等级测评实施方案(三级)-z1117

等级测评实施方案(三级)-zx11171测评方案1.1测评流程依据《GBT28448-的安全顾问，指导信息安全建设，参与安全规划和安全评审等。

5审核和检查（G3）a)安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；b)应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；d)应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。

序号类别测评要求结果记录符合情况1岗位设置（G2）a)应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；b)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

2人员配备（G2）a)应配备一定数量的系统管理员、网络管理员、安全管理员等；b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。

3授权和审批（G2）a)应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；b)应针对关键活动建立审批流程，并由批准人签字确认。

4沟通和合作（G2）a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通；b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。

5审核和检查（G2）安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

2.5.2配合需求配合项目需求说明访谈访谈安全主管查看材料提供相关审批文件、记录等2.6人员安全管理2.6.1测评方案和内容序号类别测评要求结果记录符合情况1人员录用（G3）a)应指定或授权专门的部门或人员负责人员录用；b)应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；c)应签署保密协议；d)应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。

等级测评实施方案一、背景介绍。

随着社会的发展和竞争的加剧，人才的选拔和评定变得越来越重要。

等级测评作为一种全面评价个体能力和素质的方法，受到了广泛关注。

因此，制定一套科学合理的等级测评实施方案显得尤为重要。

二、等级测评的意义。

等级测评是一种全面、客观、公正的评价方法，它能够帮助个体了解自己的优势和劣势，为个人的职业发展提供指导和帮助。

同时，等级测评也可以为企业的人才选拔、培养和激励提供重要参考，有助于提高组织的绩效和竞争力。

三、实施方案的制定。

1.明确测评目的。

首先，需要明确测评的目的和范围，确定测评的对象和内容。

测评可以针对个人的职业能力、领导力、团队合作能力等方面展开，也可以针对企业的人才选拔、晋升、薪酬激励等方面展开。

2.选择测评工具。

其次，需要选择合适的测评工具，可以是问卷调查、能力测试、案例分析等多种形式。

在选择工具时，需要考虑其科学性、客观性和实用性，确保能够准确反映个体的能力和素质。

3.确定测评标准。

然后，需要确定测评的标准和等级划分，可以根据测评对象的不同，制定相应的评分标准和等级划分，确保测评结果具有可比性和可操作性。

4.建立测评体系。

接下来，需要建立完善的测评体系，包括测评流程、测评人员、测评数据的收集和分析等方面。

同时，还需要建立测评结果的反馈机制，确保测评结果能够得到有效利用。

5.实施与监督。

最后，需要全面实施测评方案，并加强对测评过程的监督和评估，确保测评的公正、客观和有效性。

同时，还需要及时总结经验，不断完善和优化测评方案。

四、注意事项。

在实施等级测评的过程中，需要注意以下几点：1.尊重个体权益，确保测评过程的公正和保密；2.注重测评结果的可操作性和有效性，避免测评结果的盲目性和主观性；3.及时反馈测评结果，为个体和组织提供有针对性的指导和帮助；4.不断完善和优化测评方案，确保测评的科学性和实用性。

五、结语。

等级测评实施方案的制定和落实，对于个体的职业发展和企业的人才管理都具有重要意义。

等保三级评测方案一、引言随着信息技术的迅猛发展，网络安全面临着越来越严峻的挑战。

为了保护国家的信息安全和网络利益，我国制定了等保三级评测方案。

本文将详细介绍等保三级评测方案的背景、目的以及相关的要求和步骤。

二、背景在网络攻击和数据泄露等事件频频发生的背景下，等保三级评测方案应运而生。

此方案旨在提高信息系统的安全性，确保关键信息基础设施的安全和稳定运行。

通过对信息系统的评测，可以发现潜在的安全隐患，并采取相应的防护措施。

三、目的等保三级评测的主要目的是评估信息系统的安全性和合规性，并为其提供相应的改进建议。

通过评测，可以识别系统中存在的漏洞和风险，加强安全意识，并提供维护和防护系统的措施。

另外，此评测方案也为信息系统的注册和备案提供了依据。

四、评测要求等保三级评测方案要求信息系统在以下几个方面达到一定的标准：1. 安全管理制度要求：信息系统应建立健全的安全管理制度，包括安全策略、安全组织、安全人员等，并明确安全责任和权限。

