信息系统安全等级保护测评及服务要求

等保测评的标准主要依据国家信息安全等级保护制度，对信息系统进行安全等级评定。

其标准内容主要包括以下几个方面：等级保护测评的基本概念和原则：包括等级保护测评的定义、等级保护测评的目的、等级保护测评的原则等。

等级保护测评的评估要求：包括等级保护测评的评估对象、等级保护测评的评估方法、等级保护测评的评估标准等内容。

等级保护测评的等级划分：包括等级保护测评的等级划分标准、等级保护测评的等级划分方法等内容。

等级保护测评的实施要求：包括等级保护测评的实施流程、等级保护测评的实施步骤等内容。

具体来说，等保测评结论分为优秀、良好、中等和差四个级别，70分以上才算及格，90分以上算优秀。

被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90分以上，包含90分，被视为优秀；被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80分以上，包含80分，被视为良好；被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上，包含70分，被视为中等；被测对象中存在安全问题，而且会导致达测对象面临高等级安全风险，或被测对象综合得分低于70分，被视为差。

等保测评的流程主要包括以下几个步骤：●确定等保测评的目标和范围。

●组建评估团队，确定评估人员的背景和技能要求。

●收集相关的安全策略、规程、技术文档等资料，以及系统架构、网络拓扑图、系统配置等信息。

●对待评估系统的实际情况进行勘察，包括系统设备、网络环境等，并检查系统安全管理和运维情况。

●进行安全风险评估，根据收集到的资料和现场勘察结果，评估系统存在的漏洞、弱点以及可能的威胁和风险。

●根据国家标准和评估结果，对系统进行等级划分，确定系统的安全等级，如一级、二级、三级等。

●提出整改建议和措施，帮助系统改进安全性，并由系统所有者进行相应的安全问题整改。

●验证整改后的安全问题是否得到解决，并对整改后的系统进行再次评估，确认安全等级是否符合要求。

信息系统安全等级保护测评服务内容及要求一、供应商资格：1.供应商应具备《政府采购法》第二十二条规定的条件；1）具有独立承担民事责任的能力；2）具有良好的商业信誉和健全的财务会计制度；3）具有履行合同所必需的设备和专业技术能力；4）有依法缴纳税收和社会保障资金的良好记录；5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；6）法律、行政法规规定的其他条件。

2.投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。

3.具有网络安全等级保护测评机构推荐证书。

4.具有中国合格评定国家认可委员会颁发的CNAS证书。

5.具有广东省电子政务服务能力等级证书。

6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级）7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。

8.中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。

9.本项目不接受联合体投标。

二、项目服务内容及要求1.采购项目需求一览表：序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统（签约银行登录）二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。

按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。

2.2项目目标2.2.1等级保护测评服务。

根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。

信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分，对于信息系统的安全等级保护测评要求也变得愈发重要。

信息系统安全等级保护测评是指为了评估信息系统的安全性，保障信息系统的功能和安全性，根据《信息安全技术信息系统安全等级保护测评要求》，对信息系统进行等级保护测评，明确信息系统安全等级。

二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》，信息系统安全等级分为四个等级，分别是一级、二级、三级和四级。

每个等级都有相应的技术和管理要求，以及安全保护的措施。

在信息系统安全等级保护测评中，根据信息系统的安全等级，采用不同的测评方法和技术手段，对信息系统进行全面的评估和测试。

三、技术要求在信息系统安全等级保护测评中，技术要求是至关重要的一环。

根据《信息安全技术信息系统安全等级保护测评要求》，信息系统的技术要求包括但不限于以下几个方面：1. 安全功能要求信息系统在进行测评时，需要满足一定的安全功能要求。

对于不同等级的信息系统，需要有相应的访问控制、身份认证、加密通信等安全功能，以确保系统的安全性。

2. 安全性能要求信息系统的安全性能也是非常重要的。

在信息系统安全等级保护测评中，需要对系统的安全性能进行评估，包括系统的稳定性、可靠性、容错性等方面。

3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。

通过鉴别技术对信息系统进行鉴别，以确定系统的真实性和完整性，防止系统被篡改和伪造。

4. 安全风险评估要求在信息系统安全等级保护测评中，需要进行全面的安全风险评估，包括对系统可能存在的安全威胁和漏洞进行评估，以及制定相应的安全保护措施和应急预案。

四、管理要求除了技术要求之外，信息系统安全等级保护测评还需要满足一定的管理要求。

管理要求主要包括以下几个方面：1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系，包括安全管理策略、安全管理制度、安全管理流程等，以确保信息系统的安全性。

等保测评技术要求一、服务内容依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务，并出具《测评报告》。

二、服务要求（一）等保测评依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务，并出具《测评报告》。

若首次测评后被测信息系统需要进行整改，在约定的整改期限内提供复测服务。

服务时间：7*24服务方式：现场和远程交付成果：测评报告。

（二）定级备案协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料，组织开展专家评审会，完成定级备案等相关服务工作。

