2015版-CISP0101信息安全保障_v3.0

信息安全技术信息系统安全等级保护测评过程指南附件：报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX信息系统安全等级测评报告模版（2015年版）系统名称：委托单位：测评单位：报告时间：年月日说明：一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下：第一组为信息系统备案表编号，由2段16位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得。

第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第二组为年份，由2位数字组成。

例如09代表2009年。

第三组为测评机构代码，由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科工局，91为电监会，92为教育部。

后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明（声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。

针对特殊情况下的测评工作，测评机构可在以下建议内容的基础上增加特殊声明。

）本报告是xxx信息系统的等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

注册信息安全专业人员（CISP认证）认证介绍国家注册信息安全专业人员(简称：CISP）是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。

2015年6月，全国获得CISP认证资格人员已超过15000名。

认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。

构建全面的信息安全人才体系是国家政策的要求，是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。

是国家政策的要求：中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养，增强全民信息安全意识”的知道精神，重点强调了信息安全人才培养的重要性。

是组织机构信息安全保障建设自身的要求：企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命。

是组织机构人员自身职业为发展的要求：作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的只是和经验，以更好的开展其工作并为自己的只因为发展提供帮助。

认证价值对组织的价值：高素质的信息安全专业人才队伍，是信息安全的保障；信息安全人员持证上岗，满足政策部门的合规性要求；为组织实施信息安全岗位绩效考核提供了标准和依据；是信息安全企业申请安全服务资质必备的条件对个人的价值：适应市场中越来越热的对信息安全人才的需求；通过专业培训和考试提高个人信息安全从业水平；证明具备从事信息安全技术和管理工作的能力；权威认证提升职场竞争中的自身优势；可以获取信息安全专业人士的认可，方便交流。

认证分类根据工作领域和时间广州的需求，可以分为两类：注册信息安全工程师（CISE ）主要从事信息安全技术开发服务工程建设等工作。

CISP课堂笔记信息安全测评体系介绍●测试／检验：按照规定的程序，为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作●评估：对测试／检验产生的数据进行分析、形成结论的技术活动●认证：是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平●信息系统评估通用准则（CC for Information）国际标准ISO/IEC 15408GB idt 18336●TCSEC升级FC，1992年12月公布引入了“保护轮廓PP”这一重要概●FC引入了PP（用户需求），CEM通用测评方法、TOE评估对象、ST安全目标●1993年开始，1996年出现V1.0，1998年出现V2.0，1999年5月，成为ISO 15408●CC主要思想和框架取自FC和ITSEC●1998年10月，国家质量技术监督局授权成立“中国国家信息安全测评中心”●2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式行文（中编办[2001]51号），批准成立“中国信息安全产品测评认证中心”，英文简称为CNITSEC。

●信息安全测评认证两种方法：“质量过程核查”“评估活动评价”●信息安全测评认证三种阶段：准备阶段、评估阶段、认证阶段。

●国际：ISO(国际标准化组织) SC27 WG1:信息安全有关的需求、服务和指南WG2:信息安全技术和机制；WG3:信息安全评估标准；●各国信息安全测评认证体系负责机构美国国家信息保证联盟（NIAP）负责管理和运行美国的信息安全测评认证体系 英国通信电子安全局（CESG）负责管理和运行英国的信息安全测评认证体系澳大利亚国防情报总局（DSD）负责管理和运行澳大利亚的信息安全测评认证体系 加拿大通信安全机构（CSE）负责管理和运行加拿大的信息安全测评认证体系德国信息安全局（GISA）负责管理和运行德国的信息安全测评认证体系法国信息系统安全局（SCSSI）负责管理和运行法国的信息安全测评认证体系●信息安全测评认证的范围：信息技术产品安全性测评认证网络信息系统安全性测评认证信息安全服务单位资质测评认证信息安全服务人员资质测评认证信息安全工程测评认证●信息安全认证业务的范围：信息安全技术的产品（TOE）信息系统的认证信息安全服务提供商资质的认证信息安全专业人员资质认证●CC的结构：第一部分简介和一般介绍第二部分安全功能需求第三部分安全保障需求●评估项目按3人/日:EAL3级（含）以上分级评估将进行现场核查。

