等级保护测评项目-系统资产表

本文由ｂｏｏｋｋｉｄ贡献 ｘｌｓ１。

信息系统安全等级保护基本要求 ａ）　应制定信息安全工作的总体方针和安全策略，　说明机构安全工作的总体目标、范围、原则和安全框　架等；　ｂ）　应对安全管理活动中的各类管理内容建立安全　管理制度；　ｃ）　应对要求管理人员或操作人员执行的日常管理　操作建立操作规程；　ｄ）　应形成由安全策略、管理制度、操作规程等构　成的全面的信息安全管理制度体系。

　ａ）　应指定或授权专门的部门或人员负责安全管理　制度的制定；　ｂ）　安全管理制度应具有统一的格式，并进行版本　控制；　ｃ）　应组织相关人员对制定的安全管理制度进行论　证和审定；　ｄ）　安全管理制度应通过正式、有效的方式发布；　ｅ）　安全管理制度应注明发布范围，并对收发文进　行登记。

　ａ）　信息安全领导小组应负责定期组织相关部门和　相关人员对安全管理制度体系的合理性和适用性进行　审定；　ｂ）　应定期或不定期对安全管理制度进行检查和审　定，对存在不足或需要改进的安全管理制度进行修订　。

　ａ）　应设立信息安全管理工作的职能部门，设立安　全主管、安全管理各个方面的负责人岗位，并定义各　负责人的职责；　ｂ）　应设立系统管理员、网络管理员、安全管理员　等岗位，并定义各个工作岗位的职责；　ｃ）　应成立指导和管理信息安全工作的委员会或领　导小组，其最高领导由单位主管领导委任或授权；　ｄ）　应制定文件明确安全管理机构各个部门和岗位　的职责、分工和技能要求。

　ａ）　应配备一定数量的系统管理员、网络管理员、　安全管理员等；　ｂ）　应配备专职安全管理员，不可兼任；　ｃ）　关键事务岗位应配备多人共同管理。

　ａ）　应根据各个部门和岗位的职责明确授权审批事　项、审批部门和批准人等；　ｂ）　应针对系统变更、重要操作、物理访问和系统　接入等事项建立审批程序，按照审批程序执行审批过　程，对重要活动建立逐级审批制度；　ｃ）　应定期审查审批事项，及时更新需授权和审批　的项目、审批部门和审批人等信息；　ｄ）　应记录审批过程并保存审批文档。

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标（2级） (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通，记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录：等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

第二级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第二级（S2A2G2）信息系统安全等级保护基本要求对应的测评项权重。

第三级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第三级（S3A3G3）信息系统安全等级保护基本要求对应的测评项权重，其他等级信息系统测评项权重赋值表另行发布。

第四级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第四级（S4A4G4）信息系统安全等级保护基本要求对应的测评项权重。

控制点安全要求要求解读a)应指定专门的部门或人是负责机房安全、对机房的出入进行管理，定期对机房供配电、空调、温湿度控制，消防等设施进行维护管理机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人，因此要确保机房的运行环境良好、安全，应对机房环境进行严格管理和控制b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定为保证系统有个良好安会的运行环境，应针对机房建立管理规定或要求c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质等加强内部办公环境的管理是控制网络安全风险的措施之一，为保证内部办公环境的独立性、敏感性，应降低外部人员无意或有意访问内部区域的可能性，同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容等级保护对象资产种类较多，如保护对象的资产管理比较混乱，容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急b)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统件的地位，作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中选行明确，且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出c）应对信息分类与标识方法作出规定，并对信息的使用，传输和存储等进行规范化管理信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的整理分类(一般可分为:敏感、内部公开、对外公开等不同类别），不同类别的信息在使用、传输和存储等方面管理要求也应不同a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期查点介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为存储介质提供安全的存放环境并进行妥善的管控b)应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归等进行登记记录需系统存在离线的存储备份介质应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，应选择可靠的传送人员，并对打包交付过程签字确认等a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理对设备进行有效的维护管理，在一定程度上可降低系统发生安全问题的概率，应明确设备管理的责任部门或人员环境管理资产管理介质管理b)应建立配套设施、软硬件维护方面的管理制度。

二级安全等级保护测评及风险评估内容
二级安全等级保护测评和风险评估是评估信息系统或网络安全的安全性和可靠性的过程。

它主要包括以下内容：1. 风险评估：通过识别和评估信息系统或网络中潜在的威胁和漏洞，确定系统或网络的安全风险等级。

风险评估一般包括威胁辨识、漏洞扫描、风险估算和风险排名等环节。

2. 资产评估：对信息系统或网络中的各种资产进行评估，包括硬件设备、软件应用、数据库、用户权限等。

通过评估资产的价值和重要性，确定资产的保护措施和优先级。

3. 安全控制评估：评估信息系统或网络中已有的安全控制措施的有效性和合规性。

包括评估密码策略、访问控制、数据加密、安全日志、防火墙等安全控制措施的部署情况和实际应用效果。

4. 安全策略和流程评估：评估信息系统或网络中的安全策略、规程和操作流程的合理性和有效性。

包括评估密码管理流程、网络接入控制策略、安全事件处理流程等。

5. 物理安全评估：评估信息系统或网络中物理环境的安全性，包括机房的物理访问控制、安全设备的部署和防护措施等。

6. 威胁和漏洞评估：评估信息系统或网络中存在的威胁和漏洞，包括网络扫描、漏洞评估、安全漏洞修补等。

7. 安全事件响应评估：评估信息系统或网络中的安全事件响应机制和能力，包括评估安全事件检测、响应流程、恢复和备份策略等。

通过以上评估内容的全面评估，可以帮助确定信息系统或网络的安全等级，并提供保护措施和优先级，以应对安全风险。

三级等级保护测评内容
三级等级保护测评内容是指对特定主体的安全水平进行评估和分类，以保护重
要信息和资源的安全性。

在这个测评过程中，需要考虑以下几个关键要点。

首先，测评的重点是评估特定主体的安全等级。

这包括了对主体的信息系统、
数据和业务流程等方面的安全性进行检查和评估。

针对不同的等级，会有不同的安全要求和措施来保护信息资产的机密性、完整性和可用性。

其次，测评内容还涉及到系统安全等级的认定。

通过对系统的功能、技术实施、安全策略和措施等进行评估，可以判断出该系统所属的等级。

这个等级的认定对于制定相应的安全保护计划和防护措施至关重要。

另外，测评内容还包括审核信息系统的安全政策和制度。

这些政策和制度是保
障信息安全的基础，包括了对人员的安全培训、安全管理制度、应急预案等方面的要求。

通过对这些要求的审核和评估，可以确定信息系统是否符合相应的安全等级要求。

最后，测评内容还需要根据测评结果提出相应的建议和改进措施。

这些建议和
改进措施可以针对已有的安全问题，提出相应的解决方案和预防措施，以提高信息系统的安全等级。

综上所述，三级等级保护测评内容主要包括对特定主体的安全等级评估、系统
安全等级认定、安全政策和制度审核以及建议和改进措施等方面的内容。

通过这些评估和检查，可以确保信息系统和资源的安全性，保护关键信息资产。