版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
-可修编--可修编--可修编--可修编-XX安全服务公司2018-2019年2018-2019年XXX项目等级保护差距测评实施方案XXXXXXXXX信息安全201X年X月目录01•项目^述2.150背景2.®0目标2•顶目原则31.4.10依据42•测评实施容5•测评分析5ill评田5测评对象5测评容62.1.4.2.1.4.测评对象8-可修编--可修编-2.1.4.2.1.4.测评对象8-可修编--可修编-J|评荷标922测评流程11J!评准备阶段11.方案编斟阶段12.现场测评阶段12桥与报告编制阶段14•测评方法15工具测试15K置检查16人员诉谈16文档审S17实地查看17•测评工具18.»出文档19等级保护测评差距报告金者娱!未定义书签。等级测评报告错娱!未定义书签。安全整改建议霜澳!未定义节签。3•时间安排194•人员安排194.1.31级结沟员分工20人员配置表21工作配合225.其他相关事顶23风险规避2352项目信息管325责任法律保证26-可修编--可修编--可修编・-可修编・现场安全管理26文档安全管理26离场安全管理27其他悄猊说明27.项目棣述1・1・项目背景为了贯iffl落实《国家信息化领导小组关于加强信息安全SBI作的意见》、《关干信息安全等级保护工作的实施直见》和《信息安全等级保护管理亦法》的席神,2015年XXXXXXXXXXXXXXXXXXX需要按朋国家《信息安全技术信息系貌安全等级保护定级指南》、《计算机信息系貌安全保护等级则分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求,对XXXXXXXXXXXXXXXXXXX现有穴个信息系貌进行全面的信息安全测评与评估工作,并目为XXXXXXXXXXXXXXXXXXX提哄驻直咨jhj、实施等服务。(安全枝术测评色括:物理安全、啊络安全、主HI系统安全、应用安全和数摇安全五个层面上的安全腔制测评;安全管理测评色括:安全管理机构、安全管理制度、人员安全管J!、系统建设管理和系貌运绒管理等五个方面的安全腔制测评),加大测评与风险评估力度,对信息系统的资产、威肚、弱直和风险等要素进行全面评估,有效提升信心系貌的安全航护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXXM络与信息系貌的安全保障与运绒能力。项目目标全面完成XXXXXXXXXXXXXXXXXXX现有穴门信息系筑的信息安全测评与评估工作和协助整改工作,并目为XXXXXXXXXXXXXXXXXXX提哄验点咨沟、实施等服务,按照国家和XXXXXXXXXXXXXXXXXXX的有关要求,对XXXXXXXXXXXXXXXXXXX的啊络架构进行业务影响分析及啊络安全管理工作进行梳理,提高XXXXXXXXXXXXXXXXXXX整个啊络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的率,全面提高网络层面的安全性,沟建XXXXXXXXXXXXXXXXXXX信息系貌的整体信息安全架构,晞保全局信息系筑高效稳定运行,并满足XXXXXXXXXXXXXXXXXXX提出的基本要求,及时提哄咨询等服务。项目原剧顶目的方案设廿与实施应满足以下原则:符合性康则:应符合国家信息安全等级保护制度及相关法律法规,指出肪的方ft和保护的原则。标准性原剧:方案设廿、实施与信息安全体系的构建应依据国、国际的相关标准aho◊规牲原Ih顶目实施应由专业的等级测评帅依照规的操作流程进行,在实施之前将i丰细量化出每顶测评容,对操作过程和结果提供规的记录,以便于顶目的跟踪和腔制。可控性泉则:顶目实施的方法和过程要在双方认可的围之,实施aiti按照进度表进度的安排,保认顶目实施的可腔性。整体牲原划:安全体系设廿的围和容应当整it全面,包括安全步及的各个层面,避免由于遗漏造成未来的安全隐患。最小影响原3顶目实施工作应尽可能小的影晌啊络和信息系貌的正常运行,不能对信息系貌的运行和业务的正常提佻产生显普影响。fM:对顶目实施11程获得的数据和箱果严怡,未经授权不得泄需给任fl单位和个人,不得利用此数据和结果进叶任fl侵害1评委托单位利益的行为。