广东省信息安全等级测评机构备案目录(差距测评)

信息系统安全等级保护备案表备 案 单 位： 备 案 日 期：受理备案单位： 受 理 日 期：中华人民共和国公安部监制备案表编号：填表说明一、制表依据。

根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表；二、填表范围。

本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；三、保存方式。

本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；四、本表中有选择的地方请在选项左侧“ ”划“√”，如选择“其他”，请在其后的横线中注明详细内容；五、封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。

第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号；六、封面中备案单位：是指负责运营使用信息系统的法人单位全称；七、封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。

此项由受理备案的公安机关负责填写并盖章；八、表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行政区划代码；九、表一05单位负责人：是指主管本单位信息安全工作的领导；十、表一06责任部门：是指单位内负责信息系统安全工作的部门；十一、表一08隶属关系：是指信息系统运营使用单位与上级行政机构的从属关系，须按照单位隶属关系代码（GB/T12404―1997）填写；十二、表二02系统编号：是由运营使用单位给出的本单位备案信息系统的编号；十三、表二05系统网络平台：是指系统所处的网络环境和网络构架情况；十四、表二07关键产品使用情况：国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权；十五、表二08系统采用服务情况：国内服务商是指服务机构在中华人民共和国境内注册成立（港澳台地区除外），由中国公民、法人或国家投资的企事业单位；十六、表三01、02、03项：填写上述三项内容，确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》，信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。

信息安全等级保护测评服务项目需求书一、项目内容RR银行股份有限公司成立于RRR年，RRRR年末，资产规模达RRR亿元。

在北京、天津、沈阳、大连、哈尔滨等地区设立分行。

目前，与70多个国家及地区500多个金融机构开展业务，代理行网络遍及世界各地。

作为重点金融机构，其信息系统承载了非常重要的患者数据。

为保证本行信息系统安全、降低风险，提高管理能力，进一步加强内部网络的整体安全防护能力，全面提升我行信息系统整体安全防范能力。

特对本行核心网络系统进行2015年度安全等级保护测评项目，本项目为预算为RR万。

服务范围:、服务年限投标人中标，签订合同之日起一年三、要求条款四、技术要求五、评分因素及评标标准第一部分商务因素（35分）1、本地化服务（3分）（1）投标人是在天津工商行政管理部门注册企业（3分）（2）投标人在天津设有分公司、全资子公司或与本项目服务相关的投资公司（投资比例需超过50%提供户卡或验资报告），并在天津依法纳税满一年的（提供纳税发票复印件）（2分）（3）投标人在本市具有常驻机构，提供房屋租赁合同或产权证明（1 分）2、投标人具备GB/T19001系列或IS09001系列质量管理体系认证，提供证书复印件（1分）具备1分，不具备0分3、投标人需建立安全服务小组，投标人安全服务小组内实施人员应具备信息安全等级保护师认证（项目实施人员应为投标人的本单位的正式员工，提供相关认证原件、劳动合同和社保证明）（3分）（1）投标人安全服务小组内实施人员均为信息安全等级保护测评师，项目中安排高级、中级、初级测评师完成测评工作，分工合理。

（3分）（2）投标人安全服务小组内实施人员部分具备信息安全等级保护测评师认证（1分）（3）投标人安全服务小组内实施人员无信息安全等级保护测评师认证（0分）4、安全服务小组内实施人员应包含CiscoCCIE、华为、华三等认证的安全服务工程师（项目实施人员应为投标人的本单位的正式员工，要求提供相关认证原件、劳动合同和社保证明）。

信息安全等级测评师考试答案1、单选四级系统中，物理安全要求共有（）项。

A、8B、9C、10D、11正确答案：C2、问答题状态检测防火墙的优点是什么？为什么？正确答案：状态检测防火（江南博哥）墙的优点是减少了端口的开放时间，提供了对几乎所有服务的支持。

因为采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。

3、单选《基本要求》的管理部分包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、（）。

A、系统运维B、人员录用C、管理运行D、系统运行正确答案：A4、填空题信息系统定级工作应该按照“（）、（）、（）、（）”的原则进行。

正确答案：自主定级；专家评审；主管部门审批；公安机关审核5、判断题在信息安全等级保护的ASG组合中没有S1A4G4这个组合。

正确答案：错6、问答题为什么要引进密钥管理技术？正确答案：（1）理论因素：通信双方在进行通信时，必须要解决两个问题：A.必须经常更新或改变密钥；B.如何能安全地更新或是改变密钥。

