信息系统等级保护测评工作方案

1、XX安全服务公司201 8 - 201 9 年 XXX 项目等级保护差距测评实施方案XX X X X XXXX 信息安全有限公司201X年X月目录?错误!未定义书签。1、项目概述？错误!未定义书签。1、1、1、2、颁目目标？错误！未定义书签。1、3、？项目原则？错误!未定义书签。1、4、颁目依据？错误！未定义书签。2、？测评实施内容2、1、2、1、1、？测评范围？错误!未定义书签。2、1、2、2、1、3、？测评内容2、1、4、？测评对象2、1、5、？测评指标2、2、？测评流程2、2、1、？测评准备阶段项目背景？昔误!未定义书签错误!未定义书签。测评分析错误!未定义书 测评对象错误!未定义书错误

2、!未定义书签。8错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签2、2、2、？方案编制阶段 2、2、3、观场测评阶段？昔误！未定义书签。2、2、4、？分析与报告编制阶段？昔误!未定义书签2、3、2、 3、 1、2、3、2、番己置检查2、3、3、2、3、4、2、3、5、浜地查瞧？昔误！未定义书签。2、4、2、5、测评方法？昔误!未定义书签。工具测试？昔误!未定义书签。错误!未定义书签。人员访谈错误!未定义书 文档审查错误!未定义书测评工具17?输出文档错误!未定义书2、5、1、？等级保护测评差距报告？昔误!未定义书签。2、5、2、 等级测评报告？昔误!未定义书签。2、5、3

3、、 安全整改建议错误!未定义书3、时间安排？昔误!未定义书签4、人员安排4、1、4、2、人员配置表？错误!未定义书签'4、3、？工作配合？错误!未定义书签。5、？其她相关事项5、1、？风险规避5、2、5、2、1、5、2、2、错误!未定义书签。组织结构及分工错误!未定义书错误!未定义书签。错误!未定义书签。项目信息管理错误!未定义书保密责任法律保证？昔误!未定义书签。现场安全保密管理？昔误!未定义书签。5、2、3、咬档安全保密管理 错误!未定义书签5、2、4、？离场安全保密管理？错误!未定义书签。5、2、5、洪她情况说明 错误!未定义书签1. 项目概述1.1. 项目背景为了贯彻落实国家信

4、息化领导小组关于加强信息安全保障工作得意见、关于信息安全等级保护工作得实施意见与信息安全等级保护管理 办法得精神，20 1 5年XX XXXXCX XX XXXXXXXXX要按照国家信息安全技 术信息系统安全等级保护定级指南、计算机信息系统安全保护等级划分准 则、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则得要求，对XXX XXXXXX XXX XX XXXX现有六个信息系统进行全面得信 息安全测评与评估工作，并且为 XXXXXXXXXXXXX XXXKX提供驻点咨询、实 施等服务.（安全技术测评包括：物理安全、网络安全、主机系统安全、应用安 全与数据安全五个层面上得安全控制测评

5、；安全管理测评包括：安全管理机构、 安全管理制度、人员安全管理、系统建设管理与系统运维管理等五个方面得安 全控制测评），加大测评与风险评估力度，对信息系统得资产、威胁、弱点与风 险等要素进行全面评估，有效提升信心系统得安全防护能力，建立常态化得等 级保护工作机制，深化信息安全等级保护工作 ,提高xxxkxx xxxxxxxxxxXXx 络与信息系统得安全保障与运维能力。1.2. 项目目标全面完成XXXXXXX X XXXX懣XXXXK有六个信息系统得信息安全测评与评 估工作与协助整改工作，并且为 XXXXXXXXXXXXX XXXXX提供驻点咨询、 实施等服务，按照国家与 XXXXXXXXXX

6、XXX XXXXC得有关要求，对XXXXXXX X XX XXXX XXX寻网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXX XXXK XX XXX XXXX XXX整个网络得安全保障与运维能力,减少信息安全 风险与降低信息安全事件发生得概率，全面提高网络层面得安全性，构建XXX XXXXXX X XXX XX XXX言息系统得整体信息安全架构,确保全局信息系统高效稳 定运行,并满足xxxxxxxxxxxxxxxxXX出得基本要求,及时提供咨询等服务。1.3. 项目原则项目得方案设计与实施应满足以下原则：符合性原则 :应符合国家信息安全等级保护制度及相关法律法规，指出防 范得方针

