当前位置：文档库 › 等级保护测评一般流程

等级保护测评一般流程

等级保护测评一般流程 The latest revision on November 22, 2020

等级保护测评流程

一、用户确定信息系统的个数、每个系统的等保级别；

二、填写《系统定级报告》，《系统基础信息调研表》；

三、向省公安厅网监总队提交《系统定级报告》和《系统基础信息

调研表》，获取《信息系统等级保护定级备案证明》，每个系

统一份；

四、按所定等级要求进行等保测评检测，如不符合要求，形成整改

要求，由用户按整改要求进行整改；

五、通过等保测评的，由信息安全等级保护测评机构出具的《信息

系统等级保护测评报告》，并将报告提交公安备案。

等级保护分级要求：

第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

等级保护是公安部对非涉密信息系统安全管理标准规范。对重要系统、电子政务系统、关系国计民生的国有企业的强制性标准。具体保护等级由公安部确认。

等级保护测评_应用安全

一．应用系统安全测评指导书1.应用系统安全测评访谈：专门的登陆控制模块进行身份鉴别手工检查： 1.查看登陆控制模块 2.验证登陆控制模块功能是否正确。1.认证方式应该为混合认证方式 2.本身操作系统用户也必须输入密码才能登陆。访谈： 1.是否有专门的模块或选项，是否有相关参数需要配置 2.功能验证。访谈： 1.登录失败处理的功能(如结束会话、限制非法登陆次数，当连接超时，自动退出等)，查看是否启用配置。 2.应根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部进行测试： a.以错误的用户名或密码登录系统查看系统的反应 b.以超过系统规定的非法登录次数登陆系统查看系统的反应 c.当登陆系统连接超时查看系统的反应。

访谈： 1.是否有访问控制策略配置功能，以该授权主体身份登录系统，进行验证 2.以不具有修改访问控制策略权限的用户登录系统，试图修改访问控制策略，查看是否成功 3.系统是否有默认用户，是否限制了默认用户的访问权限 4.测试应用系统是对默认账户合法/非法操作进行限制。访谈： 1.最小授权、相互制约 2.用户职责分配的权限是否与其职责相符 3.不同账户的权限是否分离并形成制约关系 4.测试越权访问，能否成功。访谈： 1.功能是否满足并验证。

1.系统管理员是否依据安全策略对目标系统进行了正确的配置 2.进行验证。访谈： 1.询问安全审计员，审记策略是什么； 2.检查应用系统的审记策略，查看审记策略是否覆盖到每个用户，是否对系统异常等事件进行审计 3.确认审计功能是否全面、详细。访谈： 1.检查应用系统是否提供专门的审计工具 2.应用系统审计报表功能访谈： 1.询问应用系统审计方式，测试审计功能健壮性 2.验证审计功能 3.审计记录恢复功能。

信息安全等级保护测评体系建设与测评工作规范性文件.

信息安全等级保护测评体系建设与测评工作规范性文件信息安全等级测评机构能力要求使用说明（试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (12) 7质量管理能力 (14) 8规范性保证能力 (15) 9风险控制能力 (20) 10可持续性发展能力 (20) 11测评机构能力约束性要求 (21)

信息安全等级测评机构能力要求使用说明前言公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明信息安全等级测评机构能力要求使用说明 1范围本规范规定了测评机构的能力要求。本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

等级保护2.0 三级-Linux 测评指导书V1.0

1.1安全计算环境-Linux 1.1.1身份鉴别测评项： a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；测评方法：测评项： b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；测评方法：测评项： c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；测评方法：

测评项： d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。测评方法： 1.1.2访问控制测评项： a) 应对登录的用户分配账户和权限；测评方法：测评项： b) 应重命名或删除默认账户，修改默认账户的默认口令；测评方法：测评项： c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；测评方法：

测评项： d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；测评方法：测评项： e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；测评方法：测评项： f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；测评方法：测评项： g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。测评方法：

