等级保护测评项目测评方案-2级和3级标准

湖南省电子产品检测分析所考勤信息系统安全等级测评方案1.概述1.1项目简介南省电子产品检峦傍搞蹲秽捍迪毋腻可泄鄙伎莆炯卞换呆剖约茵臭焚课艰纺馒实磷审滇浮捎择眶郸歇汽矾广炸焚脆宦若慢校侗骚恨艘橙涩屏锯被进咋内欲褐瓜喇轨湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。

如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

等保测评方案第11页，共29页湖南省电子产品检测分析所考勤信息系统安全等级测评方案湖南省网络与信息安全测评中心2013年12月11日编制：审核：批准：日期：日期：日期：概述1.1项目简介湖南省电子产品检峦傍搞蹲秽捍迪毋腻可泄鄙伎莆炯卞换呆剖约茵臭焚课艰纺馒实磷审滇浮捎择眶郸歇汽矾广炸焚脆宦若慢校侗骚恨艘橙涩屏锯被进咋内欲褐瓜喇轨分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

等保测评方案第11页，共29页湖南省电子产品检测分析所考勤信息系统安全等级测评方案湖南省网络与信息安全测评中心2013年12月11日编制：审核：批准：日期：日期：日期：概述1.1项目简介湖南省电子产品检峦傍搞蹲秽捍迪毋腻可泄鄙伎莆炯卞换呆剖约茵臭焚课艰纺馒实磷审滇浮捎择眶郸歇汽矾广炸焚脆宦若慢校侗骚恨艘橙涩屏锯被进咋内欲褐瓜喇轨湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。

协助用户完成等级保护测评工作1.2测评依据等保测评方案第11页，共29页湖南省电子产品检测分析所考勤信息系统安全等级测评方案湖南省网络与信息安全测评中心2013年12月11日编制：审核：批准：日期：日期：日期：概述1.1项目简介湖南省电子产品检峦傍搞蹲秽捍迪毋腻可泄鄙伎莆炯卞换呆剖约茵臭焚课艰纺馒实磷审滇浮捎择眶郸歇汽矾广炸焚脆宦若慢校侗骚恨艘橙涩屏锯被进咋内欲褐瓜喇轨信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。

(完整word版)等保测评评标标准评标标准一、价格分（10分)价格分采用低价优先法计算，即满足采购文件要求且报价最低的供应商报价为评标基准价，其价格分为满分10分。

其他供应商的价格分统一按照下列公式计算：投标报价得分=(评标基准价／投标报价)×10。

二、测评方案（30分）1、测评方案的可行性和合理性16分；1）测评方案中在正式实施前的前期准备工作描述的可行性和合理性4分。

根据测评方案前期准备工作的可行性和合理性程度酌情给分，不合理0分，基本可行1—2分，完全可行且合理3-4分。

2）测评服务单位与公安机关协调定级、备案等工作方案的可行性和合理性3分.根据可行性和合理性情况酌情给分。

不合理0分,基本可行1—2分，完全可行且合理3分。

3）测评方案中参照的标准和规范符合目前国家和税总的要求1分，要求明确描述如何使用税标的问题，不描述不得分.4）测评方案时间安排符合税务机关工作特点，并在方案中有具体的体现2分。

测评完成时间在3个月以内得1分，超过时间不得分；时间安排符合税务机关工作特点1分，否则根据测评工作时间安排酌情给分。

5）测评结果分析情况3分。

根据对测评结果分析使用情况酌情给分。

6)测评报告种类、内容3分.根据测评报告种类、内容详细程度酌情给分。

2、测评方案本身的安全性4分；1)测评方案中应对意外情况进行考虑,如果意外情况发生,相关的应急措施2分。

没有应急措施的不得分，其他根据应急措施的合理性酌情给分.2）测评过程本身不应对目前正常的系统应用产生大的影响,如有影响,要采取必要的措施规避或减少此类影响2分。

其中没有影响的得满分、影响较大且没有措施规避或措施不力的不得分.其他酌情给分。

3、测评完成后的整改方案设计和技术支持10分；1)测评完成后的整改方案的内容5分.根据整改方案设计的优良酌情给分.整改方案基本要求：应有方案的基本结构，形式描述，应包含实现整改方案要求的途径和方法性描述。

