信息系统安全等级测评方案_模板

1、项目编号：（XXXX-XX）信息系统安全等级测评方案系统名称： 被测单位： 测评单位： 目录1概述21.1项目简介21.2测评依据22被测系统描述22.1定级情况22.2网络结构22.3系统够成22.3.1业务应用软件22.3.2关键数据类别32.3.3主机/存储设备32.3.4网络互联设备32.3.5安全设备32.3.6安全相关人员42.3.7安全管理文档43测评对象与指标43.1测评指标43.2测评对象53.2.1机房53.2.2业务应用软件53.2.3主机（存储）操作系统53.2.4数据库管理系统63.2.5网络互联设备操作系统63.2.6安全设备操作系统64测评方法与工具64.1测评方

2、法64.2主要测评工具75测评内容与实施75.1物理安全测评75.1.1测评内容75.1.2测评实施75.1.3配合需求75.2网络安全测评95.2.1测评指标95.2.2测评实施95.2.3配合需求95.3主机安全测评95.3.1测评指标95.3.2测评实施95.3.3配合需求95.4应用安全测评95.4.1测评指标95.4.2测评实施95.4.3配合需求95.5数据安全及备份恢复测评95.6安全管理制度测评95.6.1测评指标95.6.2测评实施95.6.3配合需求105.7安全管理机构测评105.8人员安全管理测评105.9系统建设管理测评105.10系统运维管理测评105.11工具测试

3、105.12整体测评101 概述1.1 项目简介描述项目背景及意义、委托方、目标系统的范围以及测评输出产品。1.2 测评依据2 被测系统描述参照备案信息简要描述信息系统。2.1 定级情况 描述信息系统承载的业务、处理的主要业务信息、涉及的相关业务应用、提供的服务功能、服务范围、服务对象以及安全保护等级等情况。2.2 网络结构 给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。2.3 系统够成2.3.1 业务应用软件以列表

4、的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。序号软件名称主要功能重要程度2.3.2 关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。序号数据类别所属业务应用重要程度2.3.3 主机/存储设备以列表形式给出被测信息系统中的主机设备，描述主机设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件。序号设备名称操作系统/数据库管理系统业务应用软件2.3.4 网络互联设备以列表形式给出被测信息系统中的网络互联设备。序号设备名称用途重要程度2.3.5 安全设备以列表形式给出被信息系统中的安全设备。序号设备名称用

5、途重要程度2.3.6 安全相关人员以列表形式给出与被测信息系统安全相关的人员情况。相关人员包括（但不限于）安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。序号姓名岗位/角色联系方式2.3.7 安全管理文档以列表形式给出与信息系统安全相关的文档，包括管理类文档、记录类文档和其它文档。序号文档名称主要内容3 测评对象与指标3.1 测评指标 依据信息系统确定的业务信息安全等级保护等级和系统服务安全保护等级，选择基本要求中对应级别的安全要求作为等级测评的测评指标。测评指标技

6、术/管理2安全分类3安全子类数量S类A类G类小计合计3.2 测评对象描述测评对象选择结果3.2.1 机房序号机房名称物理位置3.2.2 业务应用软件序号软件名称主要功能3.2.3 主机（存储）操作系统序号设备名称操作系统/数据库管理系统 2 技术/管理对应基本要求中的技术安全和管理安全。3 层面对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别。3.2.4 数据库管理系统序号设备名称操作系统/数据库管理系统3.2.5 网络互联设备操作系统序号操作系统名称设备名称3.2.6 安全设备

7、操作系统序号操作系统名称设备名称4 测评方法与工具4.1 测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。4.2 主要测评工具描述等级测评工作中采用的漏洞扫描、渗透测试等用到的工具。5 测评内容与实施 等级测评的现场实施过程由单元测试和整体测评两部分构成。对应基本要求各安全控制点的测评称为单元测试，具体可分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10各测评任务。整体测评是在单元测评的基础上，通过进一步的分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。5.1 物理安全测评5.1.1 测评内容以表格形式给出物理安全的测评内容。序号安全子类测评指标描述1物理位置的选择5.1.2 测评实施针对物理安全测评内容所采取的测评实施方法及过程。5.1.3 配合需求以列表形式描述物理安全测评的配合需求配合项目需求说明5.2 网络安全测评5.2.1 测评指标5.2.2 测评实施5.2.3 配合需求5.3 主机安全测评5.3.1 测评指标5.3.2 测评实施5.3.3 配合需求5.4 应用安全测评5.4.1 测评指标5.4.2 测评实施5.4.3 配合需求5.5 数据安全及备份恢复测评5.6 安全管理制度测评5.6.1 测评指标