等保测评和安全评估技术协议.docx
《等保测评和安全评估技术协议.docx》由会员分享,可在线阅读,更多相关《等保测评和安全评估技术协议.docx(18页珍藏版)》请在冰点文库上搜索。
等保测评和安全评估技术协议
信息安全等级保护测评及安全评估项
目技术协议
甲方:
乙方:
北京卓识网安技术股份有限公司
2017年9月
总则引言为了落实公安部、国家能源局关于电力监控系统安全等级保护要求,进一步增强电力监控系统安全防护能力,确保电力监控系统安全稳定运行,依据《信息系统安全等级保护基本要求》(GB/T22239-2008)、《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)、《电力监控系统安全防护规定》(国家发展改革委员会[2014年]第14号令)、《电力行业网络与信息安全管理办法》(国能安全[2014年]317号)
和《电力行业信息安全等级保护管理办法》(国能安全[2014年]318号)等制度和标准要求,进行本次电力监控系统等级保护测评与安全防护评估。
适用范围本技术协议适用于电力监控系统等级保护测评及安全防护评估技术服务项目的采购,包括技术服务要求和验收要求。
本技术协议提出的是最低限度的技术要求。
凡本技术协议中未规定,但在相关国家标准、电力行业标准或IEC标准中有规定的规范条文,乙方应按相应标准的条文进行服务供应说明。
如果乙方没有以书面形式对本技术协议的条文提出异议,则甲方认为乙方提供的服务完全符合本技术协议。
本技术协议所建议使用的标准如与乙方所执行的标准不一致,乙方应按更严格标准的条文执行或按双方商定的标准执行。
本技术协议经甲乙双方确认后作为实施合同的技术附件,与合同正文具有同等的法律效力。
规范性引用文件下列文件中的条款通过本协议的引用而成为本协议的条款,除本技术协议特别规定外,乙方所提供的测评标准均应遵循公安部、能源局相关文件要求和甲方的相关文件要求,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行;如果乙方选用本技术协议规定以外的标准时,需提交与这种替换标准相当的或优于规定标准的证明,供甲方确认。
《信息安全等级保护管理办法》(公通字[2007]43号)
《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》《GB/T25058-2010信息安全技术信息系统安全等级保护实施指南》《GB/T28448-2012信息安全技术信息系统安全等级保护测评要求》《GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南》《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34
号)
《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)《电力行业网络与信息安全管理办法》(国能安全[2014]317号)《电力行业信息安全等级保护管理办法》(国能安全[2014]318号)《电力监控系统安全防护规定》(国家发展改革委员会[2014年]第14号令)《电力监控系统安全防护总体方案》国能安全[2015]36号《发电厂监控系统安全防护方案》国能安全[2015]36号《电力监控系统安全防护评估规范》国能安全[2015]36号权利和职责
为切实保障本项目的工作质量,确保测评及评估工作达到预期目标,对甲方及乙方双方技术工作责任约定如下:
甲方责任负责项目实施过程中同相关单位和部门的协调。
为乙方提供良好的工作场地和环境。
按工作要求提供相关的资料和信息。
准备应急措施,负责实施过程中的紧急情况的处理。
乙方责任
按照甲方工作章程开展工作。
项目内容的变更及时与甲方代表沟通。
按照协议要求提供技术服务和成果。
确保测评及评估工作质量。
配合甲方准备应急预案和实施过程中的紧急情况处理。
负责按时完成所有工作。
同时,双方都必须遵循保密要求。
测评及评估范围电力监控系统信息安全等级保护测评与安全防护评估范围如下:
(2)电力监控系统等级保护测评工作需提交公安部门和国家能源局认可的等级保护测评报告,电力监控系统安全防护评估工作交付物为国家能源局认可的安全防护评估报告。
(3)根据国家等级保护相关标准,电力监控系统的安全等级保护测评应包括以下内容:
安全技术测评:
包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:
包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
电力监控系统安全防护评估的主要内容包括:
资产评估、威胁评估、脆弱性评估、现有安全措施有效性评估等。
技术规范测评及评估原则本项目实施方案设计与具体实施应满足以下原则:
保密性原则:
乙方应与甲方签订保密协议,对测评的过程数据和结果数据严格保密,XX不得泄露给任何单位和个人,不得利用此数据侵害甲方的权益,否则甲方有权追究乙方的责任。
标准性原则:
测评及评估方案的设计与实施应依据国家的相关标准进行。
规范性原则:
乙方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
可控性原则:
项目的进度应符合进度安排,保证甲方对测评工作的可控性。
整体性原则:
测评及评估的范围和内容应系统、全面、规范,满足等级保护和安全防护评估的相关基本要求。
最小影响原则:
