测评机构评价申报表-中国网络安全等级保护网
安全评价机构资质申请表
安全评价机构资质申请表1. 机构基本信息1.1 机构名称填写机构的全称,需与公司注册信息一致。
1.2 机构类型请勾选以下中的一项:•评价机构•检验机构•检测机构•检验检测机构•认证机构1.3 公司注册地填写公司注册的城市和地址信息。
1.4 公司联系方式填写公司的电话号码、传真号码和邮箱地址。
2. 公司组织结构2.1 公司资历请简述公司的资历和历史。
2.2 公司组织结构请简述公司的组织结构和人员配备情况。
3. 业务能力3.1 业务范围请简述公司的业务范围,包括评价、检验、检测、认证等方面。
3.2 员工培训与认证请简述公司的员工培训和认证情况,包括培训内容和认证机构。
3.3 资源投入请简述公司的资源投入情况,包括设备、实验室和人力资源等方面。
4. 质量管理体系4.1 质量保证手段请简述公司的质量保证手段和控制措施。
4.2 质量管理体系请简述公司的质量管理体系,包括质量手册和程序文件等方面。
4.3 质量管理体系审核请简述公司的质量管理体系审核情况,包括内部审核和外部审核等方面。
5. 评价报告与认证证书5.1 报告和证书类型请简述公司能够提供的评价报告和认证证书类型,以及相关的法规标准。
5.2 报告和证书发放请简述公司的报告和证书的发放流程,包括审核、签发、存档等方面。
5.3 报告和证书审查请简述公司的报告和证书的审查流程,包括外部审查和内部审查等方面。
6. 经验和优势6.1 业务经验请简述公司的业务经验和客户群体,包括涉及的行业和产品类型等方面。
6.2 技术优势请简述公司的技术优势,包括关键设备和技术水平等方面。
7. 其他信息7.1 最近财务报表请提供公司的最近完整年度财务报表,包括资产负债表、利润表和现金流量表。
7.2 业务合作请简述公司与其他机构或公司的业务合作情况,包括合作方式和业务范围等方面。
7.3 其他信息请提供公司认为需要提供的其他信息。
以上为安全评价机构资质申请表,填写完后请将表格邮寄到相关政府部门,或交由授权机构进行审批。
信息系统安全等级保护定级报告-中国网络安全等级保护网(完整资料).doc
【最新整理,下载后即可编辑】信息系统安全等级保护定级报告(起草参考实例)一、X省邮政金融网中间业务系统描述(一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。
目前该系统由技术局运行维护部负责运行维护。
省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。
整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。
在省数据中心的核心设备部署了华为的S**三层交换机,……在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信NGFW 4**防火墙和Cisco 2**路由器……省数据中心网络中剩下的一部分就是与下面各个地市的互联。
其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。
整个信息系统的网络系统边界设备可定为NGFW 4** 与Cisco 2**。
Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。
在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。
各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。
(三)该信息系统业务主要包含:中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务,并新增加了代收国税、地税,代办保险等业务。
系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。
其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。
