等级保护测评一般流程

等级保护测评流程

一、用户确定信息系统的个数、每个系统的等保级别；

二、填写《系统定级报告》，《系统基础信息调研表》；

三、向省公安厅网监总队提交《系统定级报告》和《系统基础信

息调研表》,获取《信息系统等级保护定级备案证明》,每个

系统一份;

四、按所定等级要求进行等保测评检测，如不符合要求，形成整

改要求,由用户按整改要求进行整改;

五、通过等保测评的，由信息安全等级保护测评机构出具的《信

息系统等级保护测评报告》，并将报告提交公安备案。

等级保护分级要求：

第一级:用户自主保护级

第二级:系统审计保护级

第三级：安全标记保护级

第四级:结构化保护级

第五级:访问验证保护级

等级保护是公安部对非涉密信息系统安全管理标准规范。对重要系统、电子政务系统、关系国计民生的国有企业的强制性标准。具体保护

等级由公安部确认。

重要信息系统安全可控试点示范具体要求及项目资金申请报告

附件2 重要信息系统安全可控试点示范具体要求及项目资金申请报告编制要点一、关于试点示范工程的总体要求（分不同领域）（一）关于商业银行一体化信息安全风险感知体系试点示范的要求按照信息安全等级保护的相关要求，建设信息安全风险感知体系。能够支持对银行重要信息系统中终端、网络、主机、应用和数据的业务、运维以及安全管理等操作行为进行主动感知，支持对相关多元化异构大数据进行预处理，对安全事件进行智能关联分析、集中展现和及时预警。支持银行网点终端统一管理，实现终端接入认证、访问控制、恶意代码防范、安全审计等功能。该体系分级分布式部署，具有可移植性、可扩展性，可并发会话数大于1000个，银行业务安全数据日处理能力大于1000万条，网点终端管理规模达到20万台以上。建立完善银行灾备系统建设、运行、维护、测评和应急处置的标准规范体系。制定第三方安全服务机构服务质量基本评价指标体系，包括第三方安全服务机构的制度体系评价指标、服务内容合规性评价指标、服务过程规范性评价指标、人员管理水平及稳定性评价指标、机构资质评价指标等，质量评价以量化分值方式呈现。

（二）关于商业银行开展电子银行和移动支付业务系统安全态势监控试点示范的要求按照信息安全等级保护的相关要求，建设电子银行和移动支付业务系统安全态势监控体系。支持商业银行对电子银行系统（包括网上银行、手机银行及其门户网站等系统）、相关新型（增值）系统及其相关产品的安全态势进行监测预警，重点监控电子银行系统及其相关产品漏洞和入侵事件，对其存在的漏洞和重要信息安全事件进行预警，定期对其面临的信息安全形势作出分析研判；针对金融移动支付领域的各种主流操作系统应用，建立涵盖手机银行业务交易处理与关键流程安全性审核、客户端安全检测与防护措施验证、服务器端内控措施等多方面的安全检测与防护措施，并形成相应标准规范体系。提出手机银行从设计、开发、测试、部署、运维等不同阶段的安全性要求和实施要点，完善手机银行应用安全检测指引和相关安全设计规范。（三）关于金融领域钓鱼网站和金融诈骗事件安全应急保障试点示范的要求支持信息安全专业机构、商业银行、行业主管部门对电子银行系统联合建立针对钓鱼网站和金融诈骗事件的应急保障体系。研究建立信息安全专业机构、商业银行、执法部门联合处置、应急保障的协调机制。具体是：

等级保护测评_应用安全

一．应用系统安全测评指导书1.应用系统安全测评访谈：专门的登陆控制模块进行身份鉴别手工检查： 1.查看登陆控制模块 2.验证登陆控制模块功能是否正确。1.认证方式应该为混合认证方式 2.本身操作系统用户也必须输入密码才能登陆。访谈： 1.是否有专门的模块或选项，是否有相关参数需要配置 2.功能验证。访谈： 1.登录失败处理的功能(如结束会话、限制非法登陆次数，当连接超时，自动退出等)，查看是否启用配置。 2.应根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部进行测试： a.以错误的用户名或密码登录系统查看系统的反应 b.以超过系统规定的非法登录次数登陆系统查看系统的反应 c.当登陆系统连接超时查看系统的反应。

