《信息安全等级保护安全整改方案模版.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护安全整改方案模版.docx(102页珍藏版)》请在三一办公上搜索。
1、信息安全等级保护安全整改方案xxx 公司20xx 年 x 月工作项目清单序号工作项目数量(人天) 单价总价备注1 物理安全差距分析2 主机安全差距分析3 网络安全差距分析4 应用安全差距分析5 数据安全差距分析6 安全管理机构差距分析7 人员安全管理差距分析8 安全管理制度差距分析9 系统建设管理差距分析10 系统运维管理差距分析11 等级保护整改方案设计12 安全管理组织及职责13 人员安全管理14 安全管理制度15 系统建设管理16 系统运维管理17 物理安全整改18 主机安全整改19 网络安全整改20 指导完成应用安全整改21 数据安全整改22 安装和部署各项新增安全设备23安全培训?人
2、次等级保护测评师(中级)合计( 可根据实际情况完成该表.)信息安全等级保护安全服务方案目录第一章概述.81.1项目背景 .81.2现状描述 .8第二章总体设计 .152.1项目目标 .152.2项目原则 .162.3项目依据 .172.3.1政策法规 .172.3.2标准规范 .172.4实施策略 .182.4.1技术体系分析 .182.4.2管理体系分析 .182.4.3业务系统分析 .192.4.4充分全面的培训 .202.5项目内容 .212.5.1差距分析 .212.5.2整改方案设计 .212.5.3安全优化与调整 .212.5.4等级保护管理制度建设 .21第三章差距分析 . 23
3、3.1工作目的 .233.2工作方式 .233.3工作内容 .253.3.1物理安全 .263.3.2主机安全 .273.3.3网络安全 .313.3.4应用安全 .353.3.5数据安全及备份恢复 .393.3.6安全管理制度 .433.3.7安全管理机构 .473.3.8人员安全管理 .513.3.9系统建设管理 .553.3.10系统运维管理 .593.4提交成果 .63第四章等级保护整改方案设计 .644.1工作目的 .644.2工作方式 .654.3工作内容 .654.4提交成果 .68第五章系统优化及调整 .685.1工作目的 .685.2工作方式 . 685.3工作流程 .695
4、.4工作内容 .705.5提交成果 .71第六章等级保护管理制度建设 .716.1工作目的 .716.2工作方式 .726.3工作内容 .726.4工作成果 .74第七章培训与验收 .777.1培训内容 .777.1.1等级保护整改培训 .777.1.2信息安全等级保护培训 .787.1.3认证考试 .787.2项目验收 .797.2.1验收依据和标准 .797.2.2验收内容 .80第八章项目管理与组织 .828.1项目管理架构 .828.2项目成员 .848.3项目进度 .88第九章国都兴业服务特色 .909.1丰富的服务经验 .909.2有保障的服务团队. 909.3严格明确的服务原则9
5、09.4专业化的服务队伍91第十章服务质量保证9210.1制定质量计划9210.2规范质量审核9310.3质量文档管理9410.4服务报告制度9510.5客户满意度调查制度95概述项目背景信息安全等级保护是国家信息系统安全保障工作的基本制度和基本国策,是国家对基础信息网络和重要信息系统实施重点保护的关键措施。按照国家有关主管部门的要求, 某部委开展了等级保护相关工作。前期,某部委已对应用系统进行了定级,并邀请某评测机构对相关网络和应用系统进行了预测评,已形成预测评报告。为了解决所存在的问题, 顺利通过某评测机构的等级保护测评,拟开展某部委部本级信息安全等级保护安全建设整改工作。现状描述某部委开
6、展信息安全等级保护工作的网络系统有两个,一个是外网, 一个是业务专网,两个网络彼此物理隔离,外网与互联网逻辑隔离。业务专网部机关局域网目前有用户约500 个,横向通过专线连接130 多个预算部门、代理银行等。纵向通过专线连接35 个驻省市某专员办和36 个省市某部委门。 业务专网局域网部署的安全设备类型包括防火墙、网络入侵检测、漏洞扫描、网络审计、防病毒系统、安全管理服务器等安全设备,制造厂商为国内主流安全设备厂商。 业务专网的服务器主要为IBM 、HP 的 PCserver 和小型机,服务器操作系统包括WINDOWS2003 server 、 WINDOWS2008server 、LINUX
7、 、UNIX 等操作系统,数据库有SQL SERVER 、ORACLE 等,中间件有JBOSS 、WEB LOGIC 、 TOMCAT等。网络设备为主流交换机和路由器。业务专网中有共有安全设备约11 台、网络设备约 40 台、服务器约 70 台。外网局域网目前有用户约1000 个,通过租用3 条运营商专线接入互联网,与互联网逻辑隔离。外网局域网部署的安全设备主要包括防火墙、网络入侵检测、漏洞扫描、网络审计、防病毒系统、防DDOS攻击设备、 WEB 防纂改系统、安全管理服务器等安全设备,制造厂商为国内主流安全设备厂商。外网服务器主要为 IBM 、HP 的 PC-server和小型机,服务器操作系
8、统包括WINDOWS 2003server 、WINDOWS 2008 server、 LINUX 、UNIX 等操作系统,数据库有SQLSERVER 、ORACLE等,中间件有 JBOSS 、WEB LOGIC 、 TOMCAT等。网络设备为主流交换机和路由器。某部委设备具体情况见下表:某部委设备情况说明表网络设备类型用途厂商型号 / 操作系统数量服务器服务器服务器服务器、数据库服务器数据库交换机交换机交换机交换机业务交换机专网交换机交换机交换机网络设备交换机交换机交换机路由器路由器路由器路由器交换机交换机交换机入侵检测漏洞扫描审计系统安全设备万兆防火墙ID SV PN外网中有安全设备约10
