等级测评专项方案.docVIP

项目编号：xxxxxxxxxxxxx 等级测评方案 系统名称： XXXXXXXXXXX 被测单位：XXXXXXXXXXXX 测评单位：xxxxxxxxxxxxxxxxx 目录 TOC \o 1-3 \h \z \u 1 概述 3 1.1 项目介绍 3 1.2 测评依据 3 2 被测系统描述 4 2.1 定级情况 4 2.2 网络结构 4 2.3 系统够成 5 2.3.1 业务应用软件 5 2.3.2 关键数据类别 5 2.3.3 主机/存放设备 5 2.3.4 网络互联设备 6 2.3.5 安全设备 6 2.3.6 终端设备 6 2.3.7 安全相关人员 6 2.3.8安全管理文档 7 2.4 安全服务 7 3 测评对象和指标 7 3.1 测评指标 7 3.2 测评对象 8 3.2.1 机房 9 3.2.2 网络互联设备操作系统 9 3.2.3 主机（存放）操作系统 9 3.2.4 业务应用软件 9 3.2.5 数据库管理系统 10 3.2.6 安全设备操作系统 10 4 测评方法和工具 10 4.1 测评方法 10 4.1.1. 工具测试 10 4.1.2. 配置检验 11 4.1.3. 人员访谈 11 4.1.4. 文档审查 11 4.1.5. 实地查看 12 4.2 关键测评工具 12 5 测评内容和实施 13 5.1 物理安全测评 14 5.1.1 测评实施 15 5.1.2 配合需求 15 5.2 网络安全测评 16 5.2.1 测评指标 16 5.2.2 测评实施 17 5.2.3 配合需求 17 5.3 主机安全测评 18 5.3.1 测评指标 18 5.3.2 测评实施 18 5.3.3 配合需求 19 5.4 应用安全测评 19 5.4.1 测评指标 19 5.4.2 测评实施 20 5.4.3 配合需求 20 5.5 数据安全及备份恢复测评 21 5.5.1 测评指标 21 5.5.2 测评实施 21 5.5.3 配合需求 21 5.6 安全管理制度测评 22 5.6.1 测评指标 22 5.6.2 测评实施 22 5.6.3 配合需求 23 5.7 安全管理机构测评 23 5.7.1 测评指标 23 5.7.2 测评实施 24 5.7.3 配合需求 24 5.8 人员安全管理测评 25 5.8.1 测评指标 25 5.8.2 测评实施 25 5.8.3 配合需求 26 5.9 系统建设管理测评 26 5.9.1 测评指标 26 5.9.2 测评实施 27 5.9.3 配合需求 28 5.10 系统运维管理测评 29 5.10.1 测评指标 29 5.10.2 测评实施 30 5.10.3 配合需求 31 5.11 工具测试 33 5.12 整体测评 34 概述 项目介绍 为正确掌握信息系统安全保护能力现实状况，有效提升信息系统安全建设整体水平，XX单位委托XXXXX对其OA办公系统和Winmail 邮件系统实施信息安全等级测评，期望经过测评工作发觉系统现有安全防护方法微弱步骤，为下一步信息系统安全建设整改提供可靠依据，以有效提升信息系统安全运行能力。 OA办公系统和Winmail 邮件系统由XXXX负责运行维护。OA办公系统关键实现企业各部门日常业务工作规范化、电子化、标准化，增强档案部门文书档案、人事档案、科技档案、 财务档案等档案可管理性，实现办公步骤网上处理，和信息在线查询、借阅，最终实现无纸办公。Winmail 邮件系统关键实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历和记事本、邮件签核、邮件杀毒等服务。 项目完成后将出具等级测评汇报，XX单位可依据等级测评汇报，并结合单位实际情况，区分轻重缓急，经过安全整改不停提升信息系统整体安全保护水平。 测评依据 《信息安全技术 信息系统安全保护等级定级指南》（GB/T 22240-） 《信息安全技术 信息系统安全等级保护基础要求》（GB/T 22239-） 《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-） 《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449-） 《信息安全技术 信息系统安全等级保护实施