信息系统等级保护测评工作专业方案.doc

资源描述

1、XX安全服务企业-XXX项目等级保护差距测评实施方案XXXXXXXXX信息安全201X年X月目录目录31.项目概述11.1.项目背景11.2.项目目标11.3.项目标准11.4.项目依据22.测评实施内容32.1.测评分析32.1.1.测评范围32.1.2.测评对象32.1.3.测评内容42.1.4.测评对象62.1.5.测评指标72.2.测评步骤82.2.1.测评准备阶段92.2.2.方案编制阶段92.2.3.现场测评阶段102.2.4.分析和汇报编制阶段112.3.测评方法122.3.1.工具测试122.3.2.配置检验132.3.3.人员访谈132.3.4.文档审查142.3.5.实

2、地查看142.4.测评工具152.5.输出文档152.5.1.等级保护测评差距汇报152.5.2.等级测评汇报152.5.3.安全整改提议163.时间安排164.人员安排174.1.组织结构及分工174.2.人员配置表184.3.工作配合195.其它相关事项215.1.风险规避215.2.项目信息管理235.2.1.保密责任法律确保235.2.2.现场安全保密管理235.2.3.文档安全保密管理235.2.4.离场安全保密管理245.2.5.其它情况说明241. 项目概述1.1. 项目背景为了落实落实国家信息化领导小组相关加强信息安全保障工作意见、相关信息安全等级保护工作实施意见和信息安全等级

3、保护管理措施精神，XXXXXXXXXXXXXXXXXXX需要根据国家信息安全技术信息系统安全等级保护定级指南、计算机信息系统安全保护等级划分准则、信息系统安全等级保护基础要求、信息系统安全等级保护测评准则要求，对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全方面信息安全测评和评定工作,而且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测评包含：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上安全控制测评；安全管理测评包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面安全控制测评），加大测评和风险评定力

4、度，对信息系统资产、威胁、弱点和风险等要素进行全方面评定，有效提升信心系统安全防护能力，建立长久化等级保护工作机制，深化信息安全等级保护工作，提升XXXXXXXXXXXXXXXXXXX网络和信息系统安全保障和运维能力。1.2. 项目目标全方面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统信息安全测评和评定工作和帮助整改工作，而且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务，根据国家和XXXXXXXXXXXXXXXXXXX相关要求，对XXXXXXXXXXXXXXXXXXX网络架构进行业务影响分析及网络安全管理工作进行梳理，提升XXXXXXXXXXXXXXXXXXX

5、整个网络安全保障和运维能力，降低信息安全风险和降低信息安全事件发生概率，全方面提升网络层面安全性，构建XXXXXXXXXXXXXXXXXXX信息系统整体信息安全架构，确保全局信息系统高效稳定运行，并满足XXXXXXXXXXXXXXXXXXX提出基础要求，立即提供咨询等服务。1.3. 项目标准项目标方案设计和实施应满足以下标准：符合性标准：应符合国家信息安全等级保护制度及相关法律法规，指出防范方针和保护标准。标准性标准：方案设计、实施和信息安全体系构建应依据中国、国际相关标准进行。规范性标准：项目实施应由专业等级测评师依据规范操作步骤进行，在实施之前将具体量化出每项测评内容，对操作过程和结

6、果提供规范统计，方便于项目标跟踪和控制。可控性标准：项目实施方法和过程要在双方认可范围之内，实施进度要根据进度表进度安排，确保项目实施可控性。整体性标准：安全体系设计范围和内容应该整体全方面，包含安全包含各个层面，避免因为遗漏造成未来安全隐患。最小影响标准：项目实施工作应尽可能小影响网络和信息系统正常运行，不能对信息系统运行和业务正常提供产生显著影响。保密标准：对项目实施过程取得数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害测评委托单位利益行为。1.4. 项目依据信息系统等级测评依据信息系统安全等级保护基础要求、信息系统安全等级保护测评要求，在对

