等级保护测评项目管理制度.doc

谢谢关注

谢谢关注等级保护测评项目管理制度1

等级保护测评项目管理制度

一、目的

为有效保障等级保护测评中心的测评质量，防止发生质量异常，提升效率，确保质量满足客户需求，特制定本制度。

二、职责

等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系，由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制：

质量主管：

1）全面领导等保测评中心的质量管理工作，监督执行有关等保测评中心须遵循的各种政策、法律法规，并传达法律法规对测评工作的重要性；

2）确保质量部开展工作所需的各种资源；

3）审批质量部发展的中长期计划和年度计划；

4）主持重大质量问题的申诉，对等保测评中心的质量和质量管理工作全面负责；

5）质量手册（方针、目标等）的发布者；

6）负责贯彻执行等保测评中心应遵循的各种法律、法规及

(管理制度)信息安全等级保护管理办法(全文)

7月24日，公安部网站发布四部门联合制定的《信息安全等级保护管理办法》，全文如下：第壹章总则第壹条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条国家通过制定统壹的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条信息系统主管部门应当依照本办法及关联标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其关联标准规范，履行信息安全等级保护的义务和责任。第二章等级划分和保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统于国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后

对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系统的安全保护等级分为以下五级：第壹级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条信息系统运营、使用单位依据本办法和关联技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第壹级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标操作系统识别扫描：对目标主机运行的操作系统进行识别端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。 10、配置如下两条访问控制列表：

网络安全等级保护管理制度模板

网络安全等级保护管理制度

目录一．信息安全管理机构及人员职责设置制度 (4) 一、信息安全管理机构及职责 (4) 二、信息安全人员岗位及职责 (4) 三、机构之间的沟通与合作 (5) 二．信息安全岗位人员管理制度 (7) 三．计算机机房日常管理制度 (9) 一、机房区域访问规定 (9) 二、机房环境卫生规定 (9) 三、物品进出管理规定 (10) 四、机房空调管理规定 (10) 五、机房环境监控规定 (10) 四．办公环境安全管理制度 (12) 五．存储介质安全管理制度 (14) 一、介质的存放 (14) 二、介质的使用 (14) 三、介质的带出与维修 (15) 四、介质的报废或销毁 (15) 六．信息化资产安全管理制度 (16) 七．系统建设安全管理制度 (18) 一、系统定级及系统安全方案设计 (18) 二、安全产品采购和使用 (18) 三、自行软件开发 (18) 四、外包软件开发 (19) 五、工程实施 (20) 六、测试验收 (20) 七、系统交付 (20) 八、安全服务商选择 (20) 八．网络安全管理制度 (22)

九．系统运维安全管理制度 (24) 十．计算机和服务器防病毒管理制度 (27) 十一. 安全保密和密码管理制度 (28) 十二. 备份和恢复管理制度 (29) 十三. 安全事件分类及处理流程 (30) 十四. 信息安全应急预案管理制度 (32) 十五. 信息安全知识培训管理制度 (33)

一．信息安全管理机构及人员职责设置制度一、信息安全管理机构及职责（该单位）信息安全管理工作由局信息安全工作领导小组负责，领导小组下设办公室，设在规划科技处，规划科技处负责有关信息安全工作的组织协调，技术中心承担具体工作。 (一)领导小组职责在局党组领导下，负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划；审议信息安全的标准规范、规章制度等；审议信息化建设方案中关于信息安全相关内容；审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题；督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。 (二)领导小组办公室职责贯彻落实局信息安全工作领导小组的决策；研究制定信息安全各项政策、技术标准和管理制度；研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见；研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议；承办领导小组交办的具体工作。二、信息安全人员岗位及职责（该单位）根据信息化建设及维护工作实际，设置系统管理员、网络管理员、安全管理员、机房管理员等岗位，安全管理员不能兼任网络管理员、系统管理员、机房管理员等，关键岗位应配备多人共同管理，

(完整版)XXXX等级保护测评工作方案

广州市XXXXXX 2015-2016年XXXXXXXXXXXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月

目录目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (3) 1.4.项目依据 (4) 2.测评实施内容 (4) 2.1.测评分析 (5) 2.1.1.测评范围 (5) 2.1.2.测评对象 (5) 2.1.3.测评内容 (5) 2.1.4.测评对象 (8) 2.1.5.测评指标 (9) 2.2.测评流程 (10) 2.2.1.测评准备阶段 (11) 2.2.2.方案编制阶段 (12) 2.2.3.现场测评阶段 (12) 2.2.4.分析与报告编制阶段 (14) 2.3.测评方法 (14) 2.3.1.工具测试 (14) 2.3.2.配置检查 (15) 2.3.3.人员访谈 (15) 2.3.4.文档审查 (16) 2.3.5.实地查看 (16) 2.4.测评工具 (17) 2.5.输出文档 (18) 2.5.1.等级保护测评差距报告....................... 错误!未定义书签。 2.5.2.等级测评报告............................... 错误!未定义书签。 2.5. 3.安全整改建议............................... 错误!未定义书签。 3.时间安排 (18)