访谈： 1.是否有访问控制策略配置功能，以该授权主体身份登录系统，进行验证 2.以不具有修改访问控制策略权限的用户登录系统，试图修改访问控制策略，查看是否成功 3.系统是否有默认用户，是否限制了默认用户的访问权限 4.测试应用系统是对默认账户合法/非法操作进行限制。访谈： 1.最小授权、相互制约 2.用户职责分配的权限是否与其职责相符 3.不同账户的权限是否分离并形成制约关系 4.测试越权访问，能否成功。访谈： 1.功能是否满足并验证。

1.系统管理员是否依据安全策略对目标系统进行了正确的配置 2.进行验证。访谈： 1.询问安全审计员，审记策略是什么； 2.检查应用系统的审记策略，查看审记策略是否覆盖到每个用户，是否对系统异常等事件进行审计 3.确认审计功能是否全面、详细。访谈： 1.检查应用系统是否提供专门的审计工具 2.应用系统审计报表功能访谈： 1.询问应用系统审计方式，测试审计功能健壮性 2.验证审计功能 3.审计记录恢复功能。

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息安全等级保护测评机构评优标准(试行)

附件2：信息安全等级保护测评机构评优标准（试行）一、编制目的本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。二、指标设定对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。三、各项指标打分标准指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。各项指标的打分标准如下：（1）系统测评数量打分标准根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据（2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人，得3分。 C.测评师人数16-20人且中、高级人员不少于5人，得5分。 D.测评师人数21-25人且中、高级人员不少于7人，得6分。 E.测评师人数26-30人且中高、级人员不少于9人，得7分。 F.测评师人数31-35人且中高、级人员不少于11人，得8分。 G.测评师人数36-40人且中高、级人员不少于13人，得9分。 H.测评师人数40人以上且中高、级人员不少于15人，得10分。备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。（3）工具配备打分标准 A.机构具备安全问题发现类工具：漏洞扫描工具（网络和主机）—1分

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年

目录第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

等级保护2.0 三级-Linux 测评指导书V1.0

1.1安全计算环境-Linux 1.1.1身份鉴别测评项： a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；测评方法：测评项： b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；测评方法：测评项： c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；测评方法：

测评项： d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。测评方法： 1.1.2访问控制测评项： a) 应对登录的用户分配账户和权限；测评方法：测评项： b) 应重命名或删除默认账户，修改默认账户的默认口令；测评方法：测评项： c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；测评方法：

测评项： d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；测评方法：测评项： e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；测评方法：测评项： f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；测评方法：测评项： g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。测评方法：

1.1.3安全审计测评项： a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；测评方法：测评项： b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；测评方法：测评项： c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；测评方法：

信息化项目安全测评申请书-上海信息安全测评认证中心

项目编号：信息化项目安全测评申请书项目名称：申请单位：（盖章）申请日期：上海市信息安全测评认证中心年月日

告用户在正式填写本申请书前，请认真阅读并理解以下内容： 1.适用范围本申请书适用于对已建信息系统进行部分改造建设的信息化项目，建设内容可以包括系统应用开发，网络、系统平台改造，系统安全加固，环境建设，系统安全管理制度建设等方面。新建完整信息系统的信息化项目（完整信息系统建设包括机房物理环境、网络平台、系统平台、应用系统、系统运行安全保障、安全管理体系等方面），应按照国家《信息安全等级保护管理办法》和市政府58号令《上海市公共信息系统安全测评管理办法》》进行信息系统安全测评。 2.测评内容信息化项目安全测评内容包括分别对信息系统网络、服务器等平台改造的安全测试和评估；对信息系统应用系统开发进行功能、安全功能测试；对信息系统安全加固实施的安全测试和评估；对网络环境建设中安全、基本链路测试；对安全管理制度建设的评估等。 3.提交文档以下申请书填写项中，如无备注说明，均属信息化项目申请安全测评的必填项。用户申请安全测评时，应请交纸质版申请书及附件原件一份，同时交电子版一份。如填写内容较多，可另加附页。 4.联系方式上海市信息安全测评认证中心地址：上海市陆家浜路1308号邮编：200011 电话：（021）63789900 传真：（021）63789039 E-mail：yewubu@https://www.360docs.net/doc/0e16010446.html,，cyj@https://www.360docs.net/doc/0e16010446.html,

