《建设方案模板的制定.docx》由会员分享,可在线阅读,更多相关《建设方案模板的制定.docx(23页珍藏版)》请在课桌文档上搜索。
1、包2-建设方案第一章项目概述3、项目建设方案编制根据1)互联网+政务服务技术体系建设指南2)政务信息资源类规范、原则3)国家、省级、行业建设规范中办202327号文献(有关转发国家信息化领导小组有关加强信息安全保障工作的意见日勺告知)公通字202366号文献(有关印发信息安全等级保护工作时实行意见日勺告知)公通字202343号文献(有关印发信息安全等级保护管理措施的告知)公信安20231429有关开展信息安全等级保护安全建设整改工作的指导意见GB17859-1999计算机信息系统安全保护等级划分准则GB/T25058-2023信息安全技术信息系统安全等级保护实行指南GB/T22240-2023
2、信息安全技术信息系统安全保护等级定级指南GB/T20270-2023信息安全技术网络基础安全技术规定GB/T20271-2023信息安全技术信息系统通用安全技术规定GB/T20272-2023信息安全技术操作系统安全技术规定GB/T20273-2023信息安全技术数据库管理系统通用安全技术规定GA/T671-2023信息安全技术终端计算机系统安全等级技术规定GA/T709-2023信息安全技术信息系统安全等级保护基本模型GB/T22239-2023信息安全技术信息系统安全等级保护基本规定 GB/T20269-2023信息系统安全管理规定 IS0/IEC27001信息系统安全管理体系原则 GBT
3、25070-2023信息系统等级保护安全设计技术规定 GB/T28448-2023信息安全技术信息系统安全等级保护测评规定国土资源部信息化工作办公室有关国土资源信息安全等级保护工作日勺指导意见 有关印发国土资源信息系统安全等级保护定级工作方案的告知(国土资信办发2023)14号)国土资源部信息化工作办公室有关国土资源信息安全等级保护工作日勺指导意见国土资信办发(2023)6号有关开展全国重要信息系统安全等级保护定级工作日勺告知(公通字2023)861号)信息安全等级保护密码管理措施信息安全等级保护商用密码技术规定4、项目概况4.1 项目背景信息安全等级保护是我国信息安全保障的基本制度、基本方略
4、、基本措施,是增进信息化发展、维护国家信息安全的主线保障。开展国土资源信息安全等级保护工作,是处理国土资源信息安全面临的威胁和存在日勺重要问题的重要手段,是对非涉密重要信息系统进行安全保障日勺重大措施,可以有效地保护国土资源信息和信息系统日勺安全,对增进国土资源信息化健康有序发展有着尤其重要意义。目前马鞍山市国土资源局关键业务系统国土“一张图”及综合监管平台已完毕信息安全等级保护立案工作,并已制定信息安全建设整改方案进行整改,下一步将开展信息安全等级保护测评工作。4.2 建设目的通过对目的系统在安全技术及管理方面的测评,对系统的安全技术状态及安全管理状况做出判断,给出目的系统在安全技术及安全管
5、理方面与其对应安全等级保护规定之间的符合性结论。测评结论作为委托方深入完善系统安全方略及安全技术防护措施根据。4.3 部门业务需求阐明对已定级的信息系统开展等级保护测评服务。4.4 项目建设的意义和必要性国土资源部先后出台了国土资源部信息化工作办公室有关国土资源信息安全等级保护工作的指导意见、有关印发国土资源信息系统安全等级保护定级工作方案的告知(国土资信办发(2023)14号)、国土资源部信息化工作办公室有关国土资源信息安全等级保护工作的指导意见国士资信办发(2023)6号)等系列文献,对加强国土资源信息系统的信息安全以及实行等级保护均做出了明确规定。加强“一张图”及综合监管平台信息安全等级
6、保护建设,提高信息系统安全防护能力,使其到达对应等级保护规定,既是贯彻上级主管部门的文献规定,也是为全市国土资源管理工作信息安全得到保障基础。第二章信息化现实状况分析1、既有信息系统装备和信息化应用状况1.I软件建设序号名称提供商软件功能概述建设日期使用状况1国土资源“一张图”及综合监管平台南京国图2023年正常1.2硬件建设序号名称数量品牌型号硬件配置状况采购日期使用状况1服务器1浪幸NF5240M3E5-2630/32G2023年服务器虚拟化2服务器1浪潮NF5280M4E5-2630/32G2023年服务器虚拟化3服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化4