7、信息系统进行安全技术和安全管理安全控制测评及系统整体测评结果基础上，针对对应等级信息系统遵照标准进行综合系统测评，提出对应系统安全整改提议。关键参考标准以下：计算机信息系统安全保护等级划分准则- GB17859-1999 信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全等级保护管理措施信息安全技术信息系统安全等级保护定级指南（GB/T 22240-）信息安全技术信息系统安全等级保护基础要求（GB/T 22239-）计算机信息系统安全保护等级划分准则（GB17859-1999）信息安全技术信息系统通用安全技术要求（GB/T20271

8、-）信息安全技术网络基础安全技术要求（GB/T20270-）信息安全技术操作系统安全技术要求（GB/T20272-）信息安全技术数据库管理系统安全技术要求（GB/T20273-）信息安全技术服务器技术要求（GB/T21028-）信息安全技术终端计算机系统安全等级技术要求（GA/T671-）信息安全风险评定规范（GB/T 20984-）2. 测评实施内容2.1. 测评分析2.1.1. 测评范围本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统等级保护测评。2.1.2. 测评对象此次测评对象为XXXXXXXXXXXXXXXXXXX信息系统，具体以下：序号信息系

9、统名称等级1XXXXXXXXX信息系统三级2XXXXXXXXX信息系统三级3XXXXXXXXX信息系统三级4XXXXXXXXX信息系统三级5XXXXXXXXX信息系统二级6XXXXXXXXX信息系统二级2.1.3. 测评架构图此次测评结合XXXXXXXXXXXXXXXXXXX系统信息管理特点，进行不一样层次测评工作，以下表所表示：2.1.4. 测评内容本项目关键分为两步开展实施。第一步，对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和立案工作。第二步，对XXXXXXXXXXXXXXXXXXX已经定级立案系统进行十个安全层面等级保护安全测评（物理安全、网络安全、主机安全、应用安全、

10、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。其中安全测评分为差距测评和验收测评。差距测评关键针对XXXXXXXXXXXXXXXXXXX已定级立案系统实施国家标准安全测评，差距测评交付差距测评汇报和差距测评整改方案；差距整改完成后帮助完成系统配置方面整改。最终进行验收测评，验收测评将根据国家标准和国家公安认可测评要求、测评过程、测评汇报，帮助对XXXXXXXXXXXXXXXXXXX已定级立案系统实施系统安全验收测评，验收测评交付含有国家认可验收测评汇报。信息系统安全等级保护测评包含两个方面内容：一是安全控制测评，关键测评信息安全等级保护要求基础安全

11、控制在信息系统中实施配置情况；二是系统整体测评，关键测评分析信息系统整体安全性。其中，安全控制测评是信息系统整体安全测评基础。安全控制测评使用测评单元方法组织，分为安全技术测评和安全管理测评两大类。安全技术测评包含：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上安全控制测评；安全管理测评包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面安全控制测评。具体见下图：系统整体测评包含到信息系统整体拓扑、局部结构，也关系到信息系统具体安全功效实现和安全控制配置，和特定信息系统实际情况紧密相关。在安全控制测评基础上，关键考虑安全控制间、层面间和区域间相互关

12、联关系，分析评定安全控制间、层面间和区域间是否存在安全功效上增强、补充和减弱作用和信息系统整体结构安全性、不一样信息系统之间整体安全性。综合测评总结将在安全控制测评和系统整体测评两个方面内容基础上进行，由此而取得信息系统对应安全等级保护等级符合性结论。2.1.5. 测评对象依据信息安全等级保护要求、参考业界权威安全风险评定标准和模型，同时结合本企业多年安全风险评定经验和实践，从信息系统关键资产出发，以威胁和弱点为导向，对比信息安全等级保护具体要求，全方面对信息系统进行全方面评定。测评对象种类关键考虑以下多个方面：1 整体网络拓扑结构；2 机房环境、配套设施；3 网络设备：包含路由器、关键交换机

