建设方案模板的制定.docx

包2-建设方案第一章项目概述3、项目建设方案编制根据1）互联网+政务服务技术体系建设指南2）政务信息资源类规范、原则3）国家、省级、行业建设规范中办202327号文献（有关转发国家信息化领导小组有关加强信息安全保障工作的意见日勺告知）公通字202366号文献（有关印发信息安全等级保护工作时实行意见日勺告知）公通字202343号文献（有关印发信息安全等级保护管理措施的告知）公信安20231429有关开展信息安全等级保护安全建设整改工作的指导意见GB17859-1999计算机信息系统安全保护等级划分准则GB/T25058-2023信息安全技术信息系统安全等级保护实行指南GB/T22240-2023信息安全技术信息系统安全保护等级定级指南>GB/T20270-2023信息安全技术网络基础安全技术规定>GB/T20271-2023信息安全技术信息系统通用安全技术规定>GB/T20272-2023信息安全技术操作系统安全技术规定>GB/T20273-2023信息安全技术数据库管理系统通用安全技术规定>GA/T671-2023信息安全技术终端计算机系统安全等级技术规定>GA/T709-2023信息安全技术信息系统安全等级保护基本模型>GB/T22239-2023信息安全技术信息系统安全等级保护基本规定> GB/T20269-2023信息系统安全管理规定> IS0/IEC27001信息系统安全管理体系原则> GBT25070-2023信息系统等级保护安全设计技术规定> GB/T28448-2023信息安全技术信息系统安全等级保护测评规定国土资源部信息化工作办公室有关国土资源信息安全等级保护工作日勺指导意见> 有关印发国土资源信息系统安全等级保护定级工作方案的告知（国土资信办发2023）14号）国土资源部信息化工作办公室有关国土资源信息安全等级保护工作日勺指导意见国土资信办发（2023）6号有关开展全国重要信息系统安全等级保护定级工作日勺告知（公通字2023）861号）信息安全等级保护密码管理措施信息安全等级保护商用密码技术规定4、项目概况4.1 项目背景信息安全等级保护是我国信息安全保障的基本制度、基本方略、基本措施，是增进信息化发展、维护国家信息安全的主线保障。开展国土资源信息安全等级保护工作，是处理国土资源信息安全面临的威胁和存在日勺重要问题的重要手段，是对非涉密重要信息系统进行安全保障日勺重大措施，可以有效地保护国土资源信息和信息系统日勺安全，对增进国土资源信息化健康有序发展有着尤其重要意义。目前马鞍山市国土资源局关键业务系统国土“一张图”及综合监管平台已完毕信息安全等级保护立案工作，并已制定信息安全建设整改方案进行整改，下一步将开展信息安全等级保护测评工作。4.2 建设目的通过对目的系统在安全技术及管理方面的测评，对系统的安全技术状态及安全管理状况做出判断，给出目的系统在安全技术及安全管理方面与其对应安全等级保护规定之间的符合性结论。测评结论作为委托方深入完善系统安全方略及安全技术防护措施根据。4.3 部门业务需求阐明对已定级的信息系统开展等级保护测评服务。4.4 项目建设的意义和必要性国土资源部先后出台了国土资源部信息化工作办公室有关国土资源信息安全等级保护工作的指导意见、有关印发国土资源信息系统安全等级保护定级工作方案的告知（国土资信办发（2023）14号）、国土资源部信息化工作办公室有关国土资源信息安全等级保护工作的指导意见国士资信办发（2023）6号）等系列文献，对加强国土资源信息系统的信息安全以及实行等级保护均做出了明确规定。加强“一张图”及综合监管平台信息安全等级保护建设，提高信息系统安全防护能力，使其到达对应等级保护规定，既是贯彻上级主管部门的文献规定，也是为全市国土资源管理工作信息安全得到保障基础。第二章信息化现实状况分析1、既有信息系统装备和信息化应用状况1.I软件建设序号名称提供商软件功能概述建设日期使用状况1国土资源“一张图”及综合监管平台南京国图2023年正常1.2硬件建设序号名称数量品牌型号硬件配置状况采购日期使用状况1服务器1浪幸NF5240M3E5-2630/32G2023年服务器虚拟化2服务器1浪潮NF5280M4E5-2630/32G2023年服务器虚拟化3服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化4服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化5服务器1浪潮NF5280M4E5-2620/32G2023年服务器虚拟化6服务器1浪潮NF5280M4E5-2620/32G2023年服务器虚拟化7服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化8服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化9服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