XX安全月艮務公司

2022-2022年XXX項目

等級懶3差距測評實施方案

xxxxxxxxxfga特

201X年x月

目錄

目錄。

1.項目概述2

1.1.項目背景2

12項目目標2

1.3.項目原則3

L4.項目依據(jù)4

2.測評實施容5

2.1.測評分析5

2.1.1.測評圍5

2.12測評對象5

2.1.3.測評容6

-可修編-

2.1.4.測J評對象8

2.1.5.測評J旨標9

22測評流程11

221.測評準備階段11

2.22方案編制階段12

223.現(xiàn)場測評階段12

224.分析與報告編制階段14

2.3.測評方法15

2.3.1.工具測試15

2.32配置檢查16

233.人員訪談16

2.3.4.文檔審查17

2.3.5.實地查看17

2.4.測評工具18

2.5.輸出文檔19

251.等級保護測評差距報告錯誤!未定義書簽.

2.52等級測評報告錯誤!未定義書簽。

2.5.3.安全整改建議錯誤!未定義書簽。

3.時間安排19

4.人員安排19

4.L組織結構及分工20

42人員配置表21

43.工作配合22

5.其他相關事項23

5.1.風險規(guī)避23

52項目信息管理25

521.責彳下去律保證26

5.22現(xiàn)場安全管理26

-可修編?

