信息安全等级保护等级测评实施细则doc-信息安全等级测评

信息安全等级保护等级测评实施细则doc-信息安

全等级测评

第一章总则

第一条【目的】为加强信息安全等级测评机构建设和管理，规范等级测评活动，保障信息安全等级保护制度的贯彻落实，根据《信息安全等级保护管理办法》等有关规范制订本实施细则。

第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。

第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

第四条【测评机构定义】测评机构是经有关部门能力认可，经有关部门推荐，在一定范围内从事信息系统安全等级测评等工作的专业技术机构。

第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模版出具测评报告。

第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定，保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。

第七条【管理体制】测评机构应当接受各级信息安全等级保护协调（领导）小组和公安网安部门的监督管理，并接受有关部门的业务管理和技术指导。

第二章测评机构

第八条【总体要求】测评机构分为地区性、行业性测评机构，按照属地管理和行业管理相结合的原则进行建设和管理。

第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作，指导行业等级测评机构的建设和管理工作，并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。

各省（区、市）等级保护协调（领导）小组办公室负责本地等级测评机构的建设管理工作。

第十条【基本条件】申请成为等级测评机构的单位（以下简称申请单位）应当具备以下基本条件：

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）产权关系明晰，注册资金100万元以上；

（四）从事信息系统检测评估相关工作两年以上；

（五）单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（六）具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于80%。其中测评技术人员不少于10人；

（七）具备必要的办公环境、设备、设施及完备的安全管理制度；

（八）对国家安全、社会秩序、公共利益不构成威胁;

（九）应当具备的其他条件。

第十一条【申请提交】地方申请单位应向属地省（区、市）等级保护协调（领导）小组办公室提交申请，行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请，并填写申请书，申请成为等级测评机构。

第十二条【申请材料】申请单位在申请时应提供以下材料，并对申请材料的真实性负责。

（一）《信息安全等级保护测评机构申请书》；

（二）当地公安网安部门的推荐意见；

（三）营业执照及其他注册证明文件；

（四）《内设组织机构与岗位设置情况表》；

（五）《工作人员基本情况表》、证明材料和声明；

（六）《办公场地、设备与设施情况表》；

（七）《安全测评设备、工具配备情况表》；

（八）信息系统安全测评能力报告；

（九）保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件；

（十）需要提供的其他材料。

第十三条【初审】省级（含）以上等级保护协调（领导）小组办公室收到申请材料后，应在30日内完成初审。

第十四条【技术能力审验】初审通过的，由技术能力审验机构评估、审查并确认申请单位的技术能力。

技术能力审验周期最长为一个月。审验期满前，技术能力审验机构应向等级保护协调（领导）小组办公室出具审验意见，并加盖专门印章。

第十五条【核准】省级（含）以上等级保护协调（领导）小组办公室对通过技术能力审验的申请单位进行复核，并出具核准意见。

第十六条【目录公布】测评机构实行目录管理。各省级信息安全等级保护协调（领导）小组办公室公布本地等级测评机构目录，并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布《全国信息安全等级测评机构目录》。

第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。

（一）地方测评机构在本地开展测评业务，行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前，应与本地等级保护协调（领导）小组办公室协调；

（二）承担有关部门委托的安全测评专项任务；

（三）配合当地公安网安部门对信息系统进行监督、检查；

（四）开展风险评估、信息安全培训、咨询服务和信息安全工程监理；

（五）为当地信息安全等级保护工作提供技术支持和服务；

（六）其他有关文件规定的职责任务。

第十八条【禁止行为】测评机构不得从事下列活动：

（一）承担信息系统安全建设整改工作；

（二）将等级测评任务分包、外包；

（三）信息安全产品开发、营销和信息系统集成活动；

（四）限定被测评单位购买、使用其指定的信息安全产品；

（五）未经许可占有、使用有关测评信息、资料及数据文件；

（六）其他可能影响测评客观、公正的活动。

第十九条【风险告知】在开展测评过程中，对可能影响信息系统正常运行的，测评机构应当事先告知被测评单位，并协助其采取相应的预防措施。

第二十条【人员管理】测评机构应当建立完备的人员档案，严格履行人员录用、考核、离岗等程序，对进入重要信息系统进行测评的人员，应该进行背景审查，确保人员可靠。

第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。

第二十二条【能力建设】测评机构要加强技术能力和管理能力建设，应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。

