信息安全等级保护测评机构申请表

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全2集成等业务；（十）应具备的其他条件。

编号：XXXX信息系统安全等级测评申请书申请单位（盖章）：系统名称：系统安全等级：________________________ 申请日期：赛博信测（北京）技术有限公司填表说明用户填写和提供的信息及资料应保证真实可靠。

1、本申请表请在计算机上填写，内容以实际情况为准。

2、请提交申请书1份，包括要求的附件内容，并加盖单位公章。

申请单位联系信息部门: 部门负责人: 电话: 手机:联系人: 电话: 手机: 传真: 电子邮箱: 联系地址: 邮政编码:附件：一、基本材料1.《信息系统安全等级保护备案表》2.《信息系统安全等级保护备案表》要求的相关附件：定级报告系统拓扑结构及说明（要求描述）安全组织机构说明系统安全保护设施设计实施方案或改建实施方案系统使用的安全产品清单及认证、销售许可证明3.系统相关的主要服务商及其资质4.其他：专家评审意见（如有）安全测评报告（如有）二、系统资料网络系统：1.网络安全域的划分情况；2.网络的访问控制策略；3.网络的带宽控制策略（如QoS）；4.网络设备、安全设备审计功能的设计与实现；5.非法外联、非法接入控制措施；6.入侵防范及恶意代码防范部署情况；7.网络和安全设备管理员身份鉴别；8.边界和核心交换设备保护措施；主机系统：1.各操作系统和数据库系统采用的鉴别方式（账号/密码或其他方式）2.操作系统和数据库系统用户账号安全策略（包括对账号口令复杂度设置、口令修改设置、登录失败处理情况）3.服务器远程管理安全策略（是否允许远程管理、传输加密要求）4.服务器中各用户对资源的访问控制策略（敏感信息资源清单，用户权限分配策略、系统账号列表及各账号用途）5.主要服务器必须开放的端口及其用途6.操作系统和数据库安全审计策略7.服务器本地安全防护措施（如：防火墙、防恶意代码等）；8.服务器提供其功能所必需的操作系统组件及其他软件清单9.服务器安全监控（如：主机入侵检测系统等)10.设计/验收文档应用系统：1.应用系统用户身份鉴别方式（账号/密码、数字证书等）。

关于开展集团信息网络安全等级保护测评工作的请示关于开展集团信息网络安全等级保护测评工作的请示尊敬的集团领导：根据2017年颁布的《网络安全法》，网络运营者应遵守网络安全等级保护制度，保障网络免受干扰、破坏、未经授权访问，防止数据泄露、窃取和篡改。

2019年12月1日，国家发布了《信息安全技术网络安全等级保护基本要求》(GBT-2019)。

《网络安全法》第五十九条明确规定了网络运营者不履行网络安全保护义务将面临的行政处罚。

目前，银行系统、政府机关和国有大中型企业均已开展信息网络安全等级保护相关工作，例如XXX、XXX、XXX、XXX等。

为了满足集团信息安全建设需要，我们拟开展网络安全等级保护相关工作，包括网络安全测评、建设整改、等级评定和每年的定期检查测评及优化等。

我们建议选择第三方专业资质的测评机构提供相关测评服务，进行网络安全等级保护测评工作，预算为XX万元。

我们请求集团集中采购委员会确定采购方式和组织实施相关采购程序。

现将有关情况报告如下：一、信息网络安全建设现状。

集团于XX年进行了机房和网络信息安全相关建设，解决了内外网隔离和访问身份认证问题，形成了网络信息安全基础防护能力。

目前仍然存在不足，一是网络信息安全构架不够完善，与国家标准等级保护要求尚有一定差距。

二是缺少配套的信息安全管理制度体系。

二、开展信息网络安全等级保护工作的意义。

1.《网络安全法》将网络运营者的信息网络安全责任和义务上升到法律约束高度，《信息安全技术网络安全等级保护基本要求》(GBT-2019)规定了明确的执行标准，开展信息网络安全等级保护工作意义重大。

2.通过信息网络安全等级保护建设找出信息系统在信息安全方面与国家标准要求之间的差距，为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，并建立长效机制，保障信息安全工作与信息化建设同步、可持续的开展。

3.有利于采取系统、规范、经济有效的管理和技术保障措施，建立健全各项信息安全管理制度，保障业务信息系统安全正常运行，保障信息安全，进而保障各部门职能安全、高速、高效地运转。

