信息系统安全测评(修订版)

合集下载

信息安全等级测评师考试题

信息安全等级测评师考试题

信息安全等级测评师考试题1、问答题AES算法采用什么结构?与DES算法结构有何区别?正确答案:AES算法采用SP网络结构,轮变换是由三个不同的可逆一致变换组成,称之为层。

不同层的选择建立在(江南博哥)宽轨迹策略的应用基础上每层都有它自己的函数。

这三层分别是线性混合层,非线性层和密钥加层。

而DES 采用的是Feistel网络结构,中间状态的部分比特不加改变简单转臵到下一轮的其他位臵。

2、问答题对分组密码的常见攻击有哪些?正确答案:唯密文攻击,已知明文攻击,选择明文攻击,选择密文攻击。

3、填空题定级指南》从()、()等方面提出了确定信息系统安全保护等级的要素和方法。

正确答案:业务信息安全;系统服务安全4、单选信息系统建设完成后,()的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

A.二级以上B.三级以上C.四级以上D.五级以上正确答案:A5、多选主机安全是指对信息系统涉及到的哪方面进行主机系统安全保护。

()A、服务器B、入侵检测C、工作站D、准入控制正确答案:A, C6、单选数字签名是指()。

A、用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据B、用户用公钥对原始数据的哈希摘要进行加密所得的数据C、用户用自己的私钥对已加密信息进行再加密所得的数据D、用户用公钥对已加密信息进行再加密所得的数据正确答案:A7、判断题在信息安全等级保护中,第三级信息系统和第四级信息系统都具有强制性。

正确答案:对8、单选基本要求》中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及其()五个方面。

A、数据恢复B、系统恢复C、信息恢复D、备份恢复正确答案:D9、多选三级信息系统的测试验收包括如下()内容。

A、应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;B、在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;C、应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;D、应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。

信息系统安全等级保护测评服务方案

信息系统安全等级保护测评服务方案

信息系统安全等级保护测评服务方案(一)建设背景随着医院信息化的快速发展,网络资产正逐渐成为医院日常运营、管理的重要工具和支撑,各种互联网应用如网上挂号、门诊、电子病历等系统越来越多,Web服务器、存储设备、网络设备、安全设备越来越复杂,带给管理员的资产管理工作也愈发困难,久而久之,日积月累,产生大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规,为医院信息系统安全带来极大的隐患。

为贯彻落实国家信息安全等级保护制度,进一步完善医院信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高医院系统信息安全防护能力,同时加强对医院信息系统安全的指导和检查工作,特拟请独立、专业的第三方测评机构对医院信息系统进行等级保护测评服务。

(二)项目依据服务单位应依据国家信息系统安全等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:1.GB/T 22239-2019:《信息安全技术网络安全等级保护基本要求》2.GB/T 22240-2020 《信息安全技术网络安全等级保护定级指南》3.GB/T 28448-2019:《信息安全技术网络安全等级保护测评要求》4.GB/T 28449-2018:《信息安全技术网络安全等级保护测评过程指南》5.GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》(三)项目建设必要性《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

(四)项目原则本次信息系统等级保护测评实施方案设计与具体实施应满足以下原则:1.保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究服务单位的责任。

