青少年编程技术等级评测标准(V2.0)

中国国际科技促进会青少年人工智能教育普及工作委员会 青少年编程技术等级评测标准（V2.0）

中国国际科技促进会青少年人工智能教育普及工作委员会 青少年编程研究课题组、青少年编程评测中心

2018年8月

青少年编程：一级标准

（图形化编程）

能力要求：

1、基本了解scratch、blockly等图形化编程平台，包含程序操作区域功能理解、节点链接规范，按钮含义理解，养成规范操作的习惯。

2、完成有趣的对话编程，学习对话课程相关模块的英语单词，会使用学习模块利用素材完成微创新。

3、学习造型切换和改变或者场景切换，通过调整画面的时间间隔，控制切换速度。

4、最终通过学习掌握基本的积木命令，学会从积木命令到函数的应用，形成简单的编程逻辑思维，从而达到编程启蒙的目的。

青少年编程：二级标准

（图形化编程）

1、进一步学习角色移动，将造型切换和角色移动综合起来，结合对话，丰富场景的效果。

2、通过声音模块，介绍scratch（或其它软件）内置的各种乐器的声音，让学生对声音、程序、界面这样的元素连接起来，形成这种思维连接。

青少年编程：三级标准

（图形化编程与人工智能硬件的结合、应用）

编程能力要求

1、理解函数、循环和条件语句的结合应用，引导并建立逻辑结构意识。

2、学习侦测模块，用鼠标控制角色或者角色与另一个物体或角色碰撞产生特效等。

3、逻辑判断：根据程序实现的最终目的，结合函数、循环、条件、逻辑运算的综合应用，构建高效且简化的逻辑思路。

编程与硬件结合的应用能力

1、了解控制的基本概念；

2、了解直流电机的启动、停止的基本使用方法；

3、了解图形化编程软件和硬件之间的关系；

4、了解串口通信、程序编写、程序下载；

（图形化编程与人工智能硬件的结合、应用）

编程能力要求

1、构建学习加减法的场景和故事情节，学习三个数的加减法及加减混合运算。

2、使用内置的画板，发挥想象自己动手制作素材。

3、数据结构与算法：全面了解数据结构及相关算法的知识，获得系统编程思维。了解随机数等相关知识。

编程与硬件结合的应用能力

1、了解舵机的使用方法：

2、了解数字量、模拟量；

3、了解LED、按键、开关等10类传感器模块的使用；

4、了解传感器的分类、功能、输出类型等分类方式；

5、了解直流电机和舵机开环使用方法；

6、了解电机转速和电压之间的关系；

7、掌握数字量输出和输入控制；

8、掌握模拟量输入输出控制；

（图形化编程与人工智能硬件的结合、应用）

编程能力要求

1、了解消息的广播机制，通过其完成角色之间的交流，并同步各个角色之间的行为。

2、使用广播机制实现过程，学会新建功能块及结构化程序设计。

3、区分克隆和复制的区别，学习克隆的基本知识并简单应用。

4、学习数组结构功能，利用学习过的知识进行程序设计，及实例化操作，提升实际解决问题的能力。

编程与硬件结合的应用能力

1、了解I/O类传感器的基本原理和使用方法；（开关、按键、红外开关、声音）

2、了解A/D类传感器的基本原理和使用方法：（温度、湿度、红外、光照、红外测距、音量）

3、了解其他类传感器的基本原理和使用方法；（超声波、颜色传感器、PM2.5传感器、红外遥控器）

（图形化编程与人工智能硬件的结合、应用）

编程能力要求

1、了解scratch支持的数据类型，数据类型的转换以及如何创建并使用变量保存数据。

2、能够灵活使用变量，获取用户输入并与之交互；

3、事件处理：学习复杂程序分析处理，从而培养分析和解决复杂逻辑问题，可独立完成简单游戏作品。

编程与硬件结合的应用能力

1、了解显示和交互类模块的基本原理和使用方法；（LED、数码管、点阵屏、麦克风、继电器

2、了解电机编码器测速原理及使用方法，大功率电机驱动原理一级电机闭环控制原理

3、熟练掌握电机的开闭环控制

4、能够设计较为综合的场景；能够独立实现较为复杂的项目搭建和编程，并以此为载体实现人工智能在场景中的应用，打造物联网、智联网的模型，比如：具备一定智能的报警器、台灯、垃圾桶、扫地机器人等。