信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务；（十）应具备的其他条件。

信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。

与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例（征求意见稿）》（以下简称“《保护条例》”）。

作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。

为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。

欢迎国内具有独立承担民事责任的企业, 具备相关资格（具备信息安全等级保护测评资质）条件的供应商参加。

二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。

定级系统: （二级）①公司OA办公系统；②物流系统；③采购系统；④质量中心系统；⑤炼铁部-工业网络系统；⑥铸管部-工业网络系统；工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。

项目实施内容:1.安全检查（1）信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析；（2）信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险；（3）信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。

2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括：对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。

信息安全等级保护三级测评内容标准和测评方法等级保护三级技术类测评控制点类别序号测评内容测评方法告。

结果记录符合情况Y N10.应对介质分类标识，存储在介质库或档案室中。

（G2）11.应利用光、电等技术设置机房防盗报警系统。

（G3）12.应对机房设置监控报警系统。

（G3）防雷击13.14.机房建筑应设置避雷装置。

（G2）应设置防雷保安器，防止感应雷。

（G3）访谈，检查。

物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线）建筑防雷设计/验收文档。

—15.机房应设置交流电源地线。

（G2）防火16.机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

（G3）访谈，检查。

物理安全负责人，机房值守人员，机房设施，机房安全管理制度，机房防火设计/验收文档，火灾自动报警系统设计/验收文档。

17.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

（G3）18.机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

（G3）防水和防潮19.水管安装，不得穿过机房屋顶和活动地板下。

（G2）访谈，检查。

物理安全负责人，机房维护人员，机房设20.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

（G2）21.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

（G2）22.应安装对水敏感的检测仪表或兀件，对机房进>.z. .施等级保护三级技术类测评控制点类别序号测评内容测评方法结果记录符合情况Y N 行防水检测和报警。

（G3）防静电23.主要设备应采用必要的接地防静电措施。

（G2）访谈，检查。

物理安全负责人，机房维护人员，机房设施，防静电设计/验收文24.机房应采用防静电地板。

（G3）温湿度控制25.应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

（G2）访谈，检查。

物理安全负责人，机房维护人员，机房设施，温湿度控制设计/验收文档，温湿度记录、运行记录和维护记录。

关于开展集团信息网络安全等级保护测评工作的请示（参考）集团领导：按照2017年国家颁布的《网络安全法》要求，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

对应的国家标准《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)于2019年12月1日正式颁布实施。

其中，《网络安全法》第五十九条对网络运营者不履行本法规定的网络安全保护义务的情况，明确了相关行政处罚。

目前，银行系统、政府机关和国有大中型企业均已开展信息网络安全等级保护相关工作，例如XXX、XXX、XXX、XXX等。

结合集团信息安全建设实际情况，拟开展网络安全等级保护相关工作，包括网络安全测评、建设整改、等级评定和每年的定期检查测评及优化等。

建议选择第三方专业资质的测评机构提供相关测评服务，进行网络安全等级保护测评工作，预算为XX万元。

并提请集团集中采购委员会确定采购方式和组织实施相关采购程序。

现将有关情况报告如下：一、信息网络安全建设现状。

集团于XX年进行了机房和网络信息安全相关建设，解决了内外网隔离和访问身份认证问题，形成了网络信息安全基础防护能力。

目前仍然存在不足，一是网络信息安全构架不够完善，与国家标准等级保护要求尚有一定差距。

二是缺少配套的信息安全管理制度体系。

二、开展信息网络安全等级保护工作的意义。

1.《网络安全法》将网络运营者的信息网络安全责任和义务上升到法律约束高度，《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)规定了明确的执行标准，开展信息网络安全等级保护工作意义重大。

2.通过信息网络安全等级保护建设找出信息系统在信息安全方面与国家标准要求之间的差距，为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，并建立长效机制，保障信息安全工作与信息化建设同步、可持续的开展。

3.有利于采取系统、规范、经济有效的管理和技术保障措施，建立健全各项信息安全管理制度，保障业务信息系统安全正常运行，保障信息安全，进而保障各部门职能安全、高速、高效地运转。

XX省XX局信息系统基本情况调查表(XX省XX)20XX年6月1 / 1说明1、请提供信息系统的最新网络结构图（拓扑图）2、请根据信息系统的网络结构图填写各类调查表格。