网络安全检查评估表
2.托管:提供机房设施照片,加盖托管单位公章
网络部署情况:提供网络拓扑图,应包含所有网络出入口(互联网、专网、电子政务网络、VPN等边界)和安全域,并与当前运行实际相符。
网络安全涉及情况:(需提供网络的安全策略截图):对应每个网络出入口边界的访问控制等安全措施并关闭与业务无关端口,并对各个系统、软件所使用的端口进行登记
网络系统运行情况:网络设备运行日志、服务器运行日志、数据库访问日志、业务系统运行日志等留存记录不少于6个月(提供对应截图)
主机系统防病毒及恶意代码攻击情况:主机系统应安装防恶意代码产品或防病毒产品,及时更新防恶意代码软件版本和恶意代码库,提供相关截图
主机的安全配置情况:提供主机、数据库服务器系统策略截图,包括无多余账户、用户权限、密码策略、锁定策略、审核策略
运维操作是否有审批记录
重要信息系统各项安全保护工作开展情况
重要信息系统是否完成信息安全等级保护
是否按照等保测评要求开展测评工作(需提供本年度内测评报告)
是否按照要求定期开展风险评估工作(需提供本年度内风险评估报告)
是否依据测评报告对信息系统进行整改
应急处置情况
是否制定了网络安全应急预案
本年度内是否开展应急演练(以现场照片、签到表、通知文件等记录为依据,备注标明开展演练时间)
网络安全检查评估表
检查类别
检查项
检查情况
备注
网络安全管理情况
是否建立网络安全管理制度
是否贯彻落实网络安全工作责任制(本单位成立网络安全领导小组的正式文件)
是否明确本单位网络安全责任部门和责任人
是否建立固定资产清单,包括服务器、网络设备、安全设备等,每类产品需标明厂商、型号、当前版本等
中国网络安全等级保护网
中国网络安全等级保护网中国网络安全等级保护网(以下简称“等保网”)是国家网络安全的重要组成部分,是为了保障国家信息基础设施安全而建立的网络安全保护系统。
等保网的建设和运行对于保障国家网络安全、维护国家利益、促进经济社会发展具有重要意义。
一、等保网的建设意义。
等保网的建设是国家网络安全战略的重要举措,其意义主要体现在以下几个方面:1. 维护国家安全。
随着互联网的快速发展,网络安全问题日益突出,网络攻击、信息泄露等事件频发,对国家安全构成了严重威胁。
建设等保网可以有效防范和应对各类网络安全威胁,维护国家政治安全、经济安全、社会稳定等方面的利益。
2. 保障关键信息基础设施安全。
等保网覆盖了国家重要信息基础设施,包括政府机关、金融机构、电信运营商、能源供应商等关键行业,保障这些关键信息基础设施的安全,对于国家的信息化建设和经济社会发展至关重要。
3. 提升网络安全防护能力。
等保网的建设可以有效提升我国网络安全防护的能力,通过统一的等级保护标准和技术规范,加强对网络安全的监测、预警和应急响应能力,提高网络安全的整体水平。
二、等保网的主要内容。
等保网主要包括网络安全等级保护制度、网络安全等级保护技术和网络安全等级保护管理三个方面。
1. 网络安全等级保护制度。
等保网建立了一套完整的网络安全等级保护制度,包括等级划分、安全保护要求、安全评估和认证等内容,为不同等级的信息系统提供了相应的安全保护措施和管理要求。
2. 网络安全等级保护技术。
等保网采用了一系列先进的网络安全技术,包括网络边界防护、入侵检测与防御、数据加密与安全传输、安全认证与访问控制等技术手段,确保信息系统的安全性和稳定性。
3. 网络安全等级保护管理。
等保网建立了完善的网络安全管理体系,包括安全运维管理、安全事件响应、安全培训教育等内容,保障网络安全等级保护工作的有效运行。
三、等保网的建设路径。
为了加快等保网的建设和完善,需要从以下几个方面进行努力:1. 完善法律法规。
信息安全等级保护测评机构申请表下载
附件1:
信息安全等级保护测评机构
申请表
名称:
地址:
日期:
国家信息安全等级保护工作协调小组办公室制
填表说明:(封皮背面)
1、申请表应由申请单位法定代表人签字;委托代表人签字的,应出具有效的委托书。
2、如所填内容超出表格时,可添加附页。
3、测评机构申请单位测评人员基本情况表一人一表。