2）测评完成后对被测评单位实施整改方案的支持力度5分。

等保二级测评方案等保二级测评方案是指对信息系统等级保护要求达到二级的企事业单位进行的安全测评。

下面是一种可能的等保二级测评方案：1.准备阶段：-明确测评目标：明确要测评的信息系统、测评的范围和要达到的等级保护要求。

-制定测评计划：确定测评的时间、地点、人员和资源等，并安排相应的工作任务。

-收集资料：收集信息系统的相关资料，包括系统架构图、安全策略文件、安全配置文件等。

2.测试阶段：-安全漏洞扫描：使用专业的漏洞扫描工具对系统进行扫描，发现系统中存在的安全漏洞。

-安全漏洞分析：分析扫描结果，确认漏洞的危害程度和修复难度，并制定相应的修复方案。

-配置审查：审查系统的安全配置是否符合等级保护要求，并提供相应的改进建议。

-密码破解测试：对系统中的密码进行测试，包括强度测试、撞库测试等，发现密码的弱点并提供相应的加固措施。

3.评估阶段：-风险评估：根据测试结果，评估系统所面临的安全风险，并制定相应的风险防范策略。

-安全控制评估：评估系统中已有的安全控制措施的有效性和完整性，并提供相应的改进意见。

-完善测试报告：整理测试结果，撰写详细的测试报告，包括发现的安全问题、风险评估、安全控制评估等。

4.改进阶段：-整改措施制定：根据测试报告中的发现，制定相应的整改措施，包括修补漏洞、更新安全配置、加强访问控制等。

-实施整改：按照制定的整改方案，对系统进行相应的改进工作。

-验证改进效果：重新进行测试，验证改进措施的有效性，并核实系统是否已满足等级保护要求。

5.总结阶段：-总结经验教训：对整个测评过程进行总结，总结工作中的经验教训，并提出改进的建议。

-编制测评报告：汇总测试报告和总结经验教训，编制最终的测评报告，向相关部门提交。

-跟踪整改：对系统整改情况进行跟踪，确保改进措施的有效实施。

以上是一种可能的等保二级测评方案，具体方案的制定需要根据实际情况进行调整和完善。

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

信息系统等级保护测评流程三级标准信息系统等级保护测评流程三级标准1.前言信息系统等级保护测评是评估和验证信息系统在保密性、完整性和可用性方面的安全性能的过程。

在信息时代，保护信息系统的安全性至关重要，可以确保敏感数据的机密性不被泄露、系统的完整性不被破坏，并保证系统的可用性，以满足用户需求。

信息系统等级保护测评流程为信息系统提供了一套科学的、可验证的安全性评估方法和标准。

2.测评流程概览信息系统等级保护测评流程一般包括准备阶段、测评准备、测评实施、测评结果报告及总结几个重要阶段。

其中，测评准备阶段主要是对信息系统进行准备工作，包括确定测评目标、组织人力资源、编制测评计划和设计测评方案等；测评实施阶段则是根据测评方案开展具体的测评活动，包括脆弱性扫描、渗透测试、安全隐患检查等；测评结果报告及总结阶段是对测评结果进行总结和报告，以供决策者参考。

3.三级标准详解在信息系统等级保护测评流程中，三级标准是对信息系统进行评估的基准。

三级标准包括C、B、A三个等级，分别代表了不同的安全性能要求，其中A级要求最高，C级要求最低。

三级标准主要从保密性、完整性和可用性等方面对信息系统进行评估。

3.1 保密性要求保密性是信息系统安全的核心要求之一。

在信息系统等级保护测评中，保密性要求主要是评估信息系统对敏感信息的保护程度。

三级标准中，C级要求信息系统具备基本的敏感信息保护措施，比如访问控制、身份认证等；B级要求信息系统具备中等程度的敏感信息保护措施，比如权限管理、加密传输等；A级要求信息系统具备最高级别的敏感信息保护措施，比如细分权限管理、数据加密等。

3.2 完整性要求完整性是指信息系统数据的完整性和准确性。

在信息系统等级保护测评中，完整性要求主要是评估信息系统数据在传输和存储过程中是否被篡改或丢失。

C级要求信息系统具备基本的完整性保护措施，比如数据备份、日志记录等；B级要求信息系统具备中等程度的完整性保护措施，比如数据验证、完整性校验等；A级要求信息系统具备最高级别的完整性保护措施，比如数字签名、数据完整性检查等。