技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。
在线测评及评估应在甲方许可的条件下进行。
实施要求乙方应详细描述电力监控系统等级保护测评及安全防护评估的整体实施方案,包括项目概述、等保测评方案、安全防护评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。
乙方应详细描述测评及评估人员的组成、资质及各自职责的划分。
乙方应配置经验丰富的测评及评估人员进行电力监控系统等级保护测评及安全防护评估工作。
测评及评估方法测评及评估方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。
如需在电力监控系统等级保护测评及安全防护评估实施过程中采用在线测评工具,各种工具软件由乙方推荐,经甲方确认后由乙方提供并在工作中使用。
安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC工作站等)和操作
系统软件等由乙方推荐,经确认后由乙方提供并在测评中使用。
安全测评需要的运行环境(如场地、网络环境等)由甲方提供,乙方应详细描述需要的运行环境的具体要求。
工作进度
筹划准备阶段
工作周期:
1〜2周
工作内容:
对被测评及评估系统防护现状进行详细分析和调研,初步确定测评及评估实施方案、范围,收集材料,签署保密协议,组建测评及评估项目组,并进行进场实施前的安全教育工作,同时完成检测工具、装备配置等各项准备工作。
启动阶段
工作周期:
1〜2个工作日
工作内容:
项目组进驻被测单位,收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料,并召开启动会,就测评及评估工作具体事宜进行落实,包括确定测评及评估计划安排、测评及评估范围、测评及评估内容和配合需求等。
现场测评
工作周期:
3〜5个工作日
工作内容:
项目组从管理和技术两个方面入手,开展被测单位测评及评估工作,包括安全区划分、网络专用,评估管理和制度、基础网络、业务系统、通用服务、主机系统、数据库系统、现有安全措施等。
测评及评估方法有顾问访谈、日志审计、人工查看、漏洞扫描、自动化工具采集、白客渗透等。
现场工作结束后,测评及评估工作小组对现场测评情况进行初步整理汇总,向被测单位领导和系统管理员等汇报现场阶段工作情况。
结论分析报告编制阶段
工作周期:
3〜4周工作内容:
项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估,撰写被测单位系统《等级保护测评报告》及《电力监控系统安全防护评估报告》。
整改技术支持阶段
工作周期:
根据整改进度而定工作内容:
项目组针对现场测评及评估发现的问题,出具整改建议后,向被测单位提供整改技术咨询支持。
风险控制
测评及评估工作本身也会引入安全风险,必须加强测评及评估过程中的风险控制。
项目实施前,双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患,确定测评及评估对象、测评及评估方法和工具,并制定应急恢复措施。
(1)操作的申请和监护测评及评估操作必须遵守现场运行规章制度,确保系统安全稳定运行。
如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。
(2)人员与数据管理重视保密工作,加强测评及评估过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。
(3)测评对象选择优先选择备用设备(系统)或临时搭建的模拟环境进行测评及评估,避免影响在线系统运行。
(4)制定应急预案
根据被测系统情况,在测评及评估实施前制定应急预案,加强系统在线应急处置能力。
(5)关键业务系统风险控制生产控制大区在线运行系统禁止采用渗透测试工具进行测评。
等级保护测评内容根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:
安全技术测评:
包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:
包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
物理安全物理安全测评是对电力监控系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
网络安全网络安全测评是对电力监控系统的网络系统安全防护情况进行测评,包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。
主机安全主机安全测评是对电力监控系统的服务器、数据库和终端主机系统的安全防护情况进行测评,包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。
应用安全应用安全测评是对电力监控系统的业务系统的安全防护情况进行测评,包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、应用系统的资源控制等方面的安全状况。
数据安全及备份恢复数据安全及备份恢复测评是对电力监控系统的数据安全保护情况进行测评,包括数据在传输和存储过程中的完整性、保密性措施,数据备份和恢复措施。
安全管理制度
安全管理制度测评是对电力监控系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
