网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法

第一章总则

第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。

第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。

测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。

第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。

第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。

第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。

第二章测评机构申请

第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。

国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。

省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。

第七条申请单位应具备以下基本条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;

（二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录；

（三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；

（四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有网络安全相关工作经历的技术和管理人员不少于15人，专职渗透测试人员不少于2人，岗位职责清晰，且人员相对稳定；

（六）具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；

（八）不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；

（九）应具备的其他条件。

第八条申请时，申请单位应向等保办提交以下材料：

（一）网络安全等级保护测评机构推荐申请表；

（二）近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明；

（三）检测评估工作所需实验环境及测评工具、设备设施情况；

（四）有关管理制度情况；

（五）申请单位及其测评人员基本情况；

（六）应提交的其他材料。

第九条等保办收到申请材料后，应在10个工作日内组织初审。对符合本办法第七条规定的申请单位，应委托测评联盟对其开展测评能力评估。

测评联盟组织专家，根据标准规范对申请单位开展能力评估，出具测评能力评估报告，并及时将能力评估情况反馈等保办。

能力评估不达标的，等保办应告知申请单位初审未通过。

第十条初审通过的申请单位，应组织本单位人员参加测评师培训。考试合格的，取得测评师证书。

测评师分为初级、中级和高级。申请单位应至少有15人获得测评师证书，其中高级测评师不少于1人，中级测评师不少于5人。

第十一条等保办组织专家对人员培训符合要求的申请单位进行复核。复核通过的，颁发《网络安全等级保护测评机构推荐证书》。

第十二条测评机构实行目录管理，国家等保办编制《全国网络安全等级保护测评机构推荐目录》，并在中国网络安全等级保护网网站发布并及时更新。

省级等保办应及时将本地测评机构推荐情况报国家等保办。

第十三条省级等保办每年年底根据测评工作需求制定下一年度测评机构推荐计划，并报国家等保办审定。

省级以上等保办受理测评机构申请的时间为每年三月份。

第十四条测评联盟应组织专家对新推荐测评机构的首个测评项目实施情况进行跟踪评议，并将结果及时报等保办。等保办组织进行综合审查。

第三章测评机构和测评人员管理

第十五条测评机构应与被测评单位签署测评服务协议，依据有关标准规范开展测评业务，防范测评风险，客观准确地反映被测评对象的安全保护状况。

测评机构应按照统一模板出具网络安全等级测评报告，并针对被测评网络分别出具等级测评报告。

对第三级以上网络提供等级测评服务的，测评师人数不得少于4名，其中高级测评师、中级测评师应各不少于1名。

第十六条测评机构应当指定专人管理测评专用章，制定管理规范，不得滥用。

出具等级测评报告时，测评机构应加盖等级测评专用章。未加盖专用章的报告，视为无效。

第十七条测评师上岗前，测评机构应组织岗前培训；培训合格的，由测评机构配发上岗证，上岗证发放情况应于发放后5个工作日报等保办。测评机构应当对测评师开展等级测评业务情况进行考核，并留存相关记录。

未取得测评师证书和上岗证的，不得参与等级测评项

目。测评师一年内未参与测评活动的，测评联盟应注销其证书。

测评师实行年度注册管理。年审时，测评机构应将本机构测评师情况报等保办注册。测评机构不得采取挂靠或者聘用兼职测评师开展测评业务。

第十八条测评机构应采取管理和技术措施保护测评活动中相关数据和信息的安全，不得泄露在测评服务中知悉的商业秘密、重要敏感信息和个人信息；未经等保办同意，不得擅自发布、披露在测评服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击等信息。

第十九条测评机构提供测评服务不受地域、行业、领域的限制。测评项目采取登记管理。测评机构在实施测评项目之前，须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统（以下简称“项目管理系统”）。

测评机构应于测评项目合同签订后或测评活动实施前5个工作日内，通过项目管理系统填报测评项目基本情况，不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的，应及时修改并说明理由。

第二十条省级以上等保办对测评机构填报的信息应在5个工作日内进行审核确认。逾期未审核确认的，项目管理系统默认审核通过。测评项目填报登记和审核确认的具体要求，参见《项目管理系统填报指南》。

