文档介绍：i
等保测评
技术方案
^^^018年7月
—2—
1等级保护测评


信息
系统
名称
数据使用者
或管理者及
其访问权限
业务处理信息类别
数据安全性要求
保密性AXGX
2
XX系统
一般性描述如为某某部门或某人群提供某种信息服务。
SXAXGX
3
XX系统
一般性描述如为某某部门或某人群提供某种信息服务。
SXAXGX

以下网络架构承载着信息管理系统的运行，是信息化业务、应用系统运转的基
础平台。其网络拓扑图如图2-1所示:
12
图2-1信息管理系统网络拓扑图（示例）
12
系3统构成
业务应用软件
序号
软件名称
主要功能
重要程度
1
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
重要
2
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
重要
3
XX系统
系统本身能够为服务者提供的业务功能和安全功能等。
重要
关键数据类别
序号
数据类别
所属业务应用
主机/存储设备
重要程度
1
管理数据
被测评对象应用
应用服务器/数据库服务器
重要
2
业务数据
被测评对象应用
应用服务器/数据库服务器
重要
3
鉴别信息
被测评对象应用
应用服务器/数据库服务器
重要
主机/存储设备
序号
设备名称
操作系统/数据库管理系
统
业务应用软件
1
应用服务器/数据库服务器
举例：Windows/oracle
XX系统
2
应用服务器/数据库服务器
举例：Windows/oracle
XX系统
3
应用服务器/数据库服务器
举例：Windows/oracle
XX系统
网络、安全设备
序号
设备名称
设备类型
重要程度
1
核心交换机
核心交换机
非常重要
2
汇聚交换机
汇聚交换机
重要
3
接入交换机
接入交换机
一般
4
防火墙
防火墙
重要
8
5
入侵防御设备
入侵防御设备
重要
6
Web应用防火墙
Web应用防火墙
重要
安全相关人员
序号
姓名
岗位/角色
联系方式
1
网络管理员
网络管理员
**********
2
安全建设管理员
安全建设管理员
**********
3
安全运维管理员
安全运维管理员
**********
4
安全制度管理员
安全制度管理员
**********
5
人员安全管理员
人员安全管理员
**********
6
机构安全管理员
机构安全管理员
**********
7
物理机房管理员
物理机房管理员
**********
8
应用软件管理员
应用软件管理员
**********
安全管理文档
序号
文档名称
主要内容
1
制度类文档
包括网络安全管理、设备安全管理、系统安全管理、备份与恢复、安全事件处置和应急预案等管理制度。
2
记录类文档
包括机房出入登记记录（包括第三方人员）、机房基础设施维护记录、各类会议纪要或记录、各类评审和修订记录、人员考核、审查、培训记录、离岗手续等记录。
3
证据类文档
包括资产清单、机构安全管理人员岗位名单、外联单位联系列表、人员保密协议、关键岗位安全协议、信息系统定级报告或定级建议书、系统备案材料等。

9

GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的安全保护等级从中选取相应等级的安全测评指标，并依据《信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级测评过程指南》对信息系统实施安全测评。
本次测评的信息管理系统在实施时由建设方指定，包括二级和三级系统的等级测评，安全测评指标应包括《信息安全技术信息系统安全等级保护基本要求》中的二级和三级要求，分为通用指标类（GX），业务信息安全性指标类（SX）和系统服务保证类（AX）。
1）二级测评所包括的安全控制指标类型情况具体如下表：
测评指标
技术/管理
安全分类
安全子类数量
S（2级）
A（2级）
G（2级）
小计
安全技术
物理安全
1
1
8
10
网络安全
1
0
5
6
主机系统安全
2
1
3
6
数据安全及备份恢复
2
1
0
3
应用安全
4
2
1
7
安全管理
安全管理制度
0