信息技术安全评估通用准则

信息技术安全评估通用准则

信息技术安全评估通用准则
《信息技术安全评估通用准则》
信息技术安全评估是企业和组织确保其信息系统和数据安全的重要步骤。

通过对系统、网络和软件的安全性进行全面评估,可以有效识别并解决潜在的安全风险,提高系统的可靠性和稳定性。

在进行信息技术安全评估时,需要遵循一系列通用准则,以确保评估的全面性和有效性。

首先,评估范围和目标需要明确。

在开始评估之前,需要确定评估的范围和目标,包括评估的对象、要求达到的安全标准以及评估的目的。

这有助于明确评估的重点和方向,确保评估的有效性。

其次,评估过程和方法需科学合理。

评估过程需要遵循科学的方法论,包括对系统结构和功能的详细了解、安全漏洞的识别和分析、安全风险的评估和等级划分等步骤。

评估方法需要综合运用技术手段和专业知识,以确保评估的全面性和准确性。

此外,评估结果需客观真实。

评估结果需要客观、准确地反映出系统的安全状况和存在的安全风险。

评估人员应该坚持客观公正的原则,不受外部因素的影响,确保评估结果的真实性和可信度。

最后,评估报告需清晰完整。

评估完成后,需要及时编制和提交评估报告,报告内容应该包括对评估范围和目标的描述、评估过程和方法的说明、评估结果的总结和分析、安全风险的建议措施等内容。

报告需清晰明了,让相关人员可以清晰地了解评估结果和建议措施,以便及时采取应对措施。

总之,《信息技术安全评估通用准则》是进行信息技术安全评估时的重要参考,遵循这些准则有助于提高评估的质量和效果,确保信息系统的安全性和可靠性。

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则目录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 总则 (2)4.1 测评原则 (2)4.2 测评内容 (2)4.2.1基本内容 (2)4.2.2工作单元 (3)4.2.3测评强度 (4)4.3 结果重用 (4)4.4 使用方法 (4)5 第一级安全控制测评 (5)5.1安全技术测评 (5)5.1.1物理安全 (5)5.1.2网络安全 (7)5.1.3 主机系统安全 (9)5.1.4 应用安全 (11)5.1.5 数据安全 (13)5.2 安全管理测评 (15)5.2.1 安全管理机构 (15)5.2.2 安全管理制度 (17)5.2.3 人员安全管理 (17)5.2.4 系统建设管理 (19)5.2.5 系统运维管理 (23)6 第二级安全控制测评 (27)6.1 安全技术测评 (27)6.1.1 物理安全 (27)6.1.2 网络安全 (33)6.1.3 主机系统安全 (37)6.1.4 应用安全 (42)6.1.5 数据安全 (47)6.2 安全管理测评 (50)6.2.1 安全管理机构 (50)6.2.2 安全管理制度 (52)6.2.3 人员安全管理 (54)6.2.4 系统建设管理 (56)6.2.5 系统运维管理 (61)7 第三级安全控制测评 (69)7.1 安全技术测评 (69)7.1.1 物理安全 (69)7.1.2 网络安全 (76)7.1.3 主机系统安全 (82)7.1.4 应用安全 (90)7.1.5 数据安全 (97)7.2 安全管理测评 (99)7.2.1 安全管理机构 (99)7.2.2 安全管理制度 (104)7.2.3 人员安全管理 (106)7.2.4 系统建设管理 (109)7.2.5 系统运维管理 (115)8 第四级安全控制测评 (126)8.1 安全技术测评 (126)8.1.1 物理安全 (126)8.1.2 网络安全 (134)8.1.3 主机系统安全 (140)8.1.4 应用安全 (149)8.1.5 数据安全 (157)8.2 安全管理测评 (160)8.2.1 安全管理机构 (160)8.2.2 安全管理制度 (164)8.2.3 人员安全管理 (166)8.2.4 系统建设管理 (169)8.2.5 系统运维管理 (176)9 第五级安全控制测评 (188)10 系统整体测评 (188)10.1 安全控制间安全测评 (188)10.2 层面间安全测评 (189)10.3 区域间安全测评 (189)10.4 系统结构安全测评 (190)附录A(资料性附录)测评强度 (191)A.1测评方式的测评强度描述 (191)A.2信息系统测评强度 (191)附录B(资料性附录)关于系统整体测评的进一步说明 (197)B.1区域和层面 (197)B.1.1区域 (197)B.1.2层面 (198)B.2信息系统测评的组成说明 (200)B.3系统整体测评举例说明 (201)B.3.1被测系统和环境概述 (201)B.3.1安全控制间安全测评举例 (202)B.3.2层面间安全测评举例 (202)B.3.3区域间安全测评举例 (203)B.3.4系统结构安全测评举例 (203)信息系统安全等级保护测评准则1范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括第一级、第二级、第三级和第四级信息系统安全控制测评要求和系统整体测评要求。