CISP考试认证(习题卷32)第1部分：单项选择题，共92题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下列哪一个子网掩码可允许 IP 网络 10.0.0.0 上的每一个子网容纳 2040 台主机A)255.255.0.0B)255.255.254.0C)255.255.248.0D)255.255.240.0答案:C解析:2.[单选题]安全模型明确了安全策略所需的数据结构和技术，下列哪项最好描述了安全模型中的“简单安全规则”？A)Biba模型中的不允许向上写B)Biba模型中的不允许向下读C)Bell-Lapadula模型中的不允许向下写D)Bell-Lapadula模型中的不允许向上读答案:D解析:3.[单选题]多层的楼房中,最适合做数据中心的位置是:A)一楼B)地下室C)顶楼D)除以上外的任何楼层答案:D解析:4.[单选题]风险,在GB /T 22081中定义为事态的概率及其结果的组合。

风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等:目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等, ISO / IEC 13335-1中揭示了风险各要素关系模型,如图所示。

请结合此图,怎么才能降低风险对组织产生的影响?( )A)组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响B)加强防护措施,降低风险C)减少威胁和脆弱点降低风险D)减少资产降低风险答案:A解析:5.[单选题]45.数据链路层负责监督相邻网络节点的信息流动，用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题。

数据链路层的数据单元是()A)报文B)比特流C)帧D)包6.[单选题]在HTTP 状态码中表示重定向的是（）A)200B)302C)403D)500答案:B解析:7.[单选题]在以下标准中，属于推荐性国家标准的是？A)GB/T XXXX.X-200XB)GB XXXX-200XC)DBXX/T XXX-200XD)GB/Z XXX-XXX-200X答案:A解析:8.[单选题]25. 小王是某通信运营商公司的网络按武安架构师，为该公司推出的一项新型通信系统项目做安全架构规划，项目客户要求对他们的大型电子商务网络进行安全域的划分，化解为小区域的 安全保护，每个逻辑区域有各自的安全访问控制和边界控制策略，以实现大规模电子商务系 统的信息保护。

软件运维服务技术规范河南省工商行政管理局2014 年12 月第I 页目录1概述 (1)1.1背景 (1)1.2范围 (2)1.2.1定制应用软件（软件采购项目） (2)1.2.2其他系统软件及应用软件（其他项目） (12)2运维服务需求内容 (14)2.1软件开发需求 (14)2.2软件运行维护需求 (14)2.2.1问题报告单处理 (14)2.2.2软件版本升级 (15)2.2.3软件的部署 (15)2.2.4数据查询、统计与同步 (15)2.2.5突发事件响应及处理 (16)2.2.6软件配置维护 (16)2.2.7重要时间点的保障支持服务 (16)2.2.8各类数据交互程序维护 (16)2.3数据维护需求 (16)2.4系统运行维护需求 (17)2.4.1系统监控 (17)2.4.2数据库及系统备份 (17)2.4.3系统维护、故障分析及调优 (18)3运维服务规范 (19)3.1服务准则 (19)3.2服务流程 (20)3.2.1问题报告单处理流程 (20)3.2.1.1适用范围 (20)3.2.1.2操作流程图 (21)3.2.1.3流程说明 (21)3.2.2版本升级流程 (22)3.2.2.1适用范围 (22)3.2.2.2操作流程图 (23)3.2.2.3流程说明 (24)3.2.3需求变更流程 (24)3.2.3.1适应条件 (24)3.2.3.2操作流程图 (25)3.2.4政策变更引起程序调整流程 (26)3.2.4.1适应范围 (26)3.2.4.2操作流程图 (26)3.2.4.3流程说明 (27)3.2.5数据库操作流程 (27)3.2.5.1适应范围 (27)第II 页运维服务技术规范3.2.5.2操作流程图 (28)3.2.5.3流程说明 (28)3.2.6业务数据修改流程 (29)3.2.6.1适应范围 (29)3.2.6.2操作流程图 (30)3.2.6.3流程说明 (30)3.2.7数据提供流程 (31)3.2.7.1适应范围 (31)3.2.7.2操作流程图 (31)3.2.7.3流程说明： (32)3.2.8事故处理流程 (32)3.2.8.1事故处理目标 (32)3.2.8.2处理流程图 (33)3.2.8.3流程说明 (33)3.2.8.4应急预案目标 (34)3.2.8.5处理流程图 (34)3.2.8.6流程说明 (35)3.3系统监控 (36)3.3.1系统监控概述 (36)3.3.2监控手段 (36)3.3.3监控项目 (36)3.3.4监控要求 (36)4运维服务要求 (37)4.1现场服务要求 (37)4.2集成服务要求 (37)4.3培训要求 (38)4.4信息安全管理要求 (38)5运维服务考核指标体系 (39)第III 页1 概述河南省工商行政管理局金信工程项目自2009 年上线以来，信息系统运行稳定，应用软件满足了工商业务不断发展的需要，实现了全省工商系统软件应用与数据的全省大集中、大统一，该项目于2009 年9 月份完成验收。