523.文檔安全管理26

524.離場安全管理27

525.其他情況說明27

1.項目概述

1.1.項目背景

為了貫徹落實《匡家信息化領導小組關于加強信息安全保障工作的意

見》、《關于信息安全等級保護工作的實施意見》和《信息安全等級保護管理

辦法》的精神，2022年XXXXXXXXXXXXXXXXXXX需要按照國家《信息安全技術信

息系統(tǒng)安全等級保護定級指南》、《計算機信息系統(tǒng)安全保護等級劃分準

則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護測評準

則》的要求，對XXXXXXXXXXXXXXXXXXX現(xiàn)有六個信息系統(tǒng)進行全面的信息安全

測評與評估工作并且為XXXXXXXXXXXXXXXXXXX提供駐點咨詢、實施等月四

（安全技術測評包括：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安

全五個層面上的安全控制測評；安全管理測評包括：安全管理機構、安全管理

制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測

評），加大測評與風險評估力度，對信息系統(tǒng)的資產(chǎn)、威脅、弱點和風險等要

素進行全面評估，有效提升信心系統(tǒng)的安全防護能力，建立常態(tài)化的等級保護

工作機制，深化信息安全等級保護工作，提高XXXXXXXXXXXXXXXXXXX網(wǎng)絡與信

息系統(tǒng)的安全保障與運維能力。

1.2.項目目標

全面完成XXXXXXXXXXXXXXXXXXX現(xiàn)有六個信息系統(tǒng)的信息安全贓平與評估

工作和協(xié)助整改工作，并且為XXXXXXXXXXXXXXXXXXX提供駐點咨詢、實施等服

務，按照國家和XXXXXXXXXXXXXXXXXXX的有關要求，對

XXXXXXXXXXXXXXXXXXX的網(wǎng)絡架構進行業(yè)務影響分析及網(wǎng)絡安全管理工作進行

-可修編-

才瓶里，提高XXXXXXXXXXXXXXXXXXX/網(wǎng)絡的總保障與逅麓旨力，；J^=>

安全風險和降低信息安全事件發(fā)生的概率，全面提高網(wǎng)絡層面的安全性，構建

XXXXXXXXXXXXXXXXXXX信息系統(tǒng)的整體信息安全架構，確保全局信息系統(tǒng)高效

穩(wěn)定運行，并滿足XXXXXXXXXXXXXXXXXXX提出的基本要求,及時提1共咨詢等服

務。

1.3.項目順

項目的方案設計與實施應滿足以下原則：

今符合性原則：應符合國家信息安全等級保護制度及相關法律法規(guī)，指出

防的方銅口保護的原則。

今標準性原則：方案設計、實施與信息安全體系的構建應依據(jù)國、國際的

相關標準進行。

今規(guī)性原則：項目實施應由專業(yè)的等級測評師依照規(guī)的操作流程進行，在

實施之前將詳細量化出每項測評容,對操作過程和結果提供規(guī)的記錄，以便于

項目的跟蹤和控制。

今可控性原則：項目實施的方法和過程要在雙方認可的圍之,實施進度要

按照進度表進度的安排，保證項目實施的可控性。

今整體性原則：安全體系設計的圍和容應當整體全面，包括安全涉及的各

個層面，避免由于遺漏造成未來的安全隱患。

今最小影響原則：項目實施工作應盡可能小的影響網(wǎng)絡和信息系統(tǒng)的正常

運行，不能對信息系統(tǒng)的運行和業(yè)務的正常提供產(chǎn)生顯著影響。

今原則：對項目實施過程獲得的數(shù)據(jù)和結果嚴格，未經(jīng)授權不得泄露給任

何單位和個人，不得利用此數(shù)據(jù)和結果進行任何侵害測評委托單位利益的行

為。

-可修編-

1.4.項目頻

信息系統(tǒng)等級測評依據(jù)《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)

安全等級保護測評要求》，在對信息系統(tǒng)進行安全技術和安全管理的安全控制

測評及系統(tǒng)整體測評結果基礎上，針對相應等級的信息系統(tǒng)遵循的標準進行綜

合系統(tǒng)測評，提出相應的系統(tǒng)安全整改建議。

主標倒口下：

今《計算機信息系統(tǒng)安全保護等級劃分準則》-GB17859-1999

今《信息安全技術信息系統(tǒng)安全等級保護實施指南》

今《信息安全技術信息系統(tǒng)安全等級保護測評要求》

今《信息安全等級保護管理力法》

今《信息安全技術信息系統(tǒng)安全等級保護定級指南》(GB/T22240-

2022)

今《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/T22239-

2022)

今《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)

今《信息安全技術信息系統(tǒng)通用安全技術要求》(GB/T20271-2022)

今《信息安全技術網(wǎng)絡基礎安全技術要求》(GB/T20270-2022)

今《信息安全技術操作系統(tǒng)安全技術要求》(GB/T20272-2022)

今《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》(GB/T20273-2022)

今《信息安全技術服務器技術要求》(GB/T21028-2022)

今《信息安全技術終端計算機系統(tǒng)安全等級技術要求》(GA/T671-

2022)

-可修編-

《信息安全風險評估規(guī)》(GB/T20984-2022)

2.測評實施容

2.1.■分析

2.1.1.財圍

本?目圍為對XXXXXXXXXXXXXXXXXXX已定級信息系統(tǒng)的等級保護測評c

2.1.2.加艱

本次測評對象為XXXXXXXXXXXXXXXXXXX信息系統(tǒng)，具體如下:

系統(tǒng)名稱級

言息系統(tǒng)

1xxxxxxxx)u

XXXXXXXXX^言息系統(tǒng)

2m及

xxxxxxxx)u言息系統(tǒng)

3三及

XXXXXXXXX^言息系統(tǒng)

4

XXXXXXXXX信息系統(tǒng)

5

6XXXXXXXXX^言息系統(tǒng)二級

2.1.3.圖

本紀則I錨合XXXXXXXXXXXXXXXXXXX系的言息WS特點，進彳亍不同髭次

的加吭平工作，如下表所示：

-可修編?