7、与保护得原则。标准性原则： 方案设计、实施与信息安全体系得构建应依据国内、国际 得相关标准进行。规范性原则： 项目实施应由专业得等级测评师依照规范得操作流程进 行，在实施之前将详细量化出每项测评内容，对操作过程与结果提供规范得记 录 , 以便于项目得跟踪与控制。可控性原则 : 项目实施得方法与过程要在双方认可得范围之内 , 实施进度 要按照进度表进度得安排，保证项目实施得可控性 .整体性原则： 安全体系设计得范围与内容应当整体全面，包括安全涉及 得各个层面，避免由于遗漏造成未来得安全隐患 .最小影响原则 : 项目实施工作应尽可能小得影响网络与信息系统得正常运 行, 不能对信息系统得运行与业务得

8、正常提供产生显著影响。保密原则： 对项目实施过程获得得数据与结果严格保密 , 未经授权不得泄 露给任何单位与个人，不得利用此数据与结果进行任何侵害测评委托单位利益 得行为 .1.4. 项目依据信息系统等级测评依据信息系统安全等级保护基本要求、信息系统 安全等级保护测评要求，在对信息系统进行安全技术与安全管理得安全控制 测评及系统整体测评结果基础上，针对相应等级得信息系统遵循得标准进行综 合系统测评 , 提出相应得系统安全整改建议。主要参考标准如下：计算机信息系统安全保护等级划分准则一GB1785199 9信息安全技术 信息系统安全等级保护实施指南信息安全技术 信息系统安全等级保护测评要求 信息

9、安全等级保护管理办法信息安全技术信息系统安全等级保护定级指南(GB/T 22 2 402008)信息安全技术信息系统安全等级保护基本要求(GB / T 22239- 20 08)计算机信息系统安全保护等级划分准则(GB1 7859- 1 9 99)信息安全技术 信息系统通用安全技术要求( GB/T202 71-2006)信息安全技术 网络基础安全技术要求 (GB/T20 2702 006)信息安全技术 操作系统安全技术要求 (GB/T20272-2006)信息安全技术 数据库管理系统安全技术要求(GB/T202 7 3-2006)信息安全技术 服务器技术要求 (GB/T21 028-2007)

10、信息安全技术 终端计算机系统安全等级技术要求(G A/T6 7 1200 6 )信息安全风险评估规范(GB/T 209 8 4 200 7)2. 测评实施内容2.1. 测评分析2.1.1. 测评范围本项目范围为对X XXXXCXXXXXXXXXXXX已定级信息系统得等级保护测 评。2.1.2. 测评对象本次测评对象为XXX XXX XX XXXXC XXXX XX言息系统,具体如下：序号信息系统名称级别1X XXXXXXX信息系统三级2X XXXXC XXX信息系统三级3X XXXXX XX信息系统三级4XX XXXX XXX信息系统三级5XXXXXXXX信息系统二级6XXXX XXXX X信

11、息系统二级2.1.3. 测评架构图本次测评结合XXXX XXXXXXXXXXXXX X系统得信息管理特点，进行不同 层次得测评工作，如下表所示：2.1.4.测评内容本项目主要分为两步开展实施第一步,对XXX XXXXXX XXXXX XXX X 六个信息系统进行定级与备案工作。第二步，对 XX XXX XXXK XXXK XXXXX已 经定级备案得系统进行十个安全层面得等级保护安全测评 （ 物理安全、网络安 全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机 构、人员安全管理、系统建设管理、系统运维管理 ） 。其中安全测评分为差距测评与验收测评。差距测评主要针对 XXXXXX

12、XX X XXXX XXXXX已定级备案系统执行国家标准得安全测评，差距测评交付差距测评 报告以及差距测评整改方案 ; 差距整改完毕后协助完成系统配置方面得整改。最 后进行验收测评，验收测评将按照国家标准与国家公安承认得测评要求、测评 过程、测评报告，协助对XXXXXXXXXXX XXXX XX已定级备案得系统执行系 统安全验收测评 , 验收测评交付具有国家承认得验收测评报告 .信息系统安全等级保护测评包括两个方面得内容：一就是安全控制测评， 主要测评信息安全等级保护要求得基本安全控制在信息系统中得实施配置情况 ; 二就是系统整体测评，主要测评分析信息系统得整体安全性。其中，安全控制 测评就是