中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A．提高信息技术产品的国产化率B．保证信息安全资金投入C．加快信息安全人才培养D．重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？A．强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B．强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C．以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D．通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是：A．信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全B．通过技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C．是一种通过客观证据向信息系统评估者提供主观信心的活动D．是主观和客观综合评估的结果4.与PDR模型相比，P2DR模型多了哪一个环节？A．防护B．检测C．反应D．策略5.在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于_______。

A．明文B．密文C．密钥D．信道6.通过对称密码算法进行安全消息传输的必要条件是：A．在安全的传输信道上进行通信B．通讯双方通过某种方式，安全且秘密地共享密钥C．通讯双方使用不公开的加密算法D．通讯双方将传输的信息夹杂在无用信息中传输并提取7.以下关于代替密码的说法正确的是：A．明文根据密钥被不同的密文字母代替B．明文字母不变，仅仅是位置根据密钥发生改变C．明文和密钥的每个bit异或D．明文根据密钥作移位8.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效，已经替代DES成为新的数据加密标准。

1.信息安全特征：信息安全是系统的安全，是动态的安全，是无边界的安全，是非传统的安全。

2.信息系统包含三个要素：信息，计算机网络系统和运行环境。

3.1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）.4.信息技术安全性评估准则，即通用准则CC（ISO/IEC 15408，GB/T 18336），其中保障定义为，实体满足其安全目的的信心基础。

5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。

6.信息安全管理体系－ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会（BSI）的77997.信息安全保障模型：保障要素：管理、工程、技术、人员。

安全特征：保密、完整、可用。

生命周期：规划组织、开发采购、实施交付、运行维护、废弃。

策略和风险是安全保障的核心问题。

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。

8.风险管理贯穿整个信息系统生命周期，包括对象确立，风险评估，风险控制，审核批准，监控与审查和沟通与咨询6个方面。

9.基于时间的PDR模型（保护－检测－响应）是信息安全保障工作中常用的模型。

该模型的出发点是基于这样的前提：任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破。

10.P2DR（策略－保护检测响应）：所有的行为都是依据安全策略实施的。

该模型强调安全管理的持续性、安全策略的动态性。

防护时间Pt，检测时间Dt,反应时间Rt：如果pt>dt+rt,则系统安全；如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。

