)的工作過(guò)程和文范的記錄，并形成完整的評(píng)估過(guò)程報(bào)告。最小影響原則生顯著不利影響。標(biāo)準(zhǔn)依據(jù)等級(jí)保護(hù)測(cè)評(píng)方案將主要依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息的標(biāo)準(zhǔn)如下:GB/T22239-2023GB/T22240-2023GB/T28448-2023信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南〔報(bào)批〕信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南〔送審〕GB/T24856-2023GB/T18018-2023GB/T20945-2023GB/Z20985-2023GB/Z20986-2023GB/T20988-2023GB/T21028-2023GB/T20238-2023GB/T20239-2023GB/T20230-2023GB/T20231-2023GB/T20269-2023GB/T20270-2023GB/T20271-2023GB/T20272-2023GB/T20273-2023GB/T20275-2023GB/T20277-2023GB/T20278-2023GB/T20279-2023GB/T20280-2023GB/T20281-2023GB/T20282-2023二、信息安全等級(jí)保護(hù)主要工作介紹信息系統(tǒng)定級(jí)信息系統(tǒng)備案建信息系統(tǒng)定級(jí)信息系統(tǒng)備案建安全規(guī)劃/設(shè)計(jì)是否建系統(tǒng)已建安全建設(shè)實(shí)施重大變更安全差距測(cè)評(píng)局部調(diào)整安全建設(shè)/整改第三方等保測(cè)評(píng)未通過(guò)通過(guò)安全運(yùn)維信息系統(tǒng)終止等級(jí)保護(hù)工作實(shí)施流程備案、安全差距測(cè)評(píng)、安全整改、第三方等保測(cè)評(píng)、安全運(yùn)維、信息系統(tǒng)終止7個(gè)根本流程和面對(duì)建系統(tǒng)的安全規(guī)劃/2〔驗(yàn)收測(cè)評(píng)〕等技術(shù)相關(guān)細(xì)節(jié)實(shí)施的安全效勞。評(píng)、整改關(guān)心和驗(yàn)收測(cè)評(píng)三個(gè)局部的內(nèi)容。信息系統(tǒng)定級(jí)工作，因此，信息系統(tǒng)安全保護(hù)等級(jí)確定的準(zhǔn)確與否格外關(guān)鍵。等因素確定安全保護(hù)等級(jí)。用單位在為信息系統(tǒng)確定安全保護(hù)等級(jí)以后，我公司將協(xié)作**單位報(bào)主管部門信息系統(tǒng)備案30**信息系統(tǒng)備案局部”。等級(jí)保護(hù)差距測(cè)評(píng)信息系統(tǒng)安全等級(jí)保護(hù)差距測(cè)評(píng)是整個(gè)信息系統(tǒng)安全等級(jí)保護(hù)工作的又一系統(tǒng)的安全建設(shè)或安全改造。測(cè)等手段核查**適當(dāng)裁剪，裁剪后的指標(biāo)項(xiàng)作為本次差距分析的輸入。差距測(cè)評(píng)包括如下四方面內(nèi)容：備份恢復(fù);系統(tǒng)建設(shè)治理;碼治理、變更治理、備份與恢復(fù)治理、安全大事處置;物理安全差距分析：包括物理位置的選擇、物理訪問(wèn)把握、防盜竊和防電磁防護(hù)。整改關(guān)心等級(jí)測(cè)評(píng)的宗旨始終堅(jiān)持優(yōu)化整改建設(shè)工作為目的，于是在差距測(cè)評(píng)中，高信息系統(tǒng)整體安全保護(hù)力氣，更加利于驗(yàn)收測(cè)評(píng)的順當(dāng)通過(guò)。2.5 驗(yàn)收測(cè)評(píng)應(yīng)的測(cè)評(píng)報(bào)告提交到公安監(jiān)管部門，以示整個(gè)測(cè)評(píng)流程完成。三、信息系統(tǒng)定級(jí)局部**單位的自身額外安全需求，干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下根本特征：業(yè)務(wù)信息安全保護(hù)等級(jí)確實(shí)定業(yè)務(wù)信息描述PACS業(yè)務(wù)信息受到破壞時(shí)所侵害客體確實(shí)定侵害的客觀方面表現(xiàn)為：一旦信息系統(tǒng)的業(yè)務(wù)信息遭到入侵、修改、增加、〔形式可以包括喪失、破壞、損壞等〕，會(huì)對(duì)公民、法人和其他力氣下降，造成不良影響，引起法律糾紛等。信息受到破壞后對(duì)侵害客體的侵害程度下降，較大范圍的不良影響等。確定業(yè)務(wù)信息安全等級(jí)查《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》〔GB/T22240-2023〕中相關(guān)定級(jí)指導(dǎo)要求表可知，其業(yè)務(wù)信息安全保護(hù)等級(jí)為其次級(jí)。一般損害嚴(yán)峻損害特別嚴(yán)峻損害公民、法人和其他組織的合法權(quán)益第一級(jí)其次級(jí)其次級(jí)社會(huì)秩序、公共利益其次級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)對(duì)相應(yīng)客體的侵害程度業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體系統(tǒng)效勞描述療機(jī)構(gòu)的內(nèi)部人員和受診病人。系統(tǒng)效勞受到破壞時(shí)所侵害客體確實(shí)定下降，造成不良影響等〕。信息受到破壞后對(duì)侵害客體的侵害程度工作職能收到嚴(yán)峻影響，業(yè)務(wù)力氣顯著下降，較大范圍的不良影響等。