网络安全等级保护等级测评方案模板.docxVIP

PAGE 网络安全等级保护 XXX系统 等级测评方案 系统名称： 委托单位： 测评单位： 编制日期： 2023年X月  测评文档基本信息 文档名称 网络安全等级保护【XXX系统】等级测评方案 编制单位 编 制 人 审 阅 人 提交日期 测评文档确认信息 确 认 人 日期 单位/部门 目录- PAGE \* ROMAN II- 目 录 TOC \o "2-3" \f \u \t "标题 1,1" 1 概述 3 1.1 项目简介 3 1.2 测评依据 3 2 被测信息系统情况 3 2.1 定级情况 4 2.2 承载的业务情况 4 2.3 网络结构 4 2.4 被测对象资产 4 2.5 上次测评问题整改情况说明 7 3 测评范围与方法 7 3.1 测评指标 8 3.1.1 安全通用要求指标 8 3.1.2 安全扩展要求指标 8 3.1.3 其他安全要求指标 9 3.1.4 不适用安全要求指标 9 3.2 测评对象 9 3.2.1 测评对象选择方法 9 3.2.2 测评对象选择结果 10 3.3 测评方法 12 4 单项测评内容 13 4.1 基础环境安全测评 13 4.1.1 安全物理环境测评 13 4.1.2 安全通信网络测评 14 4.1.3 安全区域边界测评 14 4.1.4 安全计算环境测评 15 4.1.5 安全管理中心测评 16 4.1.6 安全管理制度测评 16 4.1.7 安全管理机构测评 16 4.1.8 安全管理人员测评 17 4.1.9 安全建设管理测评 17 4.1.10 安全运维管理测评 18 4.2 云计算安全测评 18 4.2.1 安全物理环境 18 4.2.2 安全通信网络 19 4.2.3 安全区域边界 19 4.2.4 安全计算环境 19 4.2.5 安全管理中心 20 4.2.6 安全建设管理 20 4.2.7 安全运维管理 20 4.3 移动互联安全测评 21 4.3.1 安全物理环境 21 4.3.2 安全区域边界 21 4.3.3 安全计算环境 21 4.3.4 安全建设管理 21 4.3.5 安全运维管理 22 4.4 大数据安全测评 22 4.4.1 安全物理环境 22 4.4.2 安全通信网络 22 4.4.3 安全计算环境 22 4.4.4 安全建设管理 23 4.4.5 安全运维管理 24 5 工具测试 24 5.1 测评工具 24 5.2 风险和规避措施 24 5.2.1 操作系统和常见应用漏洞扫描 24 5.2.2 WEB应用漏洞扫描 25 5.3 工具测试接入点说明 25 5.3.1 在接入点进行探测 26 5.4 渗透测试说明 26 6 系统整体测评内容 26 6.1 安全控制间安全测评 27 6.2 区域/层面间安全测评 27 7 配合资源要求 27 正文第PAGE28页/共28页 概述 项目简介 为贯彻落实国务院147号令和中办27号文件，公安部会同有关部委出台了一系列的文件以及具体工作的指导意见和规范，并在全国范围内组织完成了一系列工作。目前，信息安全等级保护工作已经进入安全建设整改阶段，公安部印发了《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429），明确提出：“依据信息安全等级保护有关政策和标准，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，力争在2012年底前完成已定级信息系统安全建设整改工作”。 为了贯彻国家对网络安全保障工作的要求，XXXX委托YYYY对ZZZZ平台进行安全等级保护测评。测评工作组将依据等级保护的相关管理规范、技术标准，实施本次安全测评工作。安全测评范围包括被测系统相关的网络设备、安全设备、服务器设备等；测评内容涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及信息安全管理等方面。测评完成后针对系统中存在的安全问题进行风险分析，提出整改意见，并最终形成安全等级测评报告。本测评方案仅用于指导ZZZZ平台的安全等级保护测评工作。 测评依据 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 《信息安全等级保护管理办法》（公通字[2007]43号） GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》（以下简称《基本要求》） GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》（以下简称《测评要求》） 被测信息系统情况 定级情况 本次被测系统定级结果如下： ZZZZ平台的安全保护等级为第三级，其中业务信息安全等级和系统服务安全等级均为第三级。 承