13、、汇聚层交换机等；4 安全设备：包含防火墙、IDS/IPS、防病毒网关等；5 主机系统（包含操作系统和数据库系统）；6 业务应用系统；7 关键管理终端（针对三级以上系统）； 8 安全管理员、网络管理员、系统管理员、业务管理员；9 包含到系统安全全部管理制度和统计。依据信息系统测评强度要求，在实施具体核查方法时，在广度上要做到从测评范围中抽取充足测评对象种类和数量；在实施具体检测方法，在深度上要做到对功效等各方面测试。2.1.6. 测评指标对于二级系统，如业务信息安全等级为S2，系统服务安全等级为A2，则该系统测评指标应包含GB/T 22239-信息系统安全保护等级基础要求中“技术要求”部分2级

14、通用指标类（G2），2级业务信息安全指标类（S2），2级系统服务安全指标类（A2），和第2级“管理要求”部分中全部指标类，等级保护测评指标情况具体以下表所表示：测评指标（二级）技术/管理层面类数量S类(2级)A类(2级)G类(2级)小计安全技术物理安全11810网络安全1056主机安全2136应用安全4217数据安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理0099系统运维管理001212累计66（类）对于三级系统，如业务信息安全等级为S3，系统服务安全等级为A3，则该系统测评指标应包含GB/T 22239-信息系统安全保护等级基础要求中“技术要

15、求”部分3级通用指标类（G3），3级业务信息安全指标类（S3），3级系统服务安全指标类（A3），和第3级“管理要求”部分中全部指标类，等级保护测评指标情况具体以下表所表示：测评指标（三级）技术/管理层面类数量S类(3级)A类(3级)G类(3级)小计安全技术物理安全11810网络安全1067主机安全3137应用安全5229数据安全2103安全管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313累计73（类）2.2. 测评步骤等级保护测评实施过程包含以下四个阶段：2.2.1. 测评准备阶段测评项目组组建：明确项目经理、测评人员及职责分

16、工。项目计划书编制：项目计划书包含项目概述、工作依据、技术思绪、工作内容和项目组织等。信息系统调研：经过查阅被测系统已经有资料或使用调查表格方法，了解整个系统组成和保护情况，明确被测系统范围（尤其是信息系统边界），了解被测系统具体组成，包含网络拓扑、业务应用、业务步骤、设备信息（服务器、数据库、网络设备、安全设备、数据库等）、管理制度等。工具和表单准备：依据被测系统实际情况，准备测评工具和各类测评表单。2.2.2. 方案编制阶段测评对象确定：依据已经了解到被测系统信息，分析整个被测系统及其包含业务应用系统，确定出此次测评测评对象。测评指标确定：依据已经了解到被测系统定级结果，确定出此

17、次测评测评指标。测评工具接入点确定：确定需要进行工具测试测评对象，选择测试路径，依据测试路径确定测试工具接入点。测评内容确定：确定现场测评具体实施内容，即单元测评内容。测评实施手册开发：编制测评实施手册，具体描述现场测评工具、方法和操作步骤等，具体指导测评人员怎样进行测评活动。2.2.3. 现场测评阶段现场测评实际上就是单项测评，分别从技术上物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。物理安全：经过人员访谈、文档审查和实地察看方法测评信息系统物理安全保障情况。关键包含对象为物理

18、基础设施。在内容上，物理安全层面测评实施过程包含10个测评单元，包含：物理位置选择、物理访问控制、防偷窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供给、电磁防护。网络安全：经过访人员访谈、配置检验和工具测试方法测评信息系统网络安全保障情况。关键包含对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上，网络安全层面测评实施过程包含7个测评单元，包含：结构安全、访问控制、安全审计、边界完整性检验、入侵防范、网络设备防护、恶意代码防范（针对三级系统）。主机安全：经过人员访谈、配置检验和工具测试方法测评信息系统主机安全保障情况。关键包含对象为各类服务器操作系统、数据库管理系统