4.人员安排 (19) 4.1.组织结构及分工 (19) 4.2.人员配置表 (20) 4.3.工作配合 (21) 5.其他相关事项 (22) 5.1.风险规避 (22) 5.2.项目信息管理 (24) 5.2.1.保密责任法律保证 (24) 5.2.2.现场安全保密管理 (24) 5.2.3.文档安全保密管理 (25) 5.2.4.离场安全保密管理 (25) 5.2.5.其他情况说明 (25) 1.项目概述 1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求，对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评），加大测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制，深化信息安全等级保护工作，提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。

信息系统等级保护测评工作方案

XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月

目录目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)

2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准

信息系统等级保护测评指标(二级与三级)

实用标准文档 1.信息系统等级保护测评指标等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标分类子类基本要求物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建（G2）筑内物理访问控制机房出入口应安排专人值守，控制、鉴别和记录进入的人员需进入机房的来访人员应经过申请和审批流程，并限制和监（G2）控其活动范围应将主要设备放置在机房内应将设备或主要部件进行固定，并设置明显的不易除去的标防盗窃和防破坏记（G2）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中应对介质分类标识，存储在介质库或档案室中主机房应安装必要的防盗报警设施防雷击（G2）机房建筑应设置避雷装置机房应设置交流电源地线物理安全防火（G2）机房应设置灭火设备和火灾自动报警系统。水管安装，不得穿过机房屋顶和活动地板下防水和防潮（G2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透应采取措施防止机房内水蒸气结露和地下积水的转移与渗透防静电（G2）关键设备应采用必要的接地防静电措施温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内应在机房供电线路上配置稳压器和过电压防护设备电力供应（A2）应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要应保证接入网络和核心网络的带宽满足业务高峰期需要结构安全（G2）应绘制与当前运行情况相符的网络拓扑结构图网络安全应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段应在网络边界部署访问控制设备，启用访问控制功能访问控制（G2）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级

某等级保护测评服务合同模板

技术服务合同合同编号（甲方）：合同编号（乙方）：项目名称：委托方（甲方）：受托方（乙方）：签订时间：签订地点：有效期限：xxx年xxx月至xxx年xxx月

目录 1.技术服务项目概要........................................................ - 1 - 2.技术服务具体要求........................................................ - 1 - 3.甲方提供的工作条件及协作事项............................................ - 1 - 4.组织与管理.............................................................. - 2 - 5.技术服务报酬及支付方式.................................................. - 3 - 6.技术服务工作成果的验收.................................................. - 4 - 7.知识产权................................................................ - 4 - 8.保密义务................................................................ - 4 - 9.违约责任................................................................ - 5 - 10.合同变更和解除......................................................... - 6 - 11.争议解决............................................................... - 6 - 12.名词和技术术语的定义和解释............................................. - 7 - 13.本合同的组成部分....................................................... - 7 - 14.其他................................................................... - 7 - 附件1：技术协议书......................................................... - 9 - 附件2：保密协议.......................................................... - 26 -

等级保护信息安全系统管理系统规章制度

信息安全等级保护第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。

1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

等级保护测评项目管理系统规章制度

等级保护测评项目管理制度一、目的为有效保障等级保护测评中心的测评质量，防止发生质量异常，提升效率，确保质量满足客户需求，特制定本制度。二、职责等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系，由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制：质量主管： 1）全面领导等保测评中心的质量管理工作，监督执行有关等保测评中心须遵循的各种政策、法律法规，并传达法律法规对测评工作的重要性； 2）确保质量部开展工作所需的各种资源； 3）审批质量部发展的中长期计划和年度计划； 4）主持重大质量问题的申诉，对等保测评中心的质量和质量管理工作全面负责； 5）质量手册（方针、目标等）的发布者； 6）负责贯彻执行等保测评中心应遵循的各种法律、法规及标准； 7）负责主持制定质量方针、质量目标，并确保质量管理体系得以完善和有效运行； 8）主持质量管理体系的策划、建立，并完善实现等保测评中心质量方针、质量目标所必须的组织机构，确保质量部各类人员的职责和权限得到规定与沟通； 9）主持管理评审和质量工作会，定期向等保测评中心主任汇报质量体系运行情况，提出改进的建议； 10）负责质量问题和质量事故的申诉处理以及质量奖惩工作，签发质量管理体系程序文件和质量规章制度文件； 11）制订质量部发展的中长期计划和年度计划，注重计划的准确性、可操作性，把质量工作计划纳入年度计划； 12）负责组织对《等级测评报告》进行评估活动，并批准签发《等级测评报告》； 13）根据等保测评项目的论证签订等级保护测评合同，并批准等级保护测评总体计划；

