系统入网安评服务方案.docVIP

PAGE \* Arabic 1 /57 X单位X系统 X单位X系统 入网安全评服务方案 X单位X系统信息安全评估方案 PAGE \* Arabic 1 / 57 目录 TOC \o 1-3 \h \z \u 1. 概述 3 1.1. 项目简介 3 1.2. 项目目标 4 1.3. 项目范围 4 2. 入网安全评估 5 2.1. 评估依据标准 5 2.2. 评估对象 6 2.3. 评估工具 8 2.4. 评估方法和流程 9 2.4.1. 评估方法 9 2.4.2. 评估流程 10 2.5. 评估内容 11 2.5.1. 技术评估 11 2.5.2. 管理评估 52 2.6. 评估安排 53 2.6.1. 评估人员组成 53 2.6.2. 评估过程安排 54 2.6.3. 评估进度安排 56 2.6.4. 配合事项 56 2.6.5. 项目风险规避措施 57 3. 项目预算 59 概述 项目简介 近几年国家公安部和网信办对信息化产品的安全规范越来越严格，产品具备入网安全测评报告不但能满足安全规范，同时也能大大提高客户的信任度和产品的竞争力，有利于产品的推广和销售。大型的信息系统，在接入网络之前，都需要进行第三方提供入网安服务，出具入网安全评估报告，作为信息系统正式上线前的测评，为系统是否可以正式开始进行运作提供参考依据。另外，当大型系统进行了功能升级或者系统变更时，也需要出具入网安全评估报告。物流仓储系统、电力系统、金融系统、行政系统等等大型信息系统，都需要合适进行入网安评。信息系统验收时一般需要出具入网安全评估报告，进行入网安全测评后才可以更放心的使用开发的信息系统，特别是一些涉及公司或单位的敏感数据的系统，更是需要入网安全测评。否则，一旦出现安全事故，对单位产生非常严重的影响。而对于技术提供商来说，如果没有开展入网安全评估，信息系统安全问题带来的问题，很难分清楚责任归属，而且很有可能会需要承担一定的赔偿责任。 入网安评是网络安全风险评估的一种，简单来说就是在信息系统在接入网络网之前进行网络安全风险评估，提前确定系统的网络安全漏洞情况，是否存在高中威胁，是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。通过入网前的安全评估并出具入网安全评估报告，以确保应用系统部署到X单位网络环境中不存在中、高危风险漏洞保证其系统的运行不对现有网络造成安全威胁。 项目目标 X单位X系统入网安全评估的目的，是从安全开发过程、应用系统安全、操作系统安全、数据库安全、中间件安全、数据安全、网络环境安全等方面全面评估X系统的网络安全现状，分析系统安全状况，确定系统的网络安全漏洞情况，是否存在高中威胁，是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。通过入网安全评估，确保X系统部没有中、高危风险漏洞，系统的运行不对X单位现有网络造成安全威胁。通过入网安全评估，促进X单位安全建设，保证信息安全技术体系的强壮性和有效性；加强信息安全建设、提升人员安全意识，为信息系统安全奠定良好基础。 项目范围 本次项目，主要进行X单位X系统的入网安全评估。 入网安全评估 评估依据标准 《中华人民共和国网络安全法》(2017年6月1日) 国务院第147号令《中华人民共和国计算机信息系统安全保护条例》 《国家信息化领导小组关于加强信息安全保障工作的意见》 《关键信息基础设施安全保护条例》征求意见稿 《电力行业信息安全等级保护管理办法》国能安全[2014]318号 《电力信息系统安全检查规范》（GB/T 36047-2018） 公安部《信息安全等级保护管理办法》公通字[2007]43号 公安部《网络安全等级保护条例》征求意见稿 计算机信息系统安全保护等级划分准则（GB 17859-1999） 网络安全等级保护实施指南（GB/T25058） 网络安全等级保护定级指南（GB/T22240） 网络安全等级保护基本要求（GB/T22239-2019） 网络安全等级保护设计技术要求（GB/T25070-2019） 网络安全等级保护测评要求（GB/T28448-2019） 网络安全等级保护测评过程指南（GB/T28449-2018） 评估对象 评估对象的种类和数量都较多，重点抽查重要的设备、设施、人员和文档等。评估对象种类主要考虑以下几个方面： 安全开发过程 安全开发过程，主要评估安全方案设计、产品采购、软件开发控制。 应用系统安全 应用系统安全，主要评估身份鉴别、访问控制、安全审计、配置管理、通信完整性、通信保密性、软件容错、资源控制。 操作系统安全 操作系统安全，主要评估身份标识、身份鉴别、安全审计、入侵防范