信息系统等级保护测评工作方案

来源：用户分享时间：2025/10/8 14:37:37 本文由

loading 分享下载这篇文档手机版

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:xxxxxxx或QQ：xxxxxx 处理（尽可能给您提供完整文档），感谢您的支持与谅解。

XX 安全服务公司

2018-2019 年 XXX 项目

等级保护差距测评实施方案

XXXXXXXXX 信息安全有限公司 201X 年X月

目

录

目

录 ................................................................

1. 项目概述 ..........................................................

2 1.1. 项目背景 ....................................................... 2 1.2. 项目目标 ..................................................... 2 1.3. 项目原则 .....................................................

2 1.4. 项目依据 .....................................................

2. 测评实施内容 ...................................................... 3

2.1. 测评分析 ....................................................... 4 2.1.1. 测评范围 ................................................... 4 2.1.2. 测评对象 ................................................... 4 2.1.3. 测评内容 ................................................... 4 2.1.4. 测评对象 ................................................... 7 2.1.5. 测评指标 ................................................... 8

2.2. 测评流程 ....................................................... 9 2.2.1. 测评准备阶段 .............................................. 10 2.2.2. 方案编制阶段 .............................................. 11 2.2.3. 现场测评阶段 .............................................. 11

2.2.4. 分析与报告编制阶段 ........................................ 13

2.3. 测评方法 ...................................................... 13

2.3.1. 工具测试 .................................................. 13 2.3.2. 配置检查 .................................................. 14 2.3.3. 人员访谈 .................................................. 14 2.3.4. 文档审查 .................................................. 15 2.3.5. 实地查看 .................................................. 15

2.4.

测评工具 .................................................... 16 2.5.

输出文档 .................................................... 17

2.5.1.

等级保护测评差距报告

......................错误！未定义书签。2.5.2. 等级测评报告 .............................. 错误！未定义书签。2.5.3. 安全整改建议 ..............................

错误！未定义书签。3. 时间安排 .........................................................

4. 人员安排 ......................................................... 18

4.1. 4.2.

组织结构及分工 .............................................. 人员配置表 ..................................................

18 19 20 21 21 23

23 23 24 24 24

4.3. 工作配合 ......................................................

5. 其他相关事项 .....................................................

5.1. 风险规避 ....................................................

5.2. 项目信息管理 ..................................................

5.2.1. 保密责任法律保证 .......................................... 5.2.2. 现场安全保密管理 .......................................... 5.2.3. 文档安全保密管理 .......................................... 5.2.4. 离场安全保密管理 .......................................... 5.2.5. 其他情况说明 ..............................................

1. 项目概述

1.1. 项目背景

为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意

见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理

办法》的精神， 2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、

《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求，对 XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作 , 并且为 XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。 ( 安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面

上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评），加大测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制，

深化信息安全等级保护工作，提高 XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。

1.2. 项目目标

全面完成 XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工作和协助整改工作，并且为 XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务，按照国家和 XXXXXXXXXXXXXXXXXXX的有关要求，对 XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梳理，提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力，减少信息安全风险和降

低信息安全事件发生的概率，全面提高网络层面的安全性，构建

XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构，确保全局信息系统高效稳

定运行，并满足 XXXXXXXXXXXXXXXXXXX提出的基本要求，及时提供咨询等服务。

1.3. 项目原则

项目的方案设计与实施应满足以下原则：

符合性原则：应符合国家信息安全等级保护制度及相关法律法规，指出

防范的方针和保护的原则。

标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际

的相关标准进行。

规范性原则：项目实施应由专业的等级测评师依照规范的操作流程进

行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进

度要按照进度表进度的安排，保证项目实施的可控性。

整体性原则：安全体系设计的范围和内容应当整体全面，包括安全涉及

的各个层面，避免由于遗漏造成未来的安全隐患。

最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常

运行，不能对信息系统的运行和业务的正常提供产生显著影响。

保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得

泄露给任何单位和个人，不得利用此数据和结果进行任何侵害测评委托单位利益的行为。

第 2页共24页

搜索更多关于：信息系统等级保护测评工作方案的文档

信息系统等级保护测评工作方案.doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印

下载这篇word文档

本文链接：https://www.diyifanwen.net/c9iuo654lxz3pit886asl2xn8u9whjn0048q_1.html（转载请注明文章来源）