14）调研分析对设备供应单位质量保证能力，确定供应设备能满足工作需要； 15）落实质量部的保密制度和保密防范措施，对人员的安全保密培训情况； 16）负责与质量体系有关事宜的外部联络。质量部 1）履行企业法人代表赋予的职责； 2）贯彻执行等保测评中心应遵循的各种法律、法规及标准； 3）贯彻、执行质量方针、质量目标； 4）主持等级保护测评项目的论证，组织《等级测评方案》的评审； 5）管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密； 6）统筹安排等保测评中心资源，确保每项测评工作顺利完成； 7）制定等级保护测评中心测评人员技术培训计划，确保计划能与预期的任务相适应； 8）确保等保测评中心专用设备的准确度，指定专人负责设备运输、存放、使用、维护的管理； 9）负责组织设备的验收、入库、保管、标识工作； 10）在技术上负责系统测评的正确性，负责审核等保测评中心《等级测评报告》，并可以受测评中心主任委托批准《等级测评报告》。三、工作程序 1、测评中心开展的等级保护测评项目，严格按照《质量管理体系文件》要求和国家《信息系统安全等级保护测评过程指南》和《信息系统安全等级保护测评要求》等规范文件进行，严格遵循ISO9001：2000质量管理体系规范管理。 2、对测评的质量评价采用优秀、良好、一般、差四级评定，见下表。

信息安全等级保护管理制度

信息安全等级保护管理制度 1

?更多资料请访问.(.....) ?更多资料请访问.(.....) 2

关于开展保险业信息系统安全等级保护定级工作的通知保监厅发〔〕45号各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3

内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。二、定级工作安排及定级范围 (一)定级工作安排为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年

目录第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。第二章测评机构申请第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。第七条申请单位应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录；（三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；（四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

等级保护测评项目管理制度范文

等级保护测评项目管理制度

等级保护测评项目管理制度一、目的为有效保障等级保护测评中心的测评质量，防止发生质量异常，提升效率，确保质量满足客户需求，特制定本制度。二、职责等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系，由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制：?质量主管： 1）全面领导等保测评中心的质量管理工作，监督执行有关等保测评中心须遵循的各种政策、法律法规，并传达法律法规对测评工作的重要性； 2）确保质量部开展工作所需的各种资源； 3）审批质量部发展的中长期计划和年度计划； 4）主持重大质量问题的申诉，对等保测评中心的质量和质量管理工作全面负责； 5）质量手册（方针、目标等）的发布者； 6）负责贯彻执行等保测评中心应遵循的各种法律、法规及标准； 7）负责主持制定质量方针、质量目标，并确保质量管理体系得以完善和有效运行； 8）主持质量管理体系的策划、建立，并完善实现等保测评中心质量方

针、质量目标所必须的组织机构，确保质量部各类人员的职责和权限得到规定与沟通； 9）主持管理评审和质量工作会，定期向等保测评中心主任汇报质量体系运行情况，提出改进的建议； 10）负责质量问题和质量事故的申诉处理以及质量奖惩工作，签发质量管理体系程序文件和质量规章制度文件； 11）制订质量部发展的中长期计划和年度计划，注重计划的准确性、可操作性，把质量工作计划纳入年度计划； 12）负责组织对《等级测评报告》进行评估活动，并批准签发《等级测评报告》； 13）根据等保测评项目的论证签订等级保护测评合同，并批准等级保护测评总体计划； 14）调研分析对设备供应单位质量保证能力，确定供应设备能满足工作需要； 15）落实质量部的保密制度和保密防范措施，对人员的安全保密培训情况； 16）负责与质量体系有关事宜的外部联络。 ?质量部 1）履行企业法人代表赋予的职责； 2）贯彻执行等保测评中心应遵循的各种法律、法规及标准； 3）贯彻、执行质量方针、质量目标；

