信息系统等级保护测评工作设计方案
医院信息系统安全等级保护测评方案的设计
医院信息系统安全等级保护测评方案的设计李克潮【摘要】Development of hospital information system is based on the information security and reliability. According to the standards of national and industry information security classified protection, combining with the specific circumstances of one A-level tertiary hospital, using classified protection evaluation process, evaluation object, evaluation methods, evaluation tools, unit evaluation, overall evaluation and so on, designs information system classified protection testing and evaluation scheme for one A-level tertiary hospital. Through testing and evaluation, hospital information system security risks were found, that provide scientific and reasonable basis for next step of hospital information construction.%医院信息系统的发展是建立在信息安全、可靠的基础上。
文章根据国家及行业信息安全等级保护的标准,结合某三级甲等医院的具体情况,从等级保护测评流程、测评对象、测评方法、测评工具、单元测评、整体测评等方面,对某三甲医院的信息系统等级保护测评方案进行设计。
等保二级测评方案
等保二级测评方案等保二级测评方案是指对信息系统等级保护要求达到二级的企事业单位进行的安全测评。
下面是一种可能的等保二级测评方案:1.准备阶段:-明确测评目标:明确要测评的信息系统、测评的范围和要达到的等级保护要求。
-制定测评计划:确定测评的时间、地点、人员和资源等,并安排相应的工作任务。
-收集资料:收集信息系统的相关资料,包括系统架构图、安全策略文件、安全配置文件等。
2.测试阶段:-安全漏洞扫描:使用专业的漏洞扫描工具对系统进行扫描,发现系统中存在的安全漏洞。
-安全漏洞分析:分析扫描结果,确认漏洞的危害程度和修复难度,并制定相应的修复方案。
-配置审查:审查系统的安全配置是否符合等级保护要求,并提供相应的改进建议。
-密码破解测试:对系统中的密码进行测试,包括强度测试、撞库测试等,发现密码的弱点并提供相应的加固措施。
3.评估阶段:-风险评估:根据测试结果,评估系统所面临的安全风险,并制定相应的风险防范策略。
-安全控制评估:评估系统中已有的安全控制措施的有效性和完整性,并提供相应的改进意见。
-完善测试报告:整理测试结果,撰写详细的测试报告,包括发现的安全问题、风险评估、安全控制评估等。
4.改进阶段:-整改措施制定:根据测试报告中的发现,制定相应的整改措施,包括修补漏洞、更新安全配置、加强访问控制等。
-实施整改:按照制定的整改方案,对系统进行相应的改进工作。
-验证改进效果:重新进行测试,验证改进措施的有效性,并核实系统是否已满足等级保护要求。
5.总结阶段:-总结经验教训:对整个测评过程进行总结,总结工作中的经验教训,并提出改进的建议。
-编制测评报告:汇总测试报告和总结经验教训,编制最终的测评报告,向相关部门提交。
-跟踪整改:对系统整改情况进行跟踪,确保改进措施的有效实施。
以上是一种可能的等保二级测评方案,具体方案的制定需要根据实际情况进行调整和完善。
等保测评技术方案
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
信息系统二级等级保护测评方案
信息系统二级等级保护测评方案一、概述信息系统的安全等级保护是为了确保信息系统的可靠性、保密性和完整性,保护国家利益和社会公共利益,提供信息系统的一般安全保护要求。
信息系统的等级保护分为四个等级:一级为最高等级,四级为最低等级。
本方案主要针对二级等级保护进行测评,确保信息系统的安全等级符合国家和行业标准。
二、测评目标本方案的测评目标是评估信息系统的安全等级符合二级等级保护的要求,包括但不限于以下方面:1.确保信息系统的可靠性,防止未经授权的访问和篡改。
2.确保信息系统的保密性,防止信息泄露和非法获取。
3.确保信息系统的完整性,防止信息被篡改和破坏。
三、测评内容本方案的测评内容包括但不限于以下方面:1.系统硬件和软件的安全性评估,包括服务器、网络设备、操作系统、数据库等的安全配置和漏洞扫描。
2.系统用户的安全性评估,包括用户身份认证和权限控制的测试。