（代码编程与人工智能硬件的结合、应用）

编程能力要求

1、掌握辗转相除法的使用；

2、了解数学中的区间表示法：

3、了解程序中的递归等简单算法：

4、能够使用代码编程实现鸡兔同笼等算法：

5、学会用函数的思想去解决大量重复性的操作：

6、理解误差的概念，并用数据分析的发放发现规律：

7、误差分析的方法：

8、数据统计及分析方法：

编程与硬件结合的应用能力

1、初步了解串行通信的基本概念；

2、初步了解OLED、LCD显示屏的使用及基本原理；

3、了解多传感器的综合应用；

4、了解小车的避障控制、巡线控制等方法；

5、了解小车的测试和自适应调整过程；

6、通过遥控器控制轮式机器人、水中机器人和飞行机器人。

（代码编程与人工智能硬件的结合、应用）

编程能力要求

1、了解变量的作用范围；

2、能够用代码编写冒泡法、插入排序、合并排序、快速排序、顺序查找、二分法等基本算法；

3、了解算法的时间复杂度和空间复杂度。

编程与硬件结合的应用能力

通过编程对移动机器人进行自主控制，完成复杂任务；能够搭建复杂的移动机器人，使用不同复杂环境；熟悉传感器的综合应用；根据任务完成结构进行分析，并对设计提出改进。

1、熟练掌握一种3D设计软件；

2、尝试用3D打印技术实现较为简单的结构设计。

（代码编程与人工智能硬件的结合、应用）

编程能力要求

能够对给定的任务进行分析，提出多种设计方案，并择优选择最佳设计方案，能够利用人脸识别、语音识别等人工智能技术解决生活中的问题，将通用的算法应用到不同任务中；具备代码编程（C++、Python等）等实现算法的能力。

1、了解人工智能的行业应用；

2、了解几种人工智能的框架平台；

3、了解深度学习算法的基本原理；

4、了解图像识别、语音设备、自动驾驶等基本原理；

5、掌握栈、队列、排序算法等数据结构；

6、了解结构化程序设计的基本理念；

7、熟练掌握一种代码编程（C++、Python）；

编程与硬件结合的应用能力

1、能够使用激光切割机，并切割图形进行搭建；

2、能够根据任务设计适合的机械工程图；

中国国际科技促进会

青少年人工智能教育普及工作委员会

青少年编程研究课题组、青少年编程评测中心

2018年8月

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。 10、配置如下两条访问控制列表：

安全测试考试题目(全)

软件安全性测试培训考试试卷 部门：姓名： 一、单选题（30分，每题2分） 1、信息安全系统安全保护等级分为（ C ）。 A、3级 B、4级 C、5级 D、6级 2、从信息安全发展角度，目前主要是确保什么安全（ D ）。 A、通信 B、计算机 C、人 D、信息和信息系统资产 3、防火墙的原则是什么（ B ）。 A、防攻击能力好 B、一切未被允许的就是禁止的！ C、一切未被禁止的都是允许的！ D、是否漏电 4、IDS和IPS的部署模式是（ D ）。 A、都是旁路模式 B、都是在线模式 C、IDS在线模式、IPS旁路模式 D、IDS旁路模式、IPS在线模式 5、VPN是什么（ D ）。 A、安全设备 B、防病毒软件 C、安全测试软件

D、虚拟专用网络 6、下列哪个不是常见的安全设计问题（A ）。 A、数据库表太多 B、密码技术使用的败笔 C、创建自己的密码技术 D、错误的处理私密信息 7、下面哪个不是VPN分类包括的（ A ）。 A、主机对远程用户 B、主机对VPN 网关 C、VPN网关对VPN 网关 D、远程用户对VPN 网关 8、动态测试方法不包括（ D ）。 A、手动分析技术 B、安全扫描 C、渗透测试 D、用户测试 9、最新的WEB系统版本是（ D ）。 A、 B、 C、 D、 10、渗透测试模拟什么角色进行（ A ）。 A、模拟黑客 B、模拟用户 C、模拟系统管理员 D、模拟开发 11、信息系统安全问题产生的外因是什么（ B ）。 A、过程复杂 B、对手的威胁与破坏

C、结构复杂 D、使用复杂 12、关于测试的思想转变，描述正确的是（ A ）。 A、所有系统不允许的事件都去想办法允许。 B、所有系统允许的事件都去想办法不允许。 C、根据用户指定内容进行测试。 D、根据开发人员指定内容进行测试。 13、以下不属于安全测试的辅助工具的是（ D ）。 A、wireshark B、APPSCAN C、Zenmap D、QTP 14、下列哪种不属于WEB系统文件上传功能安全隐患（D）。 A、未限制扩展名 B、未检查文件内容 C、未查杀病毒文件 D、未检查文件大小 15、以下哪种说法是对的（ B ）。 A、关系数据库不需要进行安全测试。 B、通过软件安全测试能够降低安全隐患。 C、通过软件安全测试能够杜绝安全隐患。