化10服务器1浪潮NF8560M2E7-4820/64G2023年服务器虚拟化11服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化12服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化13服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化14服务器1浪潮NF5280M3E5-2620/32G2023年服务器虚拟化15服务器2华为5885HV3E7-4830/256G2023年虚拟化平台管理主机16存储11AS520G21.8T2023年100%17存储21AS500G23.63T2023年100%18存储11AS500G12.71T2023年房产数据19存储21AS500G14.52T2023年房产数据20防火墙2USG657010核CPU,4G内存，8个千兆电器和4个千兆光口。2023年一张图系统21文档安全网关1防水坝数据防泄漏系统4×1000M;可扩展光口；MTBF>80,000；2023年一张图系统22终端安全管理系统1防水坝数据防泄漏系统2023年一张图系统23安全审计系统1天明原则机架式设备，配置6个千兆电口和12023年一张图0SM-3300个接口板扩展插槽；设备自带内部存储容量IT系统24数据库审计系统1天勇GE1500ER2U机架设备，存储空间2023G；配置6个电口和4个千兆多模光口，2023年一张图系统25网闸1光闸II型14个10/100M1000MRJ-45接口（千兆电口），12个SFP光口，管理口：4个Console口；2023年一张图系统1.3网络建设已经有电信100M光纤3条。1.4基础环境建设序号面积空调UPS网管监控气体灭火设期建日使用状况180平方211442023年正常212023年正常2、信息系统装备和应用目前存在日勺重要问题马鞍山市国土“一张图”及综合监管平台是马鞍山市国土局的重要信息系统，是国土局日勺各项业务工作正常开展的基础保障。“一张图”及综合监管平台自建设以来，未曾按照信息安全等级保护规定开展信息安全等级保护测评。第三章测评方案1、测评实行原则令符合性原则：应符合国家信息安全等级保护制度及有关法律法规，指出防备日勺方针和保护的原则。÷原则性原则：方案设计、实行与信息安全体系日勺构建应根据国内、国际的有关原则进行。令规范性原则：项目实行应由专业日勺等级测评师根据规范日勺操作流程进行，在实行之前将详细量化出每项测评内容，对操作过程和成果提供规范日勺记录，以便于项目日勺跟踪和控制。令可控性原则：项目实行的措施和过程要在双方承认的范围之内，实行进度要按照进度表进度日勺安排，保证项目实行日勺可控性。÷整体性原则：安全体系设计的范围和内容应当整体全面，包括安全波及的各个层面，防止由于遗漏导致未来的安全隐患。令最小影响原则：项目实行工作应尽量小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务日勺正常提供产生明显影响。÷保密原则：对项目实行过程获得日勺数据和成果严格保密，未经授权不得泄露给任何单位和个人，不得运用此数据和成果进行任何侵害测评委托单位利益的行为。2、测评范围本次测评系统为国土资源管理“一张图”及综合监管平台。3、测评内容对该平台进行十个安全层面的等级保护安全测评（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。信息系统安全等级保护测评包括两个方面日勺内容：一是安全控制测评，重要测评信息安全等级保护规定日勺基本安全控制在信息系统中日勺实行配置状况；二是系统整体测评，重要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评日勺基础。安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。详细见下图：信息系统等绫保护前评安全控制再评安全技术剜评安全管理测同物“安全安全管岬机构主机安全衣全管理制度*第安全人员安全管理?皮用安全系统建设管理融帼安全系统场雉管以系统整体测评安全控制同层面间甲区域间整体结构有全不同信息系使网整体安全性整体累构/局弟柒构图1安全控制测评图示系统整体测评波及到信息系统的整体拓扑、局部构造，也关系到信息系统日勺详细安全功能实现和安全控制配置，与特定信息系统的实际状况紧密有关。在安全控制测评日勺基础上，重点考虑安全控制间、层面间以及区域间的互相关联关系，分析评估安全控制间、层面间和区域间与否存在安全功能上日勺增强、补充和减弱作用以及信息系统整体构造安全性、不一样信息系统之间整体安全性。信息系统等级保护整体测评日勺层次关系如下图所示：网络安全网络访问控制物理安全防盗窃物理访问控制机统全 主系安员全理 人安管统维理 系运管网络入侵防范身份鉴别自主访问控制人员离岗教育和培训设备首理安全事件处K应急预案管理安控全制图2信息系