测评机构评价申报表-中国网络安全等级保护网

安全评价机构资质申请表1. 机构基本信息1.1 机构名称填写机构的全称，需与公司注册信息一致。

1.2 机构类型请勾选以下中的一项：•评价机构•检验机构•检测机构•检验检测机构•认证机构1.3 公司注册地填写公司注册的城市和地址信息。

1.4 公司联系方式填写公司的电话号码、传真号码和邮箱地址。

2. 公司组织结构2.1 公司资历请简述公司的资历和历史。

2.2 公司组织结构请简述公司的组织结构和人员配备情况。

3. 业务能力3.1 业务范围请简述公司的业务范围，包括评价、检验、检测、认证等方面。

3.2 员工培训与认证请简述公司的员工培训和认证情况，包括培训内容和认证机构。

3.3 资源投入请简述公司的资源投入情况，包括设备、实验室和人力资源等方面。

4. 质量管理体系4.1 质量保证手段请简述公司的质量保证手段和控制措施。

4.2 质量管理体系请简述公司的质量管理体系，包括质量手册和程序文件等方面。

4.3 质量管理体系审核请简述公司的质量管理体系审核情况，包括内部审核和外部审核等方面。

5. 评价报告与认证证书5.1 报告和证书类型请简述公司能够提供的评价报告和认证证书类型，以及相关的法规标准。

5.2 报告和证书发放请简述公司的报告和证书的发放流程，包括审核、签发、存档等方面。

5.3 报告和证书审查请简述公司的报告和证书的审查流程，包括外部审查和内部审查等方面。

6. 经验和优势6.1 业务经验请简述公司的业务经验和客户群体，包括涉及的行业和产品类型等方面。

6.2 技术优势请简述公司的技术优势，包括关键设备和技术水平等方面。

7. 其他信息7.1 最近财务报表请提供公司的最近完整年度财务报表，包括资产负债表、利润表和现金流量表。

7.2 业务合作请简述公司与其他机构或公司的业务合作情况，包括合作方式和业务范围等方面。

7.3 其他信息请提供公司认为需要提供的其他信息。

以上为安全评价机构资质申请表，填写完后请将表格邮寄到相关政府部门，或交由授权机构进行审批。

【最新整理，下载后即可编辑】信息系统安全等级保护定级报告（起草参考实例）一、X省邮政金融网中间业务系统描述（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。

目前该系统由技术局运行维护部负责运行维护。

省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。

整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S**三层交换机，……在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW 4**防火墙和Cisco 2**路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。

其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4** 与Cisco 2**。

Cisco 2** 外联的其它系统都划分为外部网络部分，而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。

在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。

系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。

其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

中国网络安全等级保护网中国网络安全等级保护网（以下简称“等保网”）是国家网络安全的重要组成部分，是为了保障国家信息基础设施安全而建立的网络安全保护系统。

等保网的建设和运行对于保障国家网络安全、维护国家利益、促进经济社会发展具有重要意义。

一、等保网的建设意义。

等保网的建设是国家网络安全战略的重要举措，其意义主要体现在以下几个方面：1. 维护国家安全。

随着互联网的快速发展，网络安全问题日益突出，网络攻击、信息泄露等事件频发，对国家安全构成了严重威胁。

建设等保网可以有效防范和应对各类网络安全威胁，维护国家政治安全、经济安全、社会稳定等方面的利益。

2. 保障关键信息基础设施安全。

等保网覆盖了国家重要信息基础设施，包括政府机关、金融机构、电信运营商、能源供应商等关键行业，保障这些关键信息基础设施的安全，对于国家的信息化建设和经济社会发展至关重要。