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则目录1 范围12 规范性引用文件13 术语和定义14 总则24.1 测评原则24.2 测评内容24.2.1基本内容24.2.2工作单元34.2.3测评强度44.3 结果重用44.4 使用方法45 第一级安全控制测评55.1安全技术测评55.1.1物理安全55.1.2网络安全75.1.3 主机系统安全95.1.4 应用安全115.1.5 数据安全135.2 安全管理测评155.2.1 安全管理机构155.2.2 安全管理制度175.2.3 人员安全管理175.2.4 系统建设管理195.2.5 系统运维管理236 第二级安全控制测评276.1 安全技术测评276.1.1 物理安全276.1.2 网络安全336.1.3 主机系统安全376.1.4 应用安全426.1.5 数据安全476.2 安全管理测评506.2.1 安全管理机构506.2.2 安全管理制度526.2.3 人员安全管理546.2.4 系统建设管理566.2.5 系统运维管理617 第三级安全控制测评697.1 安全技术测评697.1.1 物理安全697.1.2 网络安全767.1.3 主机系统安全827.1.4 应用安全907.1.5 数据安全977.2 安全管理测评997.2.1 安全管理机构997.2.2 安全管理制度1047.2.3 人员安全管理1067.2.4 系统建设管理1097.2.5 系统运维管理1158 第四级安全控制测评1268.1 安全技术测评1268.1.1 物理安全1268.1.2 网络安全1348.1.3 主机系统安全1408.1.4 应用安全1498.1.5 数据安全1578.2 安全管理测评1608.2.1 安全管理机构1608.2.2 安全管理制度1648.2.3 人员安全管理1668.2.4 系统建设管理1698.2.5 系统运维管理1769 第五级安全控制测评18810 系统整体测评18810.1 安全控制间安全测评18810.2 层面间安全测评18910.3 区域间安全测评18910.4 系统结构安全测评190附录A(资料性附录)测评强度190A.1测评方式的测评强度描述190A.2信息系统测评强度191附录B(资料性附录)关于系统整体测评的进一步说明196 B.1区域和层面196B.1.1区域196B.1.2层面197B.2信息系统测评的组成说明199B.3系统整体测评举例说明200B.3.1被测系统和环境概述200B.3.1安全控制间安全测评举例201B.3.2层面间安全测评举例201B.3.3区域间安全测评举例202B.3.4系统结构安全测评举例202信息系统安全等级保护测评准则1范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括第一级、第二级、第三级和第四级信息系统安全控制测评要求和系统整体测评要求。

信息系统安全等级保护测评(樊山)

信息系统安全等级保护测评(樊山)

相关规定
4. 第四级为强制保护级,适用于涉及国家安 全、社会秩序、经济建设和公共利益的重要信 息和信息系统,其受到破坏后,会对国家安全、 社会秩序、经济建设和公共利益造成严重损害。 5. 第五级为专控保护级,适用于涉及国家安 全、社会秩序、经济建设和公共利益的重要信 息和信息系统的核心子系统,其受到破坏后, 会对国家安全、社会秩序、经济建设和公共利 益造成特别严重损害。
相关规定
1999年,强制性国家标准-《计算机信息系 年 强制性国家标准- 统安全保护等级划分准则》 统安全保护等级划分准则》GB 17859) ) 本标准规定了计算机信息系统安全保护能力的 五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级;
安全保护
检测评估
监督检查
技术标准
管理规范
等级保护体系简介
安全等级定级指南 风险分析 其他标准要求 基本要求
实 施 指 南
等 级 分
系统特定需求
等级化要求
等级系统保护策略与安全方案 等级系统保护方案 安全 安全 系统安全 安全 护 安全 安全风险 等 级 分
风险
要求
系统

指南
信息系统等级划分
信息系统和业务子系统: 信息系统和业务子系统: 信息系统是指基于计算机或计算机网络,按照 信息系统是指基于计算机或计算机网络, 一定的应用目标和规则对信息进行采集、加工、 一定的应用目标和规则对信息进行采集、加工、 存储、传输、检索和服务的人机系统; 存储、传输、检索和服务的人机系统; 业务子系统由信息系统的一部分组件构成, 业务子系统由信息系统的一部分组件构成,是 信息系统中能够承载某项业务工作的子系统。 信息系统中能够承载某项业务工作的子系统。

信息安全等级测评师测试题集

信息安全等级测评师测试题集

信息安全等级测评师测试题集(总46页)-CAL-FENGHAL-(YICAI)-Company One 1■CAL■本页仅作为文档封面,使用请直接删除信息安全等级测评师测试一、单选题(14分)1、下列不属于网络安全测试范畴的是(C )A.结构安全B.边界完整性检查C.剩余信息保护D.网络设备防护2、下列关于安全审计的内容说法中错误的是(D )。

A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。

B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

C.应能根据记录数据进行分析,并生成报表。

D.为了节约存储空间,审计记录可以随意删除、修改或覆盖。

3、在思科路山器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个。

(A )A. exec-timeout 10 0 B・ exec-timeout 0 10C・ idle一timeout 10 0 D・ idle一timeout 0 104、用于发现攻击目标。

(A )A. ping扫描B.操作系统扫描C.端口扫描D.漏洞扫描5、防火墙提供的接入模式中包括。

(ABCD )A.网关模式B.透明模式C•混合模式D.旁路接入模式6、路由器工作在。

(C )A.应用层B.链接层C.网络层D.传输层7、防火墙通过—控制来阻塞邮件附件中的病毒。

(A )A.数据控制B.连接控制C. ACL控制D.协议控制二.多选题(36分)1、不同设VLAX之间要进行通信,可以通过—<> (A B )A交换机B路由器C网闸D入侵检测E入侵防御系统2、能够起到访问控制功能的设备有_____ 。

