精选-信息安全-等保测评服务方案 .pdfVIP

精选-信息安全-等保测评服务方案

1.1.1定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进

行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信

息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭

到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组

织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、

确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公

安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办

理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信

息管理等。

1）协助定级

对系统情况进行分析，通过分析系统所属类型、所属信息类别、

服务范围，了解系统的可用性、完整性、必威体育官网网址性需求，清晰确定保护

对象，确定受侵害的客体、确定客体受侵害的程度，最终确定系统的

系统服务保护等级和业务信息保护等级，协助用户编制定级报告。

2）协助备案

协助用户填写《信息系统安全等级保护备案表》，协助用户到各

地公安机关进行系统备案，获得系统备案证。

1.2等保测评

1.2.1概述

1.2.1.1项目简介

根据公安部出台的有关等级保护的政策，对信息系统的等级保护

已经是国家的一项基本国策和信息安全的基本保障，同时等级保护工

作的开展也是各行各业信息化建设的内在需求。

随着信息化的不断发展，信息系统的应用为信息化的开展提供了

重要的支撑平台，关键流程、重要数据的处理都依赖于信息系统，因

而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导

的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重

要决策，信息化建设工作和信息安全工作贯穿XXXX集团有限公司的

关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高

度重视，安全建设也逐渐成为公司信息化建设的内在需求。

整个测评项目的实施主要分为现场测评和复测评，其中现场测评

分为四个阶段：一、测评准备活动阶段，二、方案编制活动阶段，三、

现场测评活动阶段，四、分析和报告编制活动阶段；复测评分为三个

阶段：一、安全整改活动阶段，二复测评活动阶段，三，分析和报告

编制活动阶段。

其测评目的在于对XXXX集团有限公司信息系统当前安全防护能

力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用

安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安

全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查，

以国家信息安全等级保护基本要求作为安全基线，进行客观符合性判

定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和

风险所在，为将来的安全整改和安全建设提供有力依据。

1.2.1.2测评依据

本项目的测评按照以下标准或规范进行：

关于开展全国重要信息系统安全等级保护定级工作的通知（公信

安[2007]861号）；

关于印发《信息安全等级保护管理办法》的通知（公通字

[2007]43号）；

关于开展全省重要信息系统安全等级保护定级工作的通知（湘公

通[2007]94号）；

关于进一步推进全省信息安全等级保护工作的函（湘公函

[2011]21号）；

关于对全省重要信息系统开展信息安全等级保护专项检查工作的

函（湘公函[2011]74号）；

《信息系统安全等级保护定级指南》（GB/T22240—2008）；

《信息系统安全等级保护测评过程指南》（国标报批稿）；

《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。

主要测评依据：

《信息安全技术信息系统安全等级保护基本要求》（GB/T

22239-2008）；

《信息安全技术信息系统安全等级保护测评要求》（GB/T

28448-2012）。

1.2.1.3测评过程

1.2.2被测系统描述

1.2.2.1定级情况

本次安全等级