13、信息系统整体安全测评得基础 .安全控制测评使用测评单元方式组织，分为安全技术测评与安全管理测评 两大类。安全技术测评包括 : 物理安全、网络安全、主机系统安全、应用安全与 数据安全五个层面上得安全控制测评；安全管理测评包括：安全管理机构、安 全管理制度、人员安全管理、系统建设管理与系统运维管理五个方面得安全控 制测评。具体见下图：f;息系统等级保护测评r _安全控制测评系统整体测评111-安全技术测评安今管理测评安全控制间层面间物理安全安仝管坪机鞫1百域间I整体结构安全|主机安全1安仝管理制度J不冋佶息丢统冋整体安全性HI用绪安全1人员爰伞筲理LI 整体架枸/咼部架构1应用安全1系统建设管理数

14、据戏全Li系统远维骨珅系统整体测评涉及到信息系统得整体拓扑、局部结构，也关系到信息系统得 具体安全功能实现与安全控制配置，与特定信息系统得实际情况紧密相关。在安 全控制测评得基础上，重点考虑安全控制间、层面间以及区域间得相互关联关系 分析评估安全控制间、层面间与区域间就是否存在安全功能上得增强、补充与 削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性综合测评总结将在安全控制测评与系统整体测评两个方面得内容基础上进行，由此而获得信息系统对应安全等级保护级别得符合性结论。2.1.5. 测评对象依照信息安全等级保护得要求、参考业界权威得安全风险评估标准与模 型，同时结合本公司多年得安全

15、风险评估经验与实践，从信息系统得核心资产出 发，以威胁与弱点为导向，对比信息安全等级保护得具体要求，全方面对信息系 统进行全面评估.测评对象种类主要考虑以下几个方面：1 整体网络拓扑结构；2机房环境、配套设施；3网络设备：包括路由器、核心交换机、汇聚层交换机等；4安全设备：包括防火墙、ID S /I P S、防病毒网关等；5.主机系统（包括操作系统与数据库系统）；6业务应用系统；7.重要管理终端（针对三级以上系统）；8安全管理员、网络管理员、系统管理员、业务管理员；9涉及到系统安全得所有管理制度与记录。根据信息系统得测评强度要求，在执行具体得核查方法时，在广度上要做 到从测评范围中抽取充分得测

16、评对象种类与数量；在执行具体得检测方法，在深 度上要做到对功能等各方面得测试2.1.6.测评指标对于二级系统，如业务信息安全等级为 S2,系统服务安全等级为A2,则该系统得测评指标应包括GE /T 2 2 2 3 9 2008信息系统安全保护等级基本要 求中“技术要求"部分得2级通用指标类（G2），2级业务信息安全指标类（S2） ,2级系统服务安全指标类（A2）,以及第2级“管理要求”部分中得所有指标类，等级保护测评指标情况具体如下表所示测评指标（二级）技术/管理层面类数量S类（2 级）A类（2级）G类（2级）小计安全技术物理安全11810网络安全1056主机安全2136应用安全42

17、17数据安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理0099系统运维管理001 21 2合计66 （类）对于三级系统，如业务信息安全等级为 S3,系统服务安全等级为A3,则该系 统得测评指标应包括GB/T 22239- 2 008信息系统安全保护等级基本要求 中“技术要求”部分得3级通用指标类（G3）, 3级业务信息安全指标类（S3）, 3级系统服务安全指标类（A3）,以及第3级“管理要求”部分中得所有指标类， 等级保护测评指标情况具体如下表所示：测评指标（三级）技术/管 理层面类数量S类（3级）A类（3级）G类（3 级）小计安全技术物理安全11

18、810网络安全1067主机安全3137应用安全5229数据安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理00111 1系统运维管理00131 3合计7 3 （类）22测评流程等级保护测评实施过程包括以下四个阶段方案编制阶段厂11物理安全1人员访谈、1文档审查 P方1实地察看式1物理基础设对11施象11网络安全人员访谈 配置检查 工具测试方 式互联设备 安全设备 网络拓扑对象主机安全人员访谈 配置检查 工具测试方 式操作系统 数据库系 统对象应用安全人员访谈 配置检查 工具测试方 式应用系统对象数据安全人员访谈 配置检查方 式管理数据对业务数据象论现

