等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目

测

评

方

案

广州华南信息安全测评中心

二〇一六年

目录

第一章概述 (3)

第二章测评基本原则 (4)

一、客观性和公正性原则 (4)

二、经济性和可重用性原则 (4)

三、可重复性和可再现性原则 (4)

四、结果完善性原则 (4)

第三章测评安全目标（2级） (5)

一、技术目标 (5)

二、管理目标 (6)

第四章测评内容 (9)

一、资料审查 (10)

二、核查测试 (10)

三、综合评估 (10)

第五章项目实施 (12)

一、实施流程 (12)

二、测评工具 (13)

2.1 调查问卷 (13)

2.2 系统安全性技术检查工具 (13)

2.3 测评工具使用原则 (13)

三、测评方法 (14)

第六章项目管理 (15)

一、项目组织计划 (15)

二、项目成员组成与职责划分 (15)

三、项目沟通 (16)

3.1 日常沟通，记录和备忘录 (16)

3.2 报告 (16)

3.3 正式会议 (16)

第七章附录：等级保护评测准则 (19)

一、信息系统安全等级保护 2 级测评准则 (19)

1.1 基本要求 (19)

1.2 评估测评准则 (31)

二、信息系统安全等级保护 3 级测评准则 (88)

基本要求 (88)

评估测评准则 (108)

第一章概述

2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件

明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”

2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全

建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

第二章测评基本原则

一、客观性和公正性原则

虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

二、经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应

基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

三、可重复性和可再现性原则

不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与

不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

四、结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

第三章测评安全目标（2 级）一、技术目标

O2-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力

O2-2.应具有控制接触重要设备、介质的能力

O2-3.应具有对通信线路进行物理保护的能力

O2-4.应具有控制机房进出的能力

O2-5.应具有防止设备、介质等丢失的能力

O2-6.应具有控制机房内人员活动的能力

O2-7.应具有防止雷击事件导致重要设备被破坏的能力

O2-8.应具有灭火的能力

O2-9.应具有检测火灾和报警的能力

O2-10. 应具有防水和防潮的能力

O2-11. 应具有防止静电导致重要设备被破坏的能力

O2-12. 应具有温湿度自动检测和控制的能力

O2-13. 应具有防止电压波动的能力

O2-14. 应具有对抗短时间断电的能力

O2-15. 具有基本的抗电磁干扰能力

O2-16. 应具有限制网络、操作系统和应用系统资源使用的能力

O2-17. 应具有能够检测对网络的各种攻击并记录其活动的能力

O2-18. 应具有网络边界完整性检测能力

O2-19. 应具有对传输和存储数据进行完整性检测的能力

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。 10、配置如下两条访问控制列表：

信息安全等级保护测评机构评优标准(试行)

附件2： 信息安全等级保护测评机构评优标准 （试行） 一、编制目的 本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。 二、指标设定 对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。 三、各项指标打分标准 指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。 各项指标的打分标准如下： （1）系统测评数量打分标准 根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。 测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据 （2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人， 得3分。 C.测评师人数16-20人且中、高级人员不少于5人， 得5分。 D.测评师人数21-25人且中、高级人员不少于7人， 得6分。 E.测评师人数26-30人且中高、级人员不少于9人， 得7分。 F.测评师人数31-35人且中高、级人员不少于11人， 得8分。 G.测评师人数36-40人且中高、级人员不少于13人， 得9分。 H.测评师人数40人以上且中高、级人员不少于15人， 得10分。 备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。 （3）工具配备打分标准 A.机构具备安全问题发现类工具： 漏洞扫描工具（网络和主机）—1分

(完整版)XXXX等级保护测评工作方案

广州市XXXXXX 2015-2016年XXXXXXXXXXXX项目 等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月

目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (3) 1.4.项目依据 (4) 2.测评实施内容 (4) 2.1.测评分析 (5) 2.1.1.测评范围 (5) 2.1.2.测评对象 (5) 2.1.3.测评内容 (5) 2.1.4.测评对象 (8) 2.1.5.测评指标 (9) 2.2.测评流程 (10) 2.2.1.测评准备阶段 (11) 2.2.2.方案编制阶段 (12) 2.2.3.现场测评阶段 (12) 2.2.4.分析与报告编制阶段 (14) 2.3.测评方法 (14) 2.3.1.工具测试 (14) 2.3.2.配置检查 (15) 2.3.3.人员访谈 (15) 2.3.4.文档审查 (16) 2.3.5.实地查看 (16) 2.4.测评工具 (17) 2.5.输出文档 (18) 2.5.1.等级保护测评差距报告....................... 错误!未定义书签。 2.5.2.等级测评报告............................... 错误!未定义书签。 2.5. 3.安全整改建议............................... 错误!未定义书签。 3.时间安排 (18)

