等保测评方案.doc

湖南省电子产品检测分析所考勤

信息系统平安等级测评方案

日期：

日期：

日期：

概述

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统平安保护等级已定为二级〔S2A2G2〕。

湖南省网络与信息平安测评中心〔以下简称测评中心〕受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统平安等级保护测评，现场测评工程组将分为技术核查小组及管理核查小组；针对平安技术及平安管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息平安等级保护制度，通过测试手段对平安技术和平安管理上各个层面的平安控制进行整体性验证。协助用户完成等级保护测评工作

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统平安等级保护根本要求》、《信息系统平安等级保护测评准那么》，在对信息系统进行平安技术和平安管理的平安控制测评及系统整体测评结果根底上，针对不同等级的信息系统遵循的不同标准进行综合系统平安测评评审后确定，由等级保护测评机构给予相应的系统平安等级评审意见。

主要参考标准如下：

?《信息平安等级保护管理方法》

?《信息平安技术信息系统平安等级保护定级指南》〔GB/T22240-2008〕

?《信息平安技术信息系统平安等级保护根本要求》〔GB/T22239-2008〕

?《信息系统平安等级保护测评要求》〔报批稿〕

?《信息系统平安等级保护实施指南》〔报批稿〕

?《信息系统平安等级保护测评过程指南》〔报批稿〕

?《计算机信息系统平安保护等级划分准那么》〔GB17859-1999〕

?《信息平安技术信息系统通用平安技术要求》〔GB/T20271-2006〕

?《信息平安技术网络根底平安技术要求》〔GB/T20270-2006〕

?《信息平安技术操作系统平安技术要求》〔GB/T20272-2006〕

?《信息平安技术数据库管理系统平安技术要求》〔GB/T20273-2006〕

?《信息平安技术效劳器技术要求》〔GB/T21028-2007〕

《信息平安技术终端计算机系统平安等级技术要求》〔GA/T671-2006〕

信息系统平安等级保护测评过程包括四个阶段。

测评准备阶段

被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订必威体育官网网址协议、委托书、合同。

方案编制阶段

测评机构成立工程组后，工作人员到被测单位了解被测评系统的信息，编写信息系统业务调查报告，信息系统规划设计分析报告，与被测单位共同讨论评测方案，评测工作方案，达成共同认可的评测方案和评测工作方案。

现场测评阶段

在进入现场检测测试阶段时，测评机构工程组成员在参照系统体系建设相关资料〔系统建设方案、技术资料、管理资料、日常维护资料〕后，对测评单位进行平安管理机构检查、平安管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查，生成管理检查记录、技术检查记录和核查报告。

分析与报告编制阶段

测评机构最后进行核查结果分析，等级符合性分析、专家评审，生成等级测评报告和平安建议报告

具体流程如下列图：

测评原那么

客观性和公正性原那么

测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

经济性和可重用性原那么

基于测评本钱和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业平安产品测评结果和信息系统先前的平安测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的平安状态。

可重复性和可再现性原那么

无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性表达在不同测评者执行相同测评的结果的一致性。可重复性表达在同一测评者重复执行相同测评的结果的一致性。

符合性原那么

测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

测评风险

等级测评实施过程中，被测系统可能面临以下风险。

验证测试影响系统正常运行

在现场测评时，需要对设备和系统进行一定的验证测试工作，局部测试