（2）人为因素：破解好的密文非常的困难，困难到即便是专业的密码分析员有时候也束手无策，但由于人员不慎可能造成密钥泄露、丢失等，人为的情况往往比加密系统的设计者所能够想象的还要复杂的多，所以需要有一个专门的机构和系统防止上述情形的发生。

（3）技术因素A.用户产生的密钥有可能是脆弱的；B.密钥是安全的，但是密钥保护有可能是失败的。

7、多选下列Linux说法中正确的是（）。

A、对于配置文件权限值不能大于664----应该是644-rw-r--r--最好是600.B、使用“ls-l文件名”命令，查看重要文件和目录权限设置是否合理C、对于可执行文件的权限值不能大于755D、dr-xr--rw-；用数字表示为523----应该是546正确答案：B, C8、判断题第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

信息安全等级保护测评及服务技术参数一、资质要求1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。

非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。

2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。

3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。

4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。

二、测评系统目录投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。

其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。

表1 三级系统目录表2 二级系统目录特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务投标人在本项目中，须完成以下工作：1.协助完成定级备案的相关工作协助完成测评范围所列信息系统的定级备案工作。

按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。

2. 完成测评范围中所有信息系统的测评工作依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。

测评内容应包括但不限于以下内容：（1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；（2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评；（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。

广东省信息安全等级测评机构管理办法第一篇：广东省信息安全等级测评机构管理办法广东省信息安全等级测评机构管理办法（试行）第一条为规范信息安全等级测评机构管理，提高信息安全保障能力和水平，保障和促进信息化建设，根据《广东省计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定，制定本办法。

第二条本办法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。

第三条信息安全等级测评应当坚持实事求是、客观公正的原则，保证测评活动的独立性和测评结论的准确性。

第四条第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构（简称测评机构）承担：（一）在中华人民共和国境内注册成立（港澳台地区除外），具有相应经营范围的营业执照，注册资本100万元以上；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）近3年完成的测评项目总值150万元以上；（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人；（五）管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事安全测评工作不少于3年，无犯罪记录；（六）工作人员仅限于中国公民，法人及主要业务、技术人员无犯罪记录；（七）具有与所承担项目适应的技术装备；（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（九）对国家安全、社会秩序、公共利益不构成威胁。

第五条我省对测评机构实施备案制度。

符合第四条规定的条件，承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。

第六条信息安全等级测评机构申请备案，应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料：（一）备案申请书；（二）营业执照复印件；（三）管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明；（四）技术装备情况及组织管理制度报告。

关于明确信息安全等级保护测评机构管理有关事项的通知地级以上市公安局网警支队（网监科）、信息安全等级保护测评机构：6月18日，公安部十一局在上海召开会议，对等级测评机构管理相关问题进行了明确，要求开展等级测评的单位不得从事下列活动：一是承担信息系统安全建设整改工作；二是将等级测评任务分包、外包；三是信息安全产品开发、营销和信息系统集成活动；四是限定被测评单位购买、试用其指定的信息安全产品；五是未经许可占有、使用被测评单位有关信息、资料及数据文件。

为贯彻落实会议精神，进一步规范我省等级测评单位管理，现将有关事项明确如下：一、进一步规范测评服务管理。

根据公安部十一局要求，为确保测评活动的公正性，承担测评工作的机构不宜从事信息安全整改、集成服务。

为此，已在我省办理信息安全等级保护测评机构备案的单位，要在7月20日前，以单位名义向原受理的公安网监部门以及我总队提供承诺书，声明在我省开展等级测评工作不违反以上要求。