4.人员安排 (19) 4.1.组织结构及分工 (19) 4.2.人员配置表 (20) 4.3.工作配合 (21) 5.其他相关事项 (22) 5.1.风险规避 (22) 5.2.项目信息管理 (24) 5.2.1.保密责任法律保证 (24) 5.2.2.现场安全保密管理 (24) 5.2.3.文档安全保密管理 (25) 5.2.4.离场安全保密管理 (25) 5.2.5.其他情况说明 (25) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息 系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的 要求，对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评 估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测 评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面 上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员 安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评），加大 测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面 评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制， 深化信息安全等级保护工作，提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全 保障与运维能力。

信息系统等级保护测评工作方案

XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月

目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)

2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

信息系统等级保护测评指标(二级与三级)

实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建（G2）筑内 物理访问控制机房出入口应安排专人值守，控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程，并限制和监 （G2） 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定，并设置明显的不易除去的标防盗窃和防破坏记 （G2）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中 应对介质分类标识，存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击（G2） 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火（G2）机房应设置灭火设备和火灾自动报警系统。 水管安装，不得穿过机房屋顶和活动地板下 防水和防潮（G2）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电（G2）关键设备应采用必要的接地防静电措施 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应（A2）应提供短期的备用电力供应，至少满足关键设备在断电情况 下的正常运行要求 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间，满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全（G2）应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素，划分不同的子网或网段，并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备，启用访问控制功能 访问控制（G2）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年

目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全 建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案

《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名：分数： 一、填空题（每空3分，共30分） 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ （有或没有）作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择（每题5分，共30分） 1.三级测评通用要求机房出入口应__________。 A．安排专人值守B．放置灭火器

C．安装玻璃门D．配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要 求设置__________。 A．照明灯具B．过压保护器 C．防雷保安器D．空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A．动态口令B．数字证书 C．生物技术D．设备指纹 4.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。A．端口级B．用户级 C．进程级D．应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容，三级测评通用要求安全管理中心内容包括__________。 A．系统管理B．审计管理 C．安全管理D．集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A．身份认证B．访问控制 C．数据D．以上都不是

信息系统安全等级保护测评及服务要求

成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

等级保护测评项目管理制度

精心整理 等级保护测评项目管理制度 一、 目的 为有效保障等级保护测评中心的测评质量，防止发生质量异常，提升效率，确保质量满足客户需求，特制定本制度。 二、 职责 等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系，由公司法人代表授权的等? 1234 567 89作计划纳入年度计划； 12） 负责组织对《等级测评报告》进行评估活动，并批准签发《等级测评报告》； 13） 根据等保测评项目的论证签订等级保护测评合同，并批准等级保护测评总体计划； 14） 调研分析对设备供应单位质量保证能力，确定供应设备能满足工作需要； 15） 落实质量部的保密制度和保密防范措施，对人员的安全保密培训情况； 16） 负责与质量体系有关事宜的外部联络。 ? 质量部

1）履行企业法人代表赋予的职责； 2）贯彻执行等保测评中心应遵循的各种法律、法规及标准； 3）贯彻、执行质量方针、质量目标； 4）主持等级保护测评项目的论证，组织《等级测评方案》的评审； 5）管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密； 6）统筹安排等保测评中心资源，确保每项测评工作顺利完成； 7）制定等级保护测评中心测评人员技术培训计划，确保计划能与预期的任务相适应； 3、质量评定的方法

质量主管根据上述三项服务考察要素的质量评定结果，综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例：如果进度等级为优，测评成果等级为良，用户反馈等级为优，则综合质量等级为良。 4、质量改进 质量评价后，对存在的不合格或潜在的不合格，质量主管将向测评组长提交《测评质量审核报告》，测评组长对报告上的不合格项或潜在的不合格项进行确认，测评组长填写《纠正预防措施报告》，采取相应的纠正和预防措施，质量主管根据《纠正预防措施报告》上的整改时间，进行跟 四、 1. 并 过程，并且执行所需要的测量、监视活动，以证实这些过程的成果及今后的持续改 进； ?质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程，组织进行持续改进。 2.文件要求： 2.1各部门按国家/国际标准要求实施相关文件要求，并作好相关质量记录。 2.2质量管理体系的范围：测评中心按等级保护测评相关法规和技术标准的要求进行等级