项目依据信息系统等级测评依据《信息系貌安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管〕!的安全腔制测评及系貌整体测评结果基础上,针对相应等级的信息系貌遵循的标准进行综合系貌测评,提出相应的系貌安全整改建汶。主要参考标准血下:《廿算机信息系统安全保护等级划分准则》-GB17859-1999《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测埒要求》《信息安全等级保护管理亦法》◊《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)◊《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)《廿算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术信息系貌通用安全技术要求》(GB/T20271-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系貌安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》(GB/T21028-2007)◊《信息安全技术终常计算机系筑安全等级枝术要求》(GA/T671-2006)◊《信息安全风险评估规》(GB/T20984-2007)2.渡评实施容-可修编--可修编--可修编--可修编-滇埒分析»»围本顼目围为对XXXXXXXXXXXXXXXXXXX已定级信息系貌的等级保护测评。«ff对象本次测评对象为XXXXXXXXXXXXXXXXXXX信息系筑,具休如下:序号信息系竦名称级别1XXXXXXXXX信息系貌、八八八八八八八八,t-1—t-X"*K.A三级2XXXXXXXXX信息系貌\7\7\7\7\7\7\7\7^, /I三级3XXXXXXXXX彳信息^系办貌三级4XXXXXXXXX信息系貌、八八八八八八八八, t-1—t-X"*/.一^三级5XXXXXXXXX信息系统二级6XXXXXXXXX信息系统二级2/1-3・割坪架构图本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点,进行不同层次的测评工作,如下表所示:层次网络安全主机安全应用安全数据安全安全管理制度安全管理机构人员安全管理支全技术安全管理善保三级要求层次网络安全主机安全应用安全数据安全安全管理制度安全管理机构人员安全管理支全技术安全管理善保三级要求等保二级要求系统建设管理2.1.4.系统运维管理容善保三级要求{呆二级要求本顶目主要分为两步开展实施。第一步,湘XXXXXXXXXXXXXXXXXXX穴个信息系sail定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系sail十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全员备价恢夏、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系貌运细管理)0其中安全测评分为差距测评和用奇收测评。差距测评主要针对XXXXXXXXXXXXXXXXXXX已定级备案系貌执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协DJ完成系貌配置方面的整改。最后进行^收测评,醴收测评将按照国家标准和国家公安承认的测评要求、测评il程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系貌执行系貌安全醴收测评,再奇收测评交付具有国家承认的验收测评报告。信息系统安全等级保护测评色括两个方面的容:一是安全腔制测评,主要测评信息安全等级保护要求的基本安全腔制在信息系貌中的实施配置悄况;二是系貌整体测评,主要测评分折信息系貌的整体安全性。其中,安全腔制测评是信息系貌整体安全测评的基础。