確定系統(tǒng)效勞安全等級(jí)對(duì)相應(yīng)客體的侵害程度系統(tǒng)效勞被破壞時(shí)所侵害的客體查《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》〔GB/T22240-2023〕對(duì)相應(yīng)客體的侵害程度系統(tǒng)效勞被破壞時(shí)所侵害的客體一般損害嚴(yán)峻損害特別嚴(yán)峻損害公民、法人和其他組織的合法權(quán)益第一級(jí)其次級(jí)其次級(jí)社會(huì)秩序、公共利益其次級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)3.3安全保護(hù)等級(jí)確實(shí)定信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)效勞安全務(wù)安等級(jí)的**公民的就醫(yī)權(quán)利，造成對(duì)社會(huì)秩序和公共利益的損害不至“嚴(yán)峻程度”，屬于HIS/CIS信息系統(tǒng)名稱**信息系統(tǒng)名稱**單位HIS/CIS安全保護(hù)等級(jí)其次級(jí)業(yè)務(wù)信息安全等級(jí)二系統(tǒng)效勞安全等級(jí)二四、信息系統(tǒng)備案局部**的其次級(jí)以上的信息系統(tǒng)的備案工作依據(jù)如下原則來(lái)進(jìn)展備案：(一)協(xié)作30關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)；(二)備案時(shí)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表〔〕〔一式兩份301；(三) 統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，除填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，還需預(yù)備以下材料：系統(tǒng)拓?fù)浣Y(jié)果及說(shuō)明系統(tǒng)安全組織機(jī)構(gòu)和治理制度系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)五、等級(jí)保護(hù)差距測(cè)評(píng)局部工作流程分析階段。具體工作流程以以下圖：測(cè)評(píng)方法本工程中的等級(jí)保護(hù)差距測(cè)評(píng)依照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)〔GB/T28448-2023〕,測(cè)評(píng)方案可分為單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)兩大類。單項(xiàng)測(cè)評(píng)相關(guān)標(biāo)準(zhǔn)的差距。文檔查詢：治理、維護(hù)和使用的人員等文檔。從而為確定定級(jí)對(duì)象、等級(jí)供給參考；調(diào)查問(wèn)卷：以較為客觀、準(zhǔn)確的了解組織在安全治理方面的狀況。訪問(wèn)是針對(duì)特定對(duì)象更深入的調(diào)研形式。方面：人員的安全學(xué)問(wèn)、安全意識(shí)狀況安全治理技術(shù)的使用狀況安全大事發(fā)生狀況安全治理制度的落實(shí)狀況等人員訪談：人員訪談可以基于客戶業(yè)務(wù)、治理和IT技術(shù)應(yīng)用的實(shí)際狀況，結(jié)合專家的觀、準(zhǔn)確的獲得組織在技術(shù)、治理方面存在業(yè)務(wù)安全風(fēng)險(xiǎn)。對(duì)一般員工進(jìn)展抽樣訪談。實(shí)地觀看:面的信息；評(píng)估工具:〔工具描述詳見(jiàn)“5.3〕整體測(cè)評(píng)等級(jí)保護(hù)差距測(cè)評(píng)評(píng)的目的都在于明確被測(cè)信息系統(tǒng)與國(guó)家等級(jí)保護(hù)要求間安全測(cè)評(píng)、層面間安全測(cè)評(píng)、區(qū)域間安全測(cè)評(píng)和系統(tǒng)構(gòu)造安全測(cè)評(píng)。安全控件間安全測(cè)評(píng)方法安全把握的引入影響另一個(gè)安全把握的功能發(fā)揮或者給其帶來(lái)的脆弱性。應(yīng)用安全和數(shù)據(jù)安全等同一層面內(nèi)的哪些安全技術(shù)把握間可能存在安全功能上系統(tǒng)建設(shè)治理和系統(tǒng)運(yùn)維治理等同一方面內(nèi)的哪些安全治理把握間可能存在安相互作用后，是否發(fā)揮出更強(qiáng)的綜合效能，使其功能增加或得到補(bǔ)充。應(yīng)用安全和數(shù)據(jù)安全等同一層面內(nèi)的哪些安全技術(shù)把握間可能會(huì)存在安全功能建設(shè)治理和系統(tǒng)運(yùn)維治理等同一方面內(nèi)的哪些安全治理把握間可能存在安全功能減弱。息系統(tǒng)的整體安全保護(hù)力氣。等五個(gè)方面的安全把握評(píng)估。層面間安全測(cè)評(píng)方法面安全把握的功能發(fā)揮或者給其帶來(lái)的脆弱性?！踩缰鳈C(jī)系統(tǒng)層面與應(yīng)用層面上的身份鑒別之間的關(guān)系，以及技術(shù)與治理上各層面的關(guān)聯(lián)關(guān)系，功能增加或得到補(bǔ)充。響另一個(gè)層面安全功能的發(fā)揮或者給其帶來(lái)的脆弱性，使其功能減弱。全把握影響到信息系統(tǒng)的整體安全保護(hù)力氣。區(qū)域間安全測(cè)評(píng)方法〔包括物理上和規(guī)律上的互連互通等〕安全功能上的增加和補(bǔ)充可以使兩個(gè)不同區(qū)域上的安全把握發(fā)揮更強(qiáng)的綜合效安全功能上的減弱會(huì)使一個(gè)區(qū)域上的安全功能影響另一個(gè)區(qū)域安全功能的發(fā)揮或者給其帶來(lái)的脆弱性。得到補(bǔ)充。脆弱性，使其功能減弱。全把握影響到信息系統(tǒng)的整體安全保護(hù)力氣。系統(tǒng)構(gòu)造安全測(cè)評(píng)方法系統(tǒng)構(gòu)造安全測(cè)評(píng)主要考慮信息系統(tǒng)整體構(gòu)造的安全性和整體安全防范的重點(diǎn)保護(hù)對(duì)象，在適當(dāng)?shù)奈恢貌渴鹎‘?dāng)?shù)陌踩夹g(shù)和安全治理措施等。絡(luò)拓?fù)?、業(yè)務(wù)規(guī)律〔業(yè)務(wù)數(shù)據(jù)流、系統(tǒng)實(shí)現(xiàn)和集成方式等各種狀況，結(jié)合業(yè)務(wù)等。統(tǒng)的整體安全防范是否恰當(dāng)合理等。測(cè)評(píng)工具測(cè)評(píng)工作中安絡(luò)工程師將主要承受以下幾類調(diào)研工具：〔1〕調(diào)查問(wèn)卷類工具序號(hào)1調(diào)查問(wèn)卷類別根本信息類序號(hào)1調(diào)查問(wèn)卷類別根本信息類調(diào)查問(wèn)卷名稱根本信息調(diào)查問(wèn)卷調(diào)查內(nèi)容包括對(duì)組織的名稱、聯(lián)系人、聯(lián)系方式、地址等的調(diào)查序號(hào) 調(diào)查問(wèn)卷類別 調(diào)查問(wèn)卷名稱物理環(huán)境調(diào)查問(wèn)卷主機(jī)環(huán)境調(diào)查問(wèn)卷根底環(huán)境類 4卷5卷網(wǎng)絡(luò)環(huán)境調(diào)查問(wèn)卷