信息系统等级保护测评工作设计方案

XX安全服务公司 2018-2019 年XXX项目 等级保护差距测评实施方案 XXXXXXXX信息安全有限公司 201X年X月

目录 1.1. 项目背景 .. 1. 2. 项目目标 1.3. 项目原则 1.4. 项目依据 1. 项目概述 目录 2. 测评实施内容 2.1.1. 测评范围 ..................... ......... 4 2.1.2 . 测评对象 ..................... (4) 2.1. 3. 测评内容 ..................... ......... 4 2.1.4. 测评对象 ..................... ......... 7 2.1.5 . 测评指标 ..................... ......... 8 2.2. 测评流程 .......................... ....... 9 2.2.1. 测评准备阶段 ................. ........... 10 2.2.2. 方案编制阶段 ................. ........... 11 2.2.3. 现场测评阶段 ................. ........... 11 2.2.4. 分析与报告编制阶段 ........... 2.3. 测评方法 .......................... ....... 13 2.3.1. 工具测试 ..................... ......... 13 2.3.2. 配置检查 ..................... ......... 14 2.3.3. 人员访谈 ..................... ......... 14 2.3.4. 文档审查 ..................... ......... 15 2.3.5 . 实地查看 ..................... ......... 15 2.4. 测评工具 ....................... ........ 16 2.5. 输出文档 ....................... ........ 17 2.5.1等级保护测评差距报告 ......... 2.5.2 . 等级测评报告 ................. 2.1. 测评分析 4 13 错误！ 错误！ 安全整改建议 2.5.3 . 未定义书签。 未定义书签。 错误！ 未定义书签。

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

信息安全等级保护测评及服务技术参数

信息安全等级保护测评及服务技术参数 一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。 二、测评系统目录 投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。 表1 三级系统目录 表2 二级系统目录 特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务 投标人在本项目中，须完成以下工作： 1.协助完成定级备案的相关工作 协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作 依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。 测评内容应包括但不限于以下内容： （1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； （2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评； （3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 3．完成测评服务相关文档 出具的测评服务记录或报告文档包括：测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4．完成安全隐患整改指导与复测评工作 提供安全隐患整改指导与安全加固服务，并协助建立和完善相关制度。 在校方完成相应的整改工作后，对整改项进行复测评，出具复测报告，确保信息系统备案工作的完成。 5．为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。 四、其他要求 1.投标人须在投标之前做充分的现场调研工作，对拟测评的信息系统现状有足够的了

XXX等级保护测评服务合同

技术服务合同 合同编号(甲方)： ?合同编号（乙方）: ?项目名称： ?委托方（甲方）: ?受托方(乙方)： ?签订时间： ?签订地点: 有效期限：ｘxx年xxx月至xxx年xｘｘ月

目录 1.技术服务项目概要1 -?－ 2.技术服务具体要求1-?- 3.甲方提供的工作条件及协作事项1 -?- 4.组织与管理 ......................................................................................................................... -２- 5.技术服务报酬及支付方式..................................................................................................... - 4 - 6.技术服务工作成果的验收４-?－ 7.知识产权 ................................................................................................................................ - 4 - ８.保密义务 .......................................................................................................................... － 5 －9.违约责任5-?- 10．合同变更和解除６-?- 1１.争议解决7-?- 12.名词和技术术语的定义和解释7 -?- 13.本合同的组成部分7 -?－ 14.其他7 －?- 附件1:技术协议书 ................................................................................................................- 10－附件2：保密协议24 -?-

信息系统等级保护测评工作设计方案

. XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月

目录 1 目录 ....................................................................................................................................... 2 1.项目概述.......................................................................................................................... 2 1.1.项目背景................................................................................................................... 1.2.项目目标 ............................................................................................................... 2 3 1.3.项目原则 ............................................................................................................... 3 1.4.项目依据 ............................................................................................................... 2.测评实施内容.................................................................................................................. 5 5 2.1.测评分析................................................................................................................... 5 2.1.1.测评范围............................................................................................................ 2.1.2.测评对象............................................................................................................ 5 6 2.1. 3.测评内容............................................................................................................ 8 2.1.4.测评对象............................................................................................................ 9 2.1.5.测评指标............................................................................................................ 11 2.2.测评流程................................................................................................................. 12 2.2.1.测评准备阶段 ................................................................................................. 2.2.2.方案编制阶段 ................................................................................................. 13 13 2.2. 3.现场测评阶段 ................................................................................................. 16 2.2.4.分析与报告编制阶段..................................................................................... 16 2.3.测评方法................................................................................................................. 17 2.3.1.工具测试.......................................................................................................... 17 2.3.2.配置检查.......................................................................................................... 18 2.3.3.人员访谈.......................................................................................................... 18 2.3.4.文档审查.......................................................................................................... 19 2.3.5.实地查看..........................................................................................................