张家口建设厅官方网站小程序开发合同

当前位置： 首页 > news >正文

张家口建设厅官方网站,小程序开发合同,大埔建设工程交易中心网站,坪山做网站密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理#xff0c;为现场测评活动提供最基本的文档和指导方案。 按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准#xff0c;密评方案编制包括5项关键任务#xff0c;简要汇总如下表。 编号任务输入文…        密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理为现场测评活动提供最基本的文档和指导方案。 按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准密评方案编制包括5项关键任务简要汇总如下表。 编号任务输入文档输出文档具体内容1确定测评对象完成的调查表格、各种与被测信息系统相关的技术资料密评方案的测评对象部分被测信息系统的整体结构、边界、网络区域、核心资产、面临的威胁、测评对象等2确定测评指标完成的调查表格、GMT0115、通过评估的密码应用方案、相关行业标准或规范密评方案的测评指标部分被测信息系统相应等级对应的适用和不适用的测评指标3确定测评检测点被测信息系统详细网络结构选用的密码算法、密码技术、密码产品、密码服务等详细信息通过评估的密码应用方案和GMT0115密评方案的测评检查点部分测评检测点、检查内容及测评方法4确定测评内容完成的调查表格密评方案的测评对象、测评指标及测评检查点部分通过评估的密码应用方案和GMT0115密评方案的单元测评实施部分单元测评实施内容5编制密评方案委托测评协议书项目计划书完成的调查表格通过评估的密码应用方案和GMT0115密评方案中测评对象、测评指标、测评检查点、测评内容等部分经过评审和确认的密评方案文本项目概述、测评对象、测评指标、测评检查点、单元测评实施内容、测评实施计划等 一、确定测评对象 分析整个被测信息系统及其涉及的业务应用系统以及相关的密码应用情况确定测评的测评对象。 编号任务名称具体内容1.1识别被测信息系统的基本情况 整理识别出被测信息系统内 (1)物理环境机房 (2)网络拓扑结构及外部边界连接 (3)业务应用系统 (4)计算机硬件设备 (5)网络安全设备 (6)密码产品和使用的密码服务 (7)识别出以上所有相关的密码应用流程情况 1.2描述被测信息系统 (1)描述整体结构 (2)描述外部边界连接情况和边界主要设备 (3)描述网络区域组成、主要业务功能及相关设备节点 (4)描述涉及的所有密码应用流程情况 1.3确定测评对象 (1)确定需要保护的核心资产包括业务应用、业务数据或者业务应用的某些设备、组件 (2)确定其他需要保护的配套数据(审计信息、配置信息、访问控制列表等)、敏感安全参数(密钥 (3)相关的威胁模型和安全策略 1.4资产和威胁评估 (1)确定资产价值重要性和关键程度分为高-中-低等级 (2)确定可能的威胁发生频率分为高-中-低等级 1.5描述测评对象 按照测评对象分类采用列表形式对每类测评对象进行描述。测评对象一般包括机房、业务应用软件、主机和服务器、数据库、具备密码功能的网络安全产品、密码产品、密码服务、系统相关人员及安全管理制度类文档和记录表单类文档等。 二、测评指标确定 根据系统定级结果以及通过评估的密码应用方案确定本次测评的测评指标。 编号任务名称具体内容2.1选择相应等级对应的测评指标根据定级结果、GMT0115选择出所有测评指标2.2确定特殊测评指标根据被测系统相关行业标准或规范以及被测信息系统密码应用需求确定特殊测评指标2.3确定测评指标适用性按照被测信息系统的安全策略、相关标准要求对照已通过评估的密码应用方案逐项确认各项指标的适用性2.4核查所有不适用项对所有不适用项进行逐条核查、评估、详细论证其安全需求、不适用的具体原因、以及是否采用了可满足安全要求的其他替代风险控制措施特别是无密码应用方案的情况下 三、测评检查点确定 需要对一些关键点进行现场检查确认如抓包测试、查看关键设备配置等方法以防止密码产品、密码服务虽然被正确配置、但是未接入被测信息系统之类的情况发生从而确认密码算法、密码技术、密码产品和密码服务的合规、正确和有效性。在测评方案中确定检查点并且充分考虑到检查的可行性和风险能最大限度的避免对被测信息系统的影响尤其应避免对在线运行业务系统造成影响。 编号任务名称具体内容3.1列出需要接受现场检查的关键设备和检查内容 关键设备一般为承载核心资产流转、进行密钥管理的设备。检查内容包括 (1)密码算法、密码技术协议和密码管理、密码产品和服务 (2)相关配置是否与密码应用需求相符 (3)是否满足GMT0115中的相关条款要求 3.2确定测试路径和工具接入点结合网络拓扑图用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容 四、测评内容确定 确定各单元测评实施内容以表格形式给出表格内容包括测评指标、测评内容描述等。 编号任务名称具体内容4.1确定可以具体实施测评的单元将各层面上的测评指标结合到具体的测评对象上并说明具体的测评方法4.2确定单元测评实施的工作内容结合已选定的测评指标和测评对象概要说明现场单元测评实施的工作内容4.3确定现场测评测试内容涉及现场测评部分时应根据确定的测评检查点编制相应的测试内容 五、密评方案编制 编号任务名称具体内容5.1整理项目信息及相关概述项目来源、被测单位整体信息化建设情况及被测信息系统与其他信息之间的连接情况等5.2整理测评依据明确测评活动所要依据和参考的与密码算法、密码技术、密码产品和密码服务等相关的标准规范5.3估算现场测评工作量具体根据配置检查的节点数量、工具测试的接入点及测试内容等情况估算5.4编制工作安排基于项目组成员分工编制工作安排5.5编制测评实施计划包括现场工作人员的分工和时间安排避免业务高峰测评要求一并提出5.6汇总形成密评方案汇总以上所有内容及方案编制活动中其他任务获取的内容形成密评方案5.7方案内部评审密评方案经测评方内部评审通过5.8被测单位确认测评方评审通过的密评方案提交被测单位签字确认