A1包、信息安全等级保护测评及风险评估课件.docVIP

精品文档 A1包、信息安全等级保护测评及风险评估 一、供应商资格要求 1、符合《中华人民共和国政府采购法》第二十二条的规定。 2、供应商的资质要求：具备省级及以上（含直辖市）信息安全等级保护工作协调小组办公室颁发的信息安全等级保护测评机构推荐证书或备案证明文件。 二、技术要求 一、信息安全等级保护测评 1、总体要求 按照公安部信息安全等级保护工作要求，开展信息系统安全等级保护测评工作。 按照信息安全等级保护定级标准和工作要求，开展信息系统安全等级保护系统梳理和定级工作，协助完成系统的定级报告，并协助完成到公安机关的备案工作。 按照国家等级保护相关标准和要求，对门户网站、内网办公系统两个二级系统开展信息系统安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，完成等级保护测评报告。 针对测评中发现的信息安全管理漏洞和薄弱环节，并深入分析下一步省侨办信息系统建设和管理的实际安全需求，协助开展相关的安全整改工作，确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。 2、测评内容 等级测评主要分为单元测试和整体测试，其中单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评《信息系统安全等级保护基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况；整体测评应主要测评分析信息系统的整体安全性，内容上应包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。 安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。 物理安全测评：测评信息系统的物理安全保障情况。主要涉及对象为机房、网络综合布线等基础物理环境。 网络安全测评：测评信息系统的网络安全保障情况。主要涉及对象为网络互联及访问、网络安全防护体系和整体网络结构等三大类对象。 主机安全测评：测评信息系统的主机安全保障情况。本次重点测评小型机及重要PC服务器的设备安全性和其上运行的操作系统、数据库管理系统的安全性。 应用安全测评：测评信息系统的应用安全保障情况。主要涉及对象为核心应用系统。本次重点测评门户网站及内网办公系统的代码安全，必须能够针对系统进行代码级的（黑盒）测试、性能测试、白盒测试。 数据安全测评：测评信息系统的数据安全保障情况。主要涉及对象为在用信息系统的管理数据及业务数据等。 安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。 安全管理制度测评：测评信息系统运营使用单位是否建立一套完整的信息安全管理体系，防止员工的不安全行为引入风险。测评内容包括信息安全总体政策方针、具体管理制度和各类操作规程。 安全管理机构测评：测评信息系统运营使用单位是否建立起健全、务实、有效、统一指挥、统一步调的安全管理机构，明确安全职责。测评内容包括单位岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等。 人员安全管理测评：测评信息系统运行使用单位是否对工作人员建立正确和完善的管理体系，主要测评内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等。 系统建设管理测评：对信息系统的分析论证、方案设计、采购实施三个阶段的安全管理活动进行测评，主要测评包括可行性分析论证、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级、系统备案、等级测评和安全服务商选择等。 系统运维管理测评：对信息系统建设完成并投入运行后的管理活动进行测评，涉及环境管理、人员管理、资源管理、事件和流程管理及知识管理等方面，主要内容包括环境管理、资产管理、介质管理、设备管理、安全事件管理、知识管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、用户及权限管理、变更和流程管理、备份与恢复管理、应急处置管理等。 测评依据 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；? 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字[2007]43号）。 《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术信息系统安全等级保护实施指南》 《信息安全技术信息系统安全等级保护测评要求》 《信息安全技术信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》（GB 17859-1999）