一、申请单位基本情况

二、提交申请材料详细内容提交的申请文档须包括但不限于以下内容： 1、项目任务书内容要求：包括项目类型、项目名称、承担单位、项目建设内容、项目投资总额、项目成果和项目要求实现的技术指标等； 2、项目设计（实施）方案具体描写项目的主要建设内容，应用业务及需求说明，主要开发内容和功能模块，实施周期等； 3、应用开发设计方案、用户手册、功能说明具体描写应用开发软件的主要功能项，软件功能详细说明，用户操作手册等； 4、网络环境描述提供项目实施范围内的网络拓扑图，标明涉及的具体网络环境、设备情况； 5、主要购买软硬件设备清单包括购买的主要服务器的型号、类型及配置描述等，购买的主要应用软件的版本和功能，购买的网络设备和安全设备的型号及性能指标。 6、项目自测分析报告（可选）本部分可以是：1.项目运行前由集成单位或开发人员进行系统安全功能联调或相关指标测试（如系统峰值容量、系统延迟、系统容错能力、系统可靠性、有关资源配置的重要数据等）的方法和报告，测试过程中出现的

信息系统安全等级保护测评及服务要求

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

15-SGISLOP-SA17-10-IDS等级保护测评作业指导书(三级)

控制编号：SGISL/OP-SA17-10 信息安全等级保护测评作业指导书 IDS（三级）版号：第 2 版修改次数：第0 次生效日期：2010年01月06日中国电力科学研究信息安全实验室

修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注 1SGISL/OP-S A17-10 唐斐按公安部要求修订詹雄2010.3.8

一、安全审计1．日志记录测评项编号ADT-FW-04 对应要求应对设备运行状况、网络流量等进行日志记录测评项名称日志记录测评分项1：记录IDS的管理行为、设备运行状况和网络异常流量。操作步骤查看IDS日志，是否存在设备运行状况和网络异常流量等相关日志记录适用版本任何产品实施风险无符合性判定存在防火墙的管理行为、网络流量等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为不符合测评分项2：审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等操作步骤查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本所有内容实施风险无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为不符合备注

2．日志分析测评项编号ADT-FW-04 对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项1：根据各种审计数据分析，并生成报表操作步骤登陆IDS管理界面，获取日志分析报告及图表适用版本任何产品实施风险无符合性判定能获取到日志分析报告及图表，判定结果为符合不能获取到日志分析报告及图表，判定结果为不符合3．审计记录的保护测评项编号ADT-FW-04 对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称审计记录的保护测评分项1：审计记录的完好性保护操作步骤查看审计记录的存储，是否未经授权可删除、修改审计记录适用版本任何产品实施风险无符合性判定未经授权，不可删除、修改审计记录，判定结果为符合未经授权，可删除、修改审计记录，判定结果为不符合三、安全防护

信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明

信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明 1概述 1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试行)1 附件一：信息安全等级保护测评工作管理规范（试行）第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。第二条本规范适用于等级测评机构和人员及其测评活动的管理。第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。第四条省级以上等保办负责等级测评机构的审核和推荐工作。公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件：（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）产权关系明晰，注册资金100万元以上；（四）从事信息系统检测评估相关工作两年以上，无违法记录；（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

信息安全技术网络安全等级保护测评要求

等级保护定级专家评审申请报告范本讲解

附件1 X市邮政金融网信息系统信息安全等级专家评审申请报告（示例，试用参考版本）申报单位：（盖章）申报日期：受理单位：宁波市经济和信息化委员会受理日期：二零零×年××月

目录填写说明 (1) 1 单位基本情况 (3) 2 申请评审的信息系统汇总表 (4) 3 信息系统划分 (5) 3.1 管理机构 (5) 3.2 网络结构 (5) 3.3 业务应用 (6) 3.4 信息系统划分结果 (6) 4 邮政金融网中间业务系统自定级报告 (8) 5 邮政综合计算机网系统自定级报告 (13) 6 系统使用的安全产品清单及认证、销售许可证明 (14)

填写说明 1、填报依据。根据《浙江省信息安全等级保护管理办法》（省政府令223号）和《浙江省信息安全等级评审实施细则》之规定制作本表。 2、填报范围。本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。 3、申报方式。本报告一式五份，由申请单位向受理申请的信息化机构提交。同时将电子版本申请材料发电子邮箱:nbjwyqh@https://www.360docs.net/doc/0e16010446.html,。 4、单位基本情况表：单位负责人，是指主管本单位信息安全工作的领导；责任部门，是指单位内负责信息系统安全工作的部门；隶属关系，是指信息系统运营使用单位与上级行政机构的从属关系。 5、系统自定级报告：是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。 6、系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。 7、信息系统定级评审专家意见表：由参加评审的专家组填写。 8、重要提示。本报告模板第8、9页的蓝色标记部分，属于定级工作