( ABD )A网闸B三层交换机C入侵检测系统D防火墙3、路由器可以通过来限制带宽。

(ABCD )A.源地址B.目的地址C.用户D.协议4、IPSec通过实现密钥交换、管理及安全协商。

(CD )A. AH B・ ESP C・ ISAKMP/Oakley D・ SKIP5、交换机可根据 ________ 来限制应用数据流的最大流量。

信息安全体系评测

信息安全体系评测

《信息安全体系结构与安全测评》实验报告姓名:学号:班级:指导教师:****年**月**日目录1 实验目的 (3)2 实验环境 (3)3 实验内容 (3)4 实验步骤 (4)4.1主机运行状态评估 (4)4.2主机安全扫描 (5)4.3主机攻击扫描 (8)4.4安全评估测试 (9)5 评估报告 (10)6 安全建议 (10)7 附件1........................................................................................................ 错误!未定义书签。

8 附件2........................................................................................................ 错误!未定义书签。

9 附件3........................................................................................................ 错误!未定义书签。

10 附件4........................................................................................................ 错误!未定义书签。

1实验目的掌握利用SecAnalyst对本地主机运行状态评估掌握利用MBSA 对本地状态综合评估掌握利用X-scan 模拟外部攻击对本地主机攻击扫描评估掌握利用MSAT 对主机进行安全评估掌握对网络进行安全评估分析的基本要点,并进行相关的安全措施改进,以实现对网络安全的整体规划及实现2实验环境Windows 7系统主机网络拓扑如图2.1所示;分别对不同网段进行扫描评估等操作,评估整个网络架构的安全性。

中国软件评测中心信息系统安全测评报告

中国软件评测中心信息系统安全测评报告

中国软件评测中心信息系统安全测评报告一、前言随着信息技术的飞速发展,信息系统已成为我国经济社会发展的重要支撑。

保障信息系统安全,对于维护国家安全、社会稳定和人民群众利益具有重要意义。

为了全面了解我国信息系统安全状况,提高信息安全防护能力,中国软件评测中心对某单位信息系统进行了安全测评。

二、测评背景1. 测评目的本次测评旨在全面了解某单位信息系统的安全状况,发现潜在的安全风险,为信息系统安全防护提供科学依据。

2. 测评依据测评依据主要包括以下标准:(1)GB/T 222392008《信息安全技术信息系统安全等级保护基本要求》(2)GB/T 250582010《信息安全技术信息安全风险评估规范》(3)ISO/IEC 27001:2013《信息安全管理系统》(4)其他相关法律法规、标准及最佳实践3. 测评范围本次测评范围包括某单位信息系统的硬件设备、软件系统、网络设备、安全设备、管理制度、人员安全意识等方面。

三、测评过程1. 测评准备(1)成立测评团队:由中国软件评测中心抽调具有丰富经验的测评人员组成。

(2)制定测评方案:根据测评目的、依据和范围,制定详细的测评方案。

(3)收集相关信息:收集某单位信息系统的相关资料,包括硬件设备、软件系统、网络设备、安全设备、管理制度等。

2. 测评实施(1)物理安全测评:对信息系统的硬件设备、网络设备等进行物理安全检查。

(2)网络安全测评:对信息系统的网络架构、网络设备、安全设备等进行安全测评。

(3)系统安全测评:对信息系统的操作系统、数据库、中间件等进行安全测评。

(4)应用安全测评:对信息系统的应用程序进行安全测评。

(5)管理制度测评:对信息系统的安全管理制度、应急预案等进行测评。

(6)人员安全意识测评:对信息系统使用人员进行安全意识测评。

3. 测评结果分析根据测评数据,分析信息系统存在的安全风险,形成测评报告。

四、测评发现的安全问题及整改建议1. 物理安全(1)问题描述:部分硬件设备存在损坏、老化现象,可能导致系统运行不稳定。

(完整word版)信息安全技术网络安全等级保护测评要求

(完整word版)信息安全技术网络安全等级保护测评要求

信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。

信息安全等级测评师模拟试卷(二)有答案

信息安全等级测评师模拟试卷(二)有答案

信息安全等级测评师测试一、单选题(16分)中卫科技1、下列命令中错误的是。

(c)A、PASS_MAX_DAYS 30 #登录密码有效期30天B、PASS_MIN_DAYS 2 #登录密码最短修改时间2天C、FALL_DELAY 10 #登录错误时等待10分钟D、FALLLOG_ENAB YES #登录错误记录到日志2、Windows操作系统可以通过配置来对登录进行限制。

