信息系统安全等级测评方案_模板.docx

1、项目编号：（ XXXX-XX ）信息系统安全等级测评方案系统名称：被测单位：测评单位：word 资料目录1概述.51.1项目简介 .51.2测评依据 .52被测系统描述 .52.1定级情况 .52.2网络结构 .52.3系统够成 .62.3.1业务应用软件 .62.3.2关键数据类别 .62.3.3主机 /存储设备 .62.3.4网络互联设备 .7word 资料2.3.5安全设备 .72.3.6安全相关人员 .72.3.7安全管理文档 .83测评对象与指标 .83.1测评指标 .83.2测评对象 .93.2.1机房 .93.2.2业务应用软件 .93.2.3主机（存储）操作系统 .93.2.4

2、数据库管理系统 .103.2.5网络互联设备操作系统 .103.2.6安全设备操作系统 .104测评方法与工具 .114.1测评方法 .114.2主要测评工具 .115测评内容与实施 .115.1物理安全测评 .115.1.1测评内容 .115.1.2测评实施 .125.1.3配合需求 .125.2网络安全测评 .135.2.1测评指标 .13word 资料5.2.2测评实施 .135.2.3配合需求 .135.3主机安全测评 .135.3.1测评指标 .135.3.2测评实施 .135.3.3配合需求 .135.4应用安全测评 .135.4.1测评指标 .135.4.2测评实施 .135.4

3、.3配合需求 .135.5数据安全及备份恢复测评 .135.6安全管理制度测评 .135.6.1测评指标 .135.6.2测评实施 .135.6.3配合需求 .145.7安全管理机构测评 .145.8人员安全管理测评 .145.9系统建设管理测评 .145.10系统运维管理测评 .145.11工具测试 .145.12整体测评 .14word 资料1 概述1.1 项目简介描述项目背景及意义、委托方、目标系统的范围以及测评输出产品。1.2 测评依据2 被测系统描述参照备案信息简要描述信息系统。2.1 定级情况描述信息系统承载的业务、处理的主要业务信息、涉及的相关业务应用、提供的服务功能、服务范围、

4、服务对象以及安全保护等级等情况。2.2 网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。word 资料2.3 系统够成2.3.1 业务应用软件以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。序号软件名称主要功能重要程度2.3.2 关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。序号数据类别所属业务应用重要程度2.3.3 主机 /存储

5、设备以列表形式给出被测信息系统中的主机设备，描述主机设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件。序号设备名称操作系统 /数据库管理系统业务应用软件word 资料2.3.4 网络互联设备以列表形式给出被测信息系统中的网络互联设备。序号设备名称用途重要程度2.3.5 安全设备以列表形式给出被信息系统中的安全设备。序号设备名称用途重要程度2.3.6 安全相关人员以列表形式给出与被测信息系统安全相关的人员情况。相关人员包括 （但不限于） 安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、

6、资产管理员、业务操作员、安全审计人员等。序号姓名岗位 /角色联系方式word 资料2.3.7 安全管理文档以列表形式给出与信息系统安全相关的文档，包括管理类文档、 记录类文档和其它文档。序号文档名称主要内容3 测评对象与指标3.1 测评指标依据信息系统确定的业务信息安全等级保护等级和系统服务安全保护等级，选择基本要求中对应级别的安全要求作为等级测评的测评指标。测评指标技术 /管理 2安全分类3安全子类数量S类A类G类小计word 资料合计3.2 测评对象描述测评对象选择结果3.2.1 机房序号机房名称物理位置3.2.2 业务应用软件序号软件名称主要功能3.2.3 主机（存储）操作系统序号设备名

7、称操作系统 /数据库管理系统word 资料2 技术 /管理对应基本要求中的技术安全和管理安全。3 层面对应基本要求中的物理安全、网络安全、 主机安全、 应用安全、 数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10 个安全要求类别。3.2.4 数据库管理系统序号设备名称操作系统 /数据库管理系统3.2.5 网络互联设备操作系统序号操作系统名称设备名称3.2.6 安全设备操作系统序号操作系统名称设备名称word 资料4 测评方法与工具4.1 测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。4.2 主要测评工具描述等级测评工作中采用的漏

8、洞扫描、渗透测试等用到的工具。5 测评内容与实施等级测评的现场实施过程由单元测试和整体测评两部分构成。对应基本要求 各安全控制点的测评称为单元测试，具体可分为物理安全、网络安全、主机安全、 应用安全、 数据安全及备份恢复、安全管理制度、 安全管理机构、 人员安全管理、系统建设管理和系统运维管理等10 各测评任务。整体测评是在单元测评的基础上，通过进一步的分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。5.1 物理安全测评5.1.1 测评内容以表格形式给出物理安全的测评内容。序号安全子类测评指标描述word 资料1 物理位置的选择5.1.2 测评实施针对物理安全测评内容所采取的测评实施方法及过程。5.1.3 配合需求以列表形式描述物理安全测评的配合需求配合项目需求说明word 资料5.2 网络安全测评5.2.1 测评指标5.2.2 测评实施5.2.3 配合需求5.3 主机安全测评5.3.1 测评指标5.3.2 测评实施5.3.3 配合需求5.4 应用安全测评5.4.1 测评指标5.4.2 测评实施5.4.3 配合需求5.5 数据安全及备份恢复测评5.6 安全管理制度测评5.6.1 测评指标5.6.2 测评实施word 资料5.6.3 配合需求5.7 安全管理机构测评5.8 人员安全管理测评5.9 系统建设管理测评5