密码应用方案模板
1 背景
明确系统的建设规划、国家有关法律法规要求,与规划有关的前期情况概述和项目实施的必要性,以及信息系统相关的其他情况说明。
2 系统概述
2.1 基本情况
系统基本情况包括系统名称,系统责任主体单位情况(名称、地址、所属密码管理部门和单位类型等)、系统上线运行时间,系统用户情况(使用单位、使用人员和使用场景等)、是否为关键信息基础设施、等级保护定级和备案情况、网络安全等级测评情况以及密码应用安全性评估情况等。
2.2 计算平台现状
如果密码应用方案包括计算平台密码应用方案设计,则包括以下具体描述。
a) 物理环境:包括机房或重要场所地点、系统部署位置、内外部环境和管理责任主体。
b) 网络环境:包括网络框架、网络边界划分、内外部数据交互情况、设备组成及实现功能、所采取的安全防护措施,并给出系统网络拓扑图。
c) 计算环境:包括系统硬件构成(如服务器、用户终端、网络设备、存储设备、安全防护设备、密码设备等硬件资源和操作系统、数据库系统、应用中间件等软件资源)。
如果密码应用方案不包括计算平台密码应用方案设计,描述计算平台的场所地点和密码应用安全性评估情况。
2.3 业务应用现状
业务应用现状包括以下具体描述。
a) 业务应用的基本情况,包括承载的业务情况和责任主体等,
b) 承载的业务情况,包括系统承载的业务应用、业务功能和关键数据类型等。
c) 对于多个子应用的信息系统,对每个子应用分别描述。
2.4 密码应用现状
信息系统部署密码设施设备的基本情况、责任主体和密码支撑情况(如密码中间件的部署情况和密码功能的提供模式)等。
2.5 密码应用管理现状
管理要求包括信息系统管理制度、人员管理、建设运行和应急处置等。
3 密码应用需求分析
结合信息系统现状和GB/T39786中对不同等级的信息系统提出的密码应用基本要求,对密码应用方案涉及的计算平台、业务应用、管理制度、人员管理、建设运行和应急处置进行安全风险分析,确定风险控制措施、密码应用基本需求分析和密码应用特殊需求分析。通过风险控制措施缓解信息系统存在的高风险。
4 安全目标及设计原则
4.1 安全目标
提出密码应用方案所涉及对象的密码应用安全目标。
4.2 设计原则与依据
提出密码应用方案的设计原则,遵循的政策法规和相关标准。
5 密码应用设计
5.1 密码应用技术框架
包括密码应用技术框架图及框架说明。密码应用技术框架包括计算平台、密码支撑平台和业务应用密码应用架构等,综合描述各平台、系统之间的关系,清晰展示密码应用整体技术框架。
5.2 计算平台密码应用方案
密码应用方案涉及计算平台安全,见7.2的内容设计。
5.3 密码支撑平台方案
密码应用方案涉及为业务应用提供密码功能,见7.3的内容设计。
5.4 业务应用的密码应用方案
密码应用方案涉及业务应用安全,见7.4的内容设计。
5.5 密码应用部署
包括软硬件设备清单(软硬件设备均需包括已有的密码产品清单)、部署示意图及说明等,新增加的密码设备需要明确标识。
6 安全管理方案
参照GB/T22240中等级保护定级,根据GB/T39786对该等级的管理要求,根据部署的密码产品管理机制:设计安全管理方案,包括管理制度、人员管理、建设运行和应急处置方面的制度。
7 安全与合规性分析
逐条对照GB/T39786对应等级下的各项密码应用基本要求,对方案的适用情况、采取的密码保障措施、采取的缓解及替代性措施及自评结果进行说明:
a) 若指标为适用,说明采取的密码保障措施或未采取密码保障措施的情况(如采取的缓解及替代性措施)。
b) 针对适用的指标,存在部分保护对象不适用的情况,论证其不适用性。
c) 若指标为不适用,参考6.4说明其不适用的理由。
根据GB/T39786中要求和设计的密码应用方案,填写密码应用合规性对照表,自评估其密码应用的合规性。密码应用合规性对照如表1所示(以第三级别要求为例,可根据实际系统级别进行修改)。
表1 密码应用合规性对照表
8 实施保障方案
8.1 实施内容
描述实施对象的边界及密码应用的范围、任务要求等。实施内容包括但不限于采购、软硬件开发或改造、系统集成、综合调试和试运行等。分析项目实施的重难点问题,提出实施过程中可能存在的风险点及应对措施。
8.2 实施计划
包括实施路线图、进度计划和重要节点等。按照施工进度计划确定实施步骤,并分阶段描述任务分工、实施主体、项目建设单位和阶段交付物等。
8.3 保障措施
包括项目实施过程中的组织保障、人员保障、经费保障、质量保障和监督检查等措施。
8.4 经费概算
按照经费使用要求,对密码应用项目建设和产生的相关费用进行概算。采购的密码产品和相关服务要指述产品名称、服务类型和数量等。
原文始发于微信公众号(利刃信安):【商密测评】密码应用方案模板
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论