2. 安全技术要求：系统应具备防火墙、入侵检测、恶意代码防护等技术措施，确保安全风险的识别和防范。

3. 安全能力要求：系统应具备合理的身份认证、访问控制、数据加密等安全能力，确保数据的机密性、完整性和可用性。

4. 事件应急处理要求：系统应建立健全的事件应急处理机制，及时响应和处置安全事件，以减少对系统的影响。

五、评测步骤等保三级评测方案包含以下几个步骤：1. 评测准备：确定评测范围和评估目标，编制评测计划，组织评测人员，并准备评测所需的工具和材料。

2. 信息收集：收集信息系统的相关文档、配置信息等，了解系统的结构和功能，并与相关人员进行沟通和交流。

3. 风险评估：根据收集到的信息，分析系统中存在的风险和漏洞，并进行评估。

4. 安全性能测评：对系统的安全性能进行测试和测评，包括身份认证、访问控制、数据加密等方面。

5. 报告撰写：根据评测结果，撰写详细的评测报告，包括存在的问题、建议的改进措施等。

等保三级评测方案一、背景介绍信息安全是当前各行各业亟需解决的重要问题之一。

为了确保关键信息系统的安全性，国家出台了《信息安全等级保护管理办法》。

其中，等保三级评测是评估信息系统安全性的重要手段之一。

本方案旨在提供一种有效的等保三级评测实施方案，以确保信息系统的安全性能。

二、评测范围本方案适用于所有需要进行等保三级评测的信息系统，包括但不限于政府部门、金融机构、企事业单位等涉及重要国家利益、社会稳定以及公民权益的领域。

三、评测流程等保三级评测的流程分为以下几个阶段：1. 评测准备阶段a) 制定评测计划：根据评测对象的特点和需求，制定详细的评测计划，明确评测的目标和范围。

b) 收集信息：收集评测对象的相关资料，包括系统架构、安全策略、应急预案等。

c) 情况分析：对收集到的信息进行分析，了解评测对象的安全现状和问题。

2. 评估实施阶段a) 安全漏洞扫描：利用相应的安全工具对评测对象进行漏洞扫描，发现存在的潜在安全风险。

b) 安全策略验证：通过对评测对象的安全策略、配置文件等进行验证，确保其符合相关标准和规定。

c) 安全性能测试：对评测对象的安全性能进行测试，包括但不限于防火墙、入侵检测系统的性能测试等。

d) 安全评估报告编制：根据评测结果，编制详细的安全评估报告，汇总存在的安全问题和改进建议。

3. 评测总结与整改a) 评测总结：对评测过程进行总结，总结评测中的亮点和问题，为后续的评测提供参考和借鉴。

b) 安全整改：根据评测结果和建议，及时采取措施进行安全整改，修复发现的漏洞和问题。

四、评测标准等保三级评测基于《信息安全等级保护评估技术要求》及相关法律法规，结合评测对象的实际情况，按照以下标准进行评估：1. 安全策略与管理制度是否健全、是否符合法律法规的要求；2. 系统架构是否满足信息安全保护的需求，是否有恶意代码；3. 安全配置是否合理，是否存在弱口令、未授权访问等漏洞；4. 安全设备和安全防护措施是否有效，是否能及时检测和阻断攻击；5. 应急预案和安全事件处理能力是否完备。

医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。

1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。

➢在具体测评对象选择工作过程中，遵循以下原则：➢完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；➢重要性原则，应抽查重要的服务器、数据库和网络设备等；➢安全性原则，应抽查对外暴露的网络边界；➢共享性原则，应抽查共享设备和数据交换平台/设备；➢代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

1.4测评依据信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价），因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下：系统定级使用的主要指标依据有：➢《计算机信息系统安全保护等级划分准则》（GB 17859-1999）➢《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）等级保护测评使用的主要指标依据有：➢《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）➢《信息安全技术信息系统安全等级保护测评要求》（GBT 28448-2012）➢《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）➢《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）现状测评使用的主要指标依据有：➢制度检查：以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求，检查是否具有相应的制度、记录。