7、服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化5服务器1浪潮NF5280M4E5-2620/32G2023年服务器虚拟化6服务器1浪潮NF5280M4E5-2620/32G2023年服务器虚拟化7服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化8服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化9服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化10服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化11服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化12服
8、务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化13服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化14服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化15服务器2华为5885HV3E7-4830/256G2023年虚拟化平台管理主机16存储11AS520G21.8T2023年100%17存储21AS500G23.63T2023年100%18存储11AS500G12.71T2023年房产数据19存储21AS500G14.52T2023年房产数据20防火墙2USG657010核CPU,4G内存,8个千兆电器和4个千兆光口。20
9、23年一张图系统21文档安全网关1防水坝数据防泄漏系统41000M;可扩展光口;MTBF80,000;2023年一张图系统22终端安全管理系统1防水坝数据防泄漏系统2023年一张图系统23安全审计系统1天明原则机架式设备,配置6个千兆电口和12023年一张图0SM-3300个接口板扩展插槽;设备自带内部存储容量IT系统24数据库审计系统1天勇GE1500ER2U机架设备,存储空间2023G;配置6个电口和4个千兆多模光口,2023年一张图系统25网闸1光闸II型14个10/100M1000MRJ-45接口(千兆电口),12个SFP光口,管理口:4个Console口;2023年一张图系统1.3网
10、络建设已经有电信100M光纤3条。1.4基础环境建设序号面积空调UPS网管监控气体灭火设期建日使用状况180平方211442023年正常212023年正常2、信息系统装备和应用目前存在日勺重要问题马鞍山市国土“一张图”及综合监管平台是马鞍山市国土局的重要信息系统,是国土局日勺各项业务工作正常开展的基础保障。“一张图”及综合监管平台自建设以来,未曾按照信息安全等级保护规定开展信息安全等级保护测评。第三章测评方案1、测评实行原则令符合性原则:应符合国家信息安全等级保护制度及有关法律法规,指出防备日勺方针和保护的原则。原则性原则:方案设计、实行与信息安全体系日勺构建应根据国内、国际的有关原则进行。令
11、规范性原则:项目实行应由专业日勺等级测评师根据规范日勺操作流程进行,在实行之前将详细量化出每项测评内容,对操作过程和成果提供规范日勺记录,以便于项目日勺跟踪和控制。令可控性原则:项目实行的措施和过程要在双方承认的范围之内,实行进度要按照进度表进度日勺安排,保证项目实行日勺可控性。整体性原则:安全体系设计的范围和内容应当整体全面,包括安全波及的各个层面,防止由于遗漏导致未来的安全隐患。令最小影响原则:项目实行工作应尽量小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务日勺正常提供产生明显影响。保密原则:对项目实行过程获得日勺数据和成果严格保密,未经授权不得泄露给任何单位和个人,不得运用
12、此数据和成果进行任何侵害测评委托单位利益的行为。2、测评范围本次测评系统为国土资源管理“一张图”及综合监管平台。3、测评内容对该平台进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。信息系统安全等级保护测评包括两个方面日勺内容:一是安全控制测评,重要测评信息安全等级保护规定日勺基本安全控制在信息系统中日勺实行配置状况;二是系统整体测评,重要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评日勺基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理