層次測評為圍

物理安全等候三冢

網(wǎng)絡安全等俁三級

安全

主機安全等保三級要求等保二級要求

技術

應用安全等保二級要求

數(shù)據(jù)安全等保三級要求^22%要求

安全管理制度

安全管理機構

安全

人員安全筐理等保三級要求等保二級要求

■理

系統(tǒng)建設管理等保三級要求善保二級要求

系統(tǒng)運維管理爭保二級要求

2.1.4.謝容

本項目主要分為兩步開展實施。第一步，對XXXXXXXXXXXXXXXXXXX六個

信魄融行定級不暄案工作。第二步,對XXXXXXXXXXXXXXXXXXX已經(jīng)定級

備案的系統(tǒng)進行十個安全層面的等級保護安全測評（物理安全、網(wǎng)絡安全、主

機安全、應用安全、數(shù)據(jù)安全及備份恢復、安全管理制度、安全管理機構、人

員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理）。

其中安全測評分為差距測評和驗收測評。差距測評主要針對

XXXXXXXXXXXXXXXXXXXE^R備麻§9丸彳亍國家杭金則評，春SK平交

付差距測評報告以及差距測評整改方案；差距整改完畢后協(xié)助完成系統(tǒng)配置方

面的整改。最后進行驗收測評，驗收測評將按照國家標準和國家公安承認的測

評要求、測評過程、測評報告，協(xié)助對XXXXXXXXXXXXXXXXXXX已定級備案的系

統(tǒng)執(zhí)行系統(tǒng)安全驗收測評，驗收測評交付具有國家承認的驗收測評報告。

信息系統(tǒng)安全等級保護測評包括兩個方面的容：一是安全控制測評，主要

測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二

是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評

是信息系統(tǒng)整體安全測評的基礎。

-可修編-

安全控制測評使用測評單元方式組織，分為安全技術測評和安全管理測評

兩大類。安全技術測評包括：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全

和數(shù)據(jù)安全五個層面上的安全控制測評；安全管理測評包括：安全管理機構、

安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面的安全

控制測評。具體見下圖：

安全控禍測評

不同信息系統(tǒng)間整體安全性J

整體架構/局部架構)

系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結構，也關系到信息系統(tǒng)

的具體安全功能實現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實際情況密切相關。

在安全控制測評的基砧上，重點考慮安全控制間、層面間以及區(qū)域間的相互關

聯(lián)關系，分析評估安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、

補充和削弱作用以及信息系統(tǒng)整體結構安全性、不同信息系統(tǒng)之間整體安全

惶

-可修編?

系娩和

系統(tǒng)問

區(qū)域間

物理與主機系筑與應用與

層面間

網(wǎng)絡間運堆管理問I人員安全間

綜合測評總結將在安全控制測評和系統(tǒng)整體測評兩個方面的容基礎上進

行，由此而獲得信息系統(tǒng)對應安全等級保護級別的符合性結論。

2?15耐楠

依照信息安全等級保護的要求、參考業(yè)界權威的安全風險評估標準與模

型，同時結合本公司多年的安全風險評估經(jīng)驗與實踐，從信息系統(tǒng)的核心資產(chǎn)

出發(fā)，以威脅和弱點為導向,對照信息安全等級保護的具體要求，全方面對信

息系統(tǒng)進行全面評估。

測評對象種類主要考慮以下幾個方面：

1.雜網(wǎng)觸撲編勾;

2.機房環(huán)境、配套設施；

3.網(wǎng)絡設備：包括路由器、核心交換機、匯聚層交換機等；

4.安全設備：包括防火墻、IDS/IPS.防病毒網(wǎng)關等;

5.主機系統(tǒng)（包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）；

6.業(yè)務應用系統(tǒng);

-可修編-

7.重要管理終端（針對三級以上系統(tǒng)）；

8.安全管理員、網(wǎng)絡管理員、系統(tǒng)管理員、業(yè)務管理員；

9.涉及到系統(tǒng)安全的所有管理制度和記錄。

根據(jù)信息系統(tǒng)的測評強度要求，在執(zhí)行具體的核查方法時，在廣度上要做

到從測評圍中抽取充分的測評對象種類和數(shù)量；在執(zhí)行具體的檢測方法，在深

度上要做到對功能等各方面的測試。

2.1.6.