等级保护测评题型及考题

1.cisco的配置通过什么协议备份： A.ftp B.tftp C.telnet D.ssh 2.交换机收到未知源地址的帧时： A.广播所有相连的设备 B.丢弃 C.修改源地址转发 D..... 3.功能测试不能实现以下哪个功能： A.漏洞 B.补丁 C.口令策略 D.全网访问控制策略 4.等保3级别中，而已代码应该在___进行检测和清除 A.内网 B.网络边界 C.主机 D..... 5.____是作为抵抗外部人员攻击的最后防线 A.主机安全 B.网络安全 C... D... 6.按照等保要求，第几级开始增加“抗抵赖性”要求： A.一 B.二 C.三 D.四 7.哪项不是开展主机工具测试所必须了解的信息： A.操作系统 B.应用 C.ip D.物理位置 8.查询sql server中是否存在弱口令的sql语句是： A.select name from xx_logins where password is null B.... C..... D.... 9.Oracle查看是否开启审计功能的sql语句是： 10.linux查看目录权限的命令： A. ls -a B.ls -l C. dir -a D. dir -l 不定项： 1.应用的审计日志应包括： A.日期 B.时间 C.时间描述 D.事件结果 E... 2.鉴别信息描述正确的是：

A.鉴别信息就是用户名 B.鉴别信息时明文的 C.鉴别信息时加密的 D.xxx 3.鉴别信息一般包括： A.知道什么 B.具有什么 C.第三方信息 D... 4.以下哪些可以用来对oracle数据库进行配置管理： A.sqlplus B.手工修改实例名_init.ora C... D... 5.按照等保3级要求，应实现对网络上html,_______,pop3,smtp等协议命名级控制 A.ftp B.TELNET C.ssh D.tftp 6.一段cisco的命令信息，结合日志输出，给出4个选项的描述判定 判断题： 1.按三级要求，应对非法接入客户端进行检查、定位。 2.按三级要求，并对重要数据、鉴别信息等实现存储保密性。 3.sybase数据库中，未启用xxx则不具备审计功能 4.oracle数据库不能对密码进行复杂度进行设置 5.windows 的power users组具有对事件日志的删除权限 6. 给主机动态分配IP的协议是ARP协议 简答题： 1.给出一张检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议 2.回答工具测试接入点的原则，及注意事项 3.回答你对安全审计的理解，并结合实际案例说明安全审计的部署（必要时可画图）

信息安全等级保护测评机构评优标准(试行)

附件2： 信息安全等级保护测评机构评优标准 （试行） 一、编制目的 本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。 二、指标设定 对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。 三、各项指标打分标准 指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。 各项指标的打分标准如下： （1）系统测评数量打分标准 根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。 测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据 （2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人， 得3分。 C.测评师人数16-20人且中、高级人员不少于5人， 得5分。 D.测评师人数21-25人且中、高级人员不少于7人， 得6分。 E.测评师人数26-30人且中高、级人员不少于9人， 得7分。 F.测评师人数31-35人且中高、级人员不少于11人， 得8分。 G.测评师人数36-40人且中高、级人员不少于13人， 得9分。 H.测评师人数40人以上且中高、级人员不少于15人， 得10分。 备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。 （3）工具配备打分标准 A.机构具备安全问题发现类工具： 漏洞扫描工具（网络和主机）—1分

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

信息系统等级保护测评指标(二级与三级)

实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建（G2）筑内 物理访问控制机房出入口应安排专人值守，控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程，并限制和监 （G2） 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定，并设置明显的不易除去的标防盗窃和防破坏记 （G2）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中 应对介质分类标识，存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击（G2） 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火（G2）机房应设置灭火设备和火灾自动报警系统。 水管安装，不得穿过机房屋顶和活动地板下 防水和防潮（G2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电（G2）关键设备应采用必要的接地防静电措施 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应（A2）应提供短期的备用电力供应，至少满足关键设备在断电情况 下的正常运行要求 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间，满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全（G2）应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素，划分不同的子网或网段，并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备，启用访问控制功能 访问控制（G2）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年

目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全 建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案

《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名：分数： 一、填空题（每空3分，共30分） 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ （有或没有）作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择（每题5分，共30分） 1.三级测评通用要求机房出入口应__________。 A．安排专人值守B．放置灭火器

C．安装玻璃门D．配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要 求设置__________。 A．照明灯具B．过压保护器 C．防雷保安器D．空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A．动态口令B．数字证书 C．生物技术D．设备指纹 4.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。A．端口级B．用户级 C．进程级D．应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容，三级测评通用要求安全管理中心内容包括__________。 A．系统管理B．审计管理 C．安全管理D．集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A．身份认证B．访问控制 C．数据D．以上都不是

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

信息系统安全等级保护测评及服务要求

成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级 正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案：B

叮叮小文库 7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全 等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部 正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提 出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造 成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定 义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保 护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整 改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0 分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案：C