安全标准化三级达标考评实施办法附件1：危险化学品从业单位安全标准化三级达标考评实施办法为贯彻落实2009年全国、全省危险学品安全监管工作会议精神，认真完成我市危险化学品从业单位安全标准化三级企业在达标考评工作，特制定本办法。

一、指导思想以贯彻“安全第一、预防为主、综合治理”方针和科学发展观为指导，以安全生产法律法规、行业规范、规程、标准为依据，通过实施企业安全标准化三级达标考评，落实企业安全责任、规范企业安全生产行为，实现企业安全生产的动态过程控制，切实提高企业本质安全水平，逐步建立健全安全生产监管体系和企业安全生产长效机制。

二、工作目标2009年底，完成对中央和省属在兰危险化学品生产企业申请安全标准化二级企业的初审上报工作，完成对市属以下重点危险化学品生产企业符合申请安全标准化三级企业的考评工作。

二、工作程序1、申报三级企业先由企业自评，按照安全标准化考核评级程序和流程(附件2、附件3)，向企业所在地县（区）安监局提出申请，县(区)安监局审核并签署意见后，向兰州市安监局提出申请；- 1 -2、市安全监局组织对申请安全标准化三级企业进行考评。

申报三级企业《申请书》的填写、需提交的文件以及县（区）安监局受理企业的申请和对企业现场考评的程序方法，参照《危险化学品从业单位安全标准化规范》的申请与考评规定执行。

3、达到三级安全标准化企业的由市安监局颁发安全标准化三级企业等级证书。

四、工作安排（一）自评阶段2009年6月30日前，各相关企业成立由主要负责人任组长，各相关职能部门以及工会参加的安全标准化自评小组进行自评。

（二）申报阶段2009年7月1日至7月31日，企业自评后，形成自评报告，向考核机构提交书面考核申请。

（三）审核发证阶段2009年8月1日至9月30日，考核机构收到企业的考核申请后，按照《规范》的要求进行考核，形成考核报告，考核合格后颁发安全标准化三级企业证书。

五、工作要求（一）提高认识，加强领导。

等保三级评测方案一、背景介绍随着信息技术的迅猛发展和广泛应用，各个行业的数据和信息安全问题日益凸显。

为了保护国家安全和维护社会稳定，等级保护制度被提出并广泛应用于各个领域。

等级保护三级评测方案是一项重要的信息安全评估工作，旨在确保涉密系统的完整性、机密性和可用性，保证信息系统在各方面达到一定的等级要求。

二、评测目的等保三级评测旨在评估涉密系统和信息系统的安全控制措施是否达到等级保护三级要求，以及其在工程实施、操作管理、系统维护和应急处理等方面的能力是否满足国家标准要求。

评测的目的是为了确认涉密系统的安全性水平，为相关部门提供决策依据，进一步提高相关系统的安全性并提供保护。

三、评测方法3.1 评测准备评测前需要明确评测的具体范围和内容，组织评测团队，制定评测计划，并获得被评测单位的配合。

评测团队应具备丰富的信息安全评估经验和专业知识，并严格遵守评测的工作纪律和保密要求。

3.2 评测范围评测范围应包括被评测单位的硬件设施、软件系统、网络设备以及相关的安全管理制度和技术措施等。

评测工作应覆盖被评测单位的所有关键业务系统和支持系统，确保全面审查和评估。

3.3 评测内容评测内容应包括但不限于以下方面：（1）信息系统的安全管理制度和操作规范；（2）物理安全、网络安全、系统边界安全等的现状评估；（3）用户身份认证和访问控制的实施情况；（4）数据的保密性、完整性和可用性保障措施；（5）应急响应和事件处理能力等。

3.4 评测方法评测方法可以综合运用定性和定量的手段进行评估。

通过审查文件和文档、走访询问、实地检查等多种方式，对被评测单位的信息系统进行全面、深入的评估，发现问题、分析原因，并提出改进和优化的措施。

四、评测结果与报告4.1 评测结果评测结果应按照等保三级评测标准进行判定，评定被评测单位所处的等级。

评测结果应真实、准确地反映出被评测单位的信息系统安全现状、问题和改进方向，以便后续的安全保护工作。

4.2 评测报告评测报告应包括评测的目的、范围、方法，评估结果的详细说明，存在的安全问题和改进建议等内容。