13、测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。详细见下图:信息系统等绫保护前评安全控制再评安全技术剜评安全管理测同物“安全安全管岬机构主机安全衣全管理制度*第安全人员安全管理?皮用安全系统建设管理融帼安全系统场雉管以系统整体测评安全控制同层面间甲区域间整体结构有全不同信息系使网整体安全性整体累构/局弟柒构图1安全控制测评图示系统整体测评波及到信息系统的整体拓扑、局部构造,也关系到信息系统日勺详细安全功能实现和安全控制配置,与
14、特定信息系统的实际状况紧密有关。在安全控制测评日勺基础上,重点考虑安全控制间、层面间以及区域间的互相关联关系,分析评估安全控制间、层面间和区域间与否存在安全功能上日勺增强、补充和减弱作用以及信息系统整体构造安全性、不一样信息系统之间整体安全性。信息系统等级保护整体测评日勺层次关系如下图所示:网络安全网络访问控制物理安全防盗窃物理访问控制机统全 主系安员全理 人安管统维理 系运管网络入侵防范身份鉴别自主访问控制人员离岗教育和培训设备首理安全事件处K应急预案管理安控全制图2信息系统等级保护系统整体测评层次关系图综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对
15、应安全等级保护级别日勺符合性结论。4、测评对象根据信息安全等级保护的规定、参照业界权威日勺安全风险评估原则与模型,同步结合我司数年的安全风险评估经验与实践,从信息系统的关键资产出发,以威胁和弱点为导向,对比信息安全等级保护日勺详细规定,全面对信息系统进行全面评估。测评对象种类重要考虑如下几种方面:令整体网络拓扑构造;令机房环境、配套设施;令网络设备:主机系统(包括操作系统和数据库系统);令业务应用系统;重要管理终端;。安全管理员、网络管理员、系统管理员、业务管理员;令波及到系统安全的所有管理制度和记录。令其他。根据信息系统的测评强度规定,在执行详细的核查措施时,在广度上要做到从测评范围中抽取充
16、足日勺测评对象种类和数量;在执行详细日勺检测措施,在深度上要做到对功能等各方面日勺测试。5、测评指标对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T22239-2023信息系统安全保护等级基本规定中“技术规定”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(3),以及第3级“管理规定”部分中的所有指标类,等级保护测评指标状况详细如下表所示:测评指标(三级)技术/管理层面类数量S类(3级)A类(3级)G类(3级)小计安全技术物理安全11810网络安全1O67主机安全3137应用安全5229数据安全21O3安全管
17、理安全管理制度OO33安全管理机构OO55人员安全管理OO55系统建设管理OO1111系统运维管理OO1313合计73(类)6、测评流程等级保护测评实行过程包括如下四个阶段:测坪项目组组建项目计划书编制信息系统调研工具和表单准备费评对氨确定测评指标确定物理安全人员访谈 文档审杳 实地察看方 式物理基础设对%象网络安全人员访慎 配置检查 工具试方 式互联设备 安全设备 网络拓扑对 象测评工具 接入点确 定主机安全人员访偿 配岂检查 工具能试方 式操作系统 数据库系 统对 象能褥内容 确定测评实施手册开发应用安全人员访慎 配置检查 工具窝试方 式应用系毓对 象数据安全人员访谀方配置检查式管理数据对
18、业务数据象方案编制阶段现场测评阶段安全管理制度人员访谈 文档审查 实地察看方 式安全管理机构人员访谈 文档审查方 式人员安全管理人员访谈方文档审查式系统建设管理人员访谈方文档审查式系统运维管理人员访谈方文档审查式画Hf曰 /HH亘告编制阶图3测评流程图测评准备阶段:O测评项目组组建:明确项目经理、测评人员及职责分Xo令项目计划书项目计划书包括项目概述、工作根据、技术思绪、工作内容和项目组织等。信息系统调研:通过查阅被测系统已经有资料或使用调查表格的方式,理解整个系统日勺构成和保护状况,明确被测系统日勺范围(尤其是信息系统日勺边界),理解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备