等级保护测评师初级技术考试

目录等级保护政策与相关标准应用部分 (1) 网络安全测评部分 (3) 主机安全部分 (5) 应用测评部分 (8) 数据库 (9) 工具测试 (9) 等级保护政策与相关标准应用部分《中华人民共与国计算机信息系统安全保护条例》国务院令 147号计算机信息系统实行安全等级保护。安全等级得划分标准与安全等级保护得具体办法,由公安部会同有关部门制定《国家信息化领导小组关于加强信息安全保障工作得意见》中发办[2003] 27号要加强信息安全标准化工作,抓紧制定急需得信息安全管理与技术标准,形成与国际标准相衔接得中国特色得信息安全标准体系什么就是等级保护工作信息安全等级保护工作就是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,涉及技术与管理两个领域得复杂系统工程等级保护制度得地位与作用就是国家信息安全保障工作得基本制度、基本国策就是促进信息化、维护国家信息安全得根本保障就是开展信息安全工作得基本方法,有效抓手等级保护得主要目得明确重点、突出重点、保护重点优化信息安全资源得配置明确信息安全责任拖动信息安全产业发展公安机关组织开展等级保护工作得依据 1、《警察法》规定:警察履行“监督管理计算机信息系统得安全保护工作”得职责 2、国务院令147号“公安部主管全国计算机信息系统安全保护工作”,“等级保护得具体办法,由公安部会同有关部门制定” 3、2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”机构公安部网络安全保卫局

各省网络警察总队地市网络警察支队区县网络警察大队部分职责制定信息安全政策打击网络违法犯罪互联网安全管理重要信息系统安全监督网络与信息安全信息通报国家信息安全职能部门职责分工公安机关牵头部门,监督、检查、指导信息安全等级保护工作国家保密部门负责等级保护工作中有关保密工作得监督、检查、指导。并负责涉及国家秘密信息系统分级保护国家密码管理部门:负责等级保护工作中有关密码工作得监督、检查、指导工业与信息化部门:负责等级保护工作中部门间得协调定级备案建设整改测评监督检查《关于信息安全等级保护工作得实施意见》公通字[2004] 66号《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》《信息系统安全等级保护实施指南》简称《实施指南》《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》《信息系统安全等级保护测评要求》简称《测评要求》《信息系统安全等级保护测评过程指南》简称《测评过程指南》测评主要参照标准信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护工作中用到得主要标准基础 17859 实施指南定级环节定级指南整改建设环节基本要求等级测评环节测评要求测评过程指南定级方法61 确定定级对象确定业务信息安全受到破坏时所侵害得客体综合评定业务信息系统安全被破坏对客体得侵害程度

XXX等级保护测评服务合同

技术服务合同合同编号(甲方)： ?合同编号（乙方）: ?项目名称： ?委托方（甲方）: ?受托方(乙方)： ?签订时间： ?签订地点: 有效期限：ｘxx年xxx月至xxx年xｘｘ月

目录 1.技术服务项目概要1 -?－ 2.技术服务具体要求1-?- 3.甲方提供的工作条件及协作事项1 -?- 4.组织与管理 ......................................................................................................................... -２- 5.技术服务报酬及支付方式..................................................................................................... - 4 - 6.技术服务工作成果的验收４-?－ 7.知识产权 ................................................................................................................................ - 4 - ８.保密义务 .......................................................................................................................... － 5 －9.违约责任5-?- 10．合同变更和解除６-?- 1１.争议解决7-?- 12.名词和技术术语的定义和解释7 -?- 13.本合同的组成部分7 -?－ 14.其他7 －?- 附件1:技术协议书 ................................................................................................................- 10－附件2：保密协议24 -?-

12-SGISLOP-SA14-10-防火墙等级保护测评作业指导书(三级)

.... 控制编号：SGISL/OP-SA14-10 信息安全等级保护测评作业指导书防火墙（三级）版号：修改次数：生效日期：第2版第0次2010年01月06日中国电力科学研究院信息安全实验室

修改页版号/ 修订号控制编号修改人修订原因批准人批准日期备注章节号 1SGISL/OP- SA14-10唐斐按公安部要求修订詹雄2010.3.8

一、网络访问控制访问 1．端口级的访问控制应能根据会话状态信息为数据流提供明测评项编号ADT-FW-01对应要求确的允许/拒绝访问的能力，控制粒度为端口级测评项名称端口级的网络访问控制测评分项1：查看防火墙缺省规则是否为默认禁止在管理界面中，查看防火墙已有的安全规则。操作步骤适用版本实施风险任何版本无符合性判定访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从any到any的任何协议通过，判定结果为不符合；其它情况，判定结果为符合。测评分项2：检查防火墙控制粒度是否为端口级访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。操作步骤适用版本实施风险任何产品无查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结符合性判定果为符合；查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定