4、申请表一式二份。
同时提供word格式电子版光盘。
测评机构申请单位基本情况表
承诺书
等级测评工作是等级保护工作的重要组成部分,直接关系信息系统安全,作为从事等级测评工作的机构,本单位及全体人员知悉测评机构的责任义务和工作规范,愿意服从并接受各项安全保密管理,并承诺按照国家信息安全有关标准规范开展等级测评工作,保证测评工作的客观、公正、安全,承诺不会从事对等级测评工作的公正性产生影响的业务和工作(包括但不限于:从事信息系统安全集成或信息安全产品研发、生产、销售;限定被测评单位购买、使用指定的信息安全产品;影响被测评单位对安全集成商的选择等)。
如有虚假或有违反测评管理规范的行为,本单位将承担由此造成的一切后果及相关的法律责任。
法定代表人签字:
(单位盖章)
年月日
测评机构申请单位测评人员汇总表
单位名称(盖章):填表日期:
测评机构申请单位测评人员基本情况表。
网络安全法 信息系统安全等级保护测评表单 三级技术类
信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内;检查主要设备或设备的主要部件的固定情况,查看其是否不易被移动
c) 应访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、
渗透和返潮现象,则查看是否能够及时修复解决;
7.1.1物理安全
潮
护措施;b) 应检查机房设备外壳是否有安全接地;
电磁防护7.1.1.6。
网络安全等级保护之等级测评
网络安全等级保护之等级测评460500587本文主要介绍测评工作的内容、流程、方法,介绍测评机构和测评人员,测评工作中的风险及其控制,最后介绍等级测评报告主要内容及说明。
一、基本工作1、测评概念测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
2、测评作用和目的通过进行测评,能够对信息系统体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其防护水平;遵循国家有关规定的要求,对信息系统安全建设进行符合性测评。
测评的作用如下:① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③ 等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
3、测评标准依据《管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
网络安全等级保护测评机构管理办法【最新版】
网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。
国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。
省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。
第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500 万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15 人,专职渗透测试人员不少于2 人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。
网络安全等级保护调研表
选择
4)应核查屋顶、墙体、门窗和地面
等是否没有破损开裂。
L2-PES1-02
a)机房场地应避免设在建筑物的顶层 或地下室否则应加强防水和防潮措施
机房
1)应核查机房是否不位于所在建筑 物的顶层或地下室,如果否,则核查 机房是否采取了防水和防潮措施
物理访问 控制
L2-PES1-03
a) 机房出入口应安排专人值守或配置 电子门禁系统,控制、鉴别和记录进 入的人员
机房防火设施
L2-PES1-08
a)机房及相关的工作房间和辅助房应 采用具有耐火等级的建筑材料