1.1.3安全审计测评项： a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；测评方法：测评项： b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；测评方法：测评项： c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；测评方法：

信息安全等级保护测评机构评优标准(试行)

附件2：信息安全等级保护测评机构评优标准（试行）一、编制目的本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。二、指标设定对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。三、各项指标打分标准指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。各项指标的打分标准如下：（1）系统测评数量打分标准根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据（2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人，得3分。 C.测评师人数16-20人且中、高级人员不少于5人，得5分。 D.测评师人数21-25人且中、高级人员不少于7人，得6分。 E.测评师人数26-30人且中高、级人员不少于9人，得7分。 F.测评师人数31-35人且中高、级人员不少于11人，得8分。 G.测评师人数36-40人且中高、级人员不少于13人，得9分。 H.测评师人数40人以上且中高、级人员不少于15人，得10分。备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。（3）工具配备打分标准 A.机构具备安全问题发现类工具：漏洞扫描工具（网络和主机）—1分

15-SGISLOP-SA17-10-IDS等级保护测评作业指导书(三级)

控制编号：SGISL/OP-SA17-10 信息安全等级保护测评作业指导书 IDS（三级）版号：第 2 版修改次数：第0 次生效日期：2010年01月06日中国电力科学研究信息安全实验室

修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注 1SGISL/OP-S A17-10 唐斐按公安部要求修订詹雄2010.3.8

一、安全审计1．日志记录测评项编号ADT-FW-04 对应要求应对设备运行状况、网络流量等进行日志记录测评项名称日志记录测评分项1：记录IDS的管理行为、设备运行状况和网络异常流量。操作步骤查看IDS日志，是否存在设备运行状况和网络异常流量等相关日志记录适用版本任何产品实施风险无符合性判定存在防火墙的管理行为、网络流量等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为不符合测评分项2：审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等操作步骤查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本所有内容实施风险无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为不符合备注

2．日志分析测评项编号ADT-FW-04 对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项1：根据各种审计数据分析，并生成报表操作步骤登陆IDS管理界面，获取日志分析报告及图表适用版本任何产品实施风险无符合性判定能获取到日志分析报告及图表，判定结果为符合不能获取到日志分析报告及图表，判定结果为不符合3．审计记录的保护测评项编号ADT-FW-04 对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称审计记录的保护测评分项1：审计记录的完好性保护操作步骤查看审计记录的存储，是否未经授权可删除、修改审计记录适用版本任何产品实施风险无符合性判定未经授权，不可删除、修改审计记录，判定结果为符合未经授权，可删除、修改审计记录，判定结果为不符合三、安全防护

在线考试系统-操作手册

微厦在线考试（试题练习）平台操作手册

1建设内容微厦在线考试（试题练习）平台主要分为两大块学员管理和管理员管理，学员在系统中的主要职责是在线学习、在线练习、在线考试、充值消费；管理员主要负责系统日常任务的分配和管理，如：教务管理、题库管理、资金管理、员工管理等。 1.1学员管理学员在系统中主要是学习和消费，学员进入系统后主要对以下六个模块的内容进行操作：章节练习、模拟场、考试指南、错题重做、我的笔记、我的收藏、统计分析、联系客服、个人中心，如下图：学员进入系统后如果未购买课程，可以对系统中的课程进行试用，试用的题数可以管理员后台自定义，试用分为两种情况：一、游客试用（即未登录试用）；游客试用时只能操作章节练习、考试指南、联系客服这三个模块的内容，游客操作其他模块会自动跳转到登录界面。二、登录试用；学员登录试用时可以操作除“模拟考场”之外的所有模块，学员购买科目试题后方能操作全部模块。点击右上角的“”可以切换专业，也可以查看“我的科目”，如下图：点击其他专业则会切换到其他专业下的科目学习，点击“我的科目”可以查看“当前科目”和“已购买的科目”。如下图： 1.1.1章节练习学员第一次登录后操作任意模块都会进入专业选择，学员选择相关专业和科目后才能进行学习，级别划分是：专业>>>科目>>>章节，学员学习时针对“科目”进行充值消费，科目有多个章节，这里的“章节练习”包含了该科目下的所有章节。如下图： “章节练习”即试题练习，主要是对章节里的试题进行练习和学习。学员在练习时可以查看试题的答案和解析。对于一些难题、错题、易考题学员可以收藏，