第三章人员管理

第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则，认真履行本细则规定

的责任和义务，为用户提供安全、客观、公正的测评服务，保证测评的质量和效果。

第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料，声明相关材料的真实性并承担法律责任。

第二十五条【持证上岗】测评人员上岗前应接受培训，培训合格的由测评机构颁发上岗证。测评人员持证上岗。

第二十六条【分级管理】测评机构技术人员实行分级管理，由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。

测评技术人员应当接受专门业务培训，考试合格的获得等级测评师证书。

第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划，指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。

第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销，并向省级以上等级保护工作协调小组办公室备案。

第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。

地方测评机构每年应将本单位等级测评师培训、获证情况向本省（区市）等级保护协调（领导）小组办公室备案。

各地等级保护协调（领导）小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。

第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审，并将年审结果报等级保护协调（领导）小组办公室。

对未通过年审的等级测评师，测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。

第三十一条【变更告知】等级测评机构的主要管理人员和技术人员工作变动的，应及时到等级保护协调（领导）小组办公室变更备案。

第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的，应由专门培训机构撤销违规人员等级测评师证书，并按照有关规定进行处罚。

第四章测评活动

第三十三条【用户要求】信息系统运营使用单位应当选择《等级测评机构推荐目录》中的等级测评机构，定期对信息系统开展等级测评，并加强对测评过程的监督管理。

第三十四条【整改前测评】信息系统安全建设整改前，信息系统运营使用单位可以选择测评机构进行等级测评，掌握信息系统安全状况，排查系统安全隐患和薄弱环节，明确安全建设整改需求。

第三十五条【整改后测评】信息系统安全建设整改后，信息系统运营使用单位应当再选择测评机构进行等级测评，检测系统安全保护状况与标准要求的符合性，进一步查找安全隐患和问题，并进行风险分析，为进一步整改提供依据。

第三十六条【定期测评】第三级以上（含）信息系统应当每年至少进行一次等级测评，测评完成后，信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。

第三十七条【测评机构规范】测评机构应建立规范的质量管理体系，依据《信息系统安全等级保护测评要求》等标准规范对信息系统进行测评，按照公安部制订的信息系统安全等级测评报告格式编制测评报告。

第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争，影响测评质量，测评机构开展测评业务收费应当不低于最低收费限额。

第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范，明确保密岗位与职责，定期对工作人员进行保密教育，与其签订《保密责任书》，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第五章监督管理

第四十条【监管主体】各级等级保护协调（领导）小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查，处理对测评机构的投诉。

第四十一条【年审】各级等级保护工作协调（领导）小组办公室对备案的测评机构及测评人员实施年审管理，每年对测评机构的能力和工作进行审核、审查，并公布审核、审查结果。

第四十二条【机构违规】测评机构违反规定，情节轻微的，由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。

