文档介绍：湖南省电子产品检测分析所考勤信息系统安全等级测评方案湖南省网络与信息安全测评中心 2013 年 12月 11日编制: 审核: 批准: 日期: 日期: 日期: 1. 概述 项目简介湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息,是本单位的专有信息。如果系统受到破坏,将会严重影响电子分析所的正常工作和,因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。分析所考勤管理信息系统的信息系统安全保护等级已定为二级( S2A2G2 )。湖南省网络与信息安全测评中心(以下简称测评中心)受湖南省电子检测分析所的委托,对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评,现场测评项目组将分为技术核查小组及管理核查小组;针对安全技术及安全管理两大方向、十个层面进行测评与分析。本次测评的目的是建立信息安全等级保护制度,通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作 测评依据信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。主要参考标准如下: 《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护定级指南》( GB/T 22240-2008 ) 《信息安全技术信息系统安全等级保护基本要求》( GB/T 22239-2008 ) 《信息系统安全等级保护测评要求》(报批稿) 《信息系统安全等级保护实施指南》(报批稿) 《信息系统安全等级保护测评过程指南》(报批稿) 《计算机信息系统安全保护等级划分准则》( GB17859-1999 ) 《信息安全技术信息系统通用安全技术要求》( GB/T20271-2006 ) 《信息安全技术网络基础安全技术要求》( GB/T20270-2006 ) 《信息安全技术操作系统安全技术要求》( GB/T20272-2006 ) 《信息安全技术数据库管理系统安全技术要求》( GB/T20273-2006 ) 《信息安全技术服务器技术要求》( GB/T21028-2007 ) 《信息安全技术终端计算机系统安全等级技术要求》( GA/T671-2006 ) 测评过程信息系统安全等级保护测评过程包括四个阶段。?测评准备阶段被测单位向测评机构提出测评申请,测评机构对被测单位的申请材料进行审查,在双方达成共识的情况下,双方签订保密协议、委托书、合同。?方案编制阶段测评机构成立项目组后,工作人员到被测单位了解被测评系统的信息,编写信息系统业务调查报告,信息系统规划设计分析报告,与被测单位共同讨论评测方案,评测工作计划,达成共同认可的评测方案和评测工作计划。?现场测评阶段在进入现场检测测试阶段时,测评机构项目组成员在参照系统体系建设相关资料(系统建设方案、技术资料、管理资料、日常维护资料)后,对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查,生成管理检查记录、技术检查记录和核查报告。?分析与报告编制阶段测评机构最后进行核查结果分析,等级符合性分析、专家评审,生成等级测评报告和安全建议报告具体流程如下图: 测评原则?客观性和公正性原则测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。?经济性和可重用性原则基于测评成本和工作复杂性考虑, 鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。?可重复性和可再现性原则无论谁执行测评,依照同样的要求,使用同样的方法, 对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。?符合性原则测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。 测评风险等级测评实施过程中,被测系统可能面临以下风险。?验证测试影响系统正常运行在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响