DOC《江苏中冠》

1、项目实施原则 (1)客观性和公正性原则: 测评人员在项目实施过程中应无偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动. (2)可重复性和可再现性原则: 依照同一要求,使用同一测评方式,对每个测评实施过程的重复执行应该得到同样的结果.可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关. (3)连续性原则: 确保在高速变化的信息安全环境中,在有效的服务期间内,保证等级测评结论的准确性和及时性,对于新投产的信息系统和服务,或新建立的信息化项目,进行局部系统的重新测评. (4)扩展性原则: 在测评过程结束后,信息安全等级保护测评过程要保持扩展性,从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性. (5)保密原则: 在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益. (6)互动原则: 在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据行内要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行等级测评工作. (7)最小影响原则: 测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明. (8)规范性原则: 信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告. (9)质量保障原则: 在整个测评过程中,须特别重视项目质量管理.项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量.

2、项目内容 根据各信息系统的安全保护等级需求,依据国家及行业等级保护标准,通过信息安全等级保护测评的方法,查找信息系统各安全层面与相应安全保护等级标准的差距,明确存在的安全问题及现有安全措施的有效性,并针对安全问题关联的资产、威胁、脆弱性,综合分析信息系统面临的安全风险,寻求风险降低或规避的方法、提出建设整改建议、编制建设整改方案、提供整改实施技术支持.并在整改实施完成后,通过开展等级测评工作,验证建设整改的效果及与标准的符合度,明确信息系统是否达到了相应安全保护等级的防护能力.编制提交《信息系统安全等级测评报告》,同时为以后的安全决策、安全管理、安全运维、持续整改提供依据. 具体工作内容及要求如下: (1)开展信息系统安全等级保护现状测评工作 依据相关标准,结合行业特点和自身安全需求,为信息系统开展信息系统安全等级保护现状测评工作,提供包括但不限于以下服务内容: 1)信息收集:对项目涉及的所有信息系统开展调研工作,明确所有系统的物理环境及机房基础设施情况,网络架构,网络设备、安全设备部署情况,服务器分布及操作系统、数据库系统使用情况,应用系统业务流程、数据流向、用户群体情况,数据传输及存储备份情况,系统的高可用性需求情况,安全管理制度建设及执行情况.并根据收集的信息建立基础台账. 2)方案编制:根据收集的基础信息,识别各信息系统网络结构及其网络覆盖范围,系统构成、资产识别与赋值、威胁识别与赋值,明确检测评估目的及流程、明确检测评估对象及指标、明确检测评估方法及工具扫描接入点、明确检测评估实施步骤及配合需求、明确检测评估的实施计划.并据此编制实施方案、开发实施指导书. 3)现场检测评估实施:依据测评方案、参照实施指导书,通过访谈、检查、测试、实地查看等方法开展现场检测评估活动,详细记录每个检测评估对象的安全现状.形成现场检测评估记录表. 4)数据汇总分析:根据现场检测评估记录,按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理几个安全层面,汇总各安全层面测评对象的安全现状,明确已有安全措施的有效性,识别测评对象关联资产的脆弱性.形成安全措施汇总表、安全问题汇总表. 5)安全问题交流:通过交流会的形式,对安全措施汇总表、安全问题汇总表中的内容进行沟通交流,明确安全问题是否真实存在,如有遗漏或不确定项需进行补充检测并详细记录结果;