安全腔制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测iffilS:W3安全、网络安全、主机系貌安全、应用安全和数播安全五个层面上的安全腔制测评;安全管理测评色括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系貌运细管理五个方面的安全腔制测评。具体见下图: 信息系统等级保护测评 安全控制测评安全技术测评物理安全J [• 主机安全1■安全控制测评安全技术测评物理安全J [• 主机安全1■I网络安全11应用安全安全管理测评安全管理机构安全管理制度人员安全管理系统建设管理 1 安全控制间 层面间区域间 整体结构安全不同信息系统间整体安全性整体架构/局部架构—1 —1 数据安全系统运维管理系统整It测评涉及到信息系躲的整It拓扑.局部结构,也关系到信息系统的具休安全功能实现和安全控制配置,与特罡信息系统的实际悄况紧密相关。在安全腔制测评的基础上,重点考虑安全腔制间、层面间WKEM间的相互关朕关系,分折评估安全腔制间、层面间和区域间是否存在安全功能上的增弓氨补充和潮弱作用以及信息系貌整休结购安全性、不同信息系貌之间整休安全性。
边界与边界同主机恭境与运埴管理间应用与人员安全问系统和系统问区域间层面同网络安全机统全
主系安网络访问控制物理访问控制网络入侵防?59份照别教育和培训边界与边界同主机恭境与运埴管理间应用与人员安全问系统和系统问区域间层面同网络安全机统全
主系安网络访问控制物理访问控制网络入侵防?59份照别教育和培训人员离岗自主访向控制综合测评总结将在安全腔制测评和系貌整体测评两个方面的容基础上进行,由Kt而获得信息系筑对应安全等级保护级别的符合性结论。2/1・5・需坪对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本公司名年的安全风险评估经用奇与实践,从信息系貌的核心资产出发,以威耳心和弱点为导向,对比信息安全等级保护的具休要求,全方面对信息系筑进行全面评估。测评对象种类主要考虑以下几个方面:整依网络拓扑结构;机房坏境、配套设施;网络设备:包牯路由器、核心交换机、汇聚层交换机等;安全设备:0I8I®火墙、IDS/IPS.肪病毒网关等;主机系缆(作系缆和数据库系缆);业务应用系貌;重要管理终端(it对三级以上系统);&安全管理员、网络管理员、系统管理员、业务管理员;涝及到系貌安全的所有管理榭度和记录。根据信息系貌的测评弓余度要求,在执折具体的核查方法时,在广度上要做到从测评围中抽取充分的测评湘象种类和数量;在执折具体的检测方法,在深B!上要做到对助能等各方面的测试。2.1.6.HJF指标对干二级系貌,如业务信息安全等级为S2,系貌服务安全等级为A2,则该系貌的测评指标应0tSGB/T22239-2008《信息系筑安全保护等级基本要求》中“技术要求”部分的2级通用指标类(G2),2级业务信息安全指标类(S2),2级系统服务安全指标类(A2),以及第2级“管理要求”部分中的所有指标类,等级保护测评指标悄况具体如下表所示:剧坪指标(二级)技术/管理层面类数量S类(2级)A类(2级)G类(2级)安全技术物理安全11810网络安全1056主机安全2136应用安全4217数据安全2103安全管理安全管理制厦0033安全管理机构0055
人员安全管理0055系统建设管理0099系统运维管理001212合廿66(类)对于三级系貌,如业务信息安全等级为S3,系貌服务安全等级为A3,则该系统的测评指标应0KGB/T22239-2008《信息系筑安全保护等级基本要求》中“技术要求”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类,等级保护测评指标悄况具It如下表所示:剧坪指标(三级)技术/管理@8类数量S类(3级)A类(3级)G类(3级)爪廿安全技术物理安全11810网络安全106 7 主机安全3137应用安全5229数摇安全210 3 安全菅理安全管理制度0033安全管理机构0055人员安全管理00 5 5
系统建设管理1111系统运维管理1313合廿73(类)22滇评流程等级保护测评实施ii程色括以下四个阶段:测评准■4阶段方案褊制/阶