19、。在内容上，主机系统安全层面测评实施过程包含7个测评单元，包含：身份判别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩下信息保护（针对三级系统）。应用安全：经过人员访谈、配置检验和工具测试方法测评信息系统应用安全保障情况，关键包含对象为各类应用系统。在内容上，应用安全层面测评实施过程包含9个测评单元，包含：身份判别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩下信息保护（针对三级系统）、抗抵赖（针对三级系统）。数据安全：经过人员访谈、配置检验方法测评信息系统数据安全保障情况，关键包含对象为信息系统管理数据及业务数据等。在内容上，数据安全层面测评实施过程包含

20、3个测评单元，包含：数据完整性、数据保密性、备份和恢复。安全管理制度：经过人员访谈、文档审查和实地察看方法测评信息系统安全管理制度情况。在内容上，安全管理制度方面测评实施过程包含3个测评单元，包含：管理制度、制订和公布、评审和修订。安全管理机构：经过人员访谈、文档审查方法测评信息系统安全管理机构情况。在内容上，安全管理机构方面测评实施过程包含5个测评单元，包含：岗位设置、人员配置、授权和审批、沟通和合作、审核和检验。人员安全管理：经过人员访谈、文档审查方法测评信息系统人员安全管理情况。在内容上，人员安全管理方面测评实施过程包含5个测评单元，包含：人员录用、人员离岗、人员考评、安全意识教育

21、和培训、外部人员访问管理。系统建设管理：经过人员访谈、文档审查方法测评信息系统系统建设管理情况。在内容上，系统建设管理方面测评实施过程包含11个测评单元，包含：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统立案（针对三级系统）、系统测评（针对三级系统）。系统运维管理：经过人员访谈、文档审查方法测评信息系统系统运维管理情况。在内容上，系统运维管理方面测评实施过程包含13个测评单元，包含：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份和恢复管理、安全事件处理、

22、应急预案管理、监控管理和安全管理中心（针对三级系统）。2.2.4. 分析和汇报编制阶段单项测评结果分析：针对测评指标中单个测评项，结合具体测评对象，客观、正确地分析测评证据。单元测评结果判定：将单项测评结果进行汇总，分别统计不一样测评对象单项测评结果，从而判定单元测评结果，并以表格形式逐一列出。整体测评：针对单项测评结果不符合项，采取逐条判定方法，从安全控制间、层面间和区域间出发考虑，给出整体测评具体结果，并对系统结构进行整体安全测评。风险分析：据等级保护相关规范和标准，采取风险分析方法分析等级测评结果中存在安全问题可能对被测系统安全造成影响。等级测评结论形成：在测评结果汇总基础上，

23、找出系统保护现实状况和等级保护基础要求之间差距，并形成等级测评结论。测评汇报编制：依据等级测评结论，编制测评汇报，包含概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改提议等。2.3. 测评方法在等级保护测评过程目中，将采取以下测评方法：2.3.1. 工具测试利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包含基于网络探测和基于主机审计漏洞扫描、渗透测试等。测评方法工具测试简明描述利用技术工具，从网络不一样接入点对网络内主机、服务器、数据库、网络设备、安全设备等进行脆弱性检验和分析

24、达成目标发掘系统安全漏洞工作条件1-2人工作环境，电源和网络接入环境，甲方人员、网络、系统配合工作结果工具测试结果统计2.3.2. 配置检验利用上机验证方法检验主机、服务器、数据库、网络设备、安全设备、应用系统配置是否正确，是否和文档、相关设备和部件保持一致，对文档审核内容进行核实（包含日志审计等），测评其实施正确性和有效性，检验配置完整性，测试网络连接规则一致性，从而测试系统是否达成可用性和可靠性要求。测评方法配置检验简明描述经过登陆系统控制台方法，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统安全配置情况达成目标发觉配置安全隐患工作条件1-2人工作环境，甲方人员、网络、系