19、场测评阶段安全管理制度人员访谈 文档审查 实地察看方 式安全管理机构人员访谈 文档审查方 式人员安全管理人员访谈 文档审查方 式系统建设管理人员访谈 文档审查方 式系统运维管理人员访谈 文档审查方 式厂 1 I1 |1' |1,n单项测评单元测评等级测评测评报告结果分析结果判定整体测评风险分析结论形成编制2.2.1. 测评准备阶段测评项目组组建：明确项目经理、测评人员及职责分工。项目计划书编制：项目计划书包含项目概述、工作依据、技术思路、工作内容与项目组织等。信息系统调研：通过查阅被测系统已有资料或使用调查表格得方式，了解整个系统得构成与保护情况，明确被测系统得范围（特别就是信息系 统

20、得边界），了解被测系统得详细构成，包括网络拓扑、业务应用、业 务流程、设备信息 （ 服务器、数据库、网络设备、安全设备、数据库 等）、管理制度等。工具与表单准备：根据被测系统得实际情况 , 准备测评工具与各类测评 表单。2.2.2. 方案编制阶段测评对象确定 : 根据已经了解到得被测系统信息，分析整个被测系统及 其涉及得业务应用系统，确定出本次测评得测评对象。测评指标确定：根据已经了解到得被测系统定级结果，确定出本次测 评得测评指标。测评工具接入点确定 :确定需要进行工具测试得测评对象 , 选择测试路 径, 根据测试路径确定测试工具得接入点。测评内容确定 : 确定现场测评得具体实施内容，即单元

21、测评内容。 测评实施手册开发 : 编制测评实施手册 , 详细描述现场测评得工具、方 法与操作步骤等 , 具体指导测评人员如何进行测评活动。2.2.3. 现场测评阶段现场测评实际上就就是单项测评 , 分别从技术上得物理安全、网络安全、主 机系统安全、应用安全与数据安全五个层面与管理上得安全管理机构、安全管 理制度、人员安全管理、系统建设管理与系统运维管理五个方面分别进行。物理安全：通过人员访谈、文档审查与实地察瞧得方式测评信息系统 得物理安全保障情况 . 主要涉及对象为物理基础设施。在内容上，物理 安全层面测评实施过程涉及10个测评单元，包括：物理位置得选 择、物理访问控制、防盗窃与防破坏、防雷

22、击、防火、防水与防潮、 防静电、温湿度控制、电力供应、电磁防护。网络安全 : 通过访人员访谈、配置检查与工具测试得方式测评信息系统 得网络安全保障情况 . 主要涉及对象为网络互联设备、网络安全设备与 网络拓扑结构。在内容上，网络安全层面测评实施过程涉及7个测评 单元，包括 : 结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范（针对三级系统）主机安全：通过人员访谈、配置检查与工具测试得方式测评信息系统 得主机安全保障情况。主要涉及对象为各类服务器得操作系统、数据 库管理系统。在内容上，主机系统安全层面测评实施过程涉及 7 个测 评单元，包括：身份鉴别、访问控制、

23、安全审计、入侵防范、恶意代 码防范、资源控制、剩余信息保护（针对三级系统）。应用安全：通过人员访谈、配置检查与工具测试得方式测评信息系统 得应用安全保障情况，主要涉及对象为各类应用系统 . 在内容上 , 应用 安全层面测评实施过程涉及 9 个测评单元 , 包括 : 身份鉴别、访问控 制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩 余信息保护 （针对三级系统 ）、抗抵赖 （针对三级系统 ）.数据安全：通过人员访谈、配置检查得方式测评信息系统得数据安全 保障情况，主要涉及对象为信息系统得管理数据及业务数据等 . 在内容 上，数据安全层面测评实施过程涉及3个测评单元，包括：数据完整性、