9、 台、网络设备约40 台、服务器约 60 台。服务器、数据库网络设备外网服务器服务器服务器服务器服务器存储其他数据库交换机交换机交换机交换机交换机路由器交换机交换机交换机交换机路由器路由器交换机交换机交换机交换机防火墙防 do(s 电信)防 do(s 联通)ID S漏扫安全设备审计防火墙防火墙防火墙IPS万兆防火墙应用系统定级情况如下:某业务专网和外网整体定为三级。应用系统已定为三级的系统15个,二级的系统 32个,已进行预测评的系统37 个,在开发升级改造过程中而未预测评的系统 10个,具体情况见下表。序号系统名称等级用户数量使用频度预测评情况1系统 1S3A 2G3实时完成预测评2系统 2
10、S2A 2G2实时完成预测评3系统 3S2A 1G2实时完成预测评4系统 4S2A 2G2实时完成预测评5系统 5S3A 3G3阶段性频繁完成预测评6系统6S3A 3G3经常完成预测评7系统 7S3A 2G38系统 8S3A 3G39系统 9S3A 3G310系统 10S3A 3G311系统 11S3A 3G312系统 12S3A 3G313系统 13S2A 3G314系统 14S3A 3G315系统 15S2A 2G216系统 16S2A 1G217系统 17S2A 1G218系统 18S2A 2G2阶段性频繁完成预测评每月至少一次完成预测评经常完成预测评经常完成预测评实时完成预测评每天完成
11、预测评实时完成预测评实时完成预测评每天完成预测评经常完成预测评实时完成预测评每天完成预测评序号系统名称等级用户数量使用频度预测评情况19系统 19S2A 2G2季报完成预测评20系统 20S2A 2G2实时完成预测评21系统 21S2A 2G2阶段性频繁完成预测评22系统 22S2A 2G2季度报表完成预测评23系统 23S2A 2G2实时完成预测评24系统 24S2A 2G2实时完成预测评25系统 25S2A 2G2实时完成预测评26系统 26S2A 2G227系统 27S2A 2G228系统 28S2A 2G229系统 29S2A 2G230系统 30S2A 2G231系统 31S2A 2
12、G232系统 32S2A 2G233系统 33S2A 2G234系统 34S2A 2G235系统 35S2A 2G236系统 36S2A 2G237系统 37S2A 2G238系统 38S3A 3G339系统 39S3A 3G340系统 40S3A 3G341系统 41S3A 3G342系统 42S2A 2G243系统 43S2A 2G244系统 44S2A 2G245系统 45S2A 2G246系统 46S2A 2G247系统 47S2A 2G2实时完成预测评阶段性频繁完成预测评阶段性频繁完成预测评经常完成预测评实时完成预测评经常完成预测评经常完成预测评经常完成预测评经常完成预测评阶段性频繁
13、完成预测评经常完成预测评实时完成预测评实时未完成每天未完成实时未完成阶段性频繁未完成实时未完成实时未完成经常未完成阶段性频繁未完成经常未完成阶段性频繁未完成总体设计项目目标根据某评测机构提交的预测评报告,对某部委现有各网络和应用系统进行深入调研,了解包括安全管理机构、 安全管理制度、 人员安全管理、 系统建设管理、系统运维建设等安全管理建设情况,针对安全管理机构方面存在的人员配备、授权和审批、审核和检查等问题,安全管理制度存在的管理制度、评审和修订等问题,人员安全管理方面存在的人员考核问题,在系统建设管理方面存在的安全方案设计、外包软件开发等问题, 在系统运维建设方面存在的环境管理、资产管理、
14、介质管理、设备管理、监控管理和安全管理中心、 网络安全管理、 系统安全管理、密码管理、变更管理、备份与恢复管理、应急预案管理等问题。了解包括物理安全、网络安全、主机安全、应用安全、数据安全等安全技术建设情况,针对在物理安全方面存在的物理访问控制问题,在网络安全方面存在的访问控制、网络审计、边界完整性、恶意代码防范、网络设备防护等问题,在主机安全方面存在的身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等问题,应用安全方面存在的身份鉴别、访问控制、安全审计、剩余信息保护、数据完整性、数据保密性、抗抵赖、软件容错和资源控制等问题,在数据安全方面存在的数据完整性和数据保密
15、性等问题,根据某部委的实际情况, 分析研判在安全管理建设和安全技术建设两方面与等级保护标准规范之间的差距和问题,提出各项整改建议, 设计各项整改措施和手段, 从技术和管理两方面制定安全建设整改方案,提出包括产品类型、配置、数量、预计价格等在内的整改所需产品清单。项目原则为实现本 项目的总体目标, 结合某部委现有各网络与应用系统和未来发展需求,总体应贯彻以下项目原则。保密原则:国都兴业公司在为某部委信息安全等级保护进行整改实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与某部委签订保密协议,承诺未经允许不向
16、其他任何第三方泄露有关某部委的信息。互动原则:国都兴业公司在整个信息安全等级保护整改实施过程之中,将强调客户的互动参与,不管是从准备阶段,还是差距分析阶段。每个阶段都能够及时根据客户的要求和实际情况对评估的内容、方式作出相关调整,进而更好的进行等级保护整改工作。最小影响原则: 信息安全等级保护差距分析工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。规范性原则: 信息安全等级保护整改的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。质量保障原则:国都兴业公司在整个信息安全等级保护整改实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。项目依据本项目方案编制依据和参考下列政策法规和标准规范。政策法规中华人民共和国计算机信息系统安全保护条例(1994 国务院 147 号令)计算机信息系统安全保护等级划分准则(GB17859 1999 )国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号)关于信息安全等级保护工作的实施意见(公通字200466 号)信息安全等级保护管理办法公通字200743 号