(C )A、系统环境变量B、通过ip地址C、账户锁定策略D、读写保护3、Windows安装完成后,默认情况下会产生两个账号,分别是管理员账号和。

( C )administrator和guest两个A、本地账号B、域账号C、来宾账号D、局部账号4、有编辑/etc/passad文件能力的攻击者可以通过把UID变为就可以作为特权用户。

( B )应该是/etc/passwd文件,题目写错了。

A、-1B、0C、 1D、 25、敏感标记是由的安全管理员进行设置的,通过对设置敏感标记,决定主体以何种权限对客体进行操作,实现强制访问控制。

( C )A、强制性重要信息资源B、强认证一般信息资源C、强认证重要信息资源D、强制性一般信息资源6、发现入侵的最简单最直接的方法是去看和。

(B )A、审计记录系统文件B、系统记录安全审计文件C、系统记录系统文件D、审计记录安全审计文件7.windows和linux操作系统用户密码最长使用期限推荐配置为(C )A.30天60天 B. 60天90天C. 70天90天D. 50天70天8.Windows操作系统中,本地登录权限对用户组不开放。

( D ) A.Guest B.Administartors ers D.Everyone二、多选题(27分)1、下列Linux说法中正确的是。

( B C )A、对于配置文件权限值不能大于664 ----应该是644 - rw - r- - r - -最好是600.B、使用“ls-l文件名”命令,查看重要文件和目录权限设置是否合理C、对于可执行文件的权限值不能大于755D、dr-xr--rw-;用数字表示为523----应该是5462、对于账户的管理合理的是。

信息系统安全等级测评方案书

信息系统安全等级测评方案书

信息系统安全等级测评方案书目录一、概述 01、项目背景 02、项目实施的意义 (1)二、信息系统定级备案 (2)1、信息系统分析 (2)2、安全保护等级确定 (3)3、信息系统定级步骤及定级明细 (4)4、信息系统安全保护等级定级明细 (5)5、信息系统备案 (6)三、测评实施 (6)1、目标系统的测评范围 (6)2、项目输出 (6)3、测评依据 (7)4、系统网络拓扑图 (8)5、系统构成 (8)6、测评指标 (12)7、测评方法、工具、流程 (13)8、测评内容 (17)四、测评费用预估及所包含服务内容 (119)一、概述1、项目背景信息安全等级保护是党中央国务院决定在信息安全领域实施的基本国策,由公安部牵头经过十余年的探索和实践,信息安全等级保护的政策、标准体系已经基本形成。

在1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)第九条规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级的具体办法,由公安部会同有关部门制定。

2003年颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。

2004年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)中再次强调,信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的一项基本制度。

2011年12月6日发布的《省计算机信息系统安全保护办法》(省人民政府令第183号文件)第九条明确要求计算机信息系统涉及国家安全、社会公共利益、重大经济建设等信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况进行测评。

信息系统安全等级保护测评过程指南

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院 号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发☯号)、《关于信息安全等级保护工作的实施意见》(公通字☯号)和《信息安全等级保护管理办法》(公通字☯号),制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括:☝❆信息安全技术信息系统安全等级保护定级指南;☝❆信息安全技术信息系统安全等级保护基本要求;☝❆信息安全技术信息系统安全等级保护实施指南;☝❆信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。

规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件, 其最新版本适用于本标准。

☝❆信息技术词汇第 部分:安全☝计算机信息系统安全保护等级划分准则☝❆信息安全技术信息系统安全等级保护定级指南☝❆信息安全技术信息系统安全等级保护基本要求☝❆信息安全技术信息系统安全等级保护实施指南☝❆信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字☯号)术语和定义☝❆、☝、☝❆和☝❆确立的以及下列的术语和定义适用于本标准。

信息系统安全等级保护测评及服务要求

信息系统安全等级保护测评及服务要求

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。

(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件);2.测评机构应为成都市本地机构或在成都有常驻服务机构;3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》;4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准);5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。

没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。

6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。

7.本包不接受联合体参加。

二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。

等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。

测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。

信息系统安全等级保护测评报告3

信息系统安全等级保护测评报告3

报告编号:(-16-1303-01)信息系统安全等级测评报告说明:一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公+安机关颁发的信息系统备案证明(或备案回执)上获得。

第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。

第二组为年份,由2位数字组成。

例如09代表2009年。

第三组为测评机构代码,由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。

90为国防科工局,91为电监会,92为教育部。

后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数,由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。

