信息系统等级测评文档准备指引

信息系统等级测评文档准备指南电力行业等级保护测评中心华电卓识实验室2009年9月目录一、文档提交要求 (3)二、准备文档时需注意的问题 (3)附件一信息系统基本情况调查表 (5)表1-1. 单位基本情况 (7)表1-2. 参与人员名单 (8)表1-3. 物理环境情况 (9)表1-4. 信息系统基本情况 (10)表1-5. 信息系统承载业务（服务）情况 (11)表1-6. 信息系统网络结构（环境）情况 (12)表1-7. 外联线路及设备端口（网络边界）情况调查 (13)表1-8. 网络设备情况 (14)表1-9. 安全设备情况 (15)表1-10. 服务器设备情况 (16)表1-11. 终端设备情况 (17)表1-12. 系统软件情况 (18)表1-13. 应用系统软件情况 (19)表1-14. 业务数据情况 (20)表1-15. 数据备份情况 (21)表1-16. 应用系统软件处理流程（多表） (22)表1-17. 业务数据流程（多表） (23)表1-18. 安全威胁情况 (24)附件二信息系统安全技术方案 (26)附件三信息安全管理制度 (27)表3-1. 安全管理机构类文档 (27)表3-2. 安全管理制度类文档 (28)表3-3. 人员安全管理类文档 (29)表3-4. 系统建设管理类文档 (30)表3-5. 系统运维管理类文档 (32)一、文档提交要求当委托机构正式委托电力行业等级保护测评中心华电卓识实验室对其信息系统实施等级测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。

委托测评类型主要包括：●等级符合性检验●风险评估●渗透测试●方案咨询需准备的测评文档主要包括：●《信息系统基本情况调查表》●《信息系统安全技术方案》●《信息安全管理制度》●《其他》委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。

二者对应关系如下：二、准备文档时需注意的问题●保证提交文档内容真实、全面、详细、准确●文档材料，纸版和电子版文档均可●提交文档时做好详细的文档交接记录附件一信息系统基本情况调查表1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出服务器设备的IP地址●应该标识网络区域划分等情况●应该标识网络与外部的连接等情况●应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。

（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）；2.测评机构应为成都市本地机构或在成都有常驻服务机构；3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》；4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）；5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。

没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。

6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。

7.本包不接受联合体参加。

二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。

等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。

测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

形式化审查补充材料通知单补充材料通知单通过通过不通过不通过审核
受理委托
确定测评范围
填写核算测评收费核算单
缴纳测评费用签订测评保密协议信息系统测评部受理通知单信息系统测评部受理通知单申请结构测评机构
测评机构符合符合不符合不符合同测评机构同测评机构申
请
流
程
协调会议填写《用户资料使用登记表》制定实施方案、计划
内部测评准备
测评前准备工作填写信息系统基本信息调查表填写信息系统基本信息调查表申请结构测评机构
测评机构成立项目组
编写《信息系统调查报告》
测
评
准
备
确认
《信息系统运行情况验证记录》申请结构
测评机构
测评机构形成信息系统测试核查报告
《安全测评报告接受单》接收申请结构测评机构
出具《信息系统安全等级测评报告》
协调会议形成《信息系统安全等级测评报告》初稿确认项目结束测
评
结
果
评
价
交付各地
公安机关进行登记备案申请结构测评机构测评中心备案归档
等级测评报告备案备案
人员录用人员离开人员考核安全意识教育和培训外部人员访问管理
•人员安全测评是针对于人员录用、人员离开、人员考核、安全意识教育和培训、外部人员访问管理测评，主要通过现场访谈与检查实现。

•测评对象包括：安全主管，人员录用负责人员、人员录用要求管理文档、人员审查文档或记录、考核文档或记录、保密协议、岗位安全协议、审查记录、人员离岗管理文档、关键岗位人员保密承诺文档等。

信息系统安全测评文档准备指南委托单位（公章）：系统名称：委托日期：中国信息安全测评中心一、文档提交要求当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。

委托测评类型主要包括：1．信息安全风险评估2．信息系统安全等级保护测评3．信息系统安全评估4．远程渗透测试5．系统安全技术监控6．信息系统安全方案评审需准备的测评文档主要包括：1．《信息系统基本情况调查表》2．《信息系统安全技术方案》3．《信息安全管理组织架构》4．《信息安全管理制度》委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。