25、统配合工作结果配置检验结果统计2.3.3. 人员访谈和被测系统相关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解相关信息。在访谈范围上，不相同级信息系统在测评时有不一样要求，通常应基础覆盖全部安全相关人员类型，在数量上能够抽样。测评方法人员访谈简明描述经过交流、讨论方法，对技术和管理方面进行脆弱性检验和分析达成目标发掘技术和管理方面存在安全问题工作条件1-2人工作环境，甲方人员配合工作结果人员访谈结果统计2.3.4. 文档审查检验制度、策略、操作规程、制度实施情况统计等文档（包含安全方针文件、安全管理制度、安全管理实施过程文档、系统设计方案、网络设备技术资料、系统和产品实际配置说明

26、、系统多种运行统计文档、机房建设相关资料、机房出入统计等过程统计文档）完整性，和这些文件之间内部一致性。测评方法文档审查简明描述经过文档审核和分析，检验制度、策略、操作规程、制度实施情况统计完整性和内部一致性达成目标发掘技术和管理方面存在安全问题工作条件1-2人工作环境，甲方人员、各类文档资料配合工作结果文档审查结果统计2.3.5. 实地查看经过实地观察人员行为、技术设施和物理环境情况判定人员安全意识、业务操作、管理程序和系统物理环境等方面安全情况，测评其是否达成了对应等级安全要求。项目名称实地查看简明描述经过现场查看人员行为、技术设施和物理环境情况，检验人员安全意识、业务操作、管理程序和系统

27、物理环境等方面安全情况。达成目标发掘技术和管理方面存在安全问题工作条件1-2人工作环境，甲方人员配合工作结果实地查看结果统计2.4. 测评工具我们在等级保护测评过程中使用测评工具严格遵照可控性标准，即全部使用测评工具将事先提交给甲方检验确定，确保在双方认可范围之内，而且测评过程中采取技术手段确保已经过可靠实际应用。在本项目中，将采取以下测评工具：工具类别工具名称工具介绍漏洞扫描工具绿盟极光远程安全评定系统绿盟企业出品商业漏洞扫描系统Web应用扫描工具IBM APPScanIBM企业出品商业Web应用安全扫描系统WVS(Web Vulnerability Scanner)一个自动化Web应用程序

28、安全测试工具，它能够扫描任何可经过Web浏览器访问和遵照HTTP/HTTPS规则Web站点和Web应用程序2.5. 输出文档本项目输出关键输出文档为等级保护测评实施方案（资产搜集、测评表）等级保护测评差距分析汇报等级保护测评安全整改方案等级保护测评安全整改汇报3. 时间安排序号任务名称工作内容开始时间完成时间阶段完成标志关键责任人配合人员1项目准备阶段编制实施方案/7/8实施方案2编制资产搜集/7/9/7/15资产搜集表3编制测评表测评表4前期调研资产搜集/7/16/7/17完成资产搜集表5差距测评技术和管理单项测评 /7/20/8/21完成信息系统测评表6差距测评汇报编制单元测评、整

29、体测评、风险分析、汇报编制 /8/24/8/28差距测评汇报 7安全整改提议对部分风行较高不符合项给出整改汇报 /8/31/9/4整改方案 8安全加固和检验对整改部分内容进行复检 /9/7/9/25整改汇报9等级保护验收测评帮助中心经过第三方测评/9/28/11/31取得测评证书4. 人员安排4.1. 组织结构4.2. 项目工作分工为确保测评工作顺利进行，XXXXXXXXXXXXXXXXXXX和XXXXXXXXXXXXXXXXXXX信息安全协商组建项目组，并对项目组织机构进行以下计划：n XXXXXXXXXXXXXXXXXXX：名称职责项目责任人项目总体责任人，负责协调XXXXXXXX

