2024等保测评服务方案.doc

—PAGE1—

等保测评

等保测评技术方案

—PAGE20—

等级保护测评

定级与备案

调研

信息系统名称

数据使用者或管理者及其访问权限

业务处理信息类别

数据安全性要求

保密性S

数据泄露将造成的影响

完整性S

数据篡改或丢失将造成的影响

可用性A

系统中断将造成的影响

XX系统

系统开发人员、系统运维人员、系统使用人员

管理数据、业务数据、鉴别信息等

高中低

数据泄露是否会引起法律纠纷和导致财产损失

高中低

数据篡改或丢失是否会引起法律纠纷和导致财产损失

高中低

描述系统中断对工作职能和业务能力的影响

通过调研初步确定各信息系统的名称和级别。

定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。

1）协助定级

对系统情况进行分析，通过分析系统所属类型、所属信息类别、服务范围，了解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、确定客体受侵害的程度，最终确定系统的系统服务保护等级和业务信息保护等级，协助用户编制定级报告。

2）协助备案

协助用户填写《信息系统安全等级保护备案表》，协助用户到各地公安机关进行系统备案，获得系统备案证。

等保测评

概述

项目简介

根据公安部出台的有关等级保护的政策，对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工作的开展也是各行各业信息化建设的内在需求。

随着信息化的不断发展，信息系统的应用为信息化的开展提供了重要的支撑平台，关键流程、重要数据的处理都依赖于信息系统，因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高度重视，安全建设也逐渐成为公司信息化建设的内在需求。

整个测评项目的实施主要分为现场测评和复测评，其中现场测评分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个阶段：一、安全整改活动阶段，二复测评活动阶段，三，分析和报告编制活动阶段。

其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在，为将来的安全整改和安全建设提供有力依据。

测评依据

本项目的测评按照以下标准或规范进行：

关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）；

关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）；

关于开展全省重要信息系统安全等级保护定级工作的通知（湘公通[2007]94号）；

关于进一步推进全省信息安全等级保护工作的函（湘公函[2011]21号）；

关于对全省重要信息系统开展信息安全等级保护专项检查工作的函（湘公函[2011]74号）；

《信息系统安全等级保护定级指南》（GB/T22240—2008）；

《信息系统安全等级保护测评过程指南》（国标报批稿）；

《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。

主要测评依据：

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）；

《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）。

测评过程

被测系统描述

定级情况

本次安全等级测评所涉及的信息系统定级情况列表如下：

序号

系统名称

业务描述

安全保护等级

1

XX系统

一般性描述如为某某部门或某人群提供某种信息服务。

SXAXGX

2

XX系统

一般性描述如为某某部门或某人群提供某种信息服务。

SXAXGX

3

XX系统

一般性描述如为某某部门或某人群提供某种信息服务。

SXAXGX

网络