對于二級系統(tǒng)，如業(yè)務信息安全等級為S2,系統(tǒng)服務安全等級為A2,則該

系統(tǒng)的測評指標應包括GB/T22239-2022《信息系統(tǒng)安全保護等級基本要求》中

〃技術要求〃部份的2級通用指標類（G2）,2級業(yè)務信息安全指標類（S2）,

2級系統(tǒng)服務安全指標類（A2）,以及第2級〃管理要求〃部份中的所有指標

類，等級保護測評指^情況具體如下表所示：

測評指標（二級）

躺

S類（2級）A類（2級）G類（2級）小計

物理安全11810

網(wǎng)絡安全1056

安全技術主機安全2136

應用安全4217

數(shù)據(jù)安全2103

安全管理制度0033

安全管理機構0055

-可修編?

人員安全管理0055

系統(tǒng)建設管理0099

系統(tǒng)運維管理00121

n

------

)

對于三級系統(tǒng)，如業(yè)務信息安全等級為S3,系統(tǒng)服務安全等級為A3,則該

系統(tǒng)的測評指標應包括GB/T22239-2022《信息系統(tǒng)安全保護等級基本要求》中

〃技術要求”部份的3級通用指標類（G3）,3級業(yè)務信息安全指標類（S3）,

3級系統(tǒng)服務安全指標類（A3）,以及第3級〃管理要求"部份中的所有指標

類，等級保護測評I旨標情況具體如下表所示：

測評指標（三級）

S類(3A為3級）G類（3級）小

計

物理安全118

1

網(wǎng)絡安全1060

安全技術主安全3137

應用安全5227

2109

安全管理制度0033

安全管理安全管理機溝0053

人員安全管理0055

5

-可修編-

系統(tǒng)建設管理001111

系統(tǒng)運維管理001313

73（類）

2.2.新艇

等級保護測評實施過程包括以下四個階段:

物理安全網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全

方

方

方

方

人員訪談方人員訪談人員訪談人員訪談

人員訪談

式

式

式

式

文檔審查式配置檢

配置檢配置檢配置檢查

實地察看查工具查工具s工具

測試操作系統(tǒng)測試

物理基礎設對對對對管理數(shù)據(jù)對

互聯(lián)設備數(shù)據(jù)庫系

族象象象象業(yè)務數(shù)象

安全設備統(tǒng)

安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理

人員訪談方

方人員訪談方人員訪談方人員訪談人員訪談方

文檔審查式

式文檔審查式文檔審查式文檔審查文檔審查式

實地察看_

分析與報/

告編制階I

I四國三五位反段\

2.2.1.

測評項目組組建：明確項目經(jīng)理、測評人員及職責分工。

-可修編-

今項目計劃書編制：項目計劃書包含項目概述、工作依據(jù)、技術思路、

工作容和項目組織等。

今信息系統(tǒng)調研：通過查閱被測系統(tǒng)已有資料或者使用調查表格的方式,

了解整個系統(tǒng)的構成和保護情況，明確被測系統(tǒng)的圍（特殊是信息系

統(tǒng)的邊界）,了解被測系統(tǒng)的詳細構成，包括網(wǎng)絡拓撲、業(yè)務應用、

業(yè)務流程、設備信息（服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、數(shù)據(jù)

庫等）、管理制度等。

今工具和表單準備：根據(jù)被測系統(tǒng)的實際情況，準備測評工具和各類測

評表單。

222.方㈱制階段

今測評對象確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)

