局等保评估服务专项方案.docx

某市某单位 信息安全等级保护评定服务计划方案 （V1.0）  目录 TOC \o 1-3 \h \z \u 第1章. 项目概述 2 1.1. 项目背景 2 1.2. 项目依据 2 1.3. 项目建设内容 3 第2章. 系统安全需求分析 4 2.1. 现在情况 4 2.2. 情况分析 5 第3章. 等保评定 6 3.1. 测评基础内容 6 3.2. 评定对象现实状况 7 3.2.1. 系统定级 7 3.2.2. 系统列表 7 3.3. 等级保护评定实施计划 7 3.3.1. 评定方法 7 3.3.2. 评定工具 8 3.3.3. 评定步骤 9 3.4. 等级保护评定内容计划 10 3.4.1. 安全控制评定 10 3.4.2. 安全管理评定 44 3.4.3. 系统整体评定 80 3.4.4. 综合评定分析 80 3.5. 等级保护评定安排 80 3.5.1. 现场评定准备 80 3.5.2. 现场检验测试 83 3.5.3. 需要配合事项 84 第4章. 安全管理体系建设 85 4.1. 总体安全体系建设 85 4.2. 安全管理层面 85 4.2.1. 安全管理制度 86 4.2.2. 安全管理机构 86 4.2.3. 人员安全管理 87 4.2.4. 系统建设管理 87 4.2.5. 系统运维管理 88 第5章. 项目计划建设 89 5.1. 总体工作计划 89 5.2. 系统差距评定 89 第6章. 安全建设清单及预算 93  项目概述 项目背景 20XX年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[20XX]45号)中又再次指出，“经过深化信息安全等级保护，全方面推进关键信息系统安全整改和测评工作，增强信息系统安全保护整体性、针对性和实效性，使信息系统安全建设愈加突出关键、统一规范、科学合理，提升信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。 根据《中国计算机信息系统安全保护条例》 （国务院令第147号）、《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[20XX]27号）、《 信息安全等级保护管理措施》（公通字[20XX]43号）等文件要求，某市某单位主动响应等级保护要求，将开展等保定级、等保评定、等级保护整改、差距测评等评定工作，切实将信息公布系统建成“信息公开、在线办事、公众参与”三位一体业务体系，为企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。 现在，需要对现有6个系统展开等级保护工作， 7个系统分别是：某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。即使系统各异，不过全部在同一个物理地址，故此统一对6个系统进行等级保护安全建设，使之愈加安全、稳定。 某信息化企业信息安全技术（简称某信息化企业企业）经过多年来在信息安全咨询、服务、建设中积累和发展，逐步形成一套完善信息安全工程体系，以专业理论和技术为支撑；以多个专业测试工具为手段；以国际和国家信息安全标准为实施规范。某信息化企业信息安全技术股份为用户提供全方面，专业安全支持。 项目依据 《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[20XX]27号） 20XX年9月四部委局联合签发《相关信息安全等级保护工作实施意见》 《信息安全等级保护管理措施》（公通字[20XX]43号） 《相关加强国家电子政务工程建设项目信息安全风险评定工作通知》（发改高技[20XX]2071号） GB/T 22239-20XX 信息安全技术 信息系统安全等级保护基础要求 GB/T 22240-20XX 信息安全技术 信息系统安全等级保护定级指南 GB/T 25058-20XX 信息安全技术 信息系统安全等级保护实施指南 GB/T 19716-20XX 信息技术 信息安全管理实用规则 GB/T 20270-20XX信息安全技术 网络基础安全技术要求 GB/T 20271-20XX信息安全技术 信息系统安全通用技术要求 GB/T 20272-20XX信息安全技术 操作系统安全技术要求 GB/T 20273-20XX 信息安全技术 数据库管理系统安全技术要求 GB/T 21052-20XX 信息安全技术 信息系统物理安全技术要求 GB/T 21052-20XX 等级保护系列安全产品技术要求