安全管理机构安全管理机构测评是对电力监控系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
人员安全管理
人员安全管理测评是对电力监控系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
系统建设管理系统建设管理测评是对电力监控系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等情况进行测评。
系统运维管理系统运维管理测评是对电力监控系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
安全防护评估内容根据电力监控系统安全防护评估相关标准,在系统等级保护测评的基础上,增加如下评估项:
资产评估、威胁评估、通用应用评估、基础设施安全评估、体系结构安全评估、系统本体安全评估、全面安全管理评估、安全应急能力评估、现有安全措施有效性评估等。
资产评估资产评估对象包括:
网络、主机、安全防护措施、应用系统等。
根据安全防护评估有关技术要求,资产评估主要考虑两个方面的内容:
一是信息系统中所存储、处理、传输的主要信息,二是信息系统所提供的主要服务。
通过对每一类信息和服务等级的分析,最终确定信息系统的重要性级别。
资产评估具体步骤包括:
资产数据整理与核实、资产重要程度分析。
其中,资产数据整理与核实是根据被评估单位前期提交的资料,进行资产数据的真实性的查证与确认。
资产重要程度分析是根据资产承载的数据、提供的服务,判定资产重要程度的过程。
威胁评估威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。
威胁评估依据《电力监控系统安全防护评估规范》提供的威胁列表,以运行与管理人员访谈的方式进行。
如被评估单位能够提供历史信息安全事件统计,也可作为威胁评估的补充内容。
通过威胁评估,要达到明确被评估单位信息系统面临的主要威胁,以及这些威胁的等级的目的。
通用应用评估
通用应用评估是对信息系统中的数据库服务、Web服务等通用应用进行的安全配置检查,达到发现通用应用安全漏洞的目的。
通用应用评估也采用人工审计和漏洞扫描两种方式进行。
基础设施安全评估基础设施评估是对电力监控系统所处机房的物理安全防护情况,包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况,电子门禁的使用情况等进行评估。
电力监控系统设备及线缆的部署情况,包括服务器、网络设备、安全设备的安装情况,通信线缆和电源线的铺设情况,设备电力供应情况等
体系结构安全评估
体系结构评估应重点检查16字方针“安全分区、网络专用、横向隔离、纵向认证”的落实情况,重点针对网络边界防护措施、横向隔离、纵向认证等关键防护措施的执行情况,安全接入区的设置情况、无线网络防护等。
系统本体安全评估系统本体安全评估是对电力监控系统自身安全防护情况,包括软、硬件使用和策略配置等进行评估:
移动存储介质使用情况,包括硬盘、U盘或其它存储设备;操作系统、网络设备、应用系统用户口令使用情况;操作系统、网络设备、应用系统用户权限分配情况;主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况,尤其是Windows系统、非国产网络及安全设备。
终端检测:
主要为抽查被评估单位办公终端和上网终端是否有驻留木马、蠕虫、恶意软件,是否存在自定义共享文件夹,系统补丁是否及时更新安装,关键工作文件存放是否恰当等情况。
主要通过人工查看和工具检测两种方式来进行。
外设检测:
主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。
全面安全管理评估全面安全管理评估是从管理角度对单位电力监控系统概况进行评估,重点检查安全防护规定落实情况;
制度建立及主管领导、管理机构和工作人员履职情况,信息安全责任制落实情况;运维人员的安全管控情况;
电力监控系统安全防护评估工作开展情况;信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。
安全应急能力评估
安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。
备用与容灾能力的建设情况,包括系统的冗余设备部署情况,设备配置的备份情况等;网络与信息安全应急预案的制定、修订情况,包括应急预案是否健全,是否具有针对性和可操作性等;
应急技术支撑队伍建设、应急演练的执行情况;重大网络安全事件处置情况。
现有安全措施有效性评估现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计,达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷,明确现有安全措施的有效性程度的目的。
现有安全措施的评估主要采用人工检查和访谈的方式进行。
主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关、单向隔离装置、纵向认证装置等现有安全措施。
测评及评估流程根据国家等级保护相关标准,电力监控系统安全等级保护测评流程分为四个阶段:
测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。
测评完成后,提供整改建议书,配合甲方根据测评范围进行整改实施。