测评机构出现以下情况之一的，按照相应规定和程序，由等级保护协调（领导）机构决定撤销其测评机构资格并及时向社会公告。

（一）违反法律、法规并被起诉的；

（二）发生重大泄密事件的；

（三）运营管理不规范，严重影响测评质量，经整改仍无法达到要求的；

（四）与被测评单位共同隐瞒在安全评估过程中发现的安全漏洞，未按要求写入评估报告的；

（五）在评估过程中弄虚作假，编造安全评估报告的；

（六）不履行规定的责任和义务，经通报批评、警告仍不改正的；

（七）测评机构成立后一年内不开展测评业务的；

（八）由于自身原因主动提出退出的；

（九）连续两次年审未通过的；

（十）违反其他有关规定的。

第四十三条【争议处理】测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。

第四十四条【监督自身要求】各级等级保护协调（领导）小组办公室应严格依照本细则的有关规定，按照公平、公正的原则开展监督检查工作。

第四十五条【变更】测评机构性质、经营（业务）范围、隶属关系、法定代表人等重要事项发生变化的，应在30日内向等级保护协调（领导）机构办理变更手续。

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

信息安全等级测评师测试(1)-管理初级

一、单选题（20分） 1、《基本要求》中管理要求中，下面那一个不是其中的内容？（） A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安 全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能 是几级要求？（） A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有（）项？ A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据？ A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、（）、安全检查和持续改进、监督检查？ A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家 安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和 技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这

应当属于等级保护的什么级别？（） A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项重 要内容？ A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》，由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作？ A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。（） A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统，应当在投入运行后_______，由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。（） A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。

信息安全等级测评师测试题

信息安全等级测评师测试题

信息安全等级测评师测试 一、单选题（14分） 1、下列不属于网络安全测试范畴的是（ C ） A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是（ D ）。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析，并生成报表。 D. 为了节约存储空间，审计记录可以随意删除、修改或覆盖。 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应 为下列哪一个。（ A ） A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。（ A ） A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。（ ABCD ） A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过＿＿控制来阻塞邮件附件中的病毒。( Ａ ) Ａ．数据控制Ｂ．连接控制Ｃ．ACL控制Ｄ．协议控制 二、多选题（36分） 1、不同设VLAN之间要进行通信，可以通过＿＿。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有＿＿。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。（ ABCD ） A．源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。（ＣＤ） A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据＿＿＿＿来限制应用数据流的最大流量。（ ACD ） A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是＿＿＿＿＿。（ BD ） A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。（ CD ） A．用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时，应采用协议的方式以防被窃听。 （ＡＣ） A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括（ABC ）。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

信息安全等级测评师初级试题

判断题（10×1=10分） 1、动态路由是网络管理员手工配置的路由信息，也可由路器自动地建立并且能够根据实际情况的变化适时地进行调整。（×） 2、星型网络拓扑结构中，对中心设备的性能要求比较高。（√ ） 3、访问控制就是防止未授权用户访问系统资源。（√ ） 4、考虑到经济成本，在机房安装过录像监控之后，可不再布置报警系统。（× ） 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为，降低安全事件的发生。（√ ） 6、在三级信息系统中，每个系统默认账户和口令原则上都是要进行修改的（√ ） 7、剩余信息保护是三级系统比二级系统新增内容。（√ ） 8、权限如果分配不合理，有可能会造成安全事件无从查找。（√ ） 9、三级信息系统中，为了数据的完整性，我们可以采用CRC的校验码措施（× ） 10、在进行信息安全测试中，我们一般不需要自己动手进行测试。（√ ） 二、单项选择题（15×2.5=30分） 1、测评单位开展工作的政策依据是（ C ） A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071 2、当信息系统受到，破坏后我们首先要确定是否侵害客体。( B ) A.公民、法人其他组织的合法权益 B.国家安全 C.社会秩序、公共利益 3、cisco的配置通过什么协议备份( A )

A.ftp B.tftp C.telnet D.ssh 4、哪项不是开展主机工具测试所必须了解的信息(D ) A.操作系统 B.应用 C.ip D.物理位置 5、三级系统主机安全的访问控制有（ B ）个检查项。 A、6 B、7 C、8 D、9 6、某公司现有260台计算机，把子网掩码设计成多少最合适（ A ） A.255.255.254.0 C. 255.255.0.0 B.255.255.168.0 D.255.255.255.0 7、数据传输过程中不被篡改和修改的特性，是（ B ） A.保密性 B.完整性 C.可靠性 D.可用性 8、向有限的空间输入超长的字符串是哪一种攻击手段？ ( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 9、关于备份冗余以下说法错误的是（ D ） A.三级信息系统应在异地建立备份站点 B.信息系统线路要有冗余 C.数据库服务器应冗余配置 D.应用软件应进行备份安装 10、下列不属于应用层的协议是（ C ） A.FTP B.TELNET C.SSL D.POP3 三、多项选择题（10×2=20分） 1、常见的数据备份有哪些形式（ ABC ） A、完全备份 B、差异备份 C、增量备份 D、日志备份 2、下列属于双因子认证的是（ AD ） A.口令和虹膜扫描 B.令牌和门卡 C.两次输入密码 D. 门卡和笔记（迹）

