信息安全等级保护测评机构申请表

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全2集成等业务；（十）应具备的其他条件。

某单位信息系统安全等级保护测评报告（S3A3G3）报告编号：信息系统安全等级测评报告系统名称：被测单位：测评单位：报告时间：报告编号：错误！未找到引⽤源。

[2013版]信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明本报告是错误！未找到引⽤源。

的等级测评报告。

本报告测评结论的有效性建⽴在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评⼯作完成后，由于信息系统发⽣变更⽽涉及到的系统构成组件（或⼦系统）都应重新进⾏等级测评，本报告不再适⽤。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引⽤本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅⾃进⾏增加、修改和伪造或掩盖事实。

⽬录信息系统等级测评基本信息表 (1)报告摘要 (1)1测评项⽬概述 (10)1.1测评⽬的 (10)1.2测评依据 (10)1.3测评过程 (11)1.4报告分发范围 (13)2被测信息系统情况 (14)2.1承载的业务情况 (14)2.2⽹络结构 (14)2.3系统构成 (14)2.3.1业务应⽤软件 (14)2.3.2关键数据类别 (15)2.3.3主机/存储设备 (15)2.3.4⽹络互联设备 (15)2.3.5安全设备 (15)2.3.6安全相关⼈员 (15)2.3.7安全管理⽂档 (16)2.4安全环境 (17)2.5前次测评情况 (18)3等级测评范围与⽅法 (19)3.1测评指标 (19)3.1.1基本指标 (19)3.1.2特殊指标 (19)3.2测评对象 (20)3.2.1测评对象选择⽅法 (20)3.2.2测评对象选择结果 (20)3.3测评⽅法 (23)4单元测评 (24)4.1物理安全 (24)4.1.1结果记录 (24)4.1.2结果汇总 (28)4.1.3问题分析 (28)4.2⽹络安全 (29)4.2.1结果记录 (29)4.2.2结果汇总 (43)4.2.3问题分析 (43)4.3主机安全 (44)4.3.2结果汇总 (49)4.3.3问题分析 (49)4.4应⽤安全 (50)4.4.1结果记录 (50)4.4.2结果汇总 (56)4.4.3问题分析 (56)4.5数据安全及备份恢复 (57) 4.5.1结果记录 (57)4.5.2结果汇总 (58)4.5.3问题分析 (59)4.6安全管理制度 (59)4.6.1结果记录 (59)4.6.2结果汇总 (61)4.6.3问题分析 (62)4.7安全管理机构 (62)4.7.1结果记录 (62)4.7.2结果汇总 (67)4.7.3问题分析 (67)4.8⼈员安全管理 (68)4.8.1结果记录 (68)4.8.2结果汇总 (71)4.8.3问题分析 (71)4.9系统建设管理 (72)4.9.1结果记录 (72)4.9.2结果汇总 (79)4.9.3问题分析 (79)4.10系统运维管理 (80)4.10.1结果记录 (80)4.10.2结果汇总 (91)4.10.3问题分析 (91)5整体测评 (93)5.1安全控制间安全测评 (93)5.2层⾯间安全测评 (93)5.3区域间安全测评 (93)5.4系统结构安全测评 (93)5.4.1整体结构的安全性测评分析 (93)5.4.2整体安全防范的合理性测评分析 (93)6测评结果汇总 (94)7风险分析和评价 (96)8等级测评结论 (105)9安全建设整改建议 (106)9.2⽹络安全 (106)9.2.1整体⽹络 (106)9.2.2北电交换机 (106)9.2.3华为NE08 (106)9.2.4天融信防⽕墙 (106)9.2.5天融信防毒墙 (107)9.3主机安全 (107)9.4应⽤安全 (107)9.5数据安全及备份恢复 (108)9.6安全管理制度 (108)9.7安全管理机构 (109)9.8⼈员安全管理 (109)9.9系统建设管理 (110)9.10系统运维管理 (110)报告摘要⼀、测评⼯作概述⼆、系统存在的主要问题1、相关⼈员进⼊机房缺乏必要的审批程序，没有⼈员进⼊机房的登记记录。

编号：XXXX信息系统安全等级测评申请书申请单位（盖章）：系统名称：系统安全等级：________________________ 申请日期：赛博信测（北京）技术有限公司填表说明用户填写和提供的信息及资料应保证真实可靠。

1、本申请表请在计算机上填写，内容以实际情况为准。

2、请提交申请书1份，包括要求的附件内容，并加盖单位公章。

申请单位联系信息部门: 部门负责人: 电话: 手机:联系人: 电话: 手机: 传真: 电子邮箱: 联系地址: 邮政编码:附件：一、基本材料1.《信息系统安全等级保护备案表》2.《信息系统安全等级保护备案表》要求的相关附件：定级报告系统拓扑结构及说明（要求描述）安全组织机构说明系统安全保护设施设计实施方案或改建实施方案系统使用的安全产品清单及认证、销售许可证明3.系统相关的主要服务商及其资质4.其他：专家评审意见（如有）安全测评报告（如有）二、系统资料网络系统：1.网络安全域的划分情况；2.网络的访问控制策略；3.网络的带宽控制策略（如QoS）；4.网络设备、安全设备审计功能的设计与实现；5.非法外联、非法接入控制措施；6.入侵防范及恶意代码防范部署情况；7.网络和安全设备管理员身份鉴别；8.边界和核心交换设备保护措施；主机系统：1.各操作系统和数据库系统采用的鉴别方式（账号/密码或其他方式）2.操作系统和数据库系统用户账号安全策略（包括对账号口令复杂度设置、口令修改设置、登录失败处理情况）3.服务器远程管理安全策略（是否允许远程管理、传输加密要求）4.服务器中各用户对资源的访问控制策略（敏感信息资源清单，用户权限分配策略、系统账号列表及各账号用途）5.主要服务器必须开放的端口及其用途6.操作系统和数据库安全审计策略7.服务器本地安全防护措施（如：防火墙、防恶意代码等）；8.服务器提供其功能所必需的操作系统组件及其他软件清单9.服务器安全监控（如：主机入侵检测系统等)10.设计/验收文档应用系统：1.应用系统用户身份鉴别方式（账号/密码、数字证书等）。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务；（十）应具备的其他条件。

编号：（X）XXX 年月日
信息安全等级保护测评机构
申请表
单位名称：
单位地址：
申请日期：
国家信息安全等级保护工作协调小组办公室制
填表说明：（封皮背面）
1、申请表编号“（X）XXX 年月日”由受理申请单位填写，其中（X）是各地行政区划简称，XXX是申请表编号。

2、申请表各项内容应如实填写，文字表述明确。

3、申请表签字盖章方为有效。

应由申请单位法定代表人签字；委托代表人签字的，应出具有效的委托书。

4、申请表中“单位类型”应按照单位营业执照填写。

5、如所填内容超出表格时，可添加附页。

6、申请单位人员基本情况表每人填写一份。

7、申请表一式二份。

申请单位基本情况表
申请单位人员基本情况表
安全保证承诺书
等级测评工作是等级保护工作的重要组成部分，直接关系信息系统安全，作为从事信息安全等级测评工作的机构，本单位及其人员知悉测评机构的责任义务和工作规范，愿意服从并接受各项安全保密管理，并承诺按照有关标准规范开展等级测评工作，保证测评工作的客观、公正、安全，如有虚假或有违反测评管理规范的行为，本单位将承担由此造成的一切后果及相关的法律责任。

法定代表人签字：
单位盖章:
年月日。

《信息安全等级保护管理办法(精)》第一篇：信息安全等级保护管理办法（精）信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护1第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。