等保测评3级-技术测评要求

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3)

类别序号测评内容测评方法结果记录符合情况Y N

备份恢复

（G3）设计/验收文档，相关证明性材料

（如证书、检验报告等）。

130.

应能够检测到系统管理数据、鉴别信息和重要

业务数据在存储过程中完整性受到破坏，并在

检测到完整性错误时采取必要的恢复措施。

（G3）

数据

保密

性

131.

应采用加密或其他有效措施实现系统管理数

据、鉴别信息和重要业务数据传输保密性。（G3）

访谈，检查，测试。

系统管理员，网络管理员，安全管

理员，数据库管理员，应用系统，

设计/验收文档，相关证明性材料

（如证书、检验报告等）132.

应采用加密或其他保护措施实现系统管理数

据、鉴别信息和重要业务数据存储保密性。（G3）

备份

和恢

复

133.

应提供本地数据备份与恢复功能，完全数据备

份至少每天一次，备份介质场外存放。（G3）访谈，检查，测试。

系统管理员，网络管理员，数据库

管理员，安全管理员，主机操作系

统，网络设备操作系统，数据库管

理系统，应用系统，设计/验收文档，

网络拓扑结构。

134.

应提供异地数据备份功能，利用通信网络将关

键数据定时批量传送至备用场地。（G3）

135.

应采用冗余技术设计网络拓扑结构，避免关键

节点存在单点故障。（G3）

136.

应提供主要网络设备、通信线路和数据处理系

统的硬件冗余，保证系统的高可用性。（G2）

三级等保评测文件资料资料

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日

报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章容的提炼和简要描述。

报告基本信息

声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述，包含但不限于以下容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称年月

新版等级保护三级管理测评.pdf

三级管理要求(S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 安全管理机构岗位设置 1. 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人岗位，定义各负责人的职责。访谈，检查。安全主管，安全管理某方面的负责人，部门、岗位职责文件。 2. 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责。 3. 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。 4. 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。人员配备 5. 应配备一定数量的系统管理员、网络管理员、安全管理员等。访谈，检查。安全主管，人员配备要求的相关文档，管理人员名单。 6.应配备专职安全管理员，不可兼任。 7.关键事务岗位应配备多人共同管理。授权和审批 8. 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。访谈，检查。安全主管，关键活动的批准人，审批事项列表，审批文档。 9. 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 10.应定期审查审批事项，及时更新需授权和审批的项目、

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 审批部门和审批人等信息。 11.应记录审批过程并保存审批文档。沟通和合作12. 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。访谈，检查。安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档。 ` 13. 应加强与兄弟单位、公安机关、电信公司的合作与沟通。 14. 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。 15. 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。 16. 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。审核和检查17. 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。访谈，检查。安全主管，安全员，安全检查记录。 18. 应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 19. 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

医院等保三级测评方案、网络信息安全等级保护测评方案

医院网络信息系统三级等保测评方案北京XX科技有限公司 2019年8月

目录第1章方案概述 (5) 1.1 背景 (5) 1.2 方案设计目标 (7) 1.3 方案设计原则 (8) 1.4 方案设计依据 (9) 第2章信息系统定级情况 (12) 第3章安全需求分析 (13) 3.1 安全指标与需求分析 (13) 第4章信息安全体系框架设计 (16) 第5章管理体系整改方案 (17) 5.1 安全制度制定解决方案 (17) 5.1.1 策略结构描述 (17) 5.1.2 安全制度制定 (20) 5.1.3 满足指标 (21) 5.2 安全制度管理解决方案 (21) 5.2.1 安全制度发布 (21) 5.2.2 安全制度修改与废止 (22) 5.2.3 安全制度监督和检查 (22) 5.2.4 安全制度管理流程 (23) 5.2.5 满足指标 (26) 5.3 安全教育与培训解决方案 (27) 5.3.1 信息安全培训的对象 (27) 5.3.2 信息安全培训的内容 (28) 5.3.3 信息安全培训的管理 (29) 5.3.4 满足指标 (30) 5.4 人员安全管理解决方案 (30) 5.4.1 普通员工安全管理 (30) 5.4.2 安全岗位人员管理 (32) 5.4.3 满足指标 (37) 5.5 第三方人员安全管理解决方案 (37) 5.5.1 第三方人员短期访问安全管理 (38) 5.5.2 第三方人员长期访问安全管理 (39) 5.5.3 第三方人员访问申请审批流程信息表 (41) 5.5.4 第三方人员访问申请审批流程图 (42) 5.5.5 满足指标 (42) 5.6 系统建设安全管理解决方案 (43) 5.6.1 系统安全建设审批流程 (43) 5.6.2 项目立项安全管理 (44) 5.6.3 信息安全项目建设管理 (46) 5.6.4 满足指标 (50)

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院 ??号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发????????号）、《关于信息安全等级保护工作的实施意见》（公通字????????号）和《信息安全等级保护管理办法》（公通字????????号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ???????????????信息安全技术信息系统安全等级保护定级指南； ???????????????信息安全技术信息系统安全等级保护基本要求； ??????????????信息安全技术信息系统安全等级保护实施指南； ??????????????信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南

