2017年四川省环境信息化项目信息安全等级保护测评服务项目方案.doc

附件： 一、总体需求 按照信息安全等级保护要求对四川省环境信息中心2017年6月完成政务云迁移的十四个信息系统进行信息安全等级保护测评和备案工作。十四个信息系统为四川省环境保护厅内外门户网站系统四川省辐射环境管理监测中心站网站环保通移动平台建设项目审批系统建设项目申报系统四川省消耗臭氧层物质及含氟气体在线申报备案系统四川省总量减排环境数据资源中心四川省企业信用评价系统四川省生物多样性保护信息平台四川省重点污染源IC卡排污总量控制管理平台四川省环境信息中心短信平台系统四川省重点监控企业污染源监测信息公开平台四川省环境保护专项资金项目管理系统四川省环境保护厅办公自动化系统 1、信息系统技术安全性测评包括但不限于：物理安全、网络安全、主机安全、应用安全、数据安全。 2、信息系统管理安全测评包括但不限于：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。 3、风险分析及评价。 4、安全漏洞扫描包括但不限于：应用系统漏洞扫描、应用服务器漏洞扫描、数据库服务器漏洞扫描。 5、须提供一人在合同执行期间的驻场服务，并遵守四川省环境信息中心人员管理制度。 二、具体要求 信息系统技术安全性测评 1、物理安全测评 物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。 2、网络安全测评 网路安全测评应当包含：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。 3、主机安全测评 主机安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。 4、应用安全测评 应用安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。 5、数据安全及备份恢复测评 数据安全及备份恢复测评应当包含：数据完整性、数据保密性、备份和恢复。 信息系统管理安全测评 1、安全管理制度测评 安全管理制度测评应当包含：管理制度、制定与发布、审批和修订。 2、安全管理机构测评 安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。 3、人员安全管理测评 人员安全管理测评应当包含：人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。 4、系统建设管理测评 系统建设管理测评应当包含：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全服务商选择。 5、系统运维管理测评 系统运维管理测评应当包含：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。 风险分析和评价 依据GB/T20984-2007《信息安全技术信息安全风险评估规范》，针对四川省环境信息中心被测信息系统采用风险分析方法，分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响，并给出发现的安全问题以及风险分析及评价情况。 安全漏洞扫描 安全漏洞扫描应当依据GB/T 18336.1-2015《信息技术 安全技术 信息技术安全评估准则》、GB/T 20274.1-2008《信息安全技术 信息系统安全保障评估框架》对四川省环境信息中心被测信息系统的安全漏洞、系统的安全漏洞、数据库的安全漏洞三个内容进行测评。 驻场服务 须提供一人（全日制本科及以上，计算机相关专业 三、实施和保障 项目进度要求 本项目测评实施要求同步实施、重点先行、阶段性成果展现相结合。 具体实现进度要求如下： 本次信息系统安全等级保护测评服务工作分为：定级备案、测评准备、方案编制、现场测评、问题整改、回归测评、报告编制等几个阶段。 （1）第一阶段： 组建项目组，协助四川省环境信息中心完成未定级备案信息系统在四川省公安厅的定级备案工作；制定信息安全等级保护测评项目计划书、测评实施方案以及人员安全培训计划，并提交四川省环境信息中心审核。 （2）第二阶段： 进行现场测评，同时对四川省环境信息中心信息安全相关人员进行安全技术培训。 （3）第三阶段： 协助四川省环境信息中心针对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。 （4）第四阶段： 整理测评结果，向四川省环境信息中心提交被测信息系统安全等级保护测评报告、定级备案证书、以及相应文档。 项目实施要求 依据国家各项相关标准法规和四川省环境信息中心现有的规范、制度，同时结合项目实际需要，对信息安全等级保护项目工作中的定级、备案、测评（包括测评范围、测评方法等）、整改（包括整改方法、范围等）过程中，所需的产品、技术、制