第二十一条省级以上等保办在审核确认测评项目登记信息时，发现测评机构具有下列情形之一的，应不予审核通过。

（一）处于暂停测评业务期间；

（二）因违规被通报后，未反馈整改情况的；

（三）其他不符合本办法规定情形的。

第二十二条属于异地测评项目的，测评机构应从项目管理系统中生成测评项目基本情况表，并于测评项目实施前报送或传至被测评网络备案公安机关。

第二十三条测评机构名称、地址、测评人员、主要负责人和联系人发生变更的，测评机构应在变更后5个工作日内向等保办报告，并提交变更材料。

测评机构法人、股权结构发生变更或其他重大事项发生变更的，等保办应组织重新进行推荐审查并出具审查意见。测评机构不得假借变更名义转让推荐证书。

第二十四条测评机构应加强对测评人员的监督管理，定期组织开展安全保密教育和测评业务培训，签订安全保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第二十五条测评机构应组织测评师参加多种形式的测评业务和技术培训，测评师每年培训时长累计不少于40学时。培训时长不足的，不予年度注册。

测评联盟确定测评业务和技术培训科目，发布年度测评培训纲要。

第二十六条测评师离职前，测评机构应与其签订离职保密承诺书，收回上岗证并及时向等保办报备。

自离职之日起超过6个月再入职测评机构的测评师，应通过测评师考试后从事测评活动；自离职之日起一年内未入职测评机构从事测评活动的，测评联盟应注销其测评师证书。

第二十七条测评机构应监督测评师妥善保管测评师证书、上岗证，不得涂改、出借、出租和转让。

第二十八条测评机构应当建立网络安全应急处置机制和纠纷处理机制，防范测评风险，妥善处理纠纷。

第二十九条测评项目完成后，测评机构应请被测评单位对测评服务情况进行评价，评价情况表由被测单位密封后反馈测评机构，留存备查。

第三十条测评机构应每季度向等保办报送测评业务开展情况和测评数据。根据测评实践，测评机构每年底编制并向等保办报送网络安全状况分析报告。

测评机构在测评活动中，发现重大网络安全事件、重大网络安全风险隐患、高危漏洞和重大网络安全威胁时，应及时报告公安机关。

第三十一条国家等保办每年第四季度组织开展测评机

构能力验证活动，并将能力验证结果通报各省级等保办。

未参加能力验证的测评机构，视为能力验证未通过。

第三十二条等保办应于每年12月份对所推荐测评机构进行年审。

年审通过的，等保办在推荐证书副本上加盖等级保护专用章或等保办印章，发放测评师注册标识。

年审时，测评机构应当提交以下材料：

（一）网络安全等级保护测评机构年审表；

（二）网络安全等级保护测评机构推荐证书副本；

（三）年度测评工作总结；

（四）测评师年度注册表；

（五）其他所需材料。

第三十三条测评机构有下列情形之一的，年审不予通过。

（一）未及时、准确地填报测评项目信息；

（二）测评师培训时长不足；

（三）未定期报送测评业务开展情况和测评数据；

（四）能力验证未通过且整改方案落实不到位；

（五）其他有关情形。

年审未通过的，等保办责令测评机构限期整改。拒不整改或整改不符合要求的，应暂停测评机构开展等级测评业务。

第三十四条测评机构推荐证书有效期为三年。测评机构应在推荐证书期满前30日内，向等保办申请期满复审。

等保办应于收到期满复审申请后5个工作日内，组织开展复审工作。复审通过的测评机构，由等保办换发新证。省级等保办应及时将测评机构期满复审情况报国家等保办汇总。

期满复审时，测评机构应提交以下材料：

（一）测评机构期满复审申请表；

（二）年审情况；

（三）其他需要提供的有关材料。

第三十五条测评机构有下列情形之一的，期满复审不予通过。

（一）累计两年年审未通过或三年能力验证未通过的；

（二）基本条件不符合的；

（三）违反本办法有关规定且情形特别严重的；

（四）逾期30日未提交期满复审申请的。

期满复审未通过的，等保办应公告宣布取消其推荐证书。

第四章监督管理

第三十六条省级以上等保办对测评机构和测评业务开

展情况进行监督、检查、指导。

国家等保办每年组织对测评机构及测评活动开展监督抽查。

测评项目实施过程中，测评机构应接受被测网络备案公安机关的监督、检查和指导。

第三十七条等保办开展监督检查时，重点检查以下内容：

（一）测评机构基本条件符合情况；

（二）测评机构管理制度执行情况；

（三）测评机构相关事项变更报告、审查情况；

（四）测评师管理、行为规范情况；

（五）测评项目实施情况；

（六）测评服务评价情况；

（七）测评报告及相关数据文档管理情况；

（八）其他需监督检查的事项。

