欢迎来到天天文库
浏览记录
ID:18971252
大小:569.00 KB
页数:39页
时间:2018-09-25
《网络安全等级保护评估服务技术建议书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、网络安全等级保护评估服务技术建议书网络安全等级保护评估服务技术建议书网络安全等级保护评估服务技术建议书目录第一部份综述4第二部份总体方案建议51.项目目标52.等级保护评估范围53.等级保护评估原则94.等级保护评估理论及标准104.1标准与规范104.1.1等级保护评估标准104.1.2标准体现124.2等级保护模型124.2.1等级保护124.2.2等级划分134.2.3等级保护能力144.2.4安全要求评估与检查164.2.5券商网安全等级174.3券商网安全等级计算方法194.3.1对数法194.3.2矩阵法194.4评估理论模型204.4.1安全风险过程模型20
2、4.4.2安全风险关系模型204.4.3安全风险计算模型214.5安全风险分析策略244.5.1风险计算原理244.5.2风险结果判定254.6券商网安全防护体系265.等级保护评估方案275.1第一次检查和评估285.1.1等级保护评估目标285.1.2等级保护评估方法285.1.3等级保护评估步骤285.1.4等级保护评估内容295.2第二次检查和评估335.2.1等级保护评估目标335.2.2等级保护评估方法335.2.3等级保护评估内容345.2.4远程评估375.2.5本地风险评估435.3评估过程风险控制48网络安全等级保护评估服务技术建议书第一部份综述随着近
3、年来我国网络建设和信息化建设的加快,企业、政府机关等组织的业务和信息化的结合越来越紧密,在给组织带来巨大经济和社会效益的同时,也给组织的信息安全和管理带来了严峻的挑战。一方面,信息安全由于其专业性,目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度;另一方面现在的网络攻击技术新、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给组织造成很大的威胁,必需加强信息安全集中监管的能力和水平,从而减少组织的运营风险。通过对**的重要信息系统等级保护安全技术检查和风险评估,可以了解目前**等级保护的定级是否
4、准确、是否按照国家要求进行定级,同时能够识别网络中存在的各种安全风险,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护检查和风险评估的结果指导**下一步等级保护工作的开展,确实有效保障网络安全稳定运行。正是在这样的背景下,yyyy结合自身多年在安全行业和等级保护的积累,为**的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。本方案主要包括以下组成部分:一.综述二.总体方案建议网络安全等级保护评估服务技术建议书第二部份总体方案建
5、议1.项目目标本次对**重要信息系统等级保护安全技术检查和风险评估的目标是:l对重要信息系统的安全等级进行检查和评估,判断其定级是否准确,定级是否符合国家有关部门的要求。l通过等级保护安全技术检查和评估,对等级保护定级不准确或者不符合要求的信息系统给出建议。2.等级保护评估范围本次评估,yyyy充分理解公安部的《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等标准设计等级保护安全评估方案,对**公司的重要信息系统的等级和安全现状进行评估。本项目所评估的网络系统包含:……等等。具体评估系统如下:3级以下信息系统如下:(共……个信息系统)3.等级保护评估原则
6、yyyy等级保护评估服务将遵循以下原则:l保密原则:yyyy将与**签订保密协议,同时公司与每个参与本项目的员工签订信息保密协议,保证项目过程中和项目结束后不会向第三方泄漏机密信息,保证公司和个人不会利用评估结果对**造成侵害。在项目过程中获知的任何用户的信息,经过双方确认,并对相关文档属用户秘密信息,严格遵守保密协议中规定的要求,确保在实施,维护,合同有效期内的信息安全。网络安全等级保护评估服务技术建议书l标准性原则:yyyy对**等级保护评估方案的设计与实施应依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行,确保等级保护风险评估过程的
7、规范、合理,并为等级保护评估成果提供了质量保证。l规范性原则:yyyy在等级保护评估项目中提供规范的工作过程和文档,具有很好的规范性,可用于项目的跟踪和控制。评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行,在评估之前制定计划和必要的工作申请,并提前告知对系统可能的影响,并提出风险规避措施并做出必要的应急准备,在操作过程中对操作的过程和结果要提供规范的记录,并形成完整的评估过程报告。l可控性原则:yyyy的等级保护评估的方法、过程以及评估工具在项目开始之前经过**严格测试并认可,评估服务的实际进度与进度表
此文档下载收益归作者所有