二者对应关系如下：二、准备文档时需注意的问题1．保证提交文档内容真实、全面、详细、准确。

2．将提交文档与《委托书》一并提交。

3．提交材料时，应提交纸版和电子版文档(光盘形式)各一份。

附件一《信息安全管理组织机构》至少包括下列内容：1、科技部门整体组织架构2、信息安全管理组织架构图。

3、IT运维部门设置、岗位设置及职责要求，以及人员与岗位的对应关系。

4、如果IT运维外包，请提供外包服务商承担的岗位、职责以及人员与岗位的对应关系。

附件二《信息安全管理制度》至少包括下列内容：1.文档制度体系结构说明及信息安全管理制度清单（如果有，请提前说明。

例如文档是按照ISO9000文档规范组织的）2.机构总体安全方针和政策方面的管理制度3.授权审批、审批流程等方面的管理制度4.安全审核和安全检查方面的管理制度5.管理制度、操作规程修订、维护方面的管理制度6.人员录用、离岗、考核等方面的管理制度7.人员安全教育和培训方面的管理制度8.第三方人员访问控制方面的管理制度9.工程实施过程管理方面的管理制度10.产品选型、采购方面的管理制度11.软件外包开发或自我开发方面的管理制度12.测试、验收方面的管理制度13.机房安全管理方面的管理制度14.办公环境安全管理方面的管理制度15.资产、设备、介质安全管理方面的管理制度16.信息分类、标识、发布、使用方面的管理制度17.配套设施、软硬件维护方面的管理制度18.网络安全管理（网络配置、帐号管理等）方面的管理制度19.系统安全管理（系统配置、帐号管理等）方面的管理制度20.系统监控、风险评估、漏洞扫描方面的管理制度21.病毒防范方面的管理制度22.系统变更控制方面的管理制度23.密码管理方面的管理制度24.备份和恢复方面的管理制度25.安全事件报告和处置方面的管理制度26.系统应急预案27.系统问题管理。

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南；——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求；——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南；——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号）3术语和定义GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。

信息安全技术信息系统安全等级保护测评要求信息安全技术是当今社会不可或缺的重要组成部分，随着信息技术的不断发展和普及，信息系统安全等级保护测评要求也变得愈发重要。

在本文中，我将从深度和广度两个方面对信息安全技术和信息系统安全等级保护测评要求进行全面评估，并据此撰写一篇有价值的文章，希望能为您带来深刻的理解和灵活的思考。

一、信息安全技术1.1 信息安全技术的基本概念信息安全技术是指为了保护信息系统中的信息和数据不受未经授权的访问、使用、披露、破坏、修改、干扰等威胁而采取的一系列技术手段和管理措施。

在当今数字化时代，信息安全技术已经成为企业和个人不可或缺的保障，涉及到网络安全、数据安全、身份认证、加密技术等多个方面。

1.2 信息安全技术的发展历程从最早的密码学和防火墙技术到如今的人工智能和区块链技术，信息安全技术经历了长足的发展和进步。

在不断演进的过程中，信息安全技术不断融合和创新，以适应日益增长的信息安全威胁和挑战，保障信息系统的安全运行。

1.3 信息安全技术的应用领域信息安全技术的应用领域涵盖了各行各业，包括金融、医疗、教育、政府等多个领域。

在互联网、大数据、物联网等新兴技术的推动下，信息安全技术已经成为数字化社会发展的基石，其重要性不言而喻。

二、信息系统安全等级保护测评要求2.1 信息系统安全等级保护的概念和重要性信息系统安全等级保护是指根据信息系统的重要性和安全性需求，对信息系统进行分类和分级，然后制定相应的安全保护措施和措施要求。

信息系统安全等级保护的实施可以有效保护信息系统中的重要信息和数据，提升信息系统的整体安全性，是信息安全管理的基础。

2.2 信息系统安全等级保护测评要求的内容和原则信息系统安全等级保护测评要求包括系统安全等级的确定、安全保护措施的制定、安全评估和认证等多个方面。

在具体实施中，需要遵循科学、客观、公正、公开的原则，确保评估结果的可靠性和权威性。

2.3 信息系统安全等级保护测评要求的实施和挑战在实际实施中，信息系统安全等级保护测评要求面临着一些挑战和问题，包括技术实现的复杂性、安全标准的多样性、评估标准的更新和变化等。