L2-PES1-09
a)应采取措施防止雨水通过机房窗户 、屋顶和墙壁滲透
防水和防
潮
L2-PES1-10
a)应采取措施防止机房内水蒸气结露 和地下积水的转移与渗透
机房验收类文档 机房
机房
1)应核查机房内机柜、设施和设备 等是否进行接地处理 1)应核查机房内是否设置火灾自动 消防系统 2)应核查火灾自动消防系统是否可 以自动检测火情、自动报警并自动 1)应核查机房验收文档是否明确相 关建筑材料的耐火等级 1)应核查窗户,屋顶和墙壁是否采取 了防雨水渗透的措施 1)应核查机房内是否采取了防止水 蒸气结露的措施 2)应核查机房内是否采取了排泄地 下积水,防止地下积水渗透的措施
网络安全等级保护(等保V2.0)机房(二级)调研表
测评类 测评项 测评单元 测评指标
测评对象
防静电
L2-PES1-11
a)应采用防静电地板或地面并采用必 要的接地防静电措施
机房
测评实施
1)应核查机房内是否安装了防静电 地板或地面 2)应核查机房内是否采用了接地防 控 制
网络安全等级保护测评机构
网络安全等级保护测评机构网络安全等级保护测评机构(Network Security Level Protection Evaluation Institution)是指专门负责评估和检测网络安全等级保护的机构。
随着互联网的蓬勃发展,网络安全问题日益严重,各种网络攻击事件层出不穷,给人们的生活和社会经济发展带来了许多威胁。
为了保护网络安全,提高安全防护能力,网络安全等级保护测评机构应运而生。
网络安全等级保护测评机构的主要任务是对各类网络系统的安全防护等级进行评估和测评,并提供相应的改进建议和技术支持,以加强网络安全能力和保护网络系统的安全运行。
其评估和测评过程主要包括以下几个方面:首先是对网络系统进行全面的安全检测和评估。
测评机构会通过对网络系统的结构、拓扑、配置、防火墙设置、入侵检测系统等进行全面的检测和评估,发现潜在的安全风险和漏洞,以提供改进和加固的建议。
其次是对网络防护能力进行测试和验证。
测评机构会模拟各类网络攻击行为,测试网络防护系统的抵御能力,包括入侵检测、反向攻击和数据防泄漏等方面,以评估网络系统的实际防护能力。
此外,网络安全等级保护测评机构还会根据实际需求,进行网络安全应急响应和事件管理。
一旦出现安全事件,测评机构将协助网络系统管理者进行事件响应,提供技术支持和应急处置建议,尽快消除安全隐患和恢复系统正常运行。
最后,网络安全等级保护测评机构还会开展网络安全培训和宣传工作。
通过组织网络安全技术培训班和专题讲座,提高网络管理人员和用户的安全意识和技术能力。
同时,通过撰写研究报告、发布安全警示和技术指导,向社会大众宣传网络安全知识,增强公众对网络安全的重视和防范意识。
网络安全等级保护测评机构的建立和发展,对于提升网络安全防护水平、保障信息安全和促进网络经济发展具有重要意义。
它不仅可以帮助企事业单位提高网络安全等级保护水平,减少安全风险,还可以促进信息化建设和互联网的快速发展。
因此,政府、企事业单位和个人都应积极支持和参与网络安全等级保护测评机构的工作,共同维护网络安全,建设网络强国。
网络安全等级保护测评机构
网络安全等级保护测评机构随着互联网的普及和信息化进程的加快,网络安全问题越来越受到人们的关注。
在这种情况下,网络安全等级保护测评机构应运而生。
网络安全等级保护测评机构是指专门从事网络安全等级保护测评工作的机构,其主要任务是对网络系统进行安全等级保护测评,为政府、企事业单位提供网络安全等级保护的技术支持和服务。
网络安全等级保护测评机构的主要工作内容包括对网络系统进行安全等级保护测评、制定网络安全等级保护测评标准和规范、开展网络安全等级保护测评技术研究和开发、开展网络安全等级保护测评培训和咨询等。
在这些工作中,网络安全等级保护测评机构需要具备一定的技术实力和专业能力,以确保其能够为用户提供高质量的服务。
首先,网络安全等级保护测评机构需要具备一定的技术实力。
网络安全等级保护测评是一项技术密集型的工作,需要具备一定的技术实力才能够胜任。