段物理安全网络安全人员访谈文档审杳实地察看方人员访谈配登检查工具泓试方式物理基础设施对象系统建设管理1111系统运维管理1313合廿73(类)22滇评流程等级保护测评实施ii程色括以下四个阶段:测评准■4阶段方案褊制/阶
段物理安全网络安全人员访谈文档审杳实地察看方人员访谈配登检查工具泓试方式物理基础设施对象互联设备安全设备网络拓拎对人员访谈配、登检查工具方测试式主机安全应用安全人员访谈配登检查工具测试方式应用系统对象攥作系统数据库系统对象数据安全人员访谈配方置检查式管理数据对业务数据恕安全管理胡度人员访谈文档审杏实地察看方式安全管理机构人员访谈文档申查方式人员安全管3B人员访谈文档申查方式系统建设借理人员访谈文档审杳方式系统运维管理人员访谈文档审杳力式«ff准备阶段◊测评项目组组建:明确项目经理、测评人员及职责分工。项目it划书编制:顶目计划书包含项目侧述、工作依摇、技术思路、工作容和项目组织等。信息系统调研:通过查阅被测系貌已有资料或使用调查表格的方武,了解整个系貌的构成和保护悄况,明确被测系统的围(特别是信息系统的边界),了解被测系统的洋细构成,包括网络柘扑、业务应用、业务渣程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。工具和表单准备:根据被测系统的实际悄猊,准备测评工具和各类测评表单。方案绢制阶段测评对象确定:根摇已经了解到的被测系统信息,分析整个被测系貌及其滤及的业务应用系统,确定出本次测评的测评对象。测评荷标确定:根摇已经了解到的被测系统定级结果,确定出本次测评的测评荷标。测评工具接人自确定:晞定需114(11具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接人点。测评容确定:确定现场测评的具体实施容,即单元测评容。测评实施手IB开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。«场剧坪阶段现场测评实际上就是单顶测评,分别从技术上的物〕!安全、网络安全、主机系貌安全、应用安全和数据安全五个层面和管理上的安全管理机沟、安全管理制度、人员安全管理、系貌建设管理和系貌运绒管理五个方面分别aiio物理安全:通il人员前谈、文档审查和实地察看的方式测评信息系貌的物理安全保障悄况。主要涉及对象为物理基SU殳随。在容上,物理安全层面测评实施过程鸿及10个测评单元,色括:物理位置的选择、物理诉间控制、肪谧窃和肪破坏、肪密击、防火、肪水和肪潮、肪静电、温湿度控制、电力供应、电磁肪护。啊络安全:通过前人员前谈、配置检查和工具测试的方式测评信息系貌的网络安全保障悄猊。主要涝员对象为例)络互联设备、网络安全设备和啊络扬扑结构。在容上,啊络安全层面测评实施过程步及7f测评单元,018:给构安全、萌回腔制、安全审廿、ill界完整性检查、入侵肪、网络设备肪护、恶惠代侣肪(it对三级系统)。壬机安全:通过人员前谈、配置检查和工具测试的方贰测评信息系统的主机安全保障悄况。主要涉及对象为各类服务器的操作系貌、数摇库管理系貌。在容上,壬机系统安全层面测评实施11程涝及7个测评单元,018:身份鉴别、诉问控制、安全审计、人侵肪、恶惠代倡肪、资源控制、剌余信息保护(it对三级系统)。应用安全:通il人员诉谈、配置检查和工具测试的方武测评信息系貌的应用安全保障悄况,主要涉及对象为各类应用系豌。在容上,应用安全层面测评实施il程涝及9个测评单元,SIS:身价鉴别、ifi间控翎、安全审廿、通信完整性、通信性、软件容错、资源控制、剩余信息保护(it对三级系统)、(it对三级系统)。数扬安全:通il人员前谈、配置检查的方式测评信息系统的数据安全保障悄况,主要涉及对象为信息系统的管理数据及业务数据等。在容上,数据安全层面测评实施过程涉及3个测评单元,0IS:数据完整性、数据性、备卅和恢夏。安全管3$′JH:通il人员前谈、文档审查和实地察看的方式测评信息系貌的安全管理况。在容上,安全管理制度方面测评实施过程涝及3个测评单元,管理制度、制定和发布、评审和修订。安全管理机沟:通过人员前谈、文档审查的方式测评信息系统的安全管理HI沟悄况。在容上,安全管理机构方面测评实施11程涉及5个测评单元,包祐:岗位设置、人员配备、授权和审批、沟通和合作、审核和枪查。人员安全管理:通11人员前谈、文档审查的方式测评信息系貌的人员安全菅理悄况。