信息系统安全等级保护测评自查(13页).doc
《信息系统安全等级保护测评自查(13页).doc》由会员分享,可在线阅读,更多相关《信息系统安全等级保护测评自查(13页).doc(13页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、-信息系统安全等级保护测评自查-第 13 页信息系统安全等级保护测评自查(二级)单位全称:XXX 项目联系人:XX X 电话:XXX 邮箱:XXX1 被测信息系统情况1.1 承载的业务情况深圳市XXX系统,XX年投入使用,包括X台服务器、X台网络设备和X台安全设备。深圳市XXX系统是为深圳市XXX(系统简介)。1.2 网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。深圳市XXX系统由边界安全域、核心安全域和服务
2、器安全域等三个功能区域组成,主要有XXX功能。各功能区都位于XX机房。具体拓扑如下:图 2-1 深圳市XXX系统拓扑图备注:需注明网络出口(电信,电子资源政务中心、XXX等)1.3 系统备案情况深圳市XXX系统备案为X级,系统备案编号为X,备案软件显示系统防护为SXAXGX2 系统构成2.1机房序号机房名称物理位置1 XXX机房 XX大楼XX2.2网络设备以列表形式给出被测信息系统中的网络设备。序号设备名称操作系统品牌设备信息用途数量(台/套)重要程度1华为交换机OS华为S9700IP:192.168.1.1接入交换机2高2华为路由器 OS2.3安全设备以列表形式给出被测信息系统中的安全设备。
3、序号设备名称操作系统品牌设备信息用途数量(台/套)重要程度1华为信防火墙防火墙OS 华为型号:XXXIP:192.168.1.1策略限制、访问控制3高2NIP绿盟型号:XXXIP:192.168.1.1入侵检测1高3SSLVPN深信服型号:XXXIP:192.168.1.1VPN1高4负载均衡深信服型号:XXXIP:192.168.1.1负载均衡1中2.4服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1
4、。操作系统/数据库管理系统版本业务应用软件数量(台/套)重要程度1服务器名称windowsIP:192.168.1.1 2008业务系统应用2高2.5终端以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。序号设备名称操作系统用途数量(台/套)重要程度1W-PCwindows业务管理终端2高2.6业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。序号软件名称主要功能开发厂商重要程度1XXX系统XXX系统该系统.(系统简介)永泰高2 Tomcat3 Weblogic2.7关键数据类别以列表形式描述具
5、有相近业务属性和安全需求的数据集合。序号数据类别如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。所属业务应用安全防护需求保密性,完整性等。重要程度1业务数据XX系统保密性、完整性高如鉴别数据、管理信息和业务数据等,而业务数据可从安全防护需求(保密、完整等)的角度进一步细分。保密性,完整性等2.8安全相关人员序号姓名岗位/角色联系方式1XXX安全主管136XXXXX2XXX 网络管理员139XXXXX.2.9安全管理文档序号文档名称主要内容1深圳市XXX局计算机网络保密管理办法内网计算机维修、报废、软硬件、IP管理2关于成立深圳市XXX局信息安全管理
6、领导小组的决定明确小组成员及成员工作职责3深圳市XXX局信息公开保密审查制度公开保密审查流程,防止保密信息泄露4市XXX局中心机房管理制度机房日常、设备、系统软件、计算机病毒防范管理,数据保密及数据备份,管理员职责,计算机使用和管理制度5深圳市XXX局信息安全、网络安全突发事件的应急处置预案组织指挥体系及职责、预防和预警机制、应急响应,宣传、培训、审查、监控6深圳市XXX局网站管理暂行办法网站日常维护和管理,网站安全、监督与考核2.10安全服务序号安全服务名称安全服务包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。安全服务商1安全运维XXXX3 扫描3.1主机
7、扫描 采用绿盟极光对服务器、网络设备、数据库等进行主机扫描,发现服务器操作系统、数据库版本漏洞、系统补丁、弱口令等安全漏洞。原始报告可另附。3.2应用层扫描 采用IBM Rational Appscan对系统进行应用层扫描,发现系统由于编码习惯,插件版本等存在的漏洞,可发现各种CGI 漏洞、SQL注入,跨站脚本,敏感信息泄漏。 原始报告可另附。4 安全管理核查4.1安全管理制度安全子类测评指标自查记录备注管理制度应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;应对安全管理活动中的各类管理内容建立安全管理制度;应对要求管理人员或操作人员执行的日常管理操
8、作建立操作规程;制定和发布应指定或授权专门的部门或人员负责安全管理制度的制定;应组织相关人员对制定的安全管理制度进行论证和审定;应将安全管理制度以某种方式发布到相关人员手;评审和修订应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订;4.2安全管理机构安全子类测评指标自查记录备注岗位设置应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;人员配备应配备一定数量的系统管理员、网络管理员、安全管理员等;安全管理员不能兼任网络管理员、系统管理员、数据库管理员等;授权和审批应根据各个部门和岗
9、位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;应针对关键活动建立审批流程,并由批准人签字确认;沟通和合作应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;应加强与兄弟单位、公安机关、电信公司的合作与沟通;审核和检查安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;4.3人员安全管理安全子类测评指标自查记录备注人员录用应指定或授权专门的部门或人员负责人员录用;应规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;应与从事关键岗位的人员签
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 保护 测评 自查 13
限制150内