30、XXXXXXXXXXX整体项目资源，处理项目中需要XXXXXXXXXXXXXXXXXXX配合问题，监督项目整体质量、推进项目整体进度n XXXXXXXXXXXXXXXXXXX信息安全：名称职责项目责任人项目总体责任人，负责组织等级保护测评和评定实施队伍，做好整体日常资源管理、分配和协调工作，并直接控制整体项目管理各个要素，具体包含：项目方案设计项目计划和组织项目协调和沟通（含召集项目周例会）项目进度管理（含编写项目周报）项目质量控制项目技术人员项目技术人员，包含项目分组组长和实施人员，在项目经理率领、分工和控制下，负责根据项目技术方案和项目计划实施测评和评定工作，需要提交：天天

31、工作日报单项测评结果统计单项安全整改提议4.3. 人员配置表名称职责人员项目责任人项目总体责任人，负责组织等级保护测评和评定实施队伍，做好整体日常资源管理、分配和协调工作，并直接控制整体项目管理各个要素，具体包含：项目方案设计项目计划和组织项目协调和沟通（含召集项目周例会）项目进度管理（含编写项目周报）项目质量控制项目技术人员负责根据项目技术方案和项目计划实施测评工作，需要提交：天天工作日报单项测评结果统计单项安全整改提议4.4. 工作配合为确保本项目标顺利实施，对现场测评阶段各项工作点提出双方工作配合：序号工作点甲方配合乙方配合1现场工具测评1、人员要求系统管理员*

32、前期提供系统软硬件配置，相关系统检收文档。* 现场登录设备运行检验脚本工具*登录设备查看安全配置2、环境要求 * 提供能够访问网络设备及测评系统2个IP地址 * 关闭测评IP和系统之间防火墙。1、准备测评工具及接入方案2、测评技术人员2现场配置检验1、人员要求网络管理员 * 前期提供网络拓朴图。 * 登录网络设备，配合测评人员检验设备配置。系统管理员* 登录网络设备，配合测评人员检验设备配置。2、环境要求可登录系统及网络设备1、准备配合检验方案2、测评技术人员3人员访谈1、访谈对象要求信息部管理人员 * 配合调查表访谈系统开发&管理人员 * 配合测评回复应用系统操作相关问题网络管理人员

33、* 配合测评回复网络架构，及设备配置操作相关问题2、环境要求提供会议室1、准备访谈安排及访谈纲领2、测评技术人员4文档审查1、人员要求信息部管理人员 * 提供等保相关管理制度系统开发&管理人员 * 提供对应系统建设方案及验收文档网络管理人员* 提供网络系统建设方案及验收文档*IP计划文档等2、环境要求提供办公场所1、准备测评表2、二位测评技术人员5实地查看1、人员要求机房管理员 * 配合测评人员检验机房物理环境。2、环境要求 * 可访问机房、办公等物理区域1、准备测评表2、测评技术人员5. 其它相关事项5.1. 风险规避在测评过程中，可能会对被测系统造成影响，对应地会造成多种损失。这些影

34、响包含信息泄漏、业务停顿或处理能力受损等。所以，必需充足考虑多种可能影响及其危害并准备好对应应对方法，尽可能减小对目标系统正常运行干扰，从而减小损失。下表给出了测评过程中可能存在风险和控制方法。内容可能存在风险等级控制方法信息资产调研资产信息泄漏高协议、规章、制度、法律、法规安全管理测评安全管理信息泄漏高协议、协议、规章、制度、法律、法规网络设备测评/安全设备测评误操作引发设备瓦解或数据丢失、损坏高规范审计步骤；严格选择测评师；甲方进行全程监控；制订可能恢复计划网络/安全设备资源占用低避开业务高峰；控制扫描策略（线程数量、强度）漏洞扫描网络流量低避开业务高峰；控制扫描策略（线程数量、强度）主机

