信息安全等级保护项目计划书.doc

文档编号： 项目计划书 授 权 方：xxxxxxxxxx 被授权方：rrrrrr 编制日期：2016年2月29日 目 录 1. 概述 1 1.1 项目背景 1 1.2 项目目的 1 1.3 工作依据 2 2. 技术思路和工作内容 3 2.1 技术思路 3 2.1.1 测评指标 3 2.1.2 测评对象选择方法 7 2.1.3 测评方法 8 2.2 工作范围内容 8 3. 项目实施方案 10 3.1 项目实施过程 10 3.2 阶段工作产品 11 4. 项目组织方案 13 4.1 项目组织结构 13 4.2 人员构成和职责 14 4.3 项目实施计划 14 5. 项目质量管理和控制 15 5.1 过程质量控制管理 16 5.1.1 过程质量管理风险 16 5.1.2 过程质量风险控制 17 5.2 变更控制管理 24 5.2.1 变更管理存在的风险 24 5.2.2 变更管理控制方法 24 5.3 项目风险管理 25 5.3.1 项目进度风险的管理 25 5.3.2 项目协作与沟通风险的管理 27 5.3.3 测评工作引入风险的管理 29 5.4 必威体育官网网址控制管理 31 5.4.1 人员必威体育官网网址管理 31 5.4.2 设备必威体育官网网址管理 32 5.4.3 文档必威体育官网网址管理 32 6. 签字确认 33 概述 项目背景的安全运行 项目目的 依据等级测评结果，并结合单位的实际情况，区分轻重缓急，制定针对性的安全整改，通过安全整改不断提高信息系统的整体安全保护水平。 工作依据 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）《信息安全技术》 《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-2012）《信息安全技术 信息系统安全等级保护测评》（GB/T 2844-2012） 《信息安全技术 信息系统安全等级保护实施指南》（GB/T 25058-2010） 技术思路和工作内容 技术思路 测评指标 测评指标包括《》7.1节技术要求中的级通用指标类(G)，级业务信息安全性指标类(S)，和级业务服务保证类(A)，以及7.2节管理要求中的所有要求，安全控制指标如下表： 安全分类 安全子类 测评项数 备注 物理安全 物理位置的选择 测评物理机房所在的外部环境安全性。 物理访问控制 测评进出机房的审批控制手段以及机房出入口的安全控制情况。 防盗窃和防破坏 测评机房内设备和通信线缆的安全性以及监控报警系统建设情况。 防雷击 测评建筑防雷和防感应雷的建设情况。 防火 测评自动监控防火系统设置情况以及机房材料防火情况。 防水和防潮 测评机房内水管设置情况、防止结露所采取的措施以及监控报警系统建设情况。 防静电 测评机房防静电所采取的措施。 温湿度控制 1 测评机房温湿度控制措施。 电力供应 测评电力线路、备用电源以及发电机的配备情况。 电磁防护 测评线缆电磁防护手段和设备电磁防护手段。 网络安全 结构安全 主要核查：主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。 访问控制 主要核查：访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。 安全审计 主要核查：网络设备日志收集、分析和统计以及保护等等。 边界完整性检查 主要核查：是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断；是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断。 入侵防范 主要核查：部署IDS、IPS系统以及使用情况。 网络设备防护 主要核查：用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远程管理和权限分离。 主机安全 身份鉴别 主要核查：用户身份鉴别方式、账号与用户对应关系和密码安全强度，包括账户和口令长度设置情况，口令更改周期等；登录失败处理功能设置情况。 访问控制 主要核查：特权用户的权限分离情况；默认账户的访问权限；多余和过期的账户的处理情况；管理用户最小授权原则落实情况。 安全审计 主要核查：安全审计的覆盖范围；记录内容完整性；审计记录的分析能力；审计记录的保护情况。 入侵防范 主要核查：重要服务器入侵行为的检测/报警情况；重要程序的完整性保护情况；主机资源的使用情况；操作系统组件安装和补丁升级情况。 恶意代码防范 主要核查：系统补丁安装情况；防病毒和恶意代码产品的使用情况及升级情况；核查系统是否有木马程序。