文档介绍：企业信息系统安全等级保护评测方案
总体方案概述

通过对**单位信息系统等级保护差距测评，可以了解目前**单位信息系统的等级保护差距情况，同时能够对未定级的业务系统及业务网络进行安全风险识别，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对全网的安全进行统一的规划和建设，并根据等级保护差距测评和风险评估的结果指导**单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。

本次等级测评服务针对信息系统以及业务系统所依托的内部局域网网络环境、软硬件设备（数据库、中间件、应用程序、服务器、网络设备和安全设备等）、机房物理环境、涉及的运维管理机制等实施信息安全等级测评服务，其中包括定级、定级之后的差距测评和整改阶段之后的验收测试，此项目中统称为一体测评服务。具体评估范围包括但不限于：
物理环境：位于中心机房和各处配线间。主要考察信息系统相关的防火、防水、防雷、防盗和不间断电源等保障物理安全的各种设施。
计算机网络：网络拓扑结构、城域网和互联网连接的路由器、交换机、防火墙或其他信息安全设备、各应用服务器和整体网络的数据流信息。
操作系统：检查所有网络设备、信息安全设备和服务器的操作系统，对所有设备的windows、Linux和专业操作系统是否及时安装最新补丁进行针对性检查。
应用系统：所有业务系统和门户网站等重要信息系统。招标方认为重要且应包含在本次安全评估范围内的信息系统都应被认定为重要管理信息系统。
数据库：对各种数据库进行安全检测。例如某业务系统中数据库是否安装最新补丁，管理帐户是否存在弱口令等进行检测。
未控制网络链接：获得所有未控制并能够连接到网络的设备信息（例如调制解调器、第二块网卡、USB网卡、1394接口网卡等）。防止未经授权的拨入。
防病毒及恶意软件：检查所有服务器的杀毒软件系统和单机防恶意软件系统。
灾难恢复策略：审核并检查数据备份及灾难恢复计划，了解是否进行应急演练，并提出改进建议 。
安全控制策略：边界访问控制的防火墙、入侵检测系统、网络防病毒系统、内网安全管理系统等设备的配置策略。负责安全政策的编制管理人员、办公人员的安全意识、各种安全管理规章制度等。

我公司等级保护差距测评服务将遵循以下原则：
保密原则：我公司将与**单位签订保密协议，同时公司与每个参与本项目的员工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息，保证公司和个人不会利用评估结果对**单位造成侵害。在项目过程中获知的任何用户信息，经过双方确认属用户秘密信息的，严格遵守保密协议中规定的要求确保信息安全。
标准性原则：我公司对**单位等级保护测距测评方案的设计与实施将依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行，确保等级保护建设过程的规范、合理，并为等级保护建设成果提供了质量保证。
规范性原则：我公司在等级保护差距测评项目中提供规范的工作过程和文档，具有很好的规范性，可用于项目的跟踪和控制。项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在测评之前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在操作过程中对操作的过程和结果要提供规范的记录，并形成完整的评估过程报告。
最小影响原则：**单位的等级保护差距测评工作的原则是做到对于用户系统和网络运行的影响最小化，不能对正在运行的系统和业务的正常提供产生显著不利影响。

等级保护测评方案将主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》进行评估，同时为保证本次评估的全面性，还将参考相关的国家和地方的相关法规及国内标准，并有选择性地采纳了优秀的风险评估理论。这些标准和操作指南目前已经被我公司在以往的等级保护项目中进行了实践，并得到了用户的认可和好评。具体的标准如下:
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南
GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护实施指南（报批）
信息安全技术信息系统安全等级保护测评过程指南（送审）
GB/T 24856-2009信息安全技术信息系统等级保护安全设计技术要求 .
GB/T 18018-2007信息安全技术路由器安全技术要求
GB/T 20945-2007信息安全技术信息系统安全审计产品