新申请等级测评的单位，也须提供申请书和承诺书。

我总队将对提供承诺书的情况在备案目录中公示，以便于信息系统运营、使用单位、主管部门选用提供各类测评服务。

未提供承诺书的单位，我总队也将予以公示，供信息系统运营、使用单位在实施安全整改时选用提供差距评估服务。

二、提高测评工作装备水平。

为统一工具标准，我总队制定了《信息安全等级保护测评工具选用指引》（以下简称《指引》），对测评所需的必备工具和选用工具进行了明确。

各测评机构要对照《指引》要求，结合本单位实际，对测评工具进行补充完善，切实满足测评工作需求，提升测评工作质量。

三、推动信息安全等级保护整改。

各级公安网监部门要按照《广东省深化信息系统安全等级保护工作方案》要求，加大各类测评机构和安全服务机构的监督指导力度，发挥其作用，为信息系统运营、使用单位、主管部门提供差距评估、整改方案制订和实施、安全测评等服务，大力推动信息系统的安全整改，切实推动我省信息安全等级保护工作深入开展。

网络安全等级保护测评项目需求一、范围包括本次项目服务范围包括：协助等级保护定级备案服务、等级保护差距分析服务（预测评）、通过测评结果提出整改建议服务、等级保护测评服务、安全培训、应急支持、漏洞检测服务、渗透测试服务、及时通知服务、最新等级保护资料发放、安全管理体系建设服务。

具体报价范围、采购范围及所应达到的具体要求，以本招标文件中商务、技术和服务的相应规定为准。

二、项目概述根据国家《网络安全法》要求，为了保障采购人信息系统的平稳正常运行，维护采购人整体业务的安全性，启动本次安全服务项目。

通过本次安全服务项目实现采购人信息系统的全面测评工作、涵盖技术与管理两大部分，对照国家《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），找出信息系统存在的各类安全风险和隐患。

通过对信息系统的测评，发现安全风险，在被非法意图的攻击者利用前修补漏洞消除风险。

提交完整的测评报告，以备存档。

同时可在监管部门检查时，提供详实的文档供查验。

三、主要技术要求1、信息安全政策依据（一）信息系统实行安全等级保护；（二）实行信息安全等级保护，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南；2、项目实施遵循的技术标准《网络安全法》《信息安全等级保护管理办法》《计算机信息系统安全保护条例》《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）《网络安全等级保护测评报告模版》（2021年版）等3、等级保护测评服务1）信息系统测评对象本项目测评对象为医院管理系统系统、影像管理系统、电子病历管理系统、检验系统、家庭医生签约、基层医疗管理系统、公共卫生系统（三级），包括管理、使用、运维管理制度制定及落实情况，网络设备、服务器、安全设备、应用软件、数据库、用户终端等安全技术保护情况。

报告编号：（-16-1303-01）信息系统安全等级测评报告说明：一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下：第一组为信息系统备案表编号，由2段16位数字组成，可以从公+安机关颁发的信息系统备案证明（或备案回执）上获得。

第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第二组为年份，由2位数字组成。

例如09代表2009年。

第三组为测评机构代码，由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科工局，91为电监会，92为教育部。

后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明本报告是票务系统的安全等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

附件1：信息安全等级保护测评机构异地备案实施细则第一条为加强对等级测评机构异地开展测评项目的管理，规范测评机构异地备案流程，根据《信息安全等级保护管理办法》和《信息安全等级保护测评机构管理办法》，制定本实施细则。

第二条各地已审核推荐的等级测评机构，到推荐地以外地区开展等级测评项目的，应到测评地办理备案手续。

各省级信息安全等级保护协调（领导）小组办公室（以下简称“等保办”）负责受理备案。

第三条等级测评机构办理备案手续，应于异地信息系统等级测评项目合同签订之前完成。

办理时，测评机构应首先到中国信息安全等级保护网站下载《等级测评机构异地测评项目备案表》（以下简称《备案表》），准备好备案相关文件。

第四条测评机构填写完《备案表》并盖章后，应首先提交推荐地省级等保办审阅，再向测评地省级等保办备案。

《备案表》一式三份，测评机构、推荐地和测评地省级等保办各执一份，备案时应提交《备案表》电子文档。

第五条省级等保办收到测评机构提交的备案材料后，应当对备案材料是否完备，是否符合测评工作要求，其纸质材料和电子文档是否一致等内容进行审核，并通过《中国信息安全等级保护网》，核实测评机构和等级测评师的相关信息。