网络安全等级保护测评机构需要拥有一支技术过硬的团队,他们需要具备扎实的网络安全技术知识和丰富的实践经验,能够熟练运用各种网络安全等级保护测评工具和方法,确保对网络系统进行全面、深入的安全等级保护测评。
其次,网络安全等级保护测评机构需要具备专业能力。
网络安全等级保护测评是一项复杂的工作,需要具备一定的专业能力才能够胜任。
网络安全等级保护测评机构需要具备严谨的工作态度和专业的工作方法,能够根据用户的实际需求,制定科学合理的测评方案,并严格按照标准和规范进行操作,确保测评结果的客观、公正和可信。
此外,网络安全等级保护测评机构还需要具备良好的服务意识。
网络安全等级保护测评是一项为用户提供服务的工作,需要具备良好的服务意识才能够赢得用户的信赖。
网络安全等级保护测评机构需要能够充分理解用户的需求,为用户提供个性化的、专业化的服务,确保用户能够获得满意的测评结果和服务体验。
总之,网络安全等级保护测评机构是保障网络安全的重要力量,其技术实力、专业能力和服务意识将直接影响到网络安全等级保护测评工作的质量和效果。
网络安全测评机构申请书
尊敬的审批部门:我单位(单位名称)成立于(成立年份),是一家专注于网络安全领域的技术服务公司。
为积极响应国家网络安全战略,提升我国网络安全防护能力,我单位特向贵部门申请成为网络安全测评机构。
现将有关事项报告如下:一、单位基本情况1. 单位名称:(单位名称)2. 成立时间:(成立年份)3. 注册资本:(注册资本金额)4. 经营范围:网络安全技术咨询服务、网络安全测评服务、网络安全培训服务等。
5. 住所地:(住所地详细地址)二、技术实力1. 人才队伍:我单位拥有一支专业、高效的网络安全技术团队,团队成员均具备丰富的网络安全工作经验,其中高级工程师(或高级职称)人数占团队比例超过30%。
2. 技术水平:我单位具备国内外先进的网络安全测评技术和设备,能够全面、深入地开展网络安全测评工作。
3. 软件研发:我单位自主研发了多款网络安全测评工具,已获得相关知识产权,为测评工作提供了有力支持。
三、业务开展情况1. 业务领域:我单位业务涵盖网络安全测评、安全漏洞分析、安全加固、安全培训等多个领域。
2. 服务对象:我单位已为政府机关、企事业单位、金融机构等众多客户提供了优质的网络安全测评服务。
3. 服务成果:我单位成功发现并协助客户修复了大量网络安全漏洞,有效提升了客户网络安全防护能力。
四、申请理由1. 积极响应国家网络安全战略:我单位成立之初便致力于提升我国网络安全防护能力,此次申请成为网络安全测评机构,旨在更好地履行社会责任,为国家网络安全事业贡献力量。
2. 满足市场需求:随着网络安全形势日益严峻,社会各界对网络安全测评服务的需求不断增长,我单位具备满足这一需求的能力。
3. 提升企业竞争力:成为网络安全测评机构有助于提升我单位在行业内的知名度,增强企业竞争力。
五、承诺事项1. 严格遵守国家法律法规和行业标准,确保测评工作的合规性。
2. 保守客户隐私,不得泄露测评过程中获取的任何信息。
3. 定期参加专业培训,不断提升技术水平和业务能力。
网络安全等级测评申请书
FJTEC-D009-11/B004-01记录编号:网络安全等级测评申请书申请单位:申请日期:福建省网络与信息安全测评中心声明1. 本单位同意遵守福建省网络与信息安全测评中心的相关规则和政策的规定;2. 本单位愿意向福建省网络与信息安全测评中心提供测评所需的所有信息和资料,并为测评工作提供方便;3. 本单位信息系统无未了结的重大检查责任事故或法律纠纷;4. 本单位保证本申请书内容真实、准确,并承诺及时提供最新信息;申请测评单位法定代表人/授权代表签名:申请测评单位或其法人盖章:年月日申请书福建省网络与信息安全测评中心:为科学评估我单位信息系统安全防护水平,根据《中华人民共和国网络安全法》的要求,现申请对我单位XXX项目(系统) 进行安全等级测评,有关事宜委托张三(姓名)全权代理,请予以接洽。
附件1:《项目建设基本情况表》附件2:《信息系统基本情况表》负责人/授权代表签名(签名):申请单位(公章):日期:年月日项目建设基本情况表★业主单位概况单位名称:单位地址:★项目负责人(负责测评过程中行政与技术的总协调,以及联系后期技术服务反馈)姓名:部门/职务:电话:邮箱:★项目概况项目名称(该名称将用于出具测评报告,请准确填写。