第三十八条等保办、被测网络备案公安机关在监督检查时，发现异地测评机构有违反本办法规定情形的，应书面通报该机构推荐等保办。

等保办在收到通报后，应及时组织进行核查处置并反馈，同时将有关情况报国家等保办。

第三十九条等保办应及时将测评数据、测评机构及其测评师情况、年审和期满复审情况、监督检查情况等相关数

据录入数据库。

第四十条国家等保办每年对全国测评机构开展年度评定活动，评定结果及时发布。

第四十一条任何组织和个人有权向省级以上等保办、测评联盟投诉举报测评机构和测评人员违法违规行为。

第四十二条测评机构违反本办法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十条规定，等保办应责令其限期整改；拒不整改或情形严重的，约谈测评机构法人和主要负责人；屡次违反上述规定或情形特别严重的，责令其暂停测评业务，并予通报。

第四十三条测评机构有下列情形之一的，等保办责令其限期整改；情形严重的，责令整改期间暂停测评业务，并予通报。

（一）未按照有关标准规范开展测评，或未按规定出具测评报告的；

（二）分包、转包、代理测评项目，或恶意竞争，扰乱测评工作正常开展的；

（三）擅自简化测评工作环节，或未按测评流程要求开展测评工作的；

（四）监督检查或抽查中发现问题突出的；

（五）影响被测评网络正常运行，或因测评不到位，未

发现网络中存在相关漏洞隐患，导致被测评网络发生重大网络安全事件的；

（六）非授权占有、使用，以及未妥善保管等级测评相关资料及数据文件的；

（七）限定被测评单位购买、使用指定网络安全产品，或与产品和服务商存在利益勾结行为的；

（八）非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的；

（九）未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的；

（十）未按本办法规定向等保办提交材料或弄虚作假的；

（十一）其他违反本办法有关规定行为的。

第四十四条测评机构有下列情形之一的，等保办应取消其推荐证书，并向社会公告，三年内不得再次申请。

（一）运营管理不规范，屡次被责令整改，严重影响测评服务质量的；

（二）因单位股权、人员等情况发生变动，不符合测评机构基本条件的；

（三）有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为；与产品提供商、服务商或被测评方存在利益勾结，扰乱测评业务正常开展的；

（四）泄露被测评单位工作秘密、重要数据信息的；

（五）隐瞒测评过程中发现的重大安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；

（六）一年内未开展测评业务（被暂停开展测评业务的情况除外）或自愿放弃测评机构推荐资格的；

（七）连续两年年审未通过或未通过期满复审的；

（八）测评实施期间，导致被测评网络发生宕机等严重网络安全事件的；

（九）有第四十二条、第四十三条情形，造成特别严重后果或影响特别恶劣的；

（十）其他违反法律法规或严重违反本办法规定情形的。

第四十五条测评师有下列行为之一的，等保办责令测评机构督促其限期改正；情节严重的，责令测评机构暂停其参与测评业务；情形特别严重的，应注销其测评师证书，责令其所在测评机构进行限期整改。

（一）未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的；

（二）违反本办法规定，有涂改、出借、出租和转让测评师证书、上岗证等行为的；

（三）测评行为失误或不当，严重影响网络安全或造成被测评单位利益重大损失的；

（四）其他违反本办法有关规定行为的。

第四十六条测评机构及其测评师违反本办法的相关规定，给网络运营者造成严重危害和损失，构成违法犯罪的，由相关部门依照有关法律、法规予以处理。

第四十七条公安机关有关工作人员在工作中不得利用职权索取、收受贿赂；不得滥用职权、干预测评机构及测评业务正常开展，以及法律法规禁止的其他行为。

第四十八条本办法自发布之日起实施。本办法由国家等保办负责解释。

第四十九条自本办法实施之日起，《信息安全等级保护测评机构管理办法》、《信息安全等级保护测评机构异地备案实施细则》、各地自行制定的与本办法规定不符的规范性文件一律作废。

第五十条本办法所称“以上”含本数。

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

信息安全等级保护测评体系建设与测评工作规范性文件.