3.系统数据的安全性评估,包括数据加密、备份和恢复的测试。
4.系统应用的安全性评估,包括应用程序的权限控制、输入验证和安全漏洞测试。
5.系统网络的安全性评估,包括防火墙、入侵检测系统和网络监控设备的测试。
6.系统日志的安全性评估,包括日志的生成、存储和分析的测试。
四、测评方法本方案的测评方法包括但不限于以下几个步骤:1.需求分析:与信息系统管理人员和用户沟通,了解系统的安全等级保护要求和测评目标。
2.测评计划:制定详细的测评计划,包括测评的时间、地点、参与人员和测评的具体内容。
3.测评准备:准备必要的测评工具和设备,包括硬件扫描器、软件漏洞扫描器、网络分析仪等。
4.测评执行:根据测评计划,逐项进行测评,对系统硬件、软件、用户、数据、应用、网络和日志进行测试。
5.测评报告:根据测评结果,编写详细的测评报告,包括系统的安全等级评估、存在的安全风险和建议的安全改进措施。
6.结果评审:与信息系统管理人员和用户进行结果评审,确认测评结果和改进措施,并制定改进计划。
等级保护测评项目测评方案
数据安全及备份恢复
数据加密
应对敏感数据进行加密存储和传输,确保数据在传输过程中的安 全性。
数据备份
应定期备份重要数据,包括数据库、文件等,以防止数据丢失和损 坏。
数据恢复
应具备快速恢复数据的能力,确保在发生故障或攻击时能够及时恢 复数据。
CHAPTER 05
测评工具和技术
测评工具介绍
工具名称: 等级保护测评工具
可度量性:该技术可以为每个评估项目提供具体的数值 ,方便进行比较和分析。
CHAPTER 06
总结与展望
项目总结
测评范围
明确测评的范围和内容,包括被测评单位的基本情况、测评的时 间和地点等。
测评方法
采用了多种方法和技术进行测评,包括问卷调查、实地考察、数据 分析和专家评估等。
测评结果
根据测评数据和信息,对被测评单位的等级保护工作进行了综合评 估,并给出了相应的等级和建议。
等级保护测评项目测评 方案
汇报人:
2023-12-01
CONTENTS 目录
• 项目背景 • 测评方案 • 测评流程 • 测评标准 • 测评工具和技术 • 总结与展望
CHAPTER 01
项目背景
测评目标
确定信息系统安全等 级保护符合度
指导安全防护措施的 优化和升级
发现信息系统安全隐 患和薄弱环节
现场勘查
勘查受测单位网络拓扑结构
核实网络设备的型号、配置参数、连接关系等信息。
勘查受测单位主机设备
核实操作系统、应用程序、数据库、中间件等信息。
勘查受测单位安全设施
包括视频监控、门禁系统、入侵检测系统等安全设施。
数据处理
01
数据清洗
去除重复数据、错误数据等无用数 据。
信息系统等级保护测评工作方案
信息系统等级保护测评工作方案一、背景介绍随着信息技术的不断进步和广泛应用,信息系统的安全性问题日益凸显。
为了保障国家信息安全和网络安全,我国制定了信息系统等级保护测评制度。
信息系统等级保护测评工作方案旨在规范测评工作流程、确保测评准确性和可信度。
二、总体目标本测评工作方案的总体目标是评估信息系统的安全性,并按照国家信息系统等级保护测评标准对系统进行等级划分,形成相应的安全测评报告。
具体目标如下:1. 确定信息系统等级保护测评的范围和要求;2. 制定信息系统等级保护测评的工作流程和方法;3. 提供信息系统等级保护测评的技术指导和评估标准;4. 输出符合国家标准的安全测评报告。
三、测评范围和要求1. 测评范围:本测评工作方案适用于所有需要进行信息系统等级保护测评的单位和组织。
2. 测评要求:信息系统等级保护测评需遵循国家相关法律法规和政策,确保测评过程的合法性、准确性和可追溯性。
四、工作流程和方法1. 需求分析:根据测评对象的特点和需求,明确测评目标和评估要求。
2. 测评准备:制定测评计划,明确测评范围、时间、资源等,并组织准备相关测评资料。
3. 测评实施:按照国家信息系统等级保护测评标准,采用合适的测评方法对系统进行评估,包括红蓝对抗、代码审计、安全隐患扫描等。
4. 数据分析:对测评所得的数据进行分析和整理,形成测评报告。
5. 结果评定:根据测评结果和国家相关标准,对系统进行等级划分和评定。
6. 结果输出:输出符合国家标准的安全测评报告,并进行相关备案。
五、技术指导和评估标准为确保测评的科学性和准确性,本测评工作方案提供了相关技术指导和评估标准,包括但不限于以下内容:1. 信息系统安全性评估指南;2. 信息系统等级保护测评技术细则;3. 信息系统安全风险评估方法与实践。
六、安全测评报告1. 测评报告应包含以下内容:测评对象的基本情况、安全问题的分析和评估结果等。
2. 测评报告需按照国家相关标准进行格式化,确保报告的统一和可读性。
等保测评方案范文
等保测评方案范文等保测评方案是指根据国家等级保护基本要求和相关法规要求进行的网络安全测评工作方案。
通过对网络系统进行全面评估和测试,发现潜在的安全风险和漏洞,并提出相应的风险防范和改进措施,以确保网络系统的安全性和合规性。
一、等保测评方案的目标1.发现系统中的安全风险和漏洞,如信息泄露、权限不当、漏洞利用等;2.检查系统是否符合国家等级保护的基本要求和相关法规要求;3.评估系统的安全性和可靠性,发现可能导致系统崩溃或瘫痪的风险;4.提出相应的改进措施和建议,以提高系统的安全性和合规性。