等级保护制度

等级保护制度等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国，作为一直走在信息安全研究前列的大国，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。一、美国信息系统分级的思路从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：资产（包括有形资产和无形资产）（使用资产等级作为判断系统等级重要因素的文件如FIPS199，IATF，DITSCAP，NIST800-37等）；威胁（使用威胁等级作为判断系统等级重要因素的文件如IATF等）；破坏后对国家、社会公共利益和单位或个人的影响（使用影响等级作为判断系统等级重要因素的文件如FIPS199，IATF等）；单位业务对信息系统的依赖程度（DITSCAP）；根据对上述因素的不同合成方式，分别可以确定：系统强健度等级（IATF）：由信息影响与威胁等级决定；系统认证级（DITSCAP）：由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定；系统影响等级（FIPS199）：根据信息三性的影响确定；安全认证级（NIST800-37）：根据系统暴露程度与保密等级确定。由于不同的信息系统所隶属的机构不同，美国两大类主要信息系统：联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同，即：所有联邦政府机构按照美国国家标准与技术研究所（NIST）有关标准和指南的分级方法和技术指标；而国防部考虑到本身信息系统及所处理信息的特殊性，则是按照DoD 8500.2的技术方法进行系统分级。下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。美国联邦信息处理标准（FIPS）是（NIST）制定的一类安全出版物，多为强制性标准。FIPS 199 《联邦信息和信息系统安全分类标准》（2003年12月最终版）描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。具体以信息和信息系统的三类安全目标（保密性、完整性和可用性）来表现，即，丧失了保密性、完整性或可用性，对机构运行、机构资产和个人产生的影响。FIPS 199定义了三种影响级：低、中、高。FIPS 199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。首先，确定系统内的所有信息类型。FIPS 199指出，一个信息系统内可能包含不止一种类型的信息（例如隐私信息、合同商敏感信息、专属信息、系统安全信息等）。其次，根据三类安全目标，确定不同信息类型的潜在影响级别（低、中、高）。最后，整合系统内所有信息类型的潜在影响级，按照“取高”原则，即选择较高影响级别作为系统的影响级（低、中、高）。最终，系统安全类别（SC）的通用表达式为：SC需求系统＝{(保密性，影响级)，(完整性，影响级)，(可用性，影响级)} 为配合FIPS 199的实施，NIST分别于2004年6月推出了SP 800－60第一、二部分，《将信息和信息系统映射到安全类别的指南》及其附件。其中详细的介绍了联邦信息系统中可能运行的所有信息类型；并针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。这样，系统在确定等级的第一步—确认信息类型，并确定其影响级别时，有了很好的参考意见。而美国国防部对信息系统的分级与联邦政府有所不同，主要把信息系统的信息分类为业务保障类和保密类，同时对这两类进行了分级的要求，该分

等级保护测评项目管理制度

精心整理等级保护测评项目管理制度一、目的为有效保障等级保护测评中心的测评质量，防止发生质量异常，提升效率，确保质量满足客户需求，特制定本制度。二、职责等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系，由公司法人代表授权的等? 1234 567 89作计划纳入年度计划； 12）负责组织对《等级测评报告》进行评估活动，并批准签发《等级测评报告》； 13）根据等保测评项目的论证签订等级保护测评合同，并批准等级保护测评总体计划； 14）调研分析对设备供应单位质量保证能力，确定供应设备能满足工作需要； 15）落实质量部的保密制度和保密防范措施，对人员的安全保密培训情况； 16）负责与质量体系有关事宜的外部联络。 ? 质量部

1）履行企业法人代表赋予的职责； 2）贯彻执行等保测评中心应遵循的各种法律、法规及标准； 3）贯彻、执行质量方针、质量目标； 4）主持等级保护测评项目的论证，组织《等级测评方案》的评审； 5）管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密； 6）统筹安排等保测评中心资源，确保每项测评工作顺利完成； 7）制定等级保护测评中心测评人员技术培训计划，确保计划能与预期的任务相适应； 3、质量评定的方法

质量主管根据上述三项服务考察要素的质量评定结果，综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例：如果进度等级为优，测评成果等级为良，用户反馈等级为优，则综合质量等级为良。 4、质量改进质量评价后，对存在的不合格或潜在的不合格，质量主管将向测评组长提交《测评质量审核报告》，测评组长对报告上的不合格项或潜在的不合格项进行确认，测评组长填写《纠正预防措施报告》，采取相应的纠正和预防措施，质量主管根据《纠正预防措施报告》上的整改时间，进行跟四、 1. 并过程，并且执行所需要的测量、监视活动，以证实这些过程的成果及今后的持续改进； ?质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程，组织进行持续改进。 2.文件要求： 2.1各部门按国家/国际标准要求实施相关文件要求，并作好相关质量记录。 2.2质量管理体系的范围：测评中心按等级保护测评相关法规和技术标准的要求进行等级

等保测评之-信息安全管理制度

信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。