及其涉及的業(yè)務應用系統(tǒng)，確定出本次測評的測評對象。

今測評J旨標確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結果，確定出本次測

評的測1前衣

今測評工具接入點確定：確定需要進行工具測試的測評對象，選擇測試

路徑,根據(jù)測試路徑確定測試工具的接入點。

今測評容確定：確定現(xiàn)場測評的具體實施容，即單元測評容。

今測評實施手冊開辟：編制測評實施手冊,詳細描述現(xiàn)場測評的工具、

方法和操作步驟等，具體指導測評人員如何進行測評活動。

2.2.3.嫩siowr段

現(xiàn)場測評實際上就是單項測評，分別從技術上的物理安全、網(wǎng)絡安全、主

機系統(tǒng)安全、應用安全和數(shù)據(jù)安全五個層面和管理上的安全管理機構、安全管

理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面分別進行。

今物理安全：通過人員訪談、文檔審查和實地察看的方式測評信息系充

-可修編-

的物理安全保障情況。主要涉及對象為物理基礎設施。在容上，物理

安全層面測評實施過程涉及10個測評單元，包括：物理位置的選擇、

物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜

電、溫濕度控制、電力供應、電磁防護。

今網(wǎng)絡安全：通過訪人員訪談、配置檢查和工具測試的方式測評信息系

統(tǒng)的網(wǎng)絡安全保障情況。主要涉及對象為網(wǎng)絡互聯(lián)設備、網(wǎng)絡安全設

備和網(wǎng)絡拓撲結構。在容上，網(wǎng)絡安全層面測評實施過程涉及7個測

評單元，包括：結構安全、訪問控制、安全審計、邊界完整性檢查、

入侵防、網(wǎng)絡設備防護、惡意代碼防（針對三級系統(tǒng)）。

今主機安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)

的主機安全保障情況。主要涉及對象為各類服務器的操作系統(tǒng)、數(shù)據(jù)

庫管理系統(tǒng)。在容上，主機系統(tǒng)安全層面測評實施過程涉及7個測評

單元，包括：身份鑒別、訪問控制、安全審計、入侵防、惡意代碼

防、資源控制、剩余信息保護（針對三級系統(tǒng)）。

今應用安全：通過人員訪談、配置檢查和工具測試的方式測評信息系統(tǒng)

的應用安全保障情況，主要涉及對象為各類應用系統(tǒng)。在容上，應用

安全層面測評實施過程涉及9個測評單元，包括：身份鑒別、訪問控

制、安全審計、通信完整性、通信性、軟件容錯、資源控制、剩余信

息保護（針對三級系統(tǒng)）、抗抵賴（針對三級系統(tǒng)）。

今數(shù)據(jù)安全：通過人員訪談、配置檢查的方式測評信息系統(tǒng)的數(shù)據(jù)安全

保障情況，主要涉及對象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務數(shù)據(jù)等。在容

上，數(shù)據(jù)安全層面測評實施過程涉及3個測評單元,包括：數(shù)據(jù)完整

性、物居性、備份和恢復。

今安全管理制度：通過人員訪談、文檔審查和實地察看的方式測評信息

系統(tǒng)的安全管理制度情況。在容上，安全管理制度方面測評實施過程

-可修編-

涉及3個測評單元，包括：管理制度、制定和發(fā)布、評審和修訂。

今安全管理機構：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的安全

管理機構情況。在容上,安全管理機構方面測評實施過程涉及5個測

評單元，包括：崗位設置、人員配備、授權和審批、溝通和合作、審

窗口檢查。

今人員安全管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的人員

安全管理情況。在容上，人員安全管理方面測評實施過程涉及5個測

評單元，包括：人員錄用、人員離崗、人員考核、安全意識教育和培

訓、外部人員訪問管理。

今系統(tǒng)建設管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)

建設管理情況。在容上，系統(tǒng)建設管理方面測評實施過程涉及11個測

評單元，包括：系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟

件開辟、外包軟件開辟、工程實施、測試驗收、系統(tǒng)交付、安全服務

商選擇、系統(tǒng)備案（針對三級系統(tǒng)）、系統(tǒng)測評（針對三級系統(tǒng)）.

