等保测评资料.doc

第PAGE \* MERGEFORMAT30页，共29页 湖南省电子产品检测分析所考勤 信息系统安全等级测评方案 湖南省网络与信息安全测评中心 2013年12月11日 编制： 审核： 批准： 日期： 日期： 日期：  概述 1.1项目简介 湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。 分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。 湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。 本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作 1.2测评依据 信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定，由等级保护测评机构给予相应的系统安全等级评审意见。 主要参考标准如下： ? 《信息安全等级保护管理办法》 ? 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） ? 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008） ? 《信息系统安全等级保护测评要求》（报批稿） ? 《信息系统安全等级保护实施指南》（报批稿） ? 《信息系统安全等级保护测评过程指南》（报批稿） ? 《计算机信息系统安全保护等级划分准则》（GB17859-1999） ? 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） ? 《信息安全技术 网络基础安全技术要求》（GB/T20270-2006） ? 《信息安全技术 操作系统安全技术要求》（GB/T20272-2006） ? 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） ? 《信息安全技术 服务器技术要求》（GB/T21028-2007） 《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006） 1.3测评过程 信息系统安全等级保护测评过程包括四个阶段。 测评准备阶段 被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订保密协议、委托书、合同。 方案编制阶段 测评机构成立项目组后，工作人员到被测单位了解被测评系统的信息，编写信息系统业务调查报告，信息系统规划设计分析报告，与被测单位共同讨论评测方案，评测工作计划，达成共同认可的评测方案和评测工作计划。 现场测评阶段 在进入现场检测测试阶段时，测评机构项目组成员在参照系统体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料）后，对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查，生成管理检查记录、技术检查记录和核查报告。 分析与报告编制阶段 测评机构最后进行核查结果分析，等级符合性分析、专家评审，生成等级测评报告和安全建议报告 具体流程如下图： 1.4测评原则 客观性和公正性原则 测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。 经济性和可重用性原则 基于测评成本和工作复杂性考虑， 鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。 可重复性和可再现性原则 无论谁执行测评，依照同样的要求，使用同样的方法， 对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。 可重复性体现在同一测评者重复执行相同测评的结果的一致性。 符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评