声明本报告是票务系统的安全等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。

在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

信息系统安全等级保护测评报告

信息系统安全等级保护测评报告

信息系统安全等级保护测评报告一、概述本次测评的信息系统为[系统名称],该系统承担着[主要业务功能]等重要任务。

根据相关规定和要求,对其进行安全等级保护测评。

二、测评依据[列出具体的测评依据标准和文件]三、被测信息系统情况(一)系统基本信息详细描述系统的名称、部署环境、网络拓扑结构等。

(二)业务情况阐述系统所涉及的业务流程、数据类型及重要性等。

四、安全物理环境(一)物理位置选择评估机房选址是否符合安全要求。

(二)物理访问控制包括门禁系统、监控设施等的有效性。

(三)防盗窃和防破坏检测是否具备相应的防范措施。

(四)防雷击、防火、防水和防潮描述相关设施和措施的配备情况。

(五)防静电防静电措施的有效性。

(六)温湿度控制机房内温湿度的控制情况。

(七)电力供应备用电源等保障情况。

五、安全通信网络(一)网络架构分析网络拓扑的合理性和安全性。

(二)通信传输加密措施、完整性保护等情况。

(三)网络访问控制防火墙、ACL 等配置的有效性。

(四)拨号访问控制是否存在拨号访问及安全控制情况。

六、安全区域边界(一)边界防护检查边界防护设备的部署和配置。

(二)访问控制访问控制策略的合理性。

(三)入侵防范入侵检测系统或防御系统的有效性。

(四)恶意代码防范防病毒系统的部署和更新情况。

(五)安全审计审计记录的完整性和可用性。

七、安全计算环境(一)身份鉴别用户身份认证机制的安全性。

(二)访问控制权限分配和管理情况。

(三)安全审计系统内审计功能的有效性。

(四)剩余信息保护数据清理机制的完善性。

(五)入侵防范主机入侵防范措施的有效性。

(六)恶意代码防范主机防病毒措施的情况。

(七)资源控制资源分配和监控机制。

八、安全管理中心(一)系统管理系统管理员的权限和操作规范。

(二)审计管理审计管理员的职责和审计记录管理。

(三)安全管理安全策略的制定和执行情况。

九、安全管理制度(一)管理制度各项安全管理制度的健全性。

(二)制定和发布制度的制定和发布流程。

信息系统安全等级保护测评服务内容及要求.pdf

信息系统安全等级保护测评服务内容及要求.pdf

信息系统安全等级保护测评服务内容及要求一、供应商资格:1.供应商应具备《政府采购法》第二十二条规定的条件;1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。

2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。

3.具有网络安全等级保护测评机构推荐证书。

4.具有中国合格评定国家认可委员会颁发的CNAS证书。

5.具有广东省电子政务服务能力等级证书。

6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。

8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。

9.本项目不接受联合体投标。

二、项目服务内容及要求1.采购项目需求一览表:序号服务类型被测评系统级别1等级保护测评服务存量房网上签约系统二级2等级保护测评服务金融部门网上受理系统(签约银行登录)二级3等级保护测评服务商品房明码标价备案系统二级4等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。