信息安全等级保护培训考试试题集

信息安全等级保护培训 考试试题集 Document number：NOCG-YUNOO-BUYTT-UU986-1986UT

信息安全等级保护培训试题集 一、法律法规 一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失 4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上 C．四级以上 D．五级以上 7．安全测评报告由（D）报地级以上市公安机关公共信息网络安全监察部门。 A．安全服务机构 B．县级公安机关公共信息网络安全监察部门

信息安全等级保护培训考试试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。．公安机关A．国家保密工作部门B．国家密码管理部门C2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。．公安机关A．国家保密工作部门B．国家密码管理部门C．信息系统的主管部门D3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、(B)_______法人和其他组织的合法权益的等因素确定。经济损失．经济价值A． 危害程度．重要程度 B危害程度．经济价值 C经济损失．重要程度 D4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。．第一级A．第二级B．第三级C．第四级D）．一般来说，二级信息系统，适用于（D5A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。）的信息系统的运营使用单位应当选择符合国家规定的测A（．信息系统建设完成后，6．评机构进行测评合格方可投入使用。．二级以上A．三级以上B．四级以上C．五级以上D）报地级以上市公安机关公共信息网络安全监察部门。．安全测评报告由（D7．安全服务机构A．县级公安机关公共信息网络安全监察部门B．测评机构C．计算机信息系统运营、使用单位D8．新建（）信息系统，应当在投入运行后（），由其运营、使用单位到所在地设）D区的市级以上公安机关办理备案手续。（日内．第一级以上A30日内．第二级以上60B日内60C．第一级以上日内30D．第二级以上9．根据《广东省计算机信息系统安全保护条例》规定，计算机信息系统的运营、使用）D单位没有向地级市以上人民政府公安机关备案的，由公安机关处以（．警告A日15．拘留B． 元．罚款1500C．警告或者停机整顿D二、多选题1．根据《关于信息安全等级保护的实施意见》，信息系统安全等级保护应当遵循什么）ABCD原则？（．明确责任，共同保护A．依照标准，自行保护B．同步建设，动态调整C．指导监督，保护重点D2．根据《信息安全等级保护管理办法》，关于信息系统安全保护等级的划分，下列表。）述正确的是（ABCDEA．第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益B．第二级，信息系统受到破坏后，会对公民、法人和其他组织的

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。 第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。 测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。 省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录； （三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力； （四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

等级保护测评师初级技术考试

目录 等级保护政策和相关标准应用部分 (1) 网络安全测评部分 (3) 主机安全部分 (4) 应用测评部分 (6) 数据库 (7) 工具测试 (13) 等级保护政策和相关标准应用部分 《中华人民共和国计算机信息系统安全保护条例》国务院令 147号 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定 《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003] 27号 要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特色的信息安全标准体系 什么是等级保护工作 信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与，涉及技术与管理两个领域的复杂系统工程 等级保护制度的地位和作用 是国家信息安全保障工作的基本制度、基本国策 是促进信息化、维护国家信息安全的根本保障 是开展信息安全工作的基本方法，有效抓手 等级保护的主要目的 明确重点、突出重点、保护重点 优化信息安全资源的配置 明确信息安全责任 拖动信息安全产业发展 公安机关组织开展等级保护工作的依据 1.《警察法》规定：警察履行“监督管理计算机信息系统的安全保护工作”的职责 2.国务院令147号“公安部主管全国计算机信息系统安全保护工作”，“等级保护的具体办法，由公安部会同有关部门制定” 3.2008年国务院三定方案，公安部新增职能：“监督、检查、指导信息安全等级保护工作”机构 公安部网络安全保卫局

各省网络警察总队 地市网络警察支队 区县网络警察大队 部分职责 制定信息安全政策 打击网络违法犯罪 互联网安全管理 重要信息系统安全监督 网络与信息安全信息通报 国家信息安全职能部门职责分工 公安机关牵头部门，监督、检查、指导信息安全等级保护工作 国家保密部门负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护 国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导 工业和信息化部门：负责等级保护工作中部门间的协调 定级备案建设整改测评监督检查 《关于信息安全等级保护工作的实施意见》公通字[2004] 66号 《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》 《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》 《信息系统安全等级保护实施指南》简称《实施指南》 《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》 《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》 《信息系统安全等级保护测评要求》简称《测评要求》 《信息系统安全等级保护测评过程指南》简称《测评过程指南》 测评主要参照标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 等级保护工作中用到的主要标准 基础 17859 实施指南 定级环节 定级指南 整改建设环节 基本要求 等级测评环节 测评要求 测评过程指南 定级方法PPT61 确定定级对象 确定业务信息安全受到破坏时所侵害的客体 综合评定业务信息系统安全被破坏对客体的侵害程度