今系統(tǒng)運維管理：通過人員訪談、文檔審查的方式測評信息系統(tǒng)的系統(tǒng)

運維管理情況。在容上，系統(tǒng)運維管理方面測評實施過程涉及13個測

評單元，包括：環(huán)境管理、資產(chǎn)管理、介質管理、設備管理、網(wǎng)絡安

全管理、系統(tǒng)安全管理、惡意代碼防管理、密碼管理、變更管理、備

份與恢復管理、安全事件處置、應急預案管理、監(jiān)控管理和安全管理

中心（針對三級系統(tǒng)）。

224.分析與報告編制階段

今單項測評結果分析：針對測評指標中的單個測評項,結合具體測評對

象,客觀、準確地分析測評證據(jù)。

今單元測評結果判定：將單項測評結果進行匯總，分別統(tǒng)計不同測評對

象的單項測評結果，從而判定單元測評結果，并以表格的形式逐一列

-可修編-

出。

今整體測評：針對單項測評結果的不符合項，采取逐條判定的方法，從

安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結果，

并對系統(tǒng)結構進行整體安全測評。

今風險分析：據(jù)等級保護的相關規(guī)和標準，采用風險分析的方法分析等

級測評結果中存在的安全問題可能對被測系統(tǒng)安全造成的影響。

今等級測評結論形成：在測評結果匯總的基礎上，找出系統(tǒng)保護現(xiàn)狀與

等級保護基本要求之間的差距，并形成等級測評結論。

今測評報告編制：根據(jù)等級測評結論，編制測評報告，包括概述、被測

系統(tǒng)描述、測評對象說明、測評指標說明、測評容和方法說明、單元

測評、整體測評、測評結果匯總、風險分析和評價、等級測評結論、

整改建議等。

2.3.測評方法

在等級保護測評過程目中，將采用以下測評方法：

2.3.1.

利用技術工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統(tǒng)進

行測試，包括基于網(wǎng)絡探測和基于主機審計的漏洞掃描、滲透測試等。

測評方法工具測試

利用技術工具，從網(wǎng)絡的不同接入點對網(wǎng)絡的主機、服務器、數(shù)據(jù)

庫、網(wǎng)絡設備、安全設備等進行脆弱性檢查和分析

達成目標發(fā)掘系統(tǒng)的安全漏洞

工作條件1-2人工作環(huán)境，電源和網(wǎng)絡接入環(huán)境，甲方人員、網(wǎng)絡、系統(tǒng)配

-可修編?

合

工作結果工具測試結果記錄

2.3.2.

利用上機驗證的方式檢查主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、

應用系統(tǒng)的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審

核的容進行核實（包括日志審計等），測評其實施的正確性和有效性，檢查配

置的完整性，測試網(wǎng)絡連接規(guī)則的一致性，從而測試系統(tǒng)是否達到可用性和可

靠性的要求。

測評方法配置檢查

通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機、服務器、數(shù)據(jù)

庫、網(wǎng)絡設備、安全設備、業(yè)用系統(tǒng)的安全配置情況

達成目標發(fā)現(xiàn)配置的安全隱患

工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡、系統(tǒng)配合

配置檢查結果記錄

2.3.3.AS訪談

與被測系統(tǒng)有關人員（個人/群體）進行交流、討論等活動，獲取相關證

據(jù)，了解有關信息。在訪談圍上，不同等級信息系統(tǒng)在測評時有不同的要求,

普通應基本覆蓋所有的安全相關人員類型，在數(shù)量上可以抽樣。

測法人員訪談

-可修編-

通過交流、討論的方式，對技術和管理方面進行脆弱性檢直和分析

達成目標發(fā)掘技術和管理方面存在的安全問題

工作條件1-2人工作環(huán)境，甲方人員配合

工人員訪談結果記錄

2.34文檔審查

檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文

件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設計方案、網(wǎng)絡設備的技

術資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各種運行記錄文檔、機房建設相

關資料、機房出入記錄等過程記錄文檔）的完整性，以及這些文件之間的部一

致生

測評方法文檔審查

通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況

記錄的完整性和部一致性

達成目標發(fā)掘技術和管理方面存在的安全問題

工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合

工文檔審查結果記錄

2.3.5.

通過實地的觀察人員行為、技術設施和物理環(huán)境狀況判斷人員的安全意

識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達到

了相應等級的安全要求。

-可修編?