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (12) 7质量管理能力 (14) 8规范性保证能力 (15) 9风险控制能力 (20) 10可持续性发展能力 (20) 11测评机构能力约束性要求 (21)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全 B.便捷完整性检查 C.剩余信息保护 D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。

如何做网络安全等级保护

一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布，信息安全建设已经逐渐提升到国家安全战略的层面，后期哪个单位未落实等级保护制度，一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢？ （一）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； （二）金融行业：金融监管机构、各大银行、证券、保险公司等； （三）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等； （四）能源行业：电力公司、石油公司、烟草公司； （五）企业单位：大中型企业、央企、上市公司等； （六）其它有信息系统定级需求的行业与单位。

网络安全等级保护管理制度模板

网络安全等级保护管理制度

目录 一．信息安全管理机构及人员职责设置制度 (4) 一、信息安全管理机构及职责 (4) 二、信息安全人员岗位及职责 (4) 三、机构之间的沟通与合作 (5) 二．信息安全岗位人员管理制度 (7) 三．计算机机房日常管理制度 (9) 一、机房区域访问规定 (9) 二、机房环境卫生规定 (9) 三、物品进出管理规定 (10) 四、机房空调管理规定 (10) 五、机房环境监控规定 (10) 四．办公环境安全管理制度 (12) 五．存储介质安全管理制度 (14) 一、介质的存放 (14) 二、介质的使用 (14) 三、介质的带出与维修 (15) 四、介质的报废或销毁 (15) 六．信息化资产安全管理制度 (16) 七．系统建设安全管理制度 (18) 一、系统定级及系统安全方案设计 (18) 二、安全产品采购和使用 (18) 三、自行软件开发 (18) 四、外包软件开发 (19) 五、工程实施 (20) 六、测试验收 (20) 七、系统交付 (20) 八、安全服务商选择 (20) 八．网络安全管理制度 (22)

九．系统运维安全管理制度 (24) 十．计算机和服务器防病毒管理制度 (27) 十一. 安全保密和密码管理制度 (28) 十二. 备份和恢复管理制度 (29) 十三. 安全事件分类及处理流程 (30) 十四. 信息安全应急预案管理制度 (32) 十五. 信息安全知识培训管理制度 (33)

一．信息安全管理机构及人员职责设置制度 一、信息安全管理机构及职责 （该单位）信息安全管理工作由局信息安全工作领导小组负责，领导小组下设办公室，设在规划科技处，规划科技处负责有关信息安全工作的组织协调，技术中心承担具体工作。 (一)领导小组职责 在局党组领导下，负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划；审议信息安全的标准规范、规章制度等；审议信息化建设方案中关于信息安全相关内容；审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题；督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。 (二)领导小组办公室职责 贯彻落实局信息安全工作领导小组的决策；研究制定信息安全各项政策、技术标准和管理制度；研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见；研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议；承办领导小组交办的具体工作。 二、信息安全人员岗位及职责 （该单位）根据信息化建设及维护工作实际，设置系统管理员、网络管理员、安全管理员、机房管理员等岗位，安全管理员不能兼任网络管理员、系统管理员、机房管理员等，关键岗位应配备多人共同管理，

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

网络安全等级保护(安全通用要求)建设方案

网络安全等级保护建设方案 （安全通用要求） 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月

目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)

3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)

网络安全等级保护工作流程【最新版】

网络安全等级保护工作流程 2017年6月1日《网络安全法》正式实施，网络安全等级保护进入有法可依的2.0时代，网路安全等级保护系列标准于2019年5月陆续发布，12月1日起正式实施，标志着等级保护正式迈入2.0时代。 网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作仍然是：定级、备案、建设整改、等级测评、监督检查。 本文全面介绍网络安全等级保护工作流程。 网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护，对网络中使用的安全技术和管理制度实行按等级管理，对网络中发生的信息安全事件分等级响应、处置。 为开展网络安全等级保护工作，国家制定了一系列等级保护相关标准，其中主要的标准有：

计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术网络安全等级保护定级指南(GB/T22240-2020) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术网络安全等级保护设计技术要求(GB/T25070-2019) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018) 开展网络安全等级保护工作的原因 开展网络安全等级保护的原因大致可以概括为下列三点： 合规要求：落实网络安全等级保护制度，满足国家法律法规要求。

网络安全法第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 网络安全法第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 网络安全等级保护基本对各行业进行全覆盖，主要行业有：政府机关、金融行业、卫生医疗、教育行业、运营商、能源电力、企业单位及其他行业等。 安全需求：基于等级保护构建安全防护体系，推动安全保障建设，合理规避风险。 网络安全等级保护是信息系统安全领域实施的基本国策，是是国家信息安全保障工作的基本制度、基本方法。 网络运营者依据国家网络安全等级保护政策和标准，开展组织管