24、数据保密性、备份与恢复。安全管理制度：通过人员访谈、文档审查与实地察瞧得方式测评信息 系统得安全管理制度情况 . 在内容上 , 安全管理制度方面测评实施过程 涉及 3 个测评单元 ,包括：管理制度、制定与发布、评审与修订。 安全管理机构 ： 通过人员访谈、文档审查得方式测评信息系统得安全管 理机构情况。在内容上 , 安全管理机构方面测评实施过程涉及 5 个测评 单元，包括 ： 岗位设置、人员配备、授权与审批、沟通与合作、审核与 检查。人员安全管理 ： 通过人员访谈、文档审查得方式测评信息系统得人员安 全管理情况。在内容上，人员安全管理方面测评实施过程涉及 5 个测 评单元，包括：人员录用、人员

25、离岗、人员考核、安全意识教育与培 训、外部人员访问管理。系统建设管理 ： 通过人员访谈、文档审查得方式测评信息系统得系统建 设管理情况。在内容上 , 系统建设管理方面测评实施过程涉及 11 个测评单元，包括：系统定级、安全方案设计、产品采购与使用、自行软 件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务 商选择、系统备案 （ 针对三级系统）、系统测评（针对三级系统） . 系统运维管理：通过人员访谈、文档审查得方式测评信息系统得系统 运维管理情况。在内容上，系统运维管理方面测评实施过程涉及13个测评单元，包括：环境管理、资产管理、介质管理、设备管理、网络 安全管理、系统安全管理、恶意

26、代码防范管理、密码管理、变更管 理、备份与恢复管理、安全事件处置、应急预案管理、监控管理与安 全管理中心（针对三级系统）。2.2.4. 分析与报告编制阶段单项测评结果分析 : 针对测评指标中得单个测评项 , 结合具体测评对 象，客观、准确地分析测评证据 .单元测评结果判定 : 将单项测评结果进行汇总 , 分别统计不同测评对象 得单项测评结果，从而判定单元测评结果 , 并以表格得形式逐一列出。 整体测评：针对单项测评结果得不符合项，采取逐条判定得方法 , 从安 全控制间、层面间与区域间出发考虑 , 给出整体测评得具体结果，并对 系统结构进行整体安全测评。风险分析 : 据等级保护得相关规范与标准

27、, 采用风险分析得方法分析等 级测评结果中存在得安全问题可能对被测系统安全造成得影响 . 等级测评结论形成 : 在测评结果汇总得基础上，找出系统保护现状与等 级保护基本要求之间得差距 , 并形成等级测评结论。测评报告编制 : 根据等级测评结论，编制测评报告 , 包括概述、被测系 统描述、测评对象说明、测评指标说明、测评内容与方法说明、单元 测评、整体测评、测评结果汇总、风险分析与评价、等级测评结论、 整改建议等。2.3. 测评方法在等级保护测评过程目中，将采用以下测评方法：231.工具测试利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测与基于主机审计得

28、漏洞扫描、渗透测试等.测评方法工具测试简要描述利用技术工具，从网络得不同接入点对网络内得主机、服务器、数据 库、网络设备、安全设备等进行脆弱性检查与分析达成目标发掘系统得安全漏洞工作条件1-2人工作环境，电源与网络接入环境，甲方人员、网络、系统配合工作结果工具测试结果记录2.3.2. 配置检查利用上机验证得方式检查主机、服务器、数据库、网络设备、安全设备、 应用系统得配置就是否正确，就是否与文档、相关设备与部件保持一致，对文 档审核得内容进行核实（包括日志审计等）,测评其实施得正确性与有效性，检查 配置得完整性，测试网络连接规则得一致性，从而测试系统就是否达到可用性与 可靠性得要求。2.3.3

29、.人员访谈测评方法配置检杳简要描述通过登陆系统控制台得方式，人工核查与分析主机、服务器、数据 库、网络设备、安全设备、应用系统得安全配置情况达成目标发现配置得安全隐患工作条件1- 2人工作环境，甲方人员、网络、系统配合工作结果配置检查结果记录与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同得要求，一般应基本覆盖所有得安全相关人员类型，在数量上可以抽样 测评方法人员访谈简要描述通过交流、讨论得方式，对技术与管理方面进行脆弱性检查与分析达成目标发掘技术与管理方面存在得安全问题工作条件1-2人工作环境，甲方人员配合工作结果