3. 提升网络安全防护能力。

等保网的建设可以有效提升我国网络安全防护的能力，通过统一的等级保护标准和技术规范，加强对网络安全的监测、预警和应急响应能力，提高网络安全的整体水平。

二、等保网的主要内容。

等保网主要包括网络安全等级保护制度、网络安全等级保护技术和网络安全等级保护管理三个方面。

1. 网络安全等级保护制度。

等保网建立了一套完整的网络安全等级保护制度，包括等级划分、安全保护要求、安全评估和认证等内容，为不同等级的信息系统提供了相应的安全保护措施和管理要求。

2. 网络安全等级保护技术。

等保网采用了一系列先进的网络安全技术，包括网络边界防护、入侵检测与防御、数据加密与安全传输、安全认证与访问控制等技术手段，确保信息系统的安全性和稳定性。

3. 网络安全等级保护管理。

等保网建立了完善的网络安全管理体系，包括安全运维管理、安全事件响应、安全培训教育等内容，保障网络安全等级保护工作的有效运行。

三、等保网的建设路径。

为了加快等保网的建设和完善，需要从以下几个方面进行努力：1. 完善法律法规。

附件1：
信息安全等级保护测评机构
申请表
名称：
地址：
日期：
国家信息安全等级保护工作协调小组办公室制
填表说明：（封皮背面）
1、申请表应由申请单位法定代表人签字；委托代表人签字的，应出具有效的委托书。

2、如所填内容超出表格时，可添加附页。

3、测评机构申请单位测评人员基本情况表一人一表。

4、申请表一式二份。

同时提供word格式电子版光盘。

测评机构申请单位基本情况表
承诺书
等级测评工作是等级保护工作的重要组成部分，直接关系信息系统安全，作为从事等级测评工作的机构，本单位及全体人员知悉测评机构的责任义务和工作规范，愿意服从并接受各项安全保密管理，并承诺按照国家信息安全有关标准规范开展等级测评工作，保证测评工作的客观、公正、安全，承诺不会从事对等级测评工作的公正性产生影响的业务和工作（包括但不限于：从事信息系统安全集成或信息安全产品研发、生产、销售；限定被测评单位购买、使用指定的信息安全产品；影响被测评单位对安全集成商的选择等）。

如有虚假或有违反测评管理规范的行为，本单位将承担由此造成的一切后果及相关的法律责任。

法定代表人签字：
（单位盖章）
年月日
测评机构申请单位测评人员汇总表
单位名称（盖章）：填表日期：
测评机构申请单位测评人员基本情况表。

信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内；检查主要设备或设备的主要部件的固定情况，查看其是否不易被移动
c) 应访谈资产管理员，介质是否进行了分类标识管理，介质是否存放在介象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、
渗透和返潮现象，则查看是否能够及时修复解决；
7.1.1物理安全
潮
护措施；b) 应检查机房设备外壳是否有安全接地；
电磁防护7.1.1.6。

网络安全等级保护之等级测评460500587本文主要介绍测评工作的内容、流程、方法，介绍测评机构和测评人员，测评工作中的风险及其控制，最后介绍等级测评报告主要内容及说明。

一、基本工作1、测评概念测评（简称“等级测评”）是指测评机构依据国家网络安全等级保护管理制度规定，按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。

等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上网络安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

等级测评是合规性评判活动，基本依据不是个人或者测评机构的经验，而是网络安全等级保护的国家有关标准，无论是测评指标来源，还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。

2、测评作用和目的通过进行测评，能够对信息系统体系能力的分析与确认；发现存在的安全隐患；帮助运营使用单位认识不足，及时改进；有效提升其防护水平；遵循国家有关规定的要求，对信息系统安全建设进行符合性测评。

测评的作用如下：① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。

② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。

③ 等级测评结果，为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。

为了达到上述目的，开展等级测评的最好时期是安全建设整改前、安全建设整改后，及其常规性定期开展测评，如三级系统每年至少开展一次等级测评。

3、测评标准依据《管理办法》第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评；第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。

第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。

测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐，从事等级测评工作的机构。

第三条测评机构实行推荐目录管理。

测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。

第四条测评机构联合成立测评联盟。

测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。

测评联盟在国家等保办指导下开展工作。

第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。

第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。

国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐;监督管理全国测评机构。

省级等保办负责受理本省(区、直辖市)申请单位的申请，对申请单位进行审核、推荐;监督管理其推荐的测评机构。

第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰，注册资金500 万元以上，独立经营核算，无违法违规记录;(三)从事网络安全服务两年以上，具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15 人，专职渗透测试人员不少于2 人，岗位职责清晰，且人员相对稳定;(六)具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。