在容上,人员安全管理方面测评实施11程涉及5个测评单元,包括:人员录用、人员离岗、人员考核、安全愆识教育和培调、外册人员诉回管理。系统理设管理:通过人员前谈、文档审查的方式测评信息系统的系貌建设管理悄况。在容上,系貌理设管理方面测评实施过程涉及11个测评单元,包括:系统定级、安全方案设it、产品采则和使用、自行软件开发、外色软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(it对三级系统)、系统测评(it对三级系统)。系统运绒管理:通过人员前谈、文档审查的方式测评信息系貌的系貌运维管理侑况。在容上,系统运维管理方面测评实施过程涝及13个测评单元,0IS:坏境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶恿代码肪管理、密伺管理、变更管理、备价与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心(it对三级系貌)。分析与报告编制阶段单顶测评结果分析:针对测评荷标中的单个测评顶,结合具体测评对象,客观、准确地分证据。单元测评结果列定:将单顶测评结果进行汇总,分别筑廿不同测评对象的单顶测评结果,从而判定单元测评结果,并以表怡的形武逐一列出。整体测评:针对单顶测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整依测评的具体结果,并对系缆结构进行整休安全测评。风险分折:据等级保护的相关观和标准,采用风险分析的方法分林等级测评结果中存在的安全回题可能对被测系统安全造戒的辨。等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。测评报告编制:根摇等级测评结论,编制测评报告,色桔撕述、被测系貌描述、测评对象说明、测评指标说明、测评容和方法说明、单元测评、整体测评、测评结果汇总、风险分桥和评价、等级测评结论、整改建议等。2.3.滇坪方法在等级保护测评il程目中,将果用以下测评方法:I具测试利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包祐基干网络探测和基于主机审廿的漏洞甘描、渗透测试等。例」埒方袪工具测试简要描述利用技术工具,从网络的不同接人自对啊络的主机、服务器、数据库、啊络设备、安全设备等iSfiBI弱性检查和分析达成目标发掘系统的安全漏洞工作条件1人工作坏境,电源和网络接人坏境,甲方人员、网络、系豌配
合工作结果工具测试结果记录配置检查利用上机^^的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,文寸文档审核的容进行核实(色括日志审计等),测评其实施的正确H和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系貌是否这到可用性和可靠性的要求。榭坪方法配置检查简要描述通il登陆系筑控制台的方式,人工核查和分析主机、服务器、数摇库、啊络设备、安全设备、应用系筑的安全配置悄况这成目标发现配置的安全隐患工作条件1-2人工作坏境,甲方人员、网络、系统配合工作结果配置检查结果记录人员前谈与被测系貌有关人员(个人/I?it)ait交流、讨论等活动,获取相关认据,了解有关信息。在前谈围上,不同等级信息系貌在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。剧坪方法人员前淡
简要描述通11交流、讨论的方式,对技术和管理方面an丁脆弱性检查和分折达成目标发振技术和管理方面存在的安全回题工作条件1人工作坏境,甲方人员配合工作结果人员ifi谈结果记录文档审查检查制度、策略、操作规程、制度执行悄况记录等文档(色括安全方针文件、安全管理制度、安全管理的执行11程文档、系貌设计方案、网络设备的技术资料、系貌和产品的实际配置说明、系貌的各种运行记录文档、机僻建设相关资料、机僻出人记录等il程记录文档)的完整性,以及这些文件之间的部一致性。困坪方法文档审查简要描述通il文档审核与分折,检查制度、策略、操作规程、制度执行悄况记录的完整性和部一致性迭成目标发掘技术和管理方面存在的安全间题工作条件1人工作坏境,甲方人员、各类文档负料配合工作第杲文档审查结果记录实地查看通过实地的观察人员行为、技术设施和物理坏境状况判Bfi人员的安全惠识、业务操作、管理程序和系统物理坏境等方面的安全悄况,测评其是否达到了相应等级的安全要求。