調(diào)查內(nèi)容包括對(duì)組織的機(jī)房、辦公場(chǎng)地等設(shè)施的物理環(huán)境的調(diào)查等的調(diào)查包括對(duì)主機(jī)的常用軟件、操作系統(tǒng)等狀況的調(diào)查域劃分等的調(diào)查包括對(duì)路由器、交換機(jī)等網(wǎng)絡(luò)通信設(shè)備的調(diào)查卷9卷9信息資源調(diào)查問(wèn)卷10應(yīng)用系統(tǒng)類應(yīng)用系統(tǒng)調(diào)查問(wèn)卷11數(shù)據(jù)安全調(diào)查問(wèn)卷12安全策略調(diào)查問(wèn)卷安全策略類1314

卷卷治理制度調(diào)查問(wèn)卷

包括對(duì)防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備的調(diào)查訪問(wèn)權(quán)限等的調(diào)查圍、系統(tǒng)工作流程等的調(diào)查施等的調(diào)查等的調(diào)查行業(yè)標(biāo)準(zhǔn)等的調(diào)查類制度等的調(diào)查治理制度類 安全規(guī)程調(diào)查問(wèn)卷組織機(jī)構(gòu)調(diào)查問(wèn)卷人員治理調(diào)查問(wèn)卷18卷19系統(tǒng)運(yùn)維類19系統(tǒng)運(yùn)維類卷20系統(tǒng)審計(jì)調(diào)查問(wèn)卷21應(yīng)急響應(yīng)調(diào)查問(wèn)卷22安全保障類災(zāi)難恢復(fù)調(diào)查問(wèn)卷23卷〔2〕自動(dòng)檢測(cè)類工具