35、资源占用低避开业务高峰；控制扫描策略（线程数量、强度）控制台审计误操作引发系统瓦解或数据丢失、损坏高规范审计步骤；严格选择测评师；甲方进行全程监控；制订可能恢复计划；网络流量和主机资源占用低避开业务高峰应用测评产生非法数据，致使系统不能正常工作中做好系统备份和恢复方法异常输入（畸形数据、极限测试）造成系统瓦解高做好系统备份和恢复方法5.2. 项目信息管理为了保障XXXXXXXXXXXXXXXXXXX信息系统安全，XXXXXXXXXXXXXXXXXXX信息安全将严格遵守XXXXXXXXXXXXXXXXXXX相关保密方面要求，自觉保守XXXXXXXXXXXXXXXXXXX商业秘密。XXXXXXXX

36、XXXXXXXXXXX为方便项目实施所提供给投标人工作步骤、管理模式、规程、程序等相关资料文档和实施过程中所产生资料、文档、数据均属于XXXXXXXXXXXXXXXXXXX知识产权，未经XXXXXXXXXXXXXXXXXXX授权同意，XXXXXXXXXXXXXXXXXXX信息安全不得另作她用，XXXXXXXXXXXXXXXXXXX信息安全采取管理和技术方法确保信息机密性。如因XXXXXXXXXXXXXXXXXXX信息安全职员原因造成上述资料、文档、数据或XXXXXXXXXXXXXXXXXXX商业秘密泄露，XXXXXXXXXXXXXXXXXXX有权要求XXXXXXXXXXXXXXXXXXX信息安

37、全采取方法消除影响，赔偿损失。加强安全保密工作具体控制方法以下：5.2.1. 保密责任法律确保XXXXXXXXXXXXXXXXXXX信息安全和XXXXXXXXXXXXXXXXXXX签署保密责任协议，对项目实施保密相关事宜给予法律确保。同时，XXXXXXXXXXXXXXXXXXX信息安全确保全部参与项目标技术人员均含有等级测评技术资质，且均和XXXXXXXXXXXXXXXXXXX信息安全已签署保密责任书。5.2.2. 现场安全保密管理测评过程中，如确有安全保密需要，项目中XXXXXXXXXXXXXXXXXXX信息安全人员使用笔记本可由XXXXXXXXXXXXXXXXXXX提供，而且仅限于在XXX

38、XXXXXXXXXXXXXXXX工作环境内使用和保管，未经XXXXXXXXXXXXXXXXXXX许可严禁私自带出。在XXXXXXXXXXXXXXXXXXX办公环境中，除XXXXXXXXXXXXXXXXXXX提供或许可U盘外，严禁出现其它存放介质。5.2.3. 文档安全保密管理对需要XXXXXXXXXXXXXXXXXXX提供文档资料，XXXXXXXXXXXXXXXXXXX信息安全提交文档调用单给XXXXXXXXXXXXXXXXXXX，文档调用单上“借出部分”须明确文档类别、文档内容、文档申请人员、文档使用人员、调用时间。文档资料未经XXXXXXXXXXXXXXXXXXX许可严禁带出现场，统一保管

39、在XXXXXXXXXXXXXXXXXXX指定文件柜里，使用完后XXXXXXXXXXXXXXXXXXX信息安全返还给XXXXXXXXXXXXXXXXXXX，并填写文档调用单上“交回部分”交回人员、交回时间。全部文档资料仅限于在XXXXXXXXXXXXXXXXXXX工作环境内使用。对于电子文档，全部传输须经过XXXXXXXXXXXXXXXXXXX提供或许可U盘，保留在文档申请人员、文档使用人员笔记本电脑上，笔记本电脑须设高安全等级口令或其它加密方法。全部输出文档非正式稿打印件和相关材料，均须现场粉碎处理。5.2.4. 离场安全保密管理现场测评离场时，假如笔记本电脑为XXXXXXXXXXXXXXXXXXX提供，则笔记本电脑须交回XXXXXXXXXXXXXXXXXXX。同时由XXXXXXXXXXXXXXXXXXX相关人员检验全部存放介质是否存放非测评需要电子文档。5.2.5. 其它情况说明碰到未列明包含保密方面其它情况，双方就个案单独洽谈，由双方项目责任人签字确定。

展开阅读全文