结果为不符合。备注 2．协议命令级的网络访问控制测评项编号应对进出网络的信息内容进行过滤，实现 ADT-FW-02对应要求对应用层HTTP、FTP、TELNET、SMTP、 POP3等协议命令级的控制测评项名称协议命令级的网络访问控制测评分项1：实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置操作步骤适用版本实施风险任何产品无如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件符合性判定人、FTP下载的文件类型等，判定结果为符合；若无上述参数，协议命令级的网络访问控制判定结果为不符合。备注 3．会话连接超时处理测评项编号ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结

05.信息安全等级保护商用密码系统安全测评流程详解

信息安全等级保护商用密码系统安全测评流程详解信息安全等级保护商用密码系统安全测评流程图测评申请现场检测报告与结论

一、检测依据《信息安全等级保护商用密码管理办法》《信息安全等级保护商用密码技术实施要求》《信息系统安全等级保护基本要求》二、检测范围信息安全等级为三级以上（含三级）信息系统中的商用密码系统。三、检测程序上海市信息安全测评认证中心（以下简称测评中心）的商用密码系统安全等级保护测评工作拟分以下三个阶段进行： 1．测评申请阶段 1）填写文档申请单位可到上海市信息安全测评认证中心网站https://www.360docs.net/doc/0e16010446.html,下载《信息安全等级保护商用密码系统安全测评申请书》，并填写相关信息。 2）提交申请申请单位： l须按照申报表的要求，据实填写（用Word录入排版）。 l提交申报表纸质版1份（加盖单位公章）、电子版本1份,并送交测评中心。 l须同时提交上海市密码管理局有关收到“信息安全等级保护商用密码产品备案表”的确认回执单。 3)受理申请测评中心对申请单位提交的有关材料进行审核后，对符合测评条件的予以受理，并协商有关测评的费用，发放测评受理单或签订相关委托测评协议。 2．现场检测阶段测评中心组成检测小组对现场商用密码信息系统进行调研，明确商用密码产

品实际使用情况和系统相关信息。测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求，和申请单位及相关集成单位协商制订测试方案、测试计划，并实施测试任务。 3．报告与结论阶段测评中心检测小组对现场采集的检测结果数据进行分析，形成有关商密系统的安全测评意见，并告知申请单位。测评中心最后向申请单位出具安全测评报告，并将有关测评情况和安全测评结论报送上海市密码管理局。

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院 ??号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发????????号）、《关于信息安全等级保护工作的实施意见》（公通字????????号）和《信息安全等级保护管理办法》（公通字????????号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ???????????????信息安全技术信息系统安全等级保护定级指南； ???????????????信息安全技术信息系统安全等级保护基本要求； ??????????????信息安全技术信息系统安全等级保护实施指南； ??????????????信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南

范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 ??????????信息技术词汇第部分：安全????????????计算机信息系统安全保护等级划分准则??????????????信息安全技术信息系统安全等级保护定级指南??????????????信息安全技术信息系统安全等级保护基本要求?????????????信息安全技术信息系统安全等级保护实施指南?????????????信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字????????号）术语和定义 ??????????、????????????、

信息安全等级保护商用密码测评机构审批服务指南

信息安全等级保护商用密码测评机构审批服务指南一、适用范围本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。二、项目信息项目名称：信息安全等级保护商用密码测评机构审批子项名称：无审批类别：非行政许可审批（正在履行新设行政许可程序）项目编号：60012 三、办理依据《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 《信息安全等级保护管理办法》（公通字〔2007〕43号）第一条：“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。” 第三十八条：“信息系统中的密码及密码设备的测评工

作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。” 《信息安全等级保护商用密码管理办法》（国密局发〔2007〕11号）第十一条：“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。” 四、受理机构国家密码管理局五、决定机构国家密码管理局六、审批数量无数量限制七、办事条件申请人应当具备以下条件： 1.独立法人的企事业单位； 2.产权关系明晰，资产总值不低于1000万元； 3.具备信息安全系统测评相关经验，具有密码相关工作经验的专业技术人员，人数不少于30人； 4.具备必要的系统测评环境、设备和设施； 5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度； 6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动，不从事密码产品生产、

等级保护2.0 三级-Windows 测评指导书V1.0

1.1安全计算环境-Windows（例：Server 2012） 1.1.1身份鉴别测评项： a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；测评方法：测评项： b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；测评方法：测评项： c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；测评方法：

测评方法：测评项： d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；测评方法：测评项： e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；测评方法：测评项： f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；测评方法：测评项： g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。测评方法：