(一)项目概况
本项目信息安全等级保护测评目的和测评内容,必须与信息安全等级保护要求的基本安全控制要求相一致。严格按照GB/T
点击查看>> -2018 《信息安全技术网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,确保测评工作质量。
(二)项目依据
本项目测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。除按照现行国家和行业信息安全相关规定进行外,主要规范性文件依据有:
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》( (略) (略) 令)
《信息安全等级保护管理办法》(公通字[2007] (略) )
《中华人民共和国国家标准GB/T
点击查看>> -1999 计算机信息系统安全保护等级划分准则》
《中华人民共和国国家标准GB/T
点击查看>> -2008 信息安全技术信息系统安全等级保护定级指南》
《中华人民共和国国家标准GB/T
点击查看>> -2019 信息安全技术网络安全等级保护基本要求》
《中华人民共和国国家标准GB/T
点击查看>> -2019 信息安全技术网络安全等级保护测评要求》
《中华人民共和国国家标准GB/T
点击查看>> -2012 信息安全技术信息系统安全等级保护测评过程指南》
《中华人民共和国国家标准GB/T
点击查看>> -2019 信息安全技术网络安全等级保护安全设计技术要求》
《中华人民共和国国家标准GB/T
点击查看>> -2007 信息安全技术信息安全风险评估规范》
《中华人民共和国国家标准GB/T
点击查看>> -2017 信息安全技术云计算安全参考架构》
(三)项目内容及技术要求
本次项目,要求中标机构协助我单位完成信息系统定级备案并进行等级保护测评。待测评信息系统如下:
根据《GBT
点击查看>> -2019 信息安全技术网络安全等级保护基本要求》、《GBT
点击查看>> -2019 信息安全技术网络安全等级保护测评要求》等有关规定及要求,信息系统等级保护测评应包括以下内容:
安全技术测评:包括但不限于安全物理环境、安全通信网络、安全区域边界、安全计算环境、 (略) 五个方面。
安全管理测评:包括但不限于安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面。
1、安全物理环境
针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
2、安全通信网络
针对通信网络提出的安全控制要求。主要对象为广域网、 (略) 域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。
3、安全区域边界
针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
4、安全计算环境
(略) 提出的安全控制要求。主要对 (略) 的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
5、 (略)
针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
6、安全管理制度
针对整个管理制度体系提出的安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。
7、安全管理机构
针对整个管理组织架构提出的安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。
8、安全管理人员
针对人员管理提出的安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和 (略) 人员访问管理。
9、安全建设管理
针对安全建设过程提出的安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品比选和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。
10、安全运维管理
针对安全运维过程提出的安全控制要求,涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、 (略) 置、应急预案管理和外包运维管理。
此外,针对云计算平台,应满足云计算安全扩展测评项要求。
发送至邮箱
