等级保护评估服务建议书v1.0.docVIP

xxxx网络平安等级保护

评估效劳技术建议书

2010-09-10

目录

TOC\o1-4\h\z\u第一部份综述 4

第二部份总体方案建议 5

1. 工程目标 5

2. 等级保护评估范围 5

3. 等级保护评估原那么 9

4. 等级保护评估理论及标准 10

标准与标准 10

等级保护评估标准 10

标准表达 12

等级保护模型 12

等级保护 12

等级划分 13

等级保护能力 14

平安要求评估与检查 16

券商网平安等级 17

券商网平安等级计算方法 19

对数法 19

矩阵法 19

评估理论模型 20

平安风险过程模型 20

平安风险关系模型 20

平安风险计算模型 21

平安风险分析策略 24

风险计算原理 24

风险结果判定 25

券商网平安防护体系 26

5. 等级保护评估方案 27

第一次检查和评估 28

等级保护评估目标 28

等级保护评估方法 28

等级保护评估步骤 28

等级保护评估内容 29

第二次检查和评估 33

等级保护评估目标 33

5 等级保护评估方法 33

等级保护评估内容 34

远程评估 37

本地风险评估 43

评估过程风险控制 48

第一部份综述

随着近年来我国网络建设和信息化建设的加快，企业、政府机关等组织的业务和信息化的结合越来越紧密，在给组织带来巨大经济和社会效益的同时，也给组织的信息平安和管理带来了严峻的挑战。一方面，信息平安由于其专业性，目前组织信息平安管理人员在数量和技能的缺乏等给全网的平安管理带来了很大的难度；另一方面现在的网络攻击技术新、变化快，往往会在短时间内造成巨大的破坏，同时由于互联网的传播使黑客技术具有更大的普及性和破坏性，会给组织造成很大的威胁，必需加强信息平安集中监管的能力和水平，从而减少组织的运营风险。

通过对xxxx的重要信息系统等级保护平安技术检查和风险评估，可以了解目前xxxx等级保护的定级是否准确、是否按照国家要求进行定级，同时能够识别网络中存在的各种平安风险，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中存在的各种平安风险进行相应的网络平安技术和网络平安产品的选用和部署，对全网的平安进行统一的规划和建设，并根据等级保护检查和风险评估的结果指导xxxx下一步等级保护工作的开展,确实有效保障网络平安稳定运行。

正是在这样的背景下，yyyy结合自身多年在平安行业和等级保护的积累，为xxxx的网络平安等级保护提出了具有国内领先水平的等级保护评估方案。

本方案主要包括以下组成局部：

一．综述

二．总体方案建议

第二部份总体方案建议

工程目标

本次对xxxx重要信息系统等级保护平安技术检查和风险评估的目标是：

对重要信息系统的平安等级进行检查和评估，判断其定级是否准确，定级是否符合国家有关部门的要求。

通过等级保护平安技术检查和评估，对等级保护定级不准确或者不符合要求的信息系统给出建议。

等级保护评估范围

本次评估，yyyy充分理解公安部的《信息系统平安等级保护实施指南》、《信息系统平安等级保护定级指南》等标准设计等级保护平安评估方案，对xxxx公司的重要信息系统的等级和平安现状进行评估。

本工程所评估的网络系统包含：……等等。具体评估系统如下：

3级以下信息系统如下：〔共……个信息系统〕

等级保护评估原那么

yyyy等级保护评估效劳将遵循以下原那么：

保密原那么：yyyy将与xxxx签订保密协议，同时公司与每个参与本工程的员工签订信息保密协议，保证工程过程中和工程结束后不会向第三方泄漏机密信息，保证公司和个人不会利用评估结果对xxxx造成侵害。在工程过程中获知的任何用户的信息，经过双方确认，并对相关文档属用户秘密信息，严格遵守保密协议中规定的要求，确保在实施，维护，合同有效期内的信息平安。

标准性原那么：yyyy对xxxx等级保护评估方案的设计与实施应依据相关的等级保护平安标准以及国家有关部门制定信息平安和风险管理领域的国家标准进行，确保等级保护风险评估过程的标准、合理，并为等级保护评估成果提供了质量保证。

标准性原那么：yyyy在等级保护评估工程中提供标准的工作过程和文档，具有很好的标准性，可用于工程的跟踪和控制。评估工程的实施由专业的工程管理人员和平安效劳人员依照标准的操作流程进行，在评估之前制定方案和必要的工作申请，并提前告知对系统可能的影响，并提出风险躲避措施并做出必要的应急准备，在操作过程中对