信息安全技术信息系统安全等级保护测评过程指南送审稿

信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998）GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

信息系统安全等级保护测评服务内容及要求一、供应商资格：1.供应商应具备《政府采购法》第二十二条规定的条件；1）具有独立承担民事责任的能力；2）具有良好的商业信誉和健全的财务会计制度；3）具有履行合同所必需的设备和专业技术能力；4）有依法缴纳税收和社会保障资金的良好记录；5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；6）法律、行政法规规定的其他条件。

2.投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。

3.具有网络安全等级保护测评机构推荐证书。

4.具有中国合格评定国家认可委员会颁发的CNAS证书。

5.具有广东省电子政务服务能力等级证书。

6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级）7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。