項目名稱

通過現(xiàn)場查看人員行為、技術設施和物理環(huán)境狀況，檢查人員的安

全意識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。

達成目標發(fā)掘技術和管理方面存在的安全問題

1-2人工作環(huán)境，甲方人員配合

工實地杳看結果記錄

2.4.WIM

我們在等級保護測評過程中使用的測評工具嚴格遵循可控性原則，即所有

使用的測評工具各事先提交給甲方檢查確認，確保在雙方認可的圍之，而且測

評過程中采用的技術手段確保已經(jīng)過可靠的實際應用。

在本項目中,將采用以下測評工具:

工MS稱

HM介紹

別

漏洞掃描綠盟極光遠程安全評估系

綠盟公司出品的商業(yè)漏洞掃描系統(tǒng)

工具統(tǒng)

IBM公司出品的商業(yè)Web應用安全掃描

IBMAPPScan

系統(tǒng)

Web應

一自動化的Web應用程序安全測i虹

用掃描，

WVS(WebVulnerability具，它可如描任］啊通過瀏覽器

具Web

Scanner)訪'可附循HTTP/HTTPS規(guī)賺勺Web

站扁口Web應用程序

-可修編-

2.5.輸出文檔

本項目輸出的主要輸出文檔為

《等級保護測評實施方案（資產(chǎn)采集、測評表）》

《等級保護測評差距分析報告》

《等級保護測評安全整改方案》

《等級保護測評安全整改報告》

3.時間安排

序主要負

任務名稱工俯開始時間完成時間階段完成標志配合人員

號害人

1編制實施方案2022/7/8《實施方案》

項目準備

2編制資產(chǎn)采集資產(chǎn)采集表

階段

20277/92022/7/15

3編制測評表測評表

前期調研資產(chǎn)采集2022/7/162022/7/17

4資產(chǎn)采集表

技術和管理單完成信息

5差距測評2022/7/202022/8/21

項測評系統(tǒng)測評表

單元測評、整

差距測評體測評、《差距測評報

62022/8/242022/8/28

報告編制風險分析、振告》

告編制

對部份風行較

安全整高的

72022/8/312022/9/4《整改方案》

改建不符合項給出

整改報告

IX

對整改部份容

82072/9/7?0?2/9/2S《整改報告》

安全加進行復檢

固與檢協(xié)助中心通過

92022/9/282022/11/31獲得測評證書

香第三方測評

4.AS轆

-可修編-

4.1.

42項目工作分工

為確保測評工作的順利進行，XXXXXXXXXXXXXXXXXXX與

XXXXXXXXXXXXXXXXXXX信息安全商議組建項目組，并對項目組織機構進行如

下懶IJ:

1XXXXXXXXXXXXXXXXXKX:

名稱職責

項目總體負責人，負責協(xié)調XXXXXXXXXXXXXXXXXXX整體項目資

源，解決項目中需要XXXXXXXXXXXXXXXXXXX配合的問題,監(jiān)督項

人

目整體質量、推進項目整體進度

1XXXXXXXXXXXXXXXXXXX^言息安全:

名稱職責

項目總體負責人，負責組織等級保護測評和評估實施隊伍,做好

整體日常資源管理、分配與協(xié)調工作，并直接控制整體項目管理

的各個要素，具體包括：

項目負責人

今項目方案設計

今項目計劃與組織

今項目協(xié)調與溝通（含召集項目周例會）

今項目進度管理（含編寫項目周報）

-可修編?

