返回
a1包、信息安全等级保护测评及风险评估

a1包、信息安全等级保护测评及风险评估

ID:31594843

大小:39.50 KB

页数:6页

时间:2019-01-15

a1包、信息安全等级保护测评及风险评估_第1页
a1包、信息安全等级保护测评及风险评估_第2页
a1包、信息安全等级保护测评及风险评估_第3页
a1包、信息安全等级保护测评及风险评估_第4页
a1包、信息安全等级保护测评及风险评估_第5页
资源描述:

《a1包、信息安全等级保护测评及风险评估》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、A1包、信息安全等级保护测评及风险评估一、供应商资格要求1、符合《中华人民共和国政府采购法》第二十二条的规定。2、供应商的资质要求:具备省级及以上(含直辖市)信息安全等级保护工作协调小组办公室颁发的信息安全等级保护测评机构推荐证书或备案证明文件。二、技术要求一、信息安全等级保护测评1、总体要求按照公安部信息安全等级保护工作要求,开展信息系统安全等级保护测评工作。(1)按照信息安全等级保护定级标准和工作要求,开展信息系统安全等级保护系统梳理和定级工作,协助完成系统的定级报告,并协助完成到公安机关的备案工作。(2)按照国家等级保护

2、相关标准和要求,对门户网站、内网办公系统两个二级系统开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告。(3)针对测评中发现的信息安全管理漏洞和薄弱环节,并深入分析下一步省侨办信息系统建设和管理的实际安全需求,协助开展相关的安全整改工作,确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。2、测评内容等级测评主要分为单元测试和整体测试,其中单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、

3、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(GB/T22239-2008)所要求的基本安全控制在信息系统中的实施配置情况;整体测评应主要测评分析信息系统的整体安全性,内容上应包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。物理安全测评:测评信息系统的物理安全保障情况。主要涉及对象为机房、网络综合布线等基础物理环境。网络安全测评:测评信息系统的网络安全保障情

4、况。主要涉及对象为网络互联及访问、网络安全防护体系和整体网络结构等三大类对象。主机安全测评:测评信息系统的主机安全保障情况。本次重点测评小型机及重要PC服务器的设备安全性和其上运行的操作系统、数据库管理系统的安全性。应用安全测评:测评信息系统的应用安全保障情况。主要涉及对象为核心应用系统。本次重点测评门户网站及内网办公系统的代码安全,必须能够针对系统进行代码级的(黑盒)测试、性能测试、白盒测试。数据安全测评:测评信息系统的数据安全保障情况。主要涉及对象为在用信息系统的管理数据及业务数据等。安全管理测评主要包括安全管理制度、安全

5、管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。安全管理制度测评:测评信息系统运营使用单位是否建立一套完整的信息安全管理体系,防止员工的不安全行为引入风险。测评内容包括信息安全总体政策方针、具体管理制度和各类操作规程。安全管理机构测评:测评信息系统运营使用单位是否建立起健全、务实、有效、统一指挥、统一步调的安全管理机构,明确安全职责。测评内容包括单位岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等。人员安全管理测评:测评信息系统运行使用单位是否对工作人员建立正确和完善的管理体系,主要测评内容包括人员录用

6、、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等。系统建设管理测评:对信息系统的分析论证、方案设计、采购实施三个阶段的安全管理活动进行测评,主要测评包括可行性分析论证、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级、系统备案、等级测评和安全服务商选择等。系统运维管理测评:对信息系统建设完成并投入运行后的管理活动进行测评,涉及环境管理、人员管理、资源管理、事件和流程管理及知识管理等方面,主要内容包括环境管理、资产管理、介质管理、设备管理、安全事件管理、知识管理、网络安全管理

7、、系统安全管理、恶意代码防范管理、密码管理、用户及权限管理、变更和流程管理、备份与恢复管理、应急处置管理等。3、测评依据公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);l公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[2007]43号)。《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)

8、《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全技术信息系统安全等级保护测评过程指南》《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。