收藏后收藏按钮会变成红色，笔记功能有助于学员在学习过程中记录自己的解题思路，帮助理解加深记忆。左右滑动可以切换上下题。点击“提交”按钮后系统会自动对该题的答案做出批阅，如下图：如果该试题有错误，学员可以点击右上角的“报错”向系统提交错误报告，错误报告在管理员后台查阅。如下图： 1.1.2模拟考场模拟考场中存储了科目下的所有试卷，学员可以随时进行模拟测试，如下图：如上图所示右上角是计时器，显示该场考试的剩余时间，点击“”可以收藏试题，收藏后“”按钮会变成“”点击“”可以报错。最下方是答题卡和提交按钮，答题卡按钮提示了当前已做答的题数和全部试题数，点击可进入答题卡界面。如下图：如上图所示，蓝色背景的试题序号表示已作答的试题，点击“试题序号”可以自动定位到该试题，点击“交卷”可以交卷，交卷后系统会自动给出得分，学员也可以在“统计分析”中查看详细的成绩报告。 1.1.3考试指南考试指南类似于教学大纲，明确重点、难点、考点，帮助学员轻松掌握，顺利通过考试。由管理员后台录入。 1.1.4错题重做错题重做收录了学员每次在练习中做错的试题，相当于一个错题集。如下图所示：点击试题题干可以查看该试题的答案和笔记，点击“进入答题”可以练习这些错题，重点学习。如下图：

信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明

信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明 1概述 1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试行)1 附件一：信息安全等级保护测评工作管理规范（试行）第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。第二条本规范适用于等级测评机构和人员及其测评活动的管理。第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。第四条省级以上等保办负责等级测评机构的审核和推荐工作。公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件：（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）产权关系明晰，注册资金100万元以上；（四）从事信息系统检测评估相关工作两年以上，无违法记录；（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

普通话水平智能测试系统操作指南

国家普通话水平智能测试系统操作手册（简易版）安徽科大讯飞信息科技股份有限公司

目录一系统简介 (3) 1.系统构成 (3) 2.系统构架 (3) 二测试流程 (4) 1.业务总体流程介绍 (4) 2.基层测试站测试操作流程 (5) 2.1测试报名 (5) 2.2考前准备 (10) 2.3现场测试 (16) 2.4信息上传 (21) 三系统维护 (21) 四常见问题 (22)

计算机辅助普通话水平测试系统操作手册一系统简介 1.系统构成科大讯飞提供的普通话测试系统不仅能够对考生的普通话进行智能评测，还能够对考试现场和测试流程以信息化的方式管理，实现了国家普通话水平测试的测试、组织和管理的信息化，该系统主要包括两个部分： ●国家普通话水平智能测试系统国家普通话水平智能测试系统（PSCP）是安徽科大讯飞信息科技股份有限公司在国家语委“十五”重点科研项目支持下研发完成。系统基于国家普通话水平测试大纲，可准确地对命题说话之外的所有测试题型实现自动评测，同时自动检测发音者存在的语音错误和缺陷；而且系统提供的测试管理功能，也能够帮助基层测试站组织测试，提高测试的效率。该系统部署在基层测试站，主要使用者为考生和基层测试站的管理人员。 ●国家普通话水平测试信息管理系统国家普通话水平测试信息管理系统（PSCW）实现的是普通话水平测试全过程的计算机管理，为计算机辅助测试全面解决方案提供支撑平台。在该系统中，可以进行考生报名、测试员打分、成绩管理、数据管理等一系列操作。该系统部署在远程ＷＥＢ服务器上，相关人员通过登录网页完成相应的操作，主要使用者为省级测试管理人员、基层测试站的管理人员和测试员。 2.系统构架普通话测试系统解决方案的构架图如下：