服务时间：7*24服务方式：现场交付成果：备案证明。

（三）测评服务范围依据《信息安全技术网络安全等级保护基本要求》，测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

(1)安全物理环境测评内容：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

(2)安全通信网络测评内容：网络架构、通信传输、可信验证。

(3)安全区域边界测评内容：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

(4)安全计算环境测评内容：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

(5)安全管理中心测评内容：系统管理、审计管理、安全管理、集中管控。

(6)安全管理制度测评内容：安全策略、管理制度、制定和发布、评审和修订。

(7)安全管理机构测评内容：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

信息安全技术信息系统安全等级保护测评要求在当今数字化的时代，信息系统已经成为了各个组织和企业运营的核心支撑。

从金融机构的交易处理到政府部门的政务服务，从企业的生产管理到个人的社交娱乐，信息系统无处不在。

然而，随着信息系统的广泛应用，其面临的安全威胁也日益严峻。

为了保障信息系统的安全可靠运行，保护国家、社会和个人的利益，信息系统安全等级保护测评工作显得尤为重要。

信息系统安全等级保护测评是指依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。

其目的在于发现信息系统中存在的安全漏洞和风险，提出相应的整改建议，从而提高信息系统的安全防护能力。

那么，信息系统安全等级保护测评到底有哪些具体要求呢？首先，测评工作需要遵循一系列的法律法规和标准规范。

我国已经出台了《中华人民共和国网络安全法》等相关法律法规，明确了信息系统安全保护的责任和义务。

同时，还有一系列的国家标准和行业规范，如《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护测评要求》等，为测评工作提供了详细的指导和依据。

其次，测评工作需要对信息系统进行全面的调研和分析。

这包括了解信息系统的业务功能、网络拓扑结构、系统架构、安全设备部署、安全管理制度等方面的情况。

通过对这些信息的收集和整理，为后续的测评工作奠定基础。

在技术层面，测评要求涵盖了物理安全、网络安全、主机安全、应用安全和数据安全等多个方面。

物理安全方面，要确保信息系统所在的机房环境符合安全要求，如防火、防水、防潮、防盗、电力供应稳定等。

同时，机房的访问控制也要严格，只有授权人员能够进入。

网络安全方面，需要检查网络设备的配置是否合理，是否存在网络漏洞和攻击风险。

例如，防火墙的规则设置是否有效，入侵检测系统是否能够及时发现异常流量，网络访问控制策略是否严格等。

主机安全方面，要关注操作系统和数据库的安全配置，是否及时安装了补丁，是否存在默认账号和弱口令等问题。

信息系统等级保护测评指标信息系统等级保护（Information System Security Evaluation Criteria，简称ISSEC）是由中国国家信息安全测评中心制定的一套信息系统安全评估标准，旨在对各级信息系统进行安全评估，指导信息系统的构建和管理。

ISSEC体系包括五个等级，分别为一级（C1）、二级（C2）、三级（B1）、四级（B2）和五级（A1），每个等级都有特定的评估指标。

以下是ISSEC的测评指标：1.安全策略和管理-核心安全价值观的定义和落地-安全管理制度、安全责任制和安全宣导制度的建立-安全标准和规范的制定和实施-可信计算和可信网络的建设和管理2.安全风险管理-安全风险评估和风险管理策略的制定-安全需求分析和安全架构设计-安全控制措施的选择、实施和测试-安全事件响应和事故处置能力的建立3.认证和身份鉴别-用户身份鉴别和访问控制的实施-身份认证、会话管理和权限管理的支持-安全认证技术的选择和应用-密码词典管理、密码策略和密码保护措施的实施4.数据和应用安全-数据分类和安全等级保护措施的实施-信息系统应用程序开发和测试的安全要求-数据备份、恢复和业务连续性计划的建立-存储和传输的数据加密和防护控制5.网络和设备安全-网络拓扑设计和访问边界的安全保护-网络设备配置和访问控制的实施-网络安全监测、入侵检测和防御的建立-网络通信的加密和虚拟专用网络的建设6.物理安全和环境保护-机房、数据中心和服务器的物理安全保障-硬件设备和存储介质的丢失和破坏防护-电源供应和配电系统的可靠性和安全性-火灾保护、环境监测和灾难恢复计划的建立7.信息安全教育和培训-员工、用户和管理人员的信息安全意识教育-安全培训的内容和方法的制定-组织和开展安全演练和应急预案的训练-信息安全文化建设和社会责任教育以上只是ISSEC测评指标的一部分，整个体系涵盖了信息系统在不同方面的安全保护要求。

通过对这些指标的评估和评定，可以帮助组织构建更加安全可靠的信息系统，提升信息系统的保密性、完整性和可用性，从而更好地保护信息资产的安全。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。

（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）；2.测评机构应为成都市本地机构或在成都有常驻服务机构；3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》；4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）；5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。

没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。

6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。

7.本包不接受联合体参加。

二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。

等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。

测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。