二、等保测评方案的步骤1.准备阶段:确定测评的目标和范围,收集相关的系统和安全信息,建立评估团队和工作计划;2.信息搜集:通过对系统进行主动和被动的信息搜集,获取系统的架构、配置和运行状态等信息;3.风险评估:通过对搜集到的信息进行分析和评估,发现系统中的安全风险和漏洞;4.漏洞利用:利用发现的安全漏洞进行渗透攻击,验证漏洞的影响和利用难度;5.合规评估:检查系统是否符合国家等级保护的基本要求和相关法规要求;6.报告编写:将测评结果整理成报告,包括发现的安全风险和漏洞、系统的安全性和合规性评估结果,以及改进措施和建议;7.报告发布:将报告提交给系统管理者和相关部门,提供参考和改进依据;8.跟进改进:对报告中提出的改进措施和建议进行跟进和实施,提高系统的安全性和合规性。
三、等保测评方案的关键技术和方法1.漏洞扫描:通过使用自动化的工具对系统进行漏洞扫描,发现系统中存在的安全漏洞;2.渗透测试:通过模拟黑客攻击的方式,测试系统的安全性和可靠性,发现潜在的风险和漏洞;4.日志分析:对系统的日志进行分析,发现异常行为和潜在的安全风险;5.审计和监控:建立系统的审计和监控机制,及时发现和响应安全事件。
四、等保测评方案的注意事项1.尊重隐私权:在进行测评工作时,需尊重用户的隐私权,遵守相关法规和道德规范;2.安全合规:在测评过程中,需确保系统的安全性和合规性,不得给系统造成破坏或非法操作;3.风险评估:在报告中需要准确评估系统中的风险等级和影响程度,以便制定相应的改进措施;4.建议和改进:报告中的建议和改进措施应具体可行,能够帮助系统管理者提高系统的安全性和合规性;5.结果验证:对于报告中提出的漏洞和风险,需要对改进措施和建议进行验证,以确保安全问题得到解决。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX安全服务公司2018-2019 年XXX项目等级保护差距测评实施方案XXXXXXXX信息安全有限公司201X年X月目录1.1. 项目背景 .. 1.2.项目目标 1.3. 项目原则 1.4. 项目依据 1. 项目概述 目录 2. 测评实施内容 2.1.1. 测评范围 ..................... ......... 4 2.1.2.测评对象 ..................... (4)2.1.3.测评内容 ..................... ......... 4 2.1.4.测评对象 ..................... ......... 7 2.1.5.测评指标 .............................. 8 2.2. 测评流程 .......................... ....... 9 2.2.1.测评准备阶段 ................. ........... 10 2.2.2.方案编制阶段 ................. ........... 11 2.2.3.现场测评阶段 ................. ........... 11 2.2.4.分析与报告编制阶段 ...........2.3. 测评方法 .......................... ....... 13 2.3.1.工具测试 ..................... ......... 13 2.3.2.配置检查 ..................... ......... 14 2.3.3.人员访谈 ..................... ......... 14 2.3.4.文档审查 ..................... ......... 15 2.3.5.实地查看 .............................. 15 2.4. 测评工具 ............................... 16 2.5. 输出文档 ....................... ........ 17 2.5.1等级保护测评差距报告 ......... 2.5.2.等级测评报告 .................2.1. 测评分析 413 错误! 错误! 安全整改建议2.5.3.未定义书签。
未定义书签。
错误! 未定义书签。
4. 人员安排 (18)4.1. 组织结构及分工 (18)4.2. 人员配置表 (19)4.3. 工作配合 (20)5. 其他相关事项 (21)5.1. 风险规避 (21)5.2. 项目信息管理 (23)5.2.1. 保密责任法律保证 (23)5.2.2. 现场安全保密管理 (23)5.2.3. 文档安全保密管理 (24)5.2.4. 离场安全保密管理 (24)5.2.5. 其他情况说明 (24)1. 项目概述1.1. 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,2015年XXXXXXXXXXXXXXXXX要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求,对XXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为xxxxxxxxxxxxxxxXX供驻点咨询、实施等服务。