信息安全技术网络安全等级保护测评要求

XXX软件用户手册

XXX软件用户手册 (软件版本：FMS2.1)

目录用户手册 (3) 概述 (3) 功能特点 (3) 系统要求 (3) 软件安装 (3) 硬件安装 (4) 请用户在阅读本手册及操作本软件前先详读《RTS-8型四探针测试仪》

用户手册因有的概念跟理论要了解后,阅读此手册和使用本软件时更容易理解、操作。概述 RTS-8型四探针软件测试系统是一个运行在计算机上拥有友好测试界面的用户程序，程序操作直观易用。测试程序在计算机与RTS-8型四探针测试仪连接的状态下，通过计算机的并口实现通讯。测试程序控制四探针测试仪进行测量并采集测试数据，把采集到的数据在计算机中加以分析，然后把测试数据以表格，图形直观地记录、显示出来。用户可对采集到的数据在计算机中保存或者打印以备日后参考和查看，还可以把采集到的数据输出到Excel中，让用户对数据进行各种数据分析。功能特点可以选择进行手动测量或者是自动测量；对可疑测量点的数据进行重测；详细记录被测试材料各种参数，结合测试数据进行数据统计分析；以直方图形式统计分析数据；打开、保存、打印测试数据；把测试数据导出到Excel中进行更详细的数据统计分析；系统要求请确定你的电脑是IBM PC兼容型并具备以下最低的系统要求： Intel兼容586DX-500MHz中央处理器或者更高；一个IEEE-1284标准并行通讯端口；显示卡分辨率支持1024*768模式；软件安装本软件可安装在Win98、Win2000、XP操作系统上。请按以下步骤进行安装。 1.将四探针软件测试系统的安装光盘放入光驱中，执行光盘目录下的【Setup.exe】进行安

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。第二章测评机构申请第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。第七条申请单位应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录；（三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；（四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

全国未成年人思想道德建设工作测评体系操作手册(2018年版)

全国未成年人思想道德建设工作测评体系操作手册（2018年版）

说明一、《全国未成年人思想道德建设工作测评体系操作手册》是《全国未成年人思想道德建设工作测评体系》的配套材料，依据《测评体系》5个测评项目、28条测评标准进行细化，明确具体要求。二、测评数据采取网上申报、实地考察、问卷调查3种方式采集。三、操作手册由中央文明办发布并负责解释。

未成年人思想道德建设工作测评材料网上申报内容（最终项目内容以网上申报系统发布为准） 1.中央文明办开设“网上申报系统”，测评前将网址、用户名及密码发给参评城市（区）。《全国未成年人思想道德建设工作测评体系操作手册》规定的需要进行网上申报的指标均由参评城市（区）通过网络报送。 2.材料时限为测评当年，截止到测评开始的1个月前。如10月测评，材料时限截止到当年8月，同时，根据实际情况，材料时限可以适当前溯，以能说明工作情况为宜。如当年的材料不能说明情况，必要时可以采集之前的文件或材料。 3.材料格式分四种：规范文件、说明报告、实景图片、统计表格。要求上传规范文件的，将文件红头页或盖章页制作成图片（单个图片文件控制在2MB以内）上传，同时上传该文件的电子版（全文传送），也可以将全文制作成JPG或PDF格式上传。说明报告按要求写出情况说明，字数控制在800字以内，以WORD、WPS或永中文件形式上传电子版即可。实景图片要求提供现场照片、样报图片或电脑、电视截屏，按测评要求上传一定数量（单个图片文件控制在2MB以内）。统计表格由各地从“网上申报系统”下载模板进行填写，加盖市级相关主管部门公章，制作成图片上传。 4.评分方法采用“状态描述法”，以A、B、C、C#进行评价。A为满分，B为该项得分的66%，C为该项得分的33%，C#为0分。

