【商密测评】密码应用方案模板

admin 2024年4月9日14:40:28评论29 views字数 1922阅读6分24秒阅读模式

密码应用方案模板

1 背景

明确系统的建设规划、国家有关法律法规要求,与规划有关的前期情况概述和项目实施的必要性,以及信息系统相关的其他情况说明。

2 系统概述

2.1 基本情况

系统基本情况包括系统名称,系统责任主体单位情况(名称、地址、所属密码管理部门和单位类型等)、系统上线运行时间,系统用户情况(使用单位、使用人员和使用场景等)、是否为关键信息基础设施、等级保护定级和备案情况、网络安全等级测评情况以及密码应用安全性评估情况等。

2.2 计算平台现状

如果密码应用方案包括计算平台密码应用方案设计,则包括以下具体描述。

a) 物理环境:包括机房或重要场所地点、系统部署位置、内外部环境和管理责任主体

b) 网络环境:包括网络框架、网络边界划分、内外部数据交互情况、设备组成及实现功能、所采取的安全防护措施,并给出系统网络拓扑图。

c) 计算环境:包括系统硬件构成(如服务器、用户终端、网络设备、存储设备、安全防护设备、密码设备等硬件资源和操作系统、数据库系统、应用中间件等软件资源)

如果密码应用方案不包括计算平台密码应用方案设计,描述计算平台的场所地点和密码应用安全性评估情况。

2.3 业务应用现状

业务应用现状包括以下具体描述。    

a) 业务应用的基本情况,包括承载的业务情况和责任主体等,

b) 承载的业务情况,包括系统承载的业务应用、业务功能和关键数据类型等。

c) 对于多个子应用的信息系统,对每个子应用分别描述。

2.4 密码应用现状

信息系统部署密码设施设备的基本情况、责任主体和密码支撑情况(如密码中间件的部署情况和密码功能的提供模式)等。

2.5 密码应用管理现状

管理要求包括信息系统管理制度、人员管理、建设运行和应急处置等。

3 密码应用需求分析

结合信息系统现状和GB/T39786中对不同等级的信息系统提出的密码应用基本要求,对密码应用方案涉及的计算平台、业务应用、管理制度、人员管理、建设运行和应急处置进行安全风险分析,确定风险控制措施、密码应用基本需求分析和密码应用特殊需求分析。通过风险控制措施缓解信息系统存在的高风险。

4 安全目标及设计原则

4.1 安全目标

提出密码应用方案所涉及对象的密码应用安全目标。

4.2 设计原则与依据

提出密码应用方案的设计原则,遵循的政策法规和相关标准。

5 密码应用设计

5.1 密码应用技术框架

包括密码应用技术框架图及框架说明。密码应用技术框架包括计算平台、密码支撑平台和业务应用密码应用架构等,综合描述各平台、系统之间的关系,清晰展示密码应用整体技术框架。    

5.2 计算平台密码应用方案

密码应用方案涉及计算平台安全,见7.2的内容设计。

5.3 密码支撑平台方案

密码应用方案涉及为业务应用提供密码功能,见7.3的内容设计。

5.4 业务应用的密码应用方案

密码应用方案涉及业务应用安全,见7.4的内容设计。

5.5 密码应用部署

包括软硬件设备清单(软硬件设备均需包括已有的密码产品清单)、部署示意图及说明等,新增加的密码设备需要明确标识。

6 安全管理方案

参照GB/T22240中等级保护定级,根据GB/T39786对该等级的管理要求,根据部署的密码产品管理机制:设计安全管理方案,包括管理制度、人员管理、建设运行和应急处置方面的制度。

7 安全与合规性分析

逐条对照GB/T39786对应等级下的各项密码应用基本要求,对方案的适用情况、采取的密码保障措施、采取的缓解及替代性措施及自评结果进行说明:

a) 若指标为适用,说明采取的密码保障措施或未采取密码保障措施的情况(如采取的缓解及替代性措施)。

b) 针对适用的指标,存在部分保护对象不适用的情况,论证其不适用性。

c) 若指标为不适用,参考6.4说明其不适用的理由。

根据GB/T39786中要求和设计的密码应用方案,填写密码应用合规性对照表,自评估其密码应用的合规性。密码应用合规性对照如表1所示(以第三级别要求为例,可根据实际系统级别进行修改)。    

1 密码应用合规性对照表

【商密测评】密码应用方案模板    

【商密测评】密码应用方案模板

8 实施保障方案

8.1 实施内容

描述实施对象的边界及密码应用的范围、任务要求等。实施内容包括但不限于采购、软硬件开发或改造、系统集成、综合调试和试运行等。分析项目实施的重难点问题,提出实施过程中可能存在的风险点及应对措施。

8.2 实施计划

包括实施路线图、进度计划和重要节点等。按照施工进度计划确定实施步骤,并分阶段描述任务分工、实施主体、项目建设单位和阶段交付物等。

8.3 保障措施

包括项目实施过程中的组织保障、人员保障、经费保障、质量保障和监督检查等措施。

8.4 经费概算

按照经费使用要求,对密码应用项目建设和产生的相关费用进行概算。采购的密码产品和相关服务要指述产品名称、服务类型和数量等。  

原文始发于微信公众号(利刃信安):【商密测评】密码应用方案模板

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月9日14:40:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【商密测评】密码应用方案模板http://cn-sec.com/archives/2641182.html

发表评论

匿名网友 填写信息