b5E2RGbCAP按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。

p1EanqFDPw2.2项目目标2.2.1等级保护测评服务。

信息系统安全评测与风险评估试题及答案

信息系统安全评测与风险评估试题及答案

信息系统安全评测与风险评估试题## 分数GB/T19716-2005GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一:填空题〔36分〕1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的〔〕,严谨的〔〕,严格的〔〕以与极具魅力的评测技巧,是一个科学和艺术圆满结合的领域.2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据〔##性〕和数据的〔备份〕与恢复三个环节来考虑.3.资产分类的方法较多,大体归纳为2种,一种是"自然形态",即按照系统组成成分和服务内容来分类,如分成"数据,软件〔硬件〕,服务〔人员〕,其他"六大类,还可以按照"信息形态"将资产分为"信息,〔信息载体〕和〔信息环境〕三大类.4.资产识别包括资产分类和〔资产赋值〕两个环节.5.威胁的识别可以分为重点识别和〔全面识别〕6.脆弱性识别分为脆弱性发现〔脆弱性分类〕脆弱性验证和〔脆弱性赋值〕7.风险的三个要素是资产〔脆弱性〕和〔威胁〕8.应急响应计划应包含准则,〔〕预防和预警机制〔〕〔〕和附件6个基本要素.9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、##原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统与由其处理、传输和存储的信息的##性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二:问答题:〔64分〕1.什么是安全域?目前中国划分安全域的方法大致有哪些?〔10分〕1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起.目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域.2.数据安全评测是主要应用哪三种方法进行评测?你如何理解?〔10分〕国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈:指测评人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法检查:指测评人员通过对测评对对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法测试:指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种访求3.国家标准中把主机评测分为哪八个环节?你如何理解?〔10分〕身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入侵防范恶意代码防范4.什么是资产和资产价值?什么是威胁和威胁识别?什么是脆弱性?〔14分〕资产是对组织具有价值的信息或资源,是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征.资产价值是资产的属性,也是进行资产识别的租用内容.威胁指可能导致对系统或组织危害的事故潜在的起因.脆弱性指可能被威胁利用的资产或若干资产的薄弱环节.脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过5.什么是风险评估?如何进行风险计算?〔20分〕2.风险评估指,依照国家有关标准对信息系统与由其处理,传输和存储的信息的##性,完整性和可用性等安全属性进行分析和评价的过程.它要分析资产面临的威胁与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一但发生对组织造成的影响.风险计算的形式化表示为:风险值=R<A,T,V>=R<L<T,V>,F<Ia,Va>>R表示风险计算函数T表示威胁V表示脆弱性计算事件发生的可能性=L〔威胁出现的频率,脆弱性〕=L <T,V> 安全事件造成的损失=F <资产价值,脆弱性严重程度>=F<Ia,Va> 风评考试1.信息安全:是指信息网络的硬件、软件与其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,信息服务不中断.信息安全的属性,##性、完整性、可用性、〔CIA〕可控性、不可否认性2.信息安全管理:是其于风险的信息安全管理,即始终以风险为主线进行信息安全的管理3.BS7799已成为国际公认的信息安全管理权威标准.4.在AS/NZS 4360:1999中风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置5个基本步聚和风险沟通和咨询、监控和评审2个附加环节5.信息安全管理体系〔ISMS〕采取了一种叫做PDCA的管理模式,请简述其内容答:PDCA是一种循环过程,所以我们通常把它叫做PDCA循环,并把这个循环图叫做"戴明环"6.简述确定ISMS的范围和边界时需要考虑的方面?答:根据公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围7.列举ISMS的11个控制领域?答:信息方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统安全要求、信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次?答:手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面?答:根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、风险管理包括哪些过程?答:资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制11、风险处置措施有哪些?答:规避风险,采取有效的控制措施避免风险的发生接受风险,在一定程度上有意识、有目的地接受风险风险转移,转移相关业务风险到其他方面12、信息安全具有哪几种性质?答:脆弱性、连续性、可靠性、威胁性13、资产有哪些类别?答:物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤?答:资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值?答:##性、完整性、可用性16、资产各个等级分值如何划分?资产评价准则是什么?答:等级标识描述5 很高非常重要,其属性破坏后可能对组织造成非常严重的损失4 高重要,其安全属性破坏后可能对组织造成比较严重的损失3 高比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计17、脆弱性的有哪些类型?识别脆弱性时主要应关注哪些对象?并列举答:技术脆弱性、管理脆弱性物理环境从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户##、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别18、出几个关于资产脆弱性例子答:设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19、资产值和风险值的计算函数各是什么?其中各个字母的含义是什么?资产值计算方式资产值为 A ##性为c<Confidentiality> 完整性为i<Integrity> 可用性为a<Possibility>A=c+i+a风险值计算威胁频率=T 脆弱性严重度=V 则安全事件发生可能性F=根号<T*V>安全事件的损失L=根号<A*V>风险值R=L*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置5个基本步骤和风险沟通和咨询、监控和评审2个附加环节21、GB/T19715.1——《信息技术安全管理指南第一部分:信息技术安全概念和模型》〔ISO/IEC 13335-1:1996〕GB/T19715.2——《信息技术安全管理指南第二部分:管理和规划信息技术安全》〔ISO/IEC 13335-1:1996〕22、GB/T19716-2005 《信息安全管理实用规则》〔ISO/IEC17799:2000〕23、BS7799信息安全管理标准是一在国际上得到广泛重视的标准。

某单位信息系统安全等级保护测评报告(S3A3G3)