30、人员访谈结果记录2.34 文档审查检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文 件、安全管理制度、安全管理得执行过程文档、系统设计方案、网络设备得技 术资料、系统与产品得实际配置说明、系统得各种运行记录文档、机房建设相 关资料、机房出入记录等过程记录文档）得完整性，以及这些文件之间得内部致性.测评方法文档审查简要描述通过文档审核与分析，检查制度、策略、操作规程、制度执行情况 记录得完整性与内部一致性达成目标发掘技术与管理方面存在得安全问题工作条件1- 2人工作环境，甲方人员、各类文档资料配合工作结果文档审查结果记录2.3.5. 实地查瞧通过实地得观察人员行为、技术设施与物理

31、环境状况判断人员得安全意识、业务操作、管理程序与系统物理环境等方面得安全情况 ，测评其就是否达到 了相应等级得安全要求。项目名称实地查瞧简要描述通过现场查瞧人员行为、技术设施与物理环境状况，检查人员得安 全意识、业务操作、管理程序与系统物理环境等方面得安全情况。达成目标发掘技术与管理方面存在得安全问题工作条件1- 2人工作环境，甲方人员配合工作结果实地查瞧结果记录24测评工具我们在等级保护测评过程中使用得测评工具严格遵循可控性原则，即所有 使用得测评工具将事先提交给甲方检查确认，确保在双方认可得范围之内，而且 测评过程中采用得技术手段确保已经过可靠得实际应用 在本项目中，将采用以下测评工具:工

32、具类别工具名称工具介绍漏洞扫描工具绿盟极光远程安全评估系 统绿盟公司出品得商业漏洞扫描系统Web应用扫描工具IBM A PPSca nI BM公司出品得商业Web应用安全扫描系统WVS( Web Vulne r abi1 ityScan ner)一个自动化得W eb应用程序安全测试工 具,它可以扫描任何可通过 W b浏览器 访问得与遵循/S规则得 Web站点与W e b应用程序2.5.输出文档本项目输出得主要输出文档为等级保护测评实施方案（资产收集、测评表）等级保护测评差距分析报告等级保护测评安全整改方案等级保护测评安全整改报告3. 时间安排序号任务名称工作内容开始时间完成时间阶段完成标志主要

33、负责人配合人员1项目 准备 阶段编制实施方案2 0 15/7/ 8实施方案2编制资产收集2 0 1 5 /7/920 1 5/7/1资产收集表3编制测评表5测评表4前期 调研资产收集201 5/7/16201 5 / 7/17完成资产收集表5差距测评技术与管理单项测评2 015/7/20201 5 /8 /21完成信息系统测评表6差距测评 报告 编制单元测评、 整体测评、？ 风险分析、报告编制2 015/ 8 /2 42015/8/28差距测评报告7安全整改建议对部分风行 较高得？不符 合项给出整 改报告2015/8/312 0 15/9/4整改方案8安全 加固 与检 查对整改部分内容进行复检

34、2 015/9 /72 0 15/9 /2 5整改报告9等级保护 验收 测评协助中心通过第三方测评2 015/9/282015/11/ 31获得测评证书4. 人员安排4.1. 组织结构42项目工作分工为确保测评工作得顺利进行 ，XXXXXXXXXXXX來XX X与 XXXX XXXXCXXXX懣X XXX信息安全有限公司协商组建项目组，并对项目组织机构进行如下 规划：XXXXXXXXXXX XXXXXC X:名称职责项目负责人项目总体负责人，负责协调 XXXXXX XXXX XXXXCX XX整体项目资 源,解决项目中需要XXXXX XXXXCXXXXXXXX配合得问题,监督 项目整体质量、推

35、进项目整体进度XXXXXXXXXXXXX XXX）信息安全有限公司:名称职责项目负责人项目总体负责人，负责组织等级保护测评与评估实施队伍，做好 整体日常资源管理、分配与协调工作，并直接控制整体项目管理得 各个要素，具体包括：项目方案设计项目计划与组织项目协调与沟通（含召集项目周例会）项目进度管理（含编写项目周报） 项目质量控制项目技术人贝项目技术人员，包括项目分组组长与实施人员，在项目经理得带 领、分工与控制下，负责按照项目技术方案与项目计划实施测评 与评估工作，需要提交：每天工作日报单项测评结果记录单项安全整改建议43人员配置表名称职责人员项目负责人项目总体负责人，负责组织等级保护测评与评