电力监控系统的安全等级保护测评流程如下图所示:
订
方案编制活动
测评准备活动
厂r11
电力监控系统安全防护评估工作基本流程将依照《电力监控系统安全防护评估规范》进行,分前期交流和启动准备阶段、现场数据采集和评估阶段、风险计算和分析阶段,以及总结阶段。
启动准备
成立工作组
=>
=>
=〉
实施方案
保密措施
启动动员
现场阶段
风险分析
安全建议
及整改
=>
=>
资产
赋值
威胁
赋值
脆弱性
赋值
安全事件发生
可能性
安全事件的
损失
风险值
风险等级
工程管理
项目验收
验收应按照甲方确认的验收测试大纲进行,全过程必须由甲方在场见证。
等级保护测评及安全防护评估项目目标是输出等级保护测评及安全防护评估报告,项目将产生一定数量的文档。
乙方应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
乙方应提交验收流程、验收方法和验收依据。
乙方应提供交付件归档办法和方式。
乙方应提供详细的验收测试大纲或计划,大纲中应明确规定验收项目和必须满足的要求。
大纲必须经甲方确认后方可生效。
验收报告需双方代表签字认可。
项目文档
乙方提供的资料应使用国际单位制(SD,语言为中文。
资料的组织结构清晰、逻辑性强。
资料内容要正确、准确、一致、清晰完整。
如所供资料不能达到要求时,乙方应免费给予补充。
乙方资料的提交应及时充分,满足项目进度要求。
乙方完成项目后应提供以下文档:
表3-1乙方完成项目提供文档列表
序号
文档名称
提交时间
备注
1
《测评方案》
签署合同后1周
电子版
2
《系统自查指南》
签署合同后1周
电子版
3
《系统安全等级保护测评报告》
现场测评后4周
正式版
4
《电力监控系统安全防护评估报告》
现场测评后4周
正式版
5
《整改建议书》
现场测评后4周
电子版
质量保证
乙方在项目方案设计、实施、验收的各个阶段,均应满足电力监控系统正常稳定运行的要求。
乙方出具的相关报告应得到行业主管单位认定。
保密要求
乙方承担被测评及评估单位敏感信息的保密责任,在项目实施过程中,双方需要复制对方提供的相关资料时,应提交书面申请,在得到对方书面同意后方可复制,并将数据内容记录成表,签字确认。
未经双方书面同意,不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。
项目结束后,双方必须互相确认测评过程中提供的相关资料,相互承担保密责任。
甲方:
代表签字:
年月曰
乙方:
北京卓识网安技术股份有限公司代表签字:
年月日
附件保密协议鉴于甲乙双方在信息系统等级保护测评及电力监控系统安全防护评估项目中的合作,因此甲乙双方认为有必要透露各方一定的涉密信息,甲乙双方透露的信息仅用于本次服务项目,防止任何第三方获得、使用该信息。
鉴于甲乙双方信息的重要性,甲乙双方同意遵守如下保密条款:
保密内容:
对于乙方在甲方工作期间获得和知晓的甲方信息系统以及相关信息、企业信息,及属于第三方但甲方负有保密义务的信息,乙方均应保守秘密。
未经甲方书面许可,乙方不得对任何第三方透露本项目任何信息。
保密措施:
乙方应当以审慎态度对待甲方信息系统相关数据与信息。
遵守甲方有关保密的各项管理规定;未经甲方书面许可,乙方不得将所知的甲方信息系统以及相关信息以任何方式提供给任何第三方;
未经甲方书面许可,不得擅自披露知晓的甲方信息;除了完成甲乙双方约定的工作目的之外,未经甲方书面许可,不得擅自使用甲方的上述信息;未经甲方书面许可,乙方不得带走从甲方得到的任何文档、图纸、资料、磁盘、胶片等载有甲方信息系统以及相关信息介质;对于乙方因工作需要必须携带的数据资料,需经甲方许可后加密存储,并且保证信息的机密性;对于甲方数据和服务结果数据的保管、访问,乙方需采取相应积极有效的措施进行严格控制,即无关人员不能访问;必须访问的人员,乙方要进行严格的访问控制。
对于甲方提供给乙方使用的任何资源,如网络、NOTES等,乙方都只能将其用于工作,而不能用于其他目的,特别是从事侵害公司利益的活动。
乙方同意遵守甲方的各项管理制度,甲方有权依据上述制度对乙方进行检查,并且对乙方违反制度的行为进行处罚。
甲方保证乙方提供资料的保密性及只在直接相关人员中传阅。
甲乙双方同意并确认,严守己方所掌握的对方的机密信息并不向任何第三方透露上述机密信息。
甲乙双方确认,任何一方因不可抗力(如法律、法规、国家政策调整等)而透露信息的,应当事先书面通知对方,并且尽力提供保护。
甲乙双方确认,任何一方对其所接触并知悉上述信息的员工在三年内,对上述机密信息负有保密义务,甲乙双方应通过一定手段保证上述承诺。
甲乙双方确认,本协议未含之内容,属机密性的,由甲乙双方另行补签书面协议;非属机密性的,属于任何一方的权利。
甲乙双方确认,所有机密信息由甲方按照本协议规定透露,任何一方不能或将不能利用上述信息为自己或其他方开发信息、技术和产品,或与另一方的产品进行竞争。
本协议依据中华人民共和国的法律解释并应用,不包括法律规范的冲突。
甲乙双方确认,任何一方违反本协议的约定,除上述权利归守约方之外,违约方将向对方承担合同总额20%的违约金,违约金不足以赔偿对方损失的,违约方应当承担因此而给对方造成的一切损失,包括但不限于律师费、诉讼费、仲裁费、交通费等。
本协议自甲乙双方法定代表人(负责人)或授权代理人签字生效。
本协议正本贰份,甲乙双方各执壹份,均具有同等法律效力。
甲方:
北京京能新能源有限公司代表签字:
年月日
乙方:
北京卓识网安技术股份有限公司代表签字:
年月曰
以下空白。
升级会员 