信息系统安全等级保护三级评测内容

信息系统安全等级保护三级评测
内容
信息系统安全等级保护二级评测内容
等级保护自上而下分别为：类、控制点和项。

其中，类表示《信息系统安
全等级保护基本要求》在整体上大的分类，其中技术部分分为：物理安全、网
络安全、主机安全、应用安全和数据安全及备份恢复等5 大类，管理部分分为：
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理
等5 大类，一共分为10 大类。

控制点表示每个大类下的关键控制点，如物理安
全大类中的“物理访问控制”作为一个控制点。

而项则是控制点下的具体要求
项，如“机房出入应安排专人负责，控制、鉴别和记录进入的人员。

”
根据等级保护第二级的基本要求，在物理安全、网络安全、主机系统安全、
应用安全、数据安全及备份恢复、安全管理等几方面目前的安全现状进行分析
检测。

物理安全
对象主要为中心机房、重要设备存放物理位置等。

指标及检测内容：
网络安全对象包括：网络结构、交换机、防火墙。

指标及检测内容：
主机系统安全
对象包括：服务器、数据库管理系统。

指标及检测内容：
应用安全
对象：网络内运行的信息系统。

指标及检测内容
数据安全及备份恢复对象包括信息系统以及安全设备、网络设备等。

指标及检查表：
安全管理制度
信息系统安全等级保护基本要求
-安全管理制度
订适用性进行审定；
( G2
安全管理机构
人员安全管理
系统建设管理
信息系统安全等级保护基本要求 -
系统建设管
理
d ）应组织相关部门和有关安全 技术专家对总体安全策略、 安全 技术框架、 安全管理策略、 总体 建设规划、 详细设计方案等相关 2.4.
3 产
品 采
购 和
使 用
（ G2 配
套
文件的合理性和正确性进 行论证和
审
定
，
并
且
经
过
确保密码产品采购和使用 符合国家密码主管部门的要c ）应指定或授权专门的部门负 责产品的2.4.
4 自
行 软
件 开
发
（ G2 a ）应确保开发环境与实际运行 环境物理分开； b ）应制定软件开发管理制度， 明 确说明开发过程的控制方法和
系统运维管理
信息系统安全等级保护基本要求 -系统运维管理
c ）应根据厂家提供的软件升级版 本对网络设备进行更新，并在更 新前对现有的重要文件进行备 份；
d ）应定期对网络系统进行漏洞扫 描，对发现的网络系统安全漏洞 进行及时的修补；
e ）应对网络设备的配置文件进行 定期备份；
f ）应保证所有与外部系统的连接 均得到授权和批准。

2.5.6
系统
安全
管理
（ G2 程序的安装； a ）应根
据
业
务
需
信息系统安全等级保护基本要求-系统运维管理
a
）
应
在
统
2.5.12 应急预案管理
G2 b）应对系统相关的
人员进行应急预案
培训，应急预案的
培训应至少每年举
办一次；。