如项目存在子系统,且需要以子系统名称作为报告名称出具多本报告,请在“备注”中予以说明)服务功能描述(请描述项目的主要服务功能,如:xxx项目用于提供政府信息公开,网上服务,在线交流以及发布经济建设、社会事业发展信息等。
)子系统情况(请一一列出项目包含的子系统,如不包括子系统,则不需填写)申请原因☐数字办验收☐移入云平台☐自主等保测评☐其他部署位置☐云平台机房☐运营商机房☐本单位自建机房☐其他备注★项目承建情况项目承建单位承建单位地址:承建单位电话:承建单位传真:信息系统基本情况表(如有多个子系统请分别填写)系统(子系统)名称:系统性质系统性质☐党政☐商用☐自用建设状况☐新建☐扩建☐其它测评安全等级选择☐一级☐二级☐三级☐四级等保备案证明编号(如已定级请填写):主要服务对象主要应用业务系统连接情况☐与政务信息网连接☐与政务外网连接☐专网或其他☐与Internet连接,网址:测评现场负责人(负责测评过程中的日常联络与现场配合工作,包括对测评采集数据的签姓名:部门:职务:手机:固话:邮箱:网络或安全设备(注:请尽量提供网络拓扑结构图;以被测系统所在的网络结构为主,请尽量详细列出系统中的网络及安全设备,如存在多个不同网络环境的子系统请分开列明。
网络安全等级保护测评机构推荐申请表
附件1
网络安全等级保护
测评机构推荐申请表
名称:
地址:
日期:
填表说明:
1、申请表应由申请单位法定代表人签字;委托代表人签字的,应出具有效的委托书。
2、如所填内容超出表格时,可添加附页。
3、测评机构申请单位测评人员基本情况表一人一表。
4、申请表一式二份,装订成册。
同时提供word格式电子版。
5、封皮单位名称处加盖单位公章。
测评机构申请单位基本情况表
承诺书
等级测评工作是等级保护工作的重要组成部分,直接关系国家网络安全等级保护制度的贯彻实施,涉及国家安全。
作为从事等级测评工作的机构,本单位及全体人员知悉测评机构的责任义务和工作规范,愿意服从并接受各项安全保密管理,并承诺按照国家网络安全有关标准规范开展等级测评工作,保证测评工作的客观、公正、安全,承诺不会从事网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);不会限定被测评单位购买、使用指定的产品;不会影响被测评单位对安全集成商的选择等。
如有虚假或有违反测评管理规范的行为,本单位将承担由此造成的一切后果及相关的法律责任。
法定代表人签字:
(单位盖章)
年月日
申请单位人员汇总表
单位名称(盖章):填表日期:
申请单位人员基本情况表
注:一人一份。
网络安全等级保护测评调研表
网络安全等级保护测评调研表单位全称:XXX项目联系人:XX X 电话:XXX 邮箱:XXX1被测信息系统情况1.1承载的业务情况1.2网络结构【填写说明:给出被测对象的网络拓扑结构示意图,并基于示意图说明被测对象的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和服务器设备的部署情况、功能简介、与其他系统的互联情况、边界设备、网络的管理方式和管理工具以及本地备份和灾备中心的情况等。
】XX信息系统部署在XX机房或者XX云上,通过XX防火墙、XXX 数据库审计和XXX堡垒机等设备提供网络安全防护;通过XXX核心交换机实现网络通信;核心主机包括:XXX系统服务器,通过部署网络防火墙以及XXXX等设备实现较为严格的网络访问控制。
具体拓扑如下:图 2-1 深圳市XXX系统拓扑图备注:需注明网络出口(电信,电子资源政务中心、XXX等)2系统构成2.1机房【填写说明:以列表形式给出被测对象的部署机房。
】2.2网络设备【填写说明:以列表形式给出被测对象中的网络设备(包括虚拟网络设备)。
】2.3安全设备【填写说明:以列表形式给出被测对象中的安全设备(包括虚拟安全设备)。
】2.4服务器/存储设备【填写说明:以列表形式给出被测对象中的服务器和存储设备(包括虚拟设备)。