19、信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。工具和表单准备:根据被测系统日勺实际状况,准备测评工具和各类测评表单。方案编制阶段:令测评对象确定:根据已经理解到日勺被测系统信息,分析整个被测系统及其波及时业务应用系统,确定出本次测评时测评对象。测评指标确定:根据已经理解到的被测系统定级成果,确定出本次测评的测评指标。测评工具接入点确定:确定需要进行工具测试日勺测评对象,选择测试途径,根据测试途径确定测试工具日勺接入点。测评内容确定:确定现场测评的详细实行内容,即单元测评内容。测评实行手册开发:编制测评实行手册,详细描述现场测评日勺工具、措施和操作环节等,详细指导测评人员怎样
20、进行测评活动。现场测评阶段:现场测评实际上就是单项测评,分别从技术上日勺物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上日勺安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。令物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障状况。重要波及对象为物理基础设施。在内容上,物理安全层面测评实行过程波及10个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。网络安全:通过访人员访谈、配置检查和工具测试的方式测评信息系统日勺网络安全保障状况。重要
21、波及对象为网络互联设备、网络安全设备和网络拓扑构造。在内容上,网络安全层面测评实行过程波及6个测评单元,包括:构造安全、访问控制、安全审计、边界完整性检查、入侵防备、网络设备防护。主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障状况。重要波及对象为各类服务器日勺操作系统、数据库管理系统。在内容上,主机系统安全层面测评实行过程波及6个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防备、恶意代码防备、资源控制。令应用安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障状况,重要波及对象为各类应用系统。在内容上,应用安全层面测评实行过程波及7个测评单元
22、,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制。数据安全:通过人员访谈、配置检查日勺方式测评信息系统的数据安全保障状况,重要波及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实行过程波及3个测评单元,包括:数据完整性、数据保密性、备份和恢复。令安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度状况。在内容上,安全管理制度方面测评实行过程波及3个测评单元,包括:管理制度、制定和公布、评审和修订。安全管理机构:通过人员访谈、文档审查日勺方式测评信息系统的安全管理机构状况。在内容上,安全管理机构方面测评实行过程波及5个测
23、评单元,包括:岗位设置、人员配置、授权和审批、沟通和合作、审核和检查。人员安全管理:通过人员访谈、文档审查日勺方式测评信息系统的人员安全管理状况。在内容上,人员安全管理方面测评实行过程波及5个测评单元,包括:人员录取、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。令系统建设管理:通过人员访谈、文档审查日勺方式测评信息系统的系统建设管理状况。在内容上,系统建设管理方面测评实行过程波及9个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实行、测试验收、系统交付、安全服务商选择。令系统运维管理:通过人员访谈、文档审查日勺方式测评信息系统的系统运维管