项目名称实地查看简要描述通11现场查看人员行为、枝术设施和物理坏境状况,检查人员的安全意识、业务操作、管理程序和系貌物理坏境等方面的安全悄况。达成目标发掘技术和管理方面存在的安全同题工作条件1-2人工作坏境,甲方人员配合工作结果实地查看结果记录24测坪工具我们在等级保护测评il程中使用的测评工具严可腔II原5M,K0所有使用的测评工具揩事先提交给甲方检查确认,确保在双方认可的围之,而目测评il程巾果用的技术手段确保已经il可靠的实际应用。在本项目中,将果用以下测评工具:工具类别工具名称工具介堀漏洞甘描工具绿盟极光远程安全评估系绿盟公司出品的商业漏洞扫描系统Web应用扫描工具IBMAPPScanIBM公司出晶的商业Web®用安全扫描系筑WVS(WebVulnerabilityScanner)一个自动化的Web应用程序安全测试工具,它可以扫描任何可通ilWeb浏览器ffi问的和1循HTTP/HTTPS规《]的Web站点和Web应用程序2.5.输出文档本顶目输出的主要输出文档为《等圾保护雷评实施方案(资产收集、雷评表)》《等级保护雷坪差距分析报告》《等圾保护例」坪安全整改方案》《等级保护雷坪安全整改报告》时同安幕序号任务各称工作容开始时间芫成时同阶段完成标志主要负贡人配合人员123项目准备阶段编制实施方案2015/7/8《实施方案》罪资产收集2015/7/92015/7/15负产收集表编M测评表测昭表4资产收集2015/7/162015/7/17资产收集表5差距^评技术相管理单9测评2015/7/202015/8/21完成信息系统测评表6差报告编制单元测评、整体河评、风险分析、报告编制2015⑻242015/8/28《差距酒评报告》7安全整改建垃对部分风行较高的不符合项给出整改报告2015/8/312015/9/4《整改方案》8安全M固与脸查对整改部分容at行复检2015/9/72015/9/25《整改报告》9等级氏护验收滤评*助中心通过第三方测评2015/9/282015/11/31获得测评证书人员安排组级结构项目工作分工为晞保测评工作的顺利进行,XXXXXXXXXXXXXXXXXXX与XXXXXXXXXXXXXXXXXXX信息安全协商组建顶目组,并对顶目组级机构进行如下规如■XXXXXXXXXXXXXXXXXXX:名WHR责项目负责人项目总休负责人,负责协il»lXXXXXXXXXXXXXXXXXXX整体项目资源,解决项目中需要XXXXXXXXXXXXXXXXXXX配合的回题,监特项目整体质量、推进顶目整IO®■XXXXXXXXXXXXXXXXXXX信息安全:名《9!贡顶目负责人顶目总休负责人,负责组织等级保护测评和评估实施以仇,做好整休日常资源管理、分配与协调工作,并直接腔制整体顶目管理的各个要素,具lists:顶目方案设it顶目it划与组级顶目协说|与沟通(含日集顶目周例会)顶目进度管理(含编写项目周报)-可修编・-可修编・-可修编・-可修编・◊顶目质量控制顶目技术人员顶目技术人员,包括顶目分组组长和实葩人员,在顶目经理的带领、分工和控斟下,负责按照顶目技术方案和顶目廿划实葩测评和评估工作,需要提交:每天工作日报单项测评结果记录单顶安全整改建垃名》91负人员顶目负责人顶目总体负责人,负责组级等级保护测评和评估实施以fi,做好整值日常资源管理、分配与协调工作,并直接控制整体顶目管理的各个要素,具was:顶目方案设廿顶目计划与组级顶目协调与沟通(含召集顶目周例会)项目进度管理(含编写顶目周报)项目质量控制项目技术人员负责按照顶目技术方案和顶目廿划实胞测评工作,需要提交:每天工作日报单顶测评结果记录单顶安全整改建放