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（A ） A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（D ） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部

信息安全等级保护测评及服务技术参数

信息安全等级保护测评及服务技术参数 一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。 二、测评系统目录 投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。 表1 三级系统目录 表2 二级系统目录 特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务 投标人在本项目中，须完成以下工作： 1.协助完成定级备案的相关工作 协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作 依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。 测评内容应包括但不限于以下内容： （1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； （2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评； （3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 3．完成测评服务相关文档 出具的测评服务记录或报告文档包括：测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4．完成安全隐患整改指导与复测评工作 提供安全隐患整改指导与安全加固服务，并协助建立和完善相关制度。 在校方完成相应的整改工作后，对整改项进行复测评，出具复测报告，确保信息系统备案工作的完成。 5．为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。 四、其他要求 1.投标人须在投标之前做充分的现场调研工作，对拟测评的信息系统现状有足够的了

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。 第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。 测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。 省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录； （三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力； （四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

网络安全等级保护2.0—北京在信国通科技有限公司

等级保护2.0－北京在信国通科技有限公司 Q1：什么是等级保护？ 答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 Q2：什么是等级保护2.0？ 答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3：“等保”与“分保”有什么区别？ 答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。 适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。 等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。 Q4：“等保”与“关保”有什么区别？ 答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中，相关试点工作已启动。 Q5：什么是等级保护测评？ 答：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6：等级保护是否是强制性的,可以不做吗？ 答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建 筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

网络安全等级保护第三级基本要求

1 第三级基本要求（共290小项） 1.1 技术要求（共136小项） 1.1.1 物理安全（共32小项） 1.1.1.1 物理位置的选择（G3） 本项要求包括： a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制（G3） 本项要求包括： a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设 置交付或安装等过渡区域； d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏（G3） 本项要求包括： a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d)应对介质分类标识，存储在介质库或档案室中； e)应利用光、电等技术设置机房防盗报警系统； f)应对机房设置监控报警系统。 1.1.1.4 防雷击（G3） 本项要求包括： a)机房建筑应设置避雷装置； b)应设置防雷保安器，防止感应雷； c)机房应设置交流电源地线。 1.1.1.5 防火（G3） 本项要求包括： a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮（G3） 本项要求包括： a)水管安装，不得穿过机房屋顶和活动地板下； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

浅谈网络信息安全等级保护制度

浅谈网络信息安全等级保护制度 信息网络的全球化使得信息网络的安全问题也全球化起来，任何与互联网 相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等 安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件，绝大部分已 经在我国出现。 目前，我国进口的计算机系统产品，其安全功能基本上是最低层次的，我 国尚没有自己的配套安全技术产品，使用的微机和网络产品从硬件、固件到软件，基本没有安全保障功能，在建的一些重要信息系统，也缺乏安全技术防范 措施。这些问题若不加紧解决，会影响国家主权和安全、信息化社会的政治安 定和社会稳定、经济和现代化建设顺利发展。 但是，当前计算机信息系统的建设者、管理者和使用者都面临着一个共同 的问题，就是他们建设、管理或使用的信息系统是否是安全的？如何评价系统 的安全性？这就需要有一整套用于规范计算机信息系统安全建设和使用的标准 和管理办法。 一、等级保护制度的意义 1994年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》（以下简称《条例》），该条例是计算机信息系统安全保护的法律基础。其中 第九条规定"计算机信息系统实行安全等级保护。安全等级的划分标准和安全等 级保护的具体办法，由公安部会同有关部门制定。"公安部在《条例》发布实施 后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的 思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点，因此，对 计算机信息系统实行安全等级保护制度，是我国计算机信息系统安全保护工作 的重要发展思路，对于正在发展中的信息系统安全保护工作更有着十分重要的 意义。 为切实加强重要领域信息系统安全的规范化建设和管理，全面提高国家信 息系统安全保护的整体水平，使公安机关公共信息网络安全监察工作更加科学、规范，指导工作更具体、明确，公安部组织制订了《计算机信息系统安全保护 等级划分准则》（以下简称《准则》）国家标准，并于1999年9月13日由国 家质量技术监督局审查通过并正式批准发布，已于 2001年1月1日执行。该 准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检 查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理 提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。 二、国外等级保护的发展历程