24、理状况。在内容上,系统运维管理方面测评实行过程波及12个测评单元,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防备管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。分析与汇报编制阶段:。单项测评成果分析:针对测评指标中日勺单个测评项,结合详细测评对象,客观、精确地分析测评证据。e单元测评成果鉴定:将单项测评成果进行汇总,分别记录不一样测评对象的单项测评成果,从而鉴定单元测评成果,并以表格日勺形式逐一列出。o整体测评:针对单项测评成果的不符合项,采用逐条鉴定的措施,从安全控制间、层面间和区域间出发考虑,给出整体测评日勺详细成果,并对系统构
25、造进行整体安全测评。o风险分析:据等级保护日勺有关规范和原则,采用风险分析日勺措施分析等级测评成果中存在日勺安全问题也许对被测系统安全导致的影响。等级测评结论形成:在测评成果汇总日勺基础上,找出系统保护现实状况与等级保护基本规定之间的差距,并形成等级测评结论。令测评汇报根据等级测评结论,编制测评汇报,包括概述、被测系统描述、测评对象阐明、测评指标阐明、测评内容和措施阐明、单元测评、整体测评、测评成果汇总、风险分析和评价、等级测评结论、整改提议等。第四章项目实行1、人员配置计划为保证本项目开展,本项目将组建项目组,按下表配置人员:名称职责人数项目负责人项目总体负责人,负责组织等级保护测评和评估实
26、行队伍,做好整体平常资源管理、分派与协调工作,并直接控制整体项目管理的各个要素,详细包括:Q项目方案设计5项目计划与组织令项目协调与沟通令项目进度管理项目质量控制1人项目技术人员负责按照项目技术方案和项目计划实行测评工作,需要提交:令每阶段工作汇报单项测评成果记录单项安全整改提议5人2、实行进度计划序号任务名称任务概述时间实行人备注一准备阶段1项目实行计划编制对项目时间、人员和工作内容进行计划安排1天项目组2信息搜集与分析搜集信息系统构成状况4天项目组3测评方案制定及确认确定测评对象、测评措施、工具接入点、等2天项目经理二测评阶段1测评初次会议简介等级测评措施、确认测评方案1天项目组2物理安全
27、现场测评机房与办公环境安全2天技术测评组和管理测评组3网络安全管理测评网络全局、网络设备、安全设备测评2天技术测评组4安全管理测评管理制度、人员安全、管理机构、系统建设、系统运维测评3天管理测评组5数据库现场测评数据库、安全管理2天技术测评组和管理测评组6主机现场测评主机安全管理2天技术测评组和管理测评组7业务系统现场测评应用及安全管理2天技术测评组和管理测评组8漏扫与安全测试对各系统主机、数据库、应用与网络设备进行漏扫1天技术测评组9测评整改状况复核对测评整改状况进行复核1天项目组10现场测评成果确认对现场测评成果最终确认1天项目组三汇报编制阶段1正式汇报等级保护测评汇报编制5天项目组有关组
28、员2验收材料提交对项目进行验收1天项目组有关组员第五章注意事项1)正版数据库软件、操作系统、云平台软件等系统或第三方软件,必须授权给马鞍山市人民政府,协议签订后,原厂授权函原件需提交市信息办立案;2)各部门原则上不再新建网络机房,所需业务运行环境如服务器、存储、安全等设备由市政务云提供;3)所有的存储设备、安全设备、备份设备以及预算价格在十万以上日勺关键网络设备需提供五年免费原厂质保服务承诺函,其他硬件设备需提供三年免费原厂质保服务承诺函,协议签订后,承诺函原件需提交市信息办立案;4)服务器、PC类产品必须提供正版操作系统,协议签订后,原厂授权函原件需提交市信息办立案;5)监控系统、视频会议系
29、统必须具有开放性,提供可供二次开发的设备SDK软件包,使关联的系统能调用对应功能和数据。6) UPS电池需多提供两节电池(随机抽取)供甲方、市信息办测试容量和破坏性检测,电池内不应具有与制造电池原料无关日勺材料(如玻璃,沙石,石灰等)。7)监理费用10万元如下日勺项目须从监理库中选用一家监理企业开展监理活动,监理须安装信息化主管部门指定日勺监管软件,接受业主和市信息办的监管。8)项目中波及时安装调试,必须包具有关线缆、线槽、电管、线卡、桥架、线盒、软管等所有辅材。9)所有项目中支持功能必须应为配置或具有功能;10)供应商对项目中日勺业务系统、软硬件平台必须免费承诺开放,与市级政务服务平台对接,并提供对应日勺业务协同软件接口。11)按照马鞍山市信息资源共享互换平台原则规范,实现与市信息办信息资源互换平台数据共享对接,提供数据字典,并将业务数据汇集至市数据中心。12)根据每个项目的实际建设内容,若存在注意事项中的条款,由监理企业或市信息办对上述有关规定予以确认,否则项目不予验收。
链接地址:https://www.desk33.com/p-1015060.html