44工作配合为保证本顼目的顺利实施,对观场测评阶段的各顶工作点提出双方工作配序号,作点甲方配合乙方出合1现场工具1、人员要求系筑管理员5期提篌系统软硬件配置,相关系筑检收文档。*现场登录设备运行检查脚本工具水登录设备查看安全配置2、坏境要求水提侯可以筋问网络设备及测评系貌的2个IP地址穴关冈测评IP与系统之同的10火晴。1、准备测评工具及接人方案2、测评技术人员2现场配置检查1、人员要求网络管理员*前期提哄网络柘朴图。*登录啊络设备,配合测评人员检查设备配置。系筑管理员*登录网络设备,配合测评人员检查设备配置。2、坏境要求可登录系统及网络设备1、准备配合检查方案2、测评枝术人员3人员诉谈1、诉谈对象要求信息部管理人员穴配合调查表的诉谈系统开发&管理人员*配合测评回答应用系筑操作相关问网络管理人员*配合测评回答啊络架构,及设备配置操作的相关问醴2、环境要求1、准备诉谈安排艮诉谈大纲2、测评枝术人员-可修编・-可修编・-可修编--可修编-提供会放室4文档审查1、人员要求信息部管理人员*提哄等保相关的管理制度系筑开发&管理人员*提哄相应系筑建设方案及验收文档网络管理人员水提供网络系统翟设方案及验收文档JP规则文档等2、坏境要求提哄办公场所1、准备滤评表2、二位测评技术人员5实地查看1、人员要求机房管理员*出合测评人员检查机房物理坏境。2、坏境要求*可前问机房、办公等物理区域1、准备测评表2、测评技术人员5.其他相关事项5」•风险规避在测评11程中,可能愈对被测系貌造成影哨,相应地会造成各种损失。&些影响0ISIB息泄漏、业务停赖或处理能力受损等。因此,必须充分考虑各种可能的影晌及其危害并准备好相应的应对措施,尽可能减小对目标系统正常运行的干扰,从而减小损失。下表给出了测评过程中可能存在的风险与腔制措施。容可能存在的风险等级控制措施
信息资产调研资产信息酒漏轴议、规章、so、法律、法规安全管理测评安全管理信息泄漏高合同、协议、规章、制度、法律、法规网络设备测评/安全设备测评波操作引起设备崩就或数据丢失、损坏现审廿流程;严招选择测评帅;甲方进行全程监控;榭定可能的恢复计刘网络/安全设备资温占用ft18开业务高峰;控制甘描策略(线程数量、强度)漏洞甘描网络流量tt避开业务高哗;控制扫描策略(线程数量、强a)主机资温占用ff避开业务高哗;控制扫描策略(线程数量、强度)
控制台审计波操作引起系豌崩演或数据丢失、损坏高规审计浦程;严榴选择测评帅;甲方进行全程监控;制定可能的恢夏it»J;网络渣量和主机资温占用tt)8开业务高峰产生非法数摇,致使系统不能正常工作中做好系统备卅和恢夏措施异常输入(欧形数据、极限测试)导致系豌崩僮他好系统备卅和恢夏措施5.2.项目信息管理 为了保|i?XXXXXXXXXXXXXXXXXXX信息系筑的安全,XXXXXXXXXXXXXXXXXXX信息安全揩严怡遵守XXXXXXXXXXXXXXXXXXX关干方面的规定,自觉保守XXXXXXXXXXXXXXXXXXX商业秘密。XXXXXXXXXXXXXXXXXXX为方便顶目实施所提供给投标人的工作流程、管理模式、规程、程序等相关资料文档以员实施ii程中所产生的资料、文档、数船均扬干XXXXXXXXXX
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 危废贮存库房排水系统方案
- 2025年生态保护环境应急未来发展
- 2025年生物制药QA专员助理仪器设备校准管理
- 2026及未来5年中国吸粉机行业发展研究报告
- 2026年什么是技能测试题及答案
- 2026年上海医药测试题及答案
- 2026年学前记忆测试题及答案
- 2026年寻找规律 国美测试题及答案
- 2026及未来5年中国压路机零部件清洗机行业发展研究报告
- 2026及未来5年中国加压式捏炼机行业发展研究报告
- 2026银行遴选面试题及答案
- 2026年非遗文化赋能数字化乡村振兴现状调研报告
- 华中科技大学2026年强基计划校考(面试+体育测试)模拟试题及答案解析
- 2026年人教版高一第二学期地理期末普通高中统考试卷(附答案可下载)
- 2026贵州毕节黔西市粮油购销有限公司面向社会公开招聘工作人员3人考试模拟试题及答案详解
- (2026年)护理文书书写规范与质量控制课件
- 2026年贵州省专业技术人员继续教育公需科目试题及参考答案详解(模拟题)
- 信誉楼老带新客户裂变
- 营养配餐工作室创新创业
- 2026年国家能源集团河南公司校园招聘笔试参考题库及答案解析
- 肝病与凝血教学课件
评论
0/150
提交评论