12-SGISLOP-SA14-10-防火墙等级保护测评作业指导书(三级)

.... 控制编号：SGISL/OP-SA14-10 信息安全等级保护测评作业指导书防火墙（三级）版号：修改次数：生效日期：第2版第0次2010年01月06日中国电力科学研究院信息安全实验室

修改页版号/ 修订号控制编号修改人修订原因批准人批准日期备注章节号 1SGISL/OP- SA14-10唐斐按公安部要求修订詹雄2010.3.8

一、网络访问控制访问 1．端口级的访问控制应能根据会话状态信息为数据流提供明测评项编号ADT-FW-01对应要求确的允许/拒绝访问的能力，控制粒度为端口级测评项名称端口级的网络访问控制测评分项1：查看防火墙缺省规则是否为默认禁止在管理界面中，查看防火墙已有的安全规则。操作步骤适用版本实施风险任何版本无符合性判定访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从any到any的任何协议通过，判定结果为不符合；其它情况，判定结果为符合。测评分项2：检查防火墙控制粒度是否为端口级访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。操作步骤适用版本实施风险任何产品无查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结符合性判定果为符合；查看防火墙所配置的访问控制规则，规则设置的参数不包括端口，判定

结果为不符合。备注 2．协议命令级的网络访问控制测评项编号应对进出网络的信息内容进行过滤，实现 ADT-FW-02对应要求对应用层HTTP、FTP、TELNET、SMTP、 POP3等协议命令级的控制测评项名称协议命令级的网络访问控制测评分项1：实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置操作步骤适用版本实施风险任何产品无如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件符合性判定人、FTP下载的文件类型等，判定结果为符合；若无上述参数，协议命令级的网络访问控制判定结果为不符合。备注 3．会话连接超时处理测评项编号ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院 ??号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发????????号）、《关于信息安全等级保护工作的实施意见》（公通字????????号）和《信息安全等级保护管理办法》（公通字????????号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ???????????????信息安全技术信息系统安全等级保护定级指南； ???????????????信息安全技术信息系统安全等级保护基本要求； ??????????????信息安全技术信息系统安全等级保护实施指南； ??????????????信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南

范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 ??????????信息技术词汇第部分：安全????????????计算机信息系统安全保护等级划分准则??????????????信息安全技术信息系统安全等级保护定级指南??????????????信息安全技术信息系统安全等级保护基本要求?????????????信息安全技术信息系统安全等级保护实施指南?????????????信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字????????号）术语和定义 ??????????、????????????、

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐

的等级测评机构进行监督管理。省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全

等级保护2.0 三级-Windows 测评指导书V1.0

1.1安全计算环境-Windows（例：Server 2012） 1.1.1身份鉴别测评项： a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；测评方法：测评项： b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；测评方法：测评项： c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；测评方法：

测评方法：测评项： d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；测评方法：测评项： e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；测评方法：测评项： f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；测评方法：测评项： g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。测评方法：

信息系统安全等级保护测评服务内容及要求

信息系统安全等级保护测评服务内容及要求一、供应商资格： 1.供应商应具备《政府采购法》第二十二条规定的条件； 1）具有独立承担民事责任的能力； 2）具有良好的商业信誉和健全的财务会计制度； 3）具有履行合同所必需的设备和专业技术能力； 4）有依法缴纳税收和社会保障资金的良好记录； 5）参加政府采购活动前三年内，在经营活动中没有重大违法记录； 6）法律、行政法规规定的其他条件。 2.投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。 3.具有网络安全等级保护测评机构推荐证书。 4.具有中国合格评定国家认可委员会颁发的CNAS证书。 5.具有广东省电子政务服务能力等级证书。 6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级） 7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。 8.中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。 9.本项目不接受联合体投标。

二、项目服务内容及要求 1.采购项目需求一览表： 2.基本要求: 2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。 2.2项目目标 2.2.1等级保护测评服务。根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。

信息安全等级保护测评机构管理办法最新

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务；（十）应具备的其它条件。