范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 ??????????信息技术词汇第部分：安全????????????计算机信息系统安全保护等级划分准则??????????????信息安全技术信息系统安全等级保护定级指南??????????????信息安全技术信息系统安全等级保护基本要求?????????????信息安全技术信息系统安全等级保护实施指南?????????????信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字????????号）术语和定义 ??????????、????????????、

等保三级基础知识

等保三级基础知识信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。如何才能保证网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，需要做到保证网络的物理安全，保证网络拓扑结构和系统的安全。一．如何才能保证网络的物理安全？物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故(如电磁污染等〉及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护，物理安全措施是计算系统中必需的。物理安全主要包括三个方面：场地安全(环境安全):是指系统所在环境的安全，主要是场地与机房；设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等)；介质安全（媒体安全）:包括媒体的数据的安全及媒体本身的安全。 1.场地安全

为了有效合理地对计算机机房进行保护，应对计算机机房划分出不同的安全等级，把应地提供不同的安全保护措施，根据GB9361-1988，计算机机房的安全等级分为A类、B类、C类三个基本类别。 A级机房:对计算机机房的安全有严格的要求，有完善的计算机计算机安全措施，具有最高的安全性和可靠性。 B级机房:对计算机机房的安全有严格的要求，有较完善的计算机计算机安全措施，安全性和可靠性介于A、C级之间。 C级机房:对计算机机房的安全有基本的要求，有基本的计算机安全措施，C级机房具有最低限度的安全性和可靠性。在实际的应用中，可根据使用的具体情况进行机房等级的设置，同一机房也可以对不同的设备(如电源、主机)设置不同的级别。 2.设备安全设备安全包括设备的防盗和防毁，防止电磁信息泄露，前置线路截获、抗电磁干扰一级电源的保护。其主要内容包括: (1)设备防盗。可以使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁〉保护计算机系统设备和部件，以提高计算机信息系统设备和部件的安全性。

等保测评流程

目录目录 (1) 一、等级保护流程 (2) 1.1 基本流程 (2) 1.2 详细流程说明 (2) 1.2.1 定级和备案 (2) 1.2.1.1 定级标准 (3) 1.2.1.2 定级方法 (4) 1.2.1.3 医院定级参考 (5) 1.2.2 信息安全等级保护整改 (6) 1.2.2.1 信息系统安全建设整改总体框架 (7) 1.2.2.2 信息系统安全建设整改工作基本流程 (8) 1.2.2.3 安全管理制度建设 (9) 1.2.2.4 安全技术措施建设 (12) 1.2.3 信息安全等级保护测评 (14) 1.2.4 公安机关检查 (15) 1.2.4.1 检查内容 (16) 二、医院信息安全等级保护工作建议 (17)

一、等级保护流程 1.1基本流程定级备案信息安全等级保护整改信息安全等级保护测评（测评机构每年）公安机关检查（网监） 1.2详细流程说明 1.2.1定级和备案相关国家政策文件——关于开展全国重要信息系统安全等级保护定级工作的通知（公安部）相关部门指导文件——卫生行业信息安全等级保护工作的指导意见（卫生部）定级及等保指南文件——卫办发〔2011〕85号（卫生部）摘要： 1、各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。说明：由运营使用单位（即医院）起草报告提交网监。 2、当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。说明：定级由医院自主决定，但是有主管单位的需要由主管部门同意，医院需按照卫生主管部门意见。《信息系统安全等级保护定级报告》模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。 3、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。说明：备案由医院提交备案表给网监。信息系统安全等级保护备案表模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。 4、三级甲等医院的核心业务信息系统信息系统安全保护等级原则上不低于第三级。说明：此定级标准为卫生部印发《卫生行业信息安全等级保护工作的指导意见（卫办发〔2011〕85号）》文件中第四条明确要求。

等级保护三级管理测评.doc

三级管理要求 (S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 符合情况类别序号测评内容测评方法结果记录 Y N O 应设立信息安全管理工作的职能部门，设立安全主管 1. 人、安全管理各个方面的负责人岗位，定义各负责人的职责。应设立系统管理人员、网络管理人员、安全管理人员岗岗位 2. 访谈，检查。安全主管，安全管理某方位，定义各个工作岗位的职责。安全设置面的负责人，部门、岗位职责文件。管理 3. 应成立指导和管理信息安全工作的委员会或领导小机构组，其最高领导由单位主管领导委任或授权。应制定文件明确安全管理机构各个部门和岗位的职 4. 责、分工和技能要求。人员应配备一定数量的系统管理员、网络管理员、安全管访谈，检查。安全主管，人员配备要求 5. 配备理员等。的相关文档，管理人员名单。

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容符合情况测评方法结果记录 Y N O 授权和审6. 7. 8. 9. 应配备专职安全管理员，不可兼任。关键事务岗位应配备多人共同管理。应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。访谈，检查。安全主管，关键活动的批准人，审批事项列表，审批文档。批应定期审查审批事项，及时更新需授权和审批的项目、 10. 审批部门和审批人等信息。 11. 应记录审批过程并保存审批文档。沟通应加强各类管理人员之间、组织内部机构之间以及信和合12.息安全职能部门内部的合作与沟通，定期或不定期召作开协调会议，共同协作处理信息安全问题。访谈，检查。安全主管，安全管理人员，会议文件，会议记录，外联单位说明文 ` 档。

三级等保评测文件

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日

报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息

声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称年月