附件1:技术协议书
1.概述
为了落实公安部、能源局和国家电网公司电力信息系统安全等级保护要求,进一步增强电力信息系统安全防护能力,确保电力信息系统安全稳定运行,依据《信息系统安全等级保护基本要求》(GB/T 22239-2008)和《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)等标准规范,进行本次电力信息系统等级保护。
1.1.目的及范围
落实信息系统安全等级保护要求,健全电力信息系统安全防护体系,统一信息安全防护标准和策略,按照电力信息系统不同安全等级,通过合理分配资源,规范电力信息系统安全建设与防护,对电力信息系统分等级实施全面保护,以提高xxx系统信息安全的整体防护水平。
通过等级保护测评工作,全面、完整地了解
xxx
系统的现有安全状况,通
过测评其与《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《电力信息系统安全等级保护要求(试行)》对应级别的差距,达到以检查促安全的目的,实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的要求。
经甲乙双方协商,本项目的工作范围包括:
1、对xxx系统等级保护测评,出具等级保护测评报告。
1.2.要求
本次项目实施方案设计以及在具体的项目实施过程中,我方将严格遵守以下的标准和原则开展工作:
? 客观性和公正性原则
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在
- 9 -
最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
? 规范性原则
安全测评过程有统一的流程,测评过程中使用的方法及使用的文档,需要具有很好的规范性,便于测评工作的质量保证,并测评保证结果的一致性。
? 标准性原则
测评方案的设计与实施应依据国家及行业等级保护的相关标准进行。 ? 可控性原则
安全测评所使用的工具、方法和过程要在双方认可的范围之内,安全测评的进度要符合进度表的安排,保证双方对测评工作的可控性。
? 整体性原则
安全测评的范围和内容应当全面覆盖xxx系统所涉及的各个层面,并考虑各个层面的相互关系。
? 最小影响原则
测评工作应尽可能小地影响网络和系统的正常运行,不能对系统的业务产生显著影响。例如:避免造成被测评系统的性能明显下降、网络拥塞、服务中断等。
? 保密性原则
对在测评过程中所接触到的被测评单位的所有敏感信息,测评人员应遵循相关的保密承诺,不利用它们进行任何侵害被测评单位安全利益的行为。
2.项目内容
依照 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《电力行业信息系统安全等级保护基本要求》(征求意见稿)对xxx系统进行等级保护测评,确定不同等级业务系统当前安全防护现状,以及与国家和行业等级保护要求间的差距;分析其所面临的威胁及其存在的脆弱性,提出有针对性的抵御威
- 10 -
胁的防护策略和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地防止由于电力信息系统安全事件引发电力安全事故,全面提高电力信息系统安全防护水平提供科学依据。
等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容,内容包括但不限于以下内容:
1. 总体要求测评:包括总体技术要求、总体管理要求;
2. 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和
数据安全等五个方面的安全测评;
3. 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建
设管理和系统运维管理等五个方面的安全控制测评; 4. 最终版报告需加盖电力行业等级保护测评中心的印章。
3.等级保护测评方案 3.1.主要依据
? GB/T 18336-2001 ? GB/T 19715-2005 ? GB/T 19716-2005 ? GB/T 22239-2008 ? GB 50174-2008
信息技术安全性评估准则 信息技术安全管理指南 信息安全管理实用规则
信息安全技术信息系统安全等级保护基本要求
电子信息系统机房设计规范
信息安全技术信息系统安全等级保护基本要求 信息安全等级保护管理办法
电力行业信息系统安全等级保护定级工作指导意
? GB/T 22239-2009
? 公通字〔2007〕43号 ? 电监信息〔2007〕44号
见
3.2.技术思路
- 11 -
本项目主要技术思路是依据上述标准,对xxx系统进行等级测评,依据测评以及核查的结果综合分析给出等级测评的结果和改进建议。具体思路如下:
(1)、使用问卷调查表,对
xxx
系统调研,掌握
xxx
系统的主要功能和
业务流程。调阅定级报告,详细了解测评范围内的产,为下一步测评指标的选取做好准备。
(2)、在用户许可的情况下,对
xxx
系统及其包含的信息资
xxx
系统的关键设备和关键系统进行手工
配置检查,对网络拓扑结构进行合理性分析,对应用系统进行安全性分析,发现和分析系统安全技术方面与国家及行业要求之间的差距。
(3)、采用安全核查表的形式从管理层面和技术规范层面,对
xxx
系统进
行现场的安全管理核查,了解包括人的因素在内的系统运行状况。通过对核查结果的分析,发现和分析管理层面与国家及行业要求之间的差距。
(4)、在安全技术测试和安全管理核查的基础上,根据
xxx
系统的特点,
发现和分析安全控制间、层面间以及区域间的相互关联关系,以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及体结构安全性、不同信息系统之间整体安全性等。
xxx
系统整
3.3.工作流程
xxx
系统等级测评工作可以分为四个项目活动阶段具体实施,分别是:测
评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。主要工作流程如下图所示:
- 12 -
动测评准备活 等级测评项目启动 信息收集与分析 工具和表单准备 测评对象确定 测评指标确定 测评工具接入点确定 方案编制活动 测评内容确定 测评实施手册开发 测评方案编制 沟通与洽谈 现场测评活动 测评实施准备 现场测评和结果记录 结果确认和资料归还 单项测评结果判定 单项测评结果汇总分析 修订 动分析与报告编制活系统整体测评分析 综合测评结论形成 测评报告编制 图 等级测评基本工作流程
1) 测评准备阶段
测评准备阶段主要完成启动测评项目,组建测评项目组;通过收集和分析被
- 13 -
XXX等级保护测评服务合同