第六条经审核，对备案材料符合要求的，省级等保办应当自收到备案材料之日起的五个工作日内完成备案，并将加盖省级信息安全等级保护专用章的《备案表》反馈测评机构。

对材料不符合要求的，省级等保办应在五个工作日内通知测评机构。

第七条通过备案的测评机构，在异地开展测评项目时，应严格按照《信息安全等级保护测评机构管理办法》第十七条、第十八条等相关规定执行。

第八条测评机构在异地开展等级测评项目，应当遵守当地相关工作要求。

对未办理备案手续而在异地开展等级测评项目的，省级等保办可责令测评机构停止测评活动，直至测评机构办理完成相关备案手续。

第九条国家等保办推荐的等级测评机构到北京以外的区域开展等级测评项目时，也须按照本细则规定办理备案手续。

第十条受理备案的省级等保办应建立管理制度，对备案材料和信息系统等级测评数据进行严格管理。

全国网络安全等级测评与检测评估机构目录
一、中国大陆。

1、中国信息安全测评中心（CISA）。

2、中国信息安全认证中心（CIACA）。

3、中国信息咨询安全技术有限公司（CITST）。

4、中国民航信息安全管理有限公司（CAMS）。

5、中国网络安全与信息化研究中心（CNS）。

6、中国电子公司信息安全与处理认证中心（CEEC）。

7、国家信息安全覆盖检测与评估中心（CCT）。

8、中国计算机技术质量中心（CTQC）。

9、中国联合网络通信有限公司（CNC）。

10、中国网络安全与数据安全研究所（CSDSRI）。

11、上海市信息技术项目评估中心（SITCE）。

12、国家信息技术安全评价中心（NITE）。

13、中国安全认证中心（CSC）。

二、港澳台。

1、香港信息安全协会（HKISA）。

2、香港信息安全标准发展委员会（HKSDC）。

3、香港数据安全与私隐委员会（PDPC）。

4、香港政府信息安全综合评估中心（HGISEC）。

5、台湾信息安全评估机构（TISA）。

6、嘉义信息安全评估中心（JISEC）。

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标（2级） (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通，记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录：等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

信息安全等级保护培训考试试题集CKBOOD was revised in the early morning of December 17, 2020.信息安全等级保护培训试题集一、法律法规一、单选题1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关B．国家保密工作部门C．国家密码管理部门2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关B．国家保密工作部门C．国家密码管理部门D．信息系统的主管部门3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。

(B)A．经济价值经济损失B．重要程度危害程度C．经济价值危害程度D．重要程度经济损失4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级B．第二级C．第三级D．第四级5．一般来说，二级信息系统，适用于（D）A．乡镇所属信息系统、县级某些单位中不重要的信息系统。

小型个体、私营企业中的信息系统。

中小学中的信息系统。

B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。

C．适用于重要领域、重要部门三级信息系统中的部分重要系统。

例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。

D．地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网，非涉及秘密、敏感信息的办公系统等。

信息安全等级保护测评流程介绍!!信息安全等级保护测评流程介绍⼀、等级保护测评的依据：依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第⼗四条：信息系统建设完成后，运营、使⽤单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第⼀级：⽤户⾃主保护级，⽬前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的；第⼆级：系统审计保护级，⼆级信息系统为⾃主检查或上级主管部门进⾏检查，建议时间为每两年检查⼀次；第三级：安全标记保护级，三级信息系统应当每年⾄少进⾏⼀次等级测评；第四级：结构化保护级，四级信息系统应当每半年⾄少进⾏⼀次等级测评；第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进⾏等级测评。

⼆、等级保护⼯作的步骤运营单位确定要开展信息系统等级保护⼯作后，应按照以下步骤逐步推进⼯作：1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、⽹络设备、安全设备等）、机房的模式（⾃建、云平台、托管等）等。

2、对每个⽬标系统，按照《信息系统定级指南》的要求和标准，分别进⾏等级保护的定级⼯作，填写《系统定级报告》、《系统基础信息调研表》（每个系统⼀套）。

运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进⾏专家评审（⼆级系统也需要专家评审）。

4、向属地公安机关⽹监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它新系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统⼀份），完成系统定级备案阶段⼯作。