某单位信息系统安全等级保护测评报告(S3A3G3)
2 被测信息系统情况..............................................................................................................................................14
报告编号:错误!未找到引用源。
目录
[2013 版]
信息系统等级测评基本信息表.................................................................................................................................... 1
2.3.1 业务应用软件 ........................................................................................................................................... 14 2.3.2 关键数据类别 ........................................................................................................................................... 15 2.3.3 主机/存储设备 ......................................................................................................................................... 15 2.3.4 网络互联设备 ........................................................................................................................................... 15 2.3.5 安全设备 ................................................................................................................................................... 15 2.3.6 安全相关人员 ........................................................................................................................................... 15 2.3.7 安全管理文档 ........................................................................................................................................... 16 2.4 安全环境............................................................................................................................................................ 17 2.5 前次测评情况.................................................................................................................................................... 18
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

档。二者对应关系如下:
文档类型 委托测评类型
《信息系统基 本情况调查
表》
《信息系统安 全技术方案》
《信息安全管 《信息安全管 理组织架构》 理制度》
信息安全风险 √
评估



信息系统安全 √
等级保护测评
√√Biblioteka √信息系统安全 √
评估



.
远程渗透测试
系统安全技术 √
监控
信息系统安全
方案评审
√ √
二、准备文档时需注意的问题
1. 保证提交文档内容真实、全面、详细、准确。 2. 将提交文档与《委托书》一并提交。 3. 提交材料时,应提交纸版和电子版文档 ( 光盘形式 ) 各一份。
.
附件一
《信息安全管理组织机构》
至少包括下列内容: 1、科技部门整体组织架构 2、信息安全管理组织架构图。 3、IT 运维部门设置、岗位设置及职责要求,以及人员与岗位的对应关系。 4、如果 IT 运维外包, 请提供外包服务商承担的岗位、 职责以及人员与岗位
.
24. 备份和恢复方面的管理制度 25. 安全事件报告和处置方面的管理制度 26. 系统应急预案 27. 系统问题管理。
.
附件三
《信息系统安全技术方案》
至少包括下列内容: 1.信息系统建设的背景、目的
2.信息系统的主要业务功能、使用用户和业务信息流
3.信息系统的安全需求
4.信息系统安全功能设计 4.1 描述应用软件的安全功能 一般的安全机制包括身份鉴别、访问控制、安全审计、通信安全、抗抵赖、软件 容错、资源控制、代码安全等。 4.2 描述网络层采取的安全设置 一般的安全机制包括结构安全与网段划分、网络访问控制、网络安全审计、 边界 完整性检查、网络入侵防范、恶意代码防范等。 4.3 描述系统层采取的安全设置 一般的安全机制包括后台用户的身份鉴别、访问控制、安全审计等。 4.4 描述针对此系统的特殊安全控制措施
.
附件四 见 EXCEL 表。
《信息系统基本情况调查表》
.
1.信息安全风险评估
2.信息系统安全等级保护测评
3.信息系统安全评估
4.远程渗透测试
5.系统安全技术监控
6.信息系统安全方案评审
需准备的测评文档主要包括:
1.《信息系统基本情况调查表》
2.《信息系统安全技术方案》
3.《信息安全管理组织架构》
4.《信息安全管理制度》
委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的文
的对应关系。
.
附件二
《信息安全管理制度》
至少包括下列内容: 1. 文档制度体系结构说明及信息安全管理制度清单(如果有,请提前说明。
例如文档是按照 ISO9000 文档规范组织的) 2. 机构总体安全方针和政策方面的管理制度 3. 授权审批、审批流程等方面的管理制度 4. 安全审核和安全检查方面的管理制度 5. 管理制度、操作规程修订、维护方面的管理制度 6. 人员录用、离岗、考核等方面的管理制度 7. 人员安全教育和培训方面的管理制度 8. 第三方人员访问控制方面的管理制度 9. 工程实施过程管理方面的管理制度 10. 产品选型、采购方面的管理制度 11. 软件外包开发或自我开发方面的管理制度 12. 测试、验收方面的管理制度 13. 机房安全管理方面的管理制度 14. 办公环境安全管理方面的管理制度 15. 资产、设备、介质安全管理方面的管理制度 16. 信息分类、标识、发布、使用方面的管理制度 17. 配套设施、软硬件维护方面的管理制度 18. 网络安全管理(网络配置、帐号管理等)方面的管理制度 19. 系统安全管理(系统配置、帐号管理等)方面的管理制度 20. 系统监控、风险评估、漏洞扫描方面的管理制度 21. 病毒防范方面的管理制度 22. 系统变更控制方面的管理制度 23. 密码管理方面的管理制度
信息系统安全测评 文档准备指南
委托单位(公章) : 系统名称: 委托日期:
中国信息安全测评中心
.
一、文档提交要求
当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时,
为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解, 委托
机构应根据申请的测评类型准备文档。
委托测评类型主要包括:
相关文档
最新文档