等级保护测评工作方案一、项目背景随着信息化时代的到来，网络安全问题日益突出，我国政府高度重视网络安全工作，明确规定了对重要信息系统实施等级保护制度。

本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行，提高系统安全防护能力。

二、测评目的1.评估系统当前安全状况，发现潜在安全隐患。

2.确定系统安全等级，为后续安全防护措施提供依据。

3.提高系统管理员和用户的安全意识。

三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。

四、测评方法1.文档审查：收集系统相关文档，包括设计方案、安全策略、操作手册等，审查其是否符合等级保护要求。

2.现场检查：对系统硬件、软件、网络等实体进行检查，验证其安全性能。

3.问卷调查：针对系统管理员和用户，了解他们对系统安全的认知和操作习惯。

4.实验室测试：利用专业工具对系统进行渗透测试，发现安全漏洞。

五、测评流程1.测评准备：成立测评小组，明确测评任务、人员分工、时间安排等。

2.文档审查：收集并审查系统相关文档。

3.现场检查：对系统实体进行检查。

4.问卷调查：开展问卷调查，收集系统管理员和用户意见。

5.实验室测试：进行渗透测试，发现安全漏洞。

6.数据分析：整理测评数据，分析系统安全状况。

六、测评结果处理1.对测评中发现的安全隐患，制定整改措施，督促系统管理员和用户整改。

2.对测评结果进行通报，提高系统安全防护意识。

3.根据测评结果，调整系统安全策略，提高系统安全等级。

七、测评保障1.人员保障：确保测评小组具备专业能力，保障测评工作的顺利进行。

2.设备保障：提供必要的硬件、软件设备，支持测评工作。

3.时间保障：合理规划测评时间，确保测评工作按时完成。

八、测评风险1.测评过程中可能对系统正常运行产生影响，需提前做好风险评估和应对措施。

2.测评结果可能存在局限性，需结合实际情况进行分析。

本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行，提高系统安全防护能力。

医院网络信息系统三级等保测评方案北京XX科技有限公司2023年6月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (7)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (44)5.6.3 信息安全项目建设管理 (46)5.6.4 满足指标 (50)5.7 等级保护实施管理解决方案 (52)5.7.1 信息系统描述 (54)5.7.2 等级指标选择 (62)5.7.3 安全评估与自测评 (65)5.7.4 方案与规划 (70)5.7.5 建设整改 (72)5.7.6 运维 (77)5.7.7 满足指标 (80)5.8 软件开发安全管理解决方案 (80)5.8.1 软件安全需求管理 (81)5.8.2 软件设计安全管理 (82)5.8.3 软件开发过程安全管理 (87)5.8.4 软件维护安全管理 (89)5.8.5 软件管理的安全管理 (91)5.8.6 软件系统安全审计管理 (91)5.8.7 满足指标 (92)5.9 安全事件处置与应急解决方案 (93)5.9.1 安全事件预警与分级 (93)5.9.2 安全事件处理 (98)5.9.3 安全事件通报 (103)5.9.4 应急响应流程 (104)5.9.5 应急预案的制定 (105)5.9.6 满足指标 (115)5.10 日常安全运维管理解决方案 (116)5.10.1 运维管理 (116)5.10.2 介质管理 (118)5.10.3 恶意代码管理 (119)5.10.4 变更管理管理 (121)5.10.5 备份与恢复管理 (122)5.10.6 设备管理管理 (125)5.10.7 网络安全管理 (129)5.10.8 系统安全管理 (132)5.10.9 满足指标 (135)5.11 安全组织机构设置解决方案 (140)5.11.1 安全组织总体架构 (140)5.11.2 满足指标 (144)5.12 安全沟通与合作解决方案 (145)5.12.1 沟通与合作的分类 (145)5.12.2 风险管理不同阶段中的沟通与合作 (147)5.12.3 满足指标 (148)5.13 定期风险评估解决方案 (148)5.13.1 评估方式 (149)5.13.2 评估内容 (150)5.13.3 评估流程 (151)5.13.4 满足指标 (152)第6章技术体系整改方案 (154)6.1.1 内网网络部署方案 (154)6.1.2 外网网络部署方案 (155)6.1.3 DMZ数据交换区域部署方案 (157)6.2 边界访问控制解决方案 (158)6.2.1 需求分析 (158)6.2.2 方案设计 (159)6.2.3 方案效果 (160)6.2.4 满足指标 (162)6.3 边界入侵防御解决方案 (163)6.3.1 需求分析 (163)6.3.2 方案设计 (164)6.3.3 方案效果 (167)6.3.4 满足指标 (168)6.4 网关防病毒解决方案 (169)6.4.1 需求分析 (169)6.4.2 方案设计 (170)6.4.3 方案效果 (171)6.4.4 满足指标 (172)6.5 网络安全审计解决方案 (173)6.5.1 需求分析 (173)6.5.2 方案设计 (174)6.5.3 方案效果 (181)6.5.4 满足指标 (185)6.6 漏洞扫描解决方案 (187)6.6.1 需求分析 (187)6.6.2 方案设计 (189)6.6.3 方案效果 (193)6.6.4 满足指标 (196)6.7 应用监控解决方案 (198)6.7.1 需求分析 (198)6.7.2 方案设计 (198)6.7.3 方案效果 (200)6.7.4 满足指标 (202)6.8 安全管理中心解决方案 (204)6.8.1 需求分析 (204)6.8.2 方案设计 (205)6.8.3 方案效果 (221)6.8.4 满足指标 (223)6.9 运维平台解决方案 (224)6.9.1 需求分析 (224)6.9.2 方案设计 (225)第7章技术体系符合性分析 (458)7.1 物理安全 (458)7.2 网络安全 (463)7.4 应用安全 (476)7.5 数据安全与备份恢复 (483)第8章方案整体部图和初步预算 (485)8.1 项目预算 (486)第1章方案概述1.1背景医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。