5、依据确定的等级标准，选取等保测评机构，对⽬标系统开展等级保护测评⼯作（具体测评流程见第三条）。

6、完成等级测评⼯作，获得《信息系统等级保护测评报告》（每个系统⼀份）后，将《测评报告》提交⽹监部门进⾏备案。

委托单位：测评单位：年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）月报告目录1测评项目概述 01.1测评目的 01.2测评依据 01223335663.1.1基本指标 (6)3.1.2附加指标 (8)3.2测评对象 (8)3.2.1选择方法 (8)3.2.2选择结果 (8)3.3测评方法 (10)3.3.1现场测评方法 (10)3.3.2风险分析方法 (10)4等级测评内容 (11)4.1物理安全 (11)4.1.1结果记录 (11)4.1.2问题分析 (11)4.1.3单元测评结果 (11)4.2网络安全 (11)4.2.1结果记录 (11)4.2.2问题分析 (13)13141414154.7.3单元测评结果 (15)4.8人员安全管理 (15)4.8.1结果记录 (15)4.8.2问题分析 (15)4.8.3单元测评结果 (15)4.9系统建设管理 (15)4.9.1结果记录 (15)4.9.2问题分析 (16)4.9.3单元测评结果 (16)4.10系统运维管理 (16)4.10.1结果记录 (16)4.10.2问题分析 (16)4.10.3单元测评结果 (16)4.11工具测试 (16)4.11.1结果记录 (16)4.11.2问题分析 (16)5等级测评结果 (16)1617212122222424 7.3主机安全 (24)7.4应用安全 (24)7.5数据安全及备份恢复 (24)7.6安全管理制度 (24)7.7安全管理机构 (25)7.8人员安全管理 (25)7.9系统建设管理 (25)7.10系统运维管理 (25)附：信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

j) 应检查电子门禁系统是否正常工作（不考虑断电后的工作情况）；查看电子门禁系统运行、维护记录；查看监鉴别，对来访人员须经批准、限制和监控其活动范信息安全等级保护（三级）技术部分差距分析一览表第1页共1页机房或者同一机房的不同区域之间设置有效的物理隔离装置（如隔墙等）；b) 应访谈机房维护人员，询问机房建筑避雷装置是否有人定期进行检查和维护；询问机房计算机系统接地（交流工作接地、安全保护接地）是否符合GB50174－93《电子计算机机房设计规范》的要求；c) 应检查机房是否有建筑防雷设计/验收文档，机房接地设计/验收文档，查看是否有地线连接要求的描述，与实c) 如果有机房出入的管理制度，指定了专人在机是在雷电频繁区域，装设浪涌电压吸收装置等，则7.1.1.4.4 a）为肯定；b) 如果地线的引线和大楼的钢筋网及各种金属管道绝缘，交流工作接地的子门禁系统记录。

物理安全负责人，机房维护人员，机房设施，建筑防雷设计/防雷击（G3）第2页共2页7.1.1全档，机房湿度记录，除湿装置运行记录。

要设备被破坏采取了哪些防护措施，机房建筑是否设置了符合GB 50057－1994《建筑物防雷设计规范》（GB157《建筑防雷设计必要的保护措施，如设置套管等；e) 应检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、渗透和返潮现象是否能够及时修复解决；第3页共3页人，机房维护人员，机房设施，与渗透现象是否采取防范措施；c) 应检查机房是否有建筑防水和防潮设计/验收文档，是否与机房防水防潮的实际情况一致；第4页共4页d) 应检查机房设备外壳是否有安全接地；e) 应检查机房布线，查看是否做到电源线和通信线缆隔离；f) 应检查使用电磁干扰器的涉密设备开机，是否同时开第5页共5页电磁防护（S3）低辐射设备，是否安装了满足BMB4-2000《电磁干扰器技术要求和测试方法》要求的二级电磁干扰器；c) 应检查机房是否有电磁防护设计/验收文档，查看其描人，机房维护人员，机房设施，电磁防护设计/第7页共7页“非法外联”的行为（如产生非法外联的动作，查看边界完整性检查设备是否能够发现该行为）；整性检查设备，7.1.2全性检查7.1.2.4非法联接到内网和非法联接到外网的行为进行监控；查看是否对发现的非法联接行为进行有效的阻断；试。