劃分、監(jiān)管措施等的調(diào)查包括對(duì)人員的聘用、職責(zé)、安排、離職等的調(diào)查等環(huán)節(jié)狀況的調(diào)查審查等狀況的調(diào)查程、審計(jì)周期等的調(diào)查響應(yīng)內(nèi)容、工作流程、響應(yīng)時(shí)間等的調(diào)查恢復(fù)時(shí)間、優(yōu)先次序等的調(diào)查上報(bào)告警機(jī)制、舊有處理記錄內(nèi)容等的調(diào)查本次測(cè)評(píng)工作中可能使用到的自動(dòng)檢測(cè)類調(diào)研工具包括：?jiǎn)⒚餍浅教扃R脆弱性評(píng)估系統(tǒng)網(wǎng)絡(luò)弱點(diǎn)掃描器,NAISCANNERISS綠盟“極光”安全漏洞掃描系統(tǒng)開(kāi)放源代碼掃描器Nessus風(fēng)險(xiǎn)評(píng)估軟件〔賽寶自研發(fā)的工具〕FlukeOptiview網(wǎng)絡(luò)性能分析系統(tǒng)SmartBits6000CAvalanche2700網(wǎng)絡(luò)安全攻擊模擬系統(tǒng)TheatEX安全攻擊模擬系統(tǒng)IDSInformerWebFortify黑客攻擊工具箱漏洞數(shù)據(jù)庫(kù)信息安全分析軟件SmartWin信息安全分析軟件SmartApps〔3〕評(píng)估信息庫(kù)評(píng)估信息庫(kù)主要用于存儲(chǔ)與處理在之前的其他評(píng)估詢問(wèn)類工程中已收集到標(biāo)準(zhǔn)評(píng)估詢問(wèn)行為。該信息庫(kù)的信息收集是一個(gè)長(zhǎng)期的、動(dòng)態(tài)調(diào)整的工作。測(cè)評(píng)過(guò)程風(fēng)險(xiǎn)把握的干擾，從而減小損失。表給出了評(píng)估過(guò)程中可能的風(fēng)險(xiǎn)與把握方式。工程安全治理評(píng)估應(yīng)急安全評(píng)估

可能的影響和方式 等級(jí)資產(chǎn)信息泄漏 高安全治理信息泄漏 高系統(tǒng)切換測(cè)試導(dǎo)致局部業(yè)高務(wù)中斷、局部數(shù)據(jù)遺失

把握方式〔措施〕 備注份和恢復(fù)措施；可選查提交的數(shù)據(jù)是否在測(cè)試后完整；網(wǎng)絡(luò)威逼收集 網(wǎng)絡(luò)流量 低 把握中心與探測(cè)引擎直接連接，不占用網(wǎng)絡(luò)流量標(biāo)準(zhǔn)審計(jì)流程；評(píng)估弱點(diǎn)掃描

誤操作引起設(shè)備崩潰或數(shù)高據(jù)喪失、損壞網(wǎng)絡(luò)/安全設(shè)備資源占用 網(wǎng)絡(luò)流量 主機(jī)資源占用 誤操作引起系統(tǒng)崩潰或數(shù)高

嚴(yán)格選擇審計(jì)人員；用戶進(jìn)展全程監(jiān)控；避開(kāi)業(yè)務(wù)頂峰；把握掃描策略〔線程數(shù)量、強(qiáng)度〕避開(kāi)業(yè)務(wù)頂峰；〔線程數(shù)量、強(qiáng)度〕避開(kāi)業(yè)務(wù)頂峰；把握掃描策略〔線程數(shù)量、強(qiáng)度〕標(biāo)準(zhǔn)審計(jì)流程；嚴(yán)格選擇審計(jì)人員；把握臺(tái)審計(jì) 據(jù)喪失、損壞網(wǎng)絡(luò)流量和主機(jī)資源占用 產(chǎn)生非法數(shù)據(jù)，致使系統(tǒng)中不能正常工作

用戶進(jìn)展全程監(jiān)控；避開(kāi)業(yè)務(wù)頂峰DBA、SA、NA可選做好系統(tǒng)備份和恢復(fù)措施應(yīng)用平臺(tái)

限測(cè)試〕導(dǎo)致系統(tǒng)崩潰

DBA、SA、NA高 可選做好系統(tǒng)備份和恢復(fù)措施六、整改建議〔以下簡(jiǎn)稱《根本應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施，具體內(nèi)容如以以下圖所示：信息系統(tǒng)安全等級(jí)保護(hù)根本要求信息系統(tǒng)安全等級(jí)保護(hù)根本要