数据安全测评指导书 测评单位名称:云南信龙科技有限公司 被测单位名称: 年 月 日 V1.0 一、 系统概述 本次需要进行测评的系统是 (以下简称 )。 已经完成建设和验收工作。为单位规范、高效和系统的管理提供了一个稳定的计算机和网络系统平台,从而需要对该系统进行等级保护工作。 二、 安全保护等级 通过自主定级为三级等级保护。本标准依据 GB 17859-1999 的五个安全保护等级的划分,根据数据安全在信息系统中的作用,规定了各个安全等级的数据安全所需要的基础安全技术的要求。 本标准适用于按等级化的要求进行的数据安全的设计和实现,对按等级化要求进行的数据安全的测试和管理可参照使用。 三、 数据安全范围 数据安全的范围包括:数据完整性(S3)、数据保密性(S3)、数据备份和恢复(A3)。 四、 测评指标 1、 数据完整性(S3): a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检 测到完整性错误时采取必要的恢复措施; b) 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检 测到完整性错误时采取必要的恢复措施。 2、 数据保密性(S3): a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性; b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 3、 数据备份和恢复(A3): a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; b) 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地; c) 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 五、 控制点详细 控制点 测评项 测评方式 测评对象 测评实施 预测结果 数据完整性 a) 应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; b) 应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破,并在检测到完整性错误时采取必要的恢复措施; c) 应能够检测到重要系统的完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。 访谈,检查。 安全员,主要应用系统,设计 / 验 收 文档,相关证明性材料(如证书、检验报告等) a)...