信息安全等级测评ICS 35.040 L80 GB/T ×××××—×××× 信息安全技术信息系统安全等级保护测评过程指南 Information security technology- Testing and evaluation process guide forclassified protection of information system security ××××-××-××发布××××-××-××实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T XXXX – XXXX I 目次前言 ................................................................. ........................................................................... IV引言 ................................................................. ............................................................................ V1 范围 ................................................................. ......................................................................12 规范性引用文件 ................................................................. .................................................. 13 术语和定义 ................................................................. .......................................................... 14 等级测评概述 ..................................................................... .................................................. 14.1 等级测评的作用 ................................................................. .................................................. 14.2 等级测评执行主体 ..................................................................... .......................................... 24.3 等级测评风险 ..................................................................... .................................................. 24.3.1 验证测试影响系统正常运行 ................................................................. .......................... 24.3.2 工具测试影响系统正常运行 ..................................................................... ...................... 24.3.3 敏感信息泄漏 ................................................................. .................................................. 24.4 等级测评过程 ..................................................................... .................................................. 24.4.1 测评准备活动 ..................................................................... .............................................. 34.4.2 方案编制活动 ................................................................. .................................................. 34.4.3 现场测评活动 ..................................................................... .............................................. 34.4.4 分析与报告编制活动 ..................................................................... .................................. 35 测评准备活动 ................................................................. ...................................................... 35.1 测评准备活动的工作流程 ..................................................................... .............................. 35.2 测评准备活动的主要任务 ................................................................. .................................. 35.2.1 项目启动 ................................................................. .......................................................... 35.2.2 信息收集和分析 ..................................................................... .......................................... 45.2.3 工具和表单准备 ................................................................. .............................................. 45.3 测评准备活动的输出文档 ..................................................................... .............................. 55.4 测评准备活动中双方的职责 ..................................................................... .......................... 56 方案编制活动 ................................................................. ...................................................... 56.1 方案编制活动的工作流程 ..................................................................... .............................. 56.2 方案编制活动的主要任务 ................................................................. .................................. 66.2.1 测评对象确定 ................................................................. .................................................. 66.2.2 测评指标确定 ..................................................................... .............................................. 76.2.3 测试工具接入点确定 ..................................................................... .................................. 86.2.4 测评内容确定 ................................................................. .................................................. 96.2.5 测评指导书开发 ..................................................................... .......................................... 96.2.6 测评方案编制 ................................................................................................................. 10GB/T XXXX – XXXX 6.3 方案编制活动的输出文档 ................................................................. ................................ 116.4 方案编制活动中双方的职责 ..................................................................... ........................ 117 现场测评活动 ................................................................. .................................................... 117.1 现场测评活动的工作流程 ..................................................................... ............................ 117.2 现场测评活动的主要任务 ................................................................. ................................ 127.2.1 现场测评准备 ................................................................. ................................................ 127.2.2 现场测评和结果记录 ..................................................................... ................................ 127.2.3 结果确认和资料归还 ..................................................................... ................................ 147.3 现场测评活动的输出文档 ................................................................. ................................ 157.4 现场测评活动中双方的职责 ..................................................................... ........................ 158 分析与报告编制活动 ..................................................................... .................................... 168.1 分析与报告编制活动的工作流程 ..................................................................... ................ 168.2 分析与报告编制活动的主要任务 ................................................................. .................... 168.2.1 单项测评结果判定 ................................................................. ........................................ 168.2.2 单元测评结果判定 ..................................................................... .................................... 178.2.3 整体测评 ..................................................................... .................................................... 188.2.4 风险分析 ................................................................. ........................................................ 188.2.5 等级测评结论形成 ..................................................................... .................................... 198.2.6 测评报告编制 ................................................................. ................................................ 198.3 分析与报告编制活动的输出文档 ..................................................................... ................ 208.4 分析与报告编制活动中双方的职责 ..................................................................... ............ 20附录A .................................................................. ........................................................................ .... 22附录B .................................................................. ........................................................................ .... 24B.1 测评对象确定原则和方法 ................................................................. ................................ 24B.2 具体确定方法说明 ................................................................. ............................................ 24B.2.1 第一级信息系统 ..................................................................... ........................................ 24B.2.2第二级信息系统 ..................................................................... ........................................25B.2.3 第三级信息系统 ................................................................. ............................................ 25B.2.4 第四级信息系统 ..................................................................... ........................................ 26附录C .................................................................. ........................................................................ .... 27C.1 依据标准遵循原则 ................................................................. ........................................ 27C.2 恰当选取保证强度 ..................................................................... .................................... 27C.3 规范行为规避风险 ..................................................................... .................................... 27附录D .................................................................. ........................................................................ .... 27D.1 测评方案编制示例 ................................................................. ............................................ 27GB/T XXXX – XXXX III D.1.1 被测系统描述 ................................................................. ................................................ 27D.1.2 测评对象 ..................................................................... ....................................................28D.1.3 测评指标 ................................................................. ........................................................ 30D.1.4 测评工具和接入点 ..................................................................... ....................................31D.1.5 测评内容 ................................................................. ........................................................ 32D.1.6 测评指导书 ..................................................................... ................................................35D.2 测评报告编制示例 ................................................................. ............................................ 38D.2.1 整体测评 ................................................................. ........................................................ 38D.2.2 整改建议 ..................................................................... . (40)参考文献 ................................................................. ........................................................................42GB/T XXXX – XXXX 前言略 GB/T XXXX – XXXX V 引言依据《中华人民共和国计算机信息系统安全保护条例》国务院147号令、《国家信息化领导小组关于加强信息安全保障工作的意见》中办发200327号、《关于信息安全等级保护工作的实施意见》公通字200466号和《信息安全等级保护管理办法》公通字200743号制定本标准。