表1-1. 单位基本情况调查1 / 11 / 1表1-2. 参与人员名单填表人：日期：序号人员姓名所属部门职务/职称负责范围联系方法1 省XX局处长网络设备、安全设备2 省XX局科长服务器3456789101 / 1表1-3. 物理环境情况填表人：日期：序号物理环境名称物理位置涉及信息系统1 省XX局机房国家XX局广域网、计算机网络系统、省XX局公众网站系统、省XX 局内部网站系统、内部办公自动化站2 省XX机房广3 省XX局办公楼计算机网络系统45678注：物理环境包括主机房、辅机房、办公环境等。

1 / 1表1-4. 信息系统基本情况填表人：日期：序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用1 XX局广域网三三二2 计算机网络系统二二二3 二二二4 省XX局内部网站系统二二二5 内部办公自动化二二二6 二二二7 二二二8 内部办公自动化OA信二二二息系统9 内部门户网站二二二10111 / 1表1-5. 国家XX局广域网-外联（网络边界）情况调查1 / 1表1-6. 国家XX局广域网-网络设备情况调查1 / 1表1-8. 计算机网络系统-外联（网络边界）情况调查1 / 1表1-9. 计算机网络系统-网络设备情况调查1 / 11 / 1表1-10. 计算机网络系统-安全设备情况调查1 / 1表1-11. 服务器设备情况调查1 / 11 / 11 / 11 / 11 / 1表1-12. 应用系统情况调查填表人：日期：1 / 1表1-13. 业务数据情况调查1 / 11 / 11 / 11 / 1表1-14. 数据备份情况填表人：日期：序号备份数据名介质类型备份周期保存期是否异地保存涉及应用系统备注1 否多个应用系统的数据备份2 否3 否暂没业务应用4 否XX5678910111 / 1表1-17. 终端设备情况调查1 / 1表1-18. 管理文档情况调查制度类文档填表人：日期：1 / 11 / 1表1-19. 人员抽样情况调查人员抽样调查文档序号人员抽样调研要求回答情况备注1 是否发生过信息安全事件?发生后是如何处理的？发生过，立马组织相关技术人员进行处理，同时通知厂家派工程师上门提供技术支持2 人员信息安全意识与安全技能掌握情况?3 管理层对信息安全/等级保护是如何认识的？?4 员工对信息安全/等级保护的看法？?1 / 1表1-19. 安全威胁情况表填表人：日期：序号安全事件调查调查结果1 是否发生过网络安全事件□没有□1次/年□2次/年□3次以上/年□不清安全事件说明：（时间、影响）2 发生的网络安全事件类型（多选）□感染病毒/蠕虫/特洛伊木马程序□拒绝服务攻击□端口扫描攻击□数据窃取□破坏数据或网络□篡改网页□垃圾邮件□内部人员有意破坏□内部人员滥用网络端口、系统资源□被利用发送和传播有害信息□网络诈骗和盗窃□其它其它说明：3 如何发现网络安全事件（多选）□网络（系统）管理员工作检测发现□通过事后分析发现□通过安全产品发现□有关部门通知或意外发现□他人告知□其它其它说明：4 网络安全事件造成损失评估□非常严重□严重□一般□比较轻微□轻微□无法评估5 可能的攻击来源□内部□外部□都有□病毒□其他原因□不清攻击来源说明：6 导致发生网络安全事件的可能原因□未修补或防范软件漏洞□网络或软件配置错误□登录密码过于简单或未修改□缺少访问控制□攻击者使用拒绝服务攻击□攻击者利用软件默认设置□利用内部用户安全管理漏洞或内部人员作案□内部网络违规连接互联网□攻击者使用欺诈方法□不知原因□其它其它说明：1 / 1序号安全事件调查调查结果7 是否发生过硬件故障□有（注明时间、概率）□无造成的影响是：8 是否发生过软件故障□有（注明时间、概率）□无造成的影响是：9 是否发生过维护失误□有（注明时间、概率）□无造成的影响是：10 是否发生过因用户操作失误引起的安全事件□有（注明时间、概率）□无造成的影响是：11 是否发生过物理设施/设备被物理破坏□有（注明时间、概率）□无造成的影响是：12 有无遭受自然性破坏（如雷击等）□有（注明时间、概率）□无有请注明时间、时间后果13 是否发生过莫名其妙的故障□有（注明时间、概率）□无有请注明时间、时间后果1 / 1。