36、估实施队伍，做好整体日常资源管理、分配与 协调工作,并直接控制整体项目管理得各个要 素，具体包括：项目方案设计项目计划与组织项目协调与沟通（含召集项目周例会） 项目进度管理（含编写项目周报） 项目质量控制项目技术人员负责按照项目技术方案与项目计划实施测评 工作，需要提交：每天工作日报单项测评结果记录单项安全整改建议44工作配合为保证本项目得顺利实施，对现场测评阶段得各项工作点提出双方工作配合:序号工作点甲方配合乙方配合1现场工具 测评1、人员要求 系统管理员*前期提供系统软硬件配置，相关 系统检收文档。*现场登录设备运行检查脚本工 具/、*登录设备查瞧安全配置2、环境要求*提供可以访问网络设备

37、及测评系 统得2个 IP地址1准备测评工具 及接入方案2、测评技术人 员*关闭测评IP与系统之间得防火 墙。2现场配置 检杳1、人员要求 网络管理员*前期提供网络拓朴图 *登录网络设备，配合测评人员 检查设备配置。系统管理员* 登录网络设备，配合测评人员 检查设备配置。2、环境要求可登录系统及网络设备1、准备配合检查 万案2、测评技术人员3人员访谈1、访谈对象要求 信息部管理人员* 配合调查表得访谈 系统开发&管理人员* 配合测评回答应用系统操作相 关冋题网络管理人员* 配合测评回答网络架构，及设 备配置操作得相关问题2、环境要求 提供会议室1、准备访谈安排 及访谈大纲2、测评技术人员

38、4文档审查1、人员要求信息部管理人员*提供等保相关得管理制度系统开发&管理人员*提供相应系统建设方案及验收 文档网络管理人员*提供网络系统建设方案及验收文 档*IP规划文档等2、环境要求 提供办公场所1、准备测评表2、二位测评技术 人员5实地查瞧1、人员要求 机房管理员*配合测评人员检查机房物理环 境2、环境要求1、准备测评表2、测评技术人员* 可访问机房、办公等物理区域5.其她相关事项5.1. 风险规避在测评过程中，可能会对被测系统造成影响，相应地会造成各种损失。这些 影响包括信息泄漏、业务停顿或处理能力受损等。因此，必须充分考虑各种可 能得影响及其危害并准备好相应得应对措施，尽可能

39、减小对目标系统正常运行 得干扰,从而减小损失.F表给出了测评过程中可能存在得风险与控制措施。内容可能存在得风险等级控制措施信息资产调研资产信息泄漏高协议、规章、制度、法律、法 规安全管理测评安全管理信息泄漏高合同、协议、规章、制度、法律、法规网络设备测 评/安全设 备测评误操作引起设备崩溃或数据丢失、损坏高规范审计流程； 严格选择测评师； 甲方进行全程监控； 制定可能得恢复计划网络/安全设备资源占 用低避开业务高峰；控制扫描策略（线程数量、强度）漏洞扫描网络流量低避开业务高峰；控制扫描策略（线程数量、强度）主机资源占用低避开业务高峰；控制扫描策略（线程数量、强度）控制台审计误操作引起系统崩溃或

40、数据丢失、损坏高规范审计流程；严格选择测评师； 甲方进行全程监控； 制定可能得恢复计划；网络流量与主机资源占用低避开业务高峰应用测评产生非法数据，致使系统不能正常工作中做好系统备份与恢复措施异常输入（畸形数据、极限测试）导致系统崩溃高做好系统备份与恢复措施52项目信息管理为了保障XX XX XXXXCX XXXX淤XXX言息系统得安全，XXXXXXXXXXXXXXX XXX信息安全有限公司将严格遵守 XXXXXX XXX XXXXX XX X关于保密方面 得规定,自觉保守 XXXXX XXXXXXKXXXXXXX®业秘密。XXXXXXXCXX XXX X XXX XX为方便项目实施所提供给投标人得工作流程、管理模式、规程、程序 等相关资料文档以及实施过程中所产生得资料、文档、数据均属于XXX XXXKXXXX XXXX XXX X知识产权,未经XXXXX XXXXXX X XX xxXS权同