此列表中仅包含具备管理权限的设备,不具备管理权限的设备不列入此表。
若采用云计算技术,必须调研宿主机、云管理服务器、云应用服务器,可不以此命名,但必须在备注中说明用途。
】2.5终端/现场设备【填写说明:以列表形式给出被测对象中的终端,包括业务终端、运维终端、管理终端和现场设备等,如果使用了移动终端,列出移动终端。
】2.6系统管理软件/平台【填写说明:以列表的形式给出被测对象中的系统管理类软件或平台,包括数据库、中间件、网管软件/平台、安管软件/平台、云计算管理软件/平台等。
若采用云计算技术,必须调研云计算安全管理系统(例如ManageOne部署面(管理侧),用来监测系统资源、备份等安全相关管理的系统)、数据库管理系统(支撑云计算平台自身的数据库)、中间件(支撑云计算平台自身的中间件)】2.7业务应用系统/平台【填写说明:以列表的形式给出被测对象中的业务应用系统(包括服务器端和客户端软件等2.8数据类别【填写说明:以列表形式描述具有相近业务属性和安全需求的数据集合。
公安部第十一局关于印发《网络安全等级保护测评机构管理办法》的通知
公安部第十一局关于印发《网络安全等级保护测评机构管理办法》的通知【法规类别】互联网公安综合规定网络安全管理【发文字号】公信安[2018]765号【发布部门】公安部【发布日期】2018.03.23【实施日期】2018.03.23【时效性】现行有效【效力级别】部门规范性文件公安部第十一局关于印发《网络安全等级保护测评机构管理办法》的通知(公信安〔2018〕765号)各省、自治区、直辖市公安厅、局网络安全保卫总队,新疆生产建设兵团公安局网络安全保卫总队:为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,我局在近年来工作实践的基础上,组织制定了《网络安全等级保护测评机构管理办法》。
现印发各地,请认真贯彻执行。
公安部第十一局2018年3月23日网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CSPEC-PGWJ01
信息安全等级测评机构
能力评估申报表
申报单位名称:
申报日期:年月日
填表说明
1.《申报表》必须如实填写,不虚报、错报、漏报。
2.《申报表》须由申报单位盖章,并经法定代表人或被授权人签名方为有效,授权签名的同时提供授权书。
3.《申报表》个别项目填写时可增加A4纸附页。
4.《申报表》有选择项的,在其前面“□”内打“√”。
5.《申报表》在“□其他”项内打“√”的,应在下划线上有文字说明。
6.《申报表》中的项目,如果申报单位没有内容填写的,应写“无”。
7.部分栏目内容填写说明:
1)“四、单位内部管理情况”的“内部管理制度”中,在内容相同的情况下,申报单位内部管理制度的名称与备选项可以不完全相同。
“组织管理情况”是指单位内部管理制度建立、落实执行情况。
2)“五、信息安全测评工作开展情况报告”,是指该单位近年来从事信息安全测评工作的实际业绩,需列举已完成的信息安全测评项目的成功范例。
3)“六、信息安全测评能力报告”,是指该单位从事信息系统安全测评所具备的能力情况,包括技术人员的专业知识、实践经验和测试工具的使用能力,信息系统安全测评活动的质量保证能力,还应包括该单位从事信息安
全理论与技术研究、产品开发、标准制定、项目研讨、学术交流及技术培训等活动的情况。
单位声明
本单位申报成为信息安全等级保护测评机构,依据《信息安全等级保护测评机构及测评人员管理细则》和《信息安全等级测评机构能力规范》的要求,自愿提供申报所需的信息和资料,并保证本《申报表》所填写信息真实、有效,如有不实之处,愿承担由此造成的一切后果及相关的法律责任。
申报单位法定代表人/被授权人签名:
申报单位盖章:
年月日
信息安全等级测评机构能力评估申报表CSPEC-SYWJ01:2010 附表1
信息安全等级测评机构能力评估申报表CSPEC-SYWJ01:2010 附表2
人员签字:日期:
附表3 申报单位设备与设施情况表
附表4 申报单位安全测评设备、工具配备情况表。