信息安全等级保护测评自查

信息系统安全等级保护测评自查 （三级） 单位全称：XXX 项目联系人：XX X ：XXX ：XXX 1被测信息系统情况 1.1承载的业务情况 市XXX系统，XX年投入使用，包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。 1.2网络结构 给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。 市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成，主要有XXX功能。各功能区都位于XX机房。具体拓扑如下：

图2-1 市XXX系统拓扑图 备注：需注明网络出口（电信，电子资源政务中心、XXX等） 1.3系统备案情况 市XXX系统备案为X级，系统备案编号为X，备案软件显示系统防护为SXAXGX 2系统构成 2.1机房 2.2网络设备 以列表形式给出被测信息系统中的网络设备。

2.3安全设备 以列表形式给出被测信息系统中的安全设备。 2.4服务器/存储设备 以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。 1设备名称在本报告中应唯一，如xx业务主数据库服务器或xx-svr-db-1。

2.5终端 以列表形式给出被测信息系统中的终端，包括业务管理终端、业务终端和运维终端等。 2.6 业务应用软件 以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

信息安全等级保护培训试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上

信息安全等级保护各级对比表

目录 1概述 (2) 1.1 背景介绍 (2) 1.2 主要作用及特点 (2) 1.3 与其他标准的关系 (3) 1.4 框架结构 (3) 2描述模型 (4) 2.1 总体描述 (4) 2.2 保护对象 (5) 2.3 安全保护能力 (5) 2.4 安全要求 (7) 3逐级增强的特点 (8) 3.1 增强原则 (8) 3.2 总体描述 (9) 3.3 控制点增加 (10) 3.4 要求项增加 (10) 3.5 控制强度增强 (11) 4各级安全要求 (12) 4.1 技术要求 (12) 4.1.1 物理安全 (12) 4.1.2 网络安全 (18) 4.1.3 主机安全 (23) 4.1.4 应用安全 (28) 4.1.5 数据安全及备份恢复 (34) 4.2 管理要求 (37) 4.2.1 安全管理制度 (37) 4.2.2 安全管理机构 (39) 4.2.3 人员安全管理 (42) 4.2.4 系统建设管理 (46) 4.2.5 系统运维管理 (51)

本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件，围绕信息安全等级工作，介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》（以下简称《基本要求》），描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训，使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容，以便正确选择合适的安全要求进行信息系统保护。 1概述 1.1背景介绍 2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求，《基本要求》列入了首批需完成的6个标准之一。 1.2主要作用及特点 1.主要作用 《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求，根据使用对象不同，其主要作用分为三种： a)为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后，《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 b)为测评机构提供评估依据 《基本要求》为信息系统主管部门，信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。 c)为职能监管部门提供监督检查依据 《基本要求》为监管部门的监督检查提供依据，用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。 2.主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力，但反过来说，系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时，《基本要求》强调的是“要求”，而不是具体实施方案

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级 正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案：B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部 正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案：C

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全 2集成等业务； （十）应具备的其他条件。 第七条申请时，申请单位应向等保办提交以下材料：（一）《信息安全等级保护测评机构申请表》； （二）从事信息系统安全相关工作情况； （三）检测评估工作所需软硬件及其他服务保障设施配备情况； （四）有关管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）应提交的其他材料。 等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

信息安全等级测评机构能力要求使用说明(试 行)

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业