今項目質量控制

項目技術人員，包括項目分組組長和實施人員，在項目經(jīng)理的帶

領、分工和控制下，負責按照項目技術方案和項目計劃實施測評

項目

和評估工作，需要提交：

技術人員

今每天工作日報

今單項測評結果記錄

今單項安全整改建議

4.3.人員配置表

名稱職責AM

項目總體負責人,負責組織等級俁護測評和評

估實施隊伍，做好整體日常資源管理、分配與

協(xié)調工作，并直接控制整體項目管理的各個要

項目素，具體包括：

今項目方案設計

負責人

今項目計劃與組織

今項目協(xié)調與溝通（含召集】貞目周例會）

今項目進度管理（含編寫項目周報）

今項目質量控制

負責按照項目技術方案和項目計劃實施測評

工作，需要提交:

項目

今每天工作日報

技術人員

今單項測評結果記錄

今單項安全整改建議

-可修編-

4.4.工作配合

為保證本項目的順利實施，對現(xiàn)場測評階段的各項工作點提出雙方工作配

4.

口?

序號工作點甲方配合乙方配合

1、人員要求1、準備測評工具

系統(tǒng)管理員及接入方案

*前期提供系統(tǒng)軟硬件配置，相關2、測評技術人員

系檢收文檔。

*現(xiàn)場登錄設備運行檢查腳本工具

現(xiàn)場工具

1*登錄設備查看安全配置

測評

2、環(huán)境要求

*提供可以訪問網(wǎng)絡設備及測評系統(tǒng)

的2個IPi也址

*關閉測評IP與系統(tǒng)之間的防火墻。

1、人員要求1、準備配合檢查

網(wǎng)絡管理員方案

*前期提供網(wǎng)絡拓樸圖。2、測評技術人員

*登錄網(wǎng)絡設備，配合測評人員檢查

設備配置。

現(xiàn)場配置

2系統(tǒng)管理員

觸

*登錄網(wǎng)絡設備，配合測評人員檢

笥S備配置。

2、環(huán)境要求

可登錄系統(tǒng)及網(wǎng)絡設備

1、談對象要求1、準備訪談助F

信息部管理人員及訪談大綱

*配合調查表的訪談2、測評技術人員

系漸辟&WSA員

*配合測評回答應用系統(tǒng)操作相關問

3人員訪談

題

網(wǎng)絡管理人員

*配合測評回答網(wǎng)絡架構,及設備配

置操作的相關問題

2、環(huán)境要求

-可修編-

提供會議室

1、人員要求1、準備測評表

信息部管理人員2、二位測評技

*提供等保相關的管理制度術人員

系統(tǒng)開辟&管理人員

*提供相應系統(tǒng)建設方案及驗收文

檔網(wǎng)絡管理人員

4文檔審查

*提供網(wǎng)絡系統(tǒng)建設方案及驗收

文檔

*IP規(guī)劃文檔等

2、環(huán)境要求

提供辦公場所

1、人員要1、準備測評表

求機房管2、測評技術人

理員員

實地查看

5*配合測評人員檢查機房物理環(huán)境。

2、環(huán)境要求

*可訪問機房、辦公等物理區(qū)域

5.其他相關事項

5.1.MMe

在測評過程中，可能會對被測系統(tǒng)造成影響,相應地會造成各種損失。這

些影響包括信息泄漏、業(yè)務停頓或者處理能力受損等。因此，必須充分考慮各

種可能的影響及其危害并準備好相應的應對措施，盡可能減小對目標系統(tǒng)正

常運行的干擾，從而減小損失。

下表給出了測評過程中可能存在的風險與控制措施。

容可1的風險

-可修編-

信息資產(chǎn)調協(xié)議、規(guī)章、制度、法律、法

資產(chǎn)信息泄漏高

研規(guī)

安全管理測合同、協(xié)議、規(guī)章、制度、法

臺信息嘛高

評律、法規(guī)

規(guī)審計海呈；

誤操作引起設備崩潰嚴格僻測評師;

高

或者罐丟失、損壞

網(wǎng)絡設備測甲方進行全程將空;

評/安全設備制定可能的恢復計劃

測評

避開業(yè)務高峰；

網(wǎng)安全設備資源占

低控制掃描策略（線程數(shù)量、強

用

度）

避開業(yè)務高峰；

網(wǎng)絡;罐低控制掃描策略（線程數(shù)量、強

度）

漏洞掃描