(安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高xxxxxxxxxxxxxxxXX络与信息系统的安全保障与运维能力。
1.2. 项目目标全面完成XXXXXXXXXXXXXXXXX有六个信息系统的信息安全测评与评估工作和协助整改工作,并且为XXXXXXXXXXXXXXX提供驻点咨询、实施等服务,按照国家和xxxxxxxxxxxxxxxXX 有关要求,对xxxxxxxxxxxxxxxXX网络架构进行业务影响分析及网络安全管理工作进行梳理,提高xxxxxxxxxxxxxxxXX个网络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建xxxxxxxxxxxxxxxXX息系统的整体信息安全架构,确保全局信息系统高效稳定运行,并满足xxxxxxxxxxxxxxxXX出勺基本要求,及时提供咨询等服务。
1.3. 项目原则项目的方案设计与实施应满足以下原则:符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。
标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。
1.4. 项目依据信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:计算机信息系统安全保护等级划分准则》- GB17859-1999《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护定级指南》( GB/T 222402008)《信息安全技术信息系统安全等级保护基本要求》( GB/T 222392008)计算机信息系统安全保护等级划分准则》( GB17859-1999)信息安全技术信息系统通用安全技术要求》( GB/T20271-2006)信息安全技术网络基础安全技术要求》( GB/T20270-2006)信息安全技术操作系统安全技术要求》( GB/T20272-2006) 《信息安全技术数据库管理系统安全技术要求》( GB/T20273-2006)《信息安全技术服务器技术要求》( GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》( GA/T671- 2006)信息安全风险评估规范》( GB/T 20984-2007 )2. 测评实施内容层次 安全 授术主机安全 应用安全 数据安全 安全管理制度 安全管理机构 爭呆卫要求等保三级要求人员安全管理 系统建设管理 系统运维管理等保三级聲求 等保三级要求等保二级要求 等保二级要求 等保二级要求2.1.4. 测评内容2.1. 测评分析2.1.1. 测评范围本项目范围为对XXXXXXXXXXXXXXXXX 定级信息系统的等级保护测评。
2.1.2. 测评对象本次测评对象为xxxxxxxxxxxxxxxXX 息系统,具体如下: 序号信息系统名称级别1 XXXXXXXX 信息系统 三级2 XXXXXXXX 信息系统 三级3 XXXXXXXX 信息系统 三级4 XXXXXXXX 信息系统 三级5 XXXXXXXX 信息系统 二级 6XXXXXXXX 信息系统二级2.1.3. 测评架构图本次测评结合xxxxxxxxxxxxxxxXX 统的信息管理特点,进行不同层次的 测评工作,如下表所示:测评范圉 物理安全 网络安全等保二级萝求 等保二^要求等保三级要求 等保三级要去本项目主要分为两步开展实施。
第一步,对XXXXXXXXXXXXXXXX六XX言息系统进行定级和备案工作。
第二步,对XXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评和验收测评。
差距测评主要针对XXXXXXXXXXXXXXXX^定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。
最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXX^定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
具体见下图:安全控制测评安全u术测评物理宾全主机安全网络安全应用安全数据安全安全管理测评安全管理机构■安全管理制度人员宝全管理丢统建设管理系统运整体架构/局部架构信息系统等级保护测评系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。
在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。
不同信息系统间整体安全性综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。