信息安全专业人员注册指南中国信息安全测评中心二00八年八月目录0 引言 (1)1 能力要求 (1)2 注册人员范围 (1)3 注册信息安全专业人员道德准则 (2)4 注册程序 (3)5 培训 (4)6 考试 (4)7 申请注册 (5)8 经历审核 (7)9 评估、注册与公布 (7)9.1评估 (7)9.2注册与公布 (7)10 注册维持 (8)11 专业发展 (10)12 处罚 (11)13 争议、投诉与申诉 (12)14 注册人员档案 (12)15 有关费用 (12)0 引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的英文名称为：China Information Technology Security Evaluation Center，简称：CNITSEC。

中国信息安全测评中心始建于1997年，1998年以“中国互联网络安全产品测评认证中心”的名称试运行。

同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。

2001年，中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”，并批准了相应的职能任务和机构编制。

2007年，经中央批准，增加漏洞分析和风险评估职能，更名为“中国信息安全测评中心”，成为国家信息安全专控队伍。

(以下简称中心)“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”，英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员”英文为Certified Information Security Auditor(简称CISA)。

CISP 信息安全标准与法律法规介绍CISP（China Information Security Evaluation Standard）是由中国信息安全测评中心（CISE）制订的信息安全测评标准。

CISP分为5个等级，分别是CISP-1、CISP-2、CISP-3、CISP-4和CISP-5，其中CISP-5是最高等级。

CISP主要用于评估企业的信息安全水平，并根据评估结果给出相应的建议和改进措施。

除了CISP标准，中国还有其他一些相关的信息安全标准和法律法规。

CISP信息安全标准CISP-1CISP-1是最低安全等级，适用于对信息安全要求不高的小型企业。

CISP-1要求企业建立基本的信息安全管理制度，确保开展信息处理活动的合法性、正确性和安全性。

此外，CISP-1还要求企业对重要的信息资产进行分类和保护，并建立基本的安全防护措施，如防火墙、反病毒软件等。

CISP-2CISP-2适用于对信息安全要求较高的中小型企业。

CISP-2包括CISP-1的所有要求，并增加了一些额外要求，如完善的安全管理制度、信息安全培训和考核、网络安全事件的应急处理等。

CISP-3CISP-3适用于对信息安全要求较高的大型企业和政府机构。

CISP-3包括CISP-2的所有要求，并增加了一些更高级别的安全措施，如网络边界控制、网络入侵检测、流量监控等。

CISP-4CISP-4适用于对信息安全要求非常高的特定行业和组织，如金融机构、国家机密单位等。

CISP-4包括CISP-3的所有要求，并增加了一些更严格的安全措施，如网络隔离、异地备份、安全审计等。

CISP-5CISP-5是最高等级，适用于对信息安全要求极高的行业和组织，如核电站、军事领域等。

CISP-5包括CISP-4的所有要求，并增加了更加高级别的安全措施，如身份认证、权限控制、加密等。

法律法规《网络安全法》《网络安全法》是中国首部全面、系统的网络安全立法，于2016年11月7日正式施行。

信息安全产品实施政府采购的相关政策要求目录1. 相关政策文件及通知 (2)1.1 福建省财政厅通知： (2)1.2 （财库〔2010〕48号）主要内容： (2)1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容： (3)2. 信息安全等级保护法规： (3)3. 防火墙产品ISCCC认证级别与等级保护要求对比： (4)3.1 信息安全等级保护技术要求： (4)3.2 防火墙ISCCC认证技术要求： (5)3.3 技术要求对比结论 (6)4. 经常接触产品的ISCCC认证情况： (7)5. 目前获得ISCCC认证的产品名录： (14)1. 相关政策文件及通知1.1 福建省财政厅通知：省直各单位，各设区市财政局、信息产业主管部门、质监局：根据《中华人民共和国政府采购法》，为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）要求，规范政府采购信息安全产品行为，现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》（财库〔2010〕48号）转发给你们，请认真遵照执行。

二0一0年五月十九日1.2 （财库〔2010〕48号）主要内容：一、各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

二、在政府采购活动中，采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。

三、对采购人或其委托的采购代理机构未按上述要求采购的，有关部门要按照有关法律、法规和规章予以处理，财政部门视情况可以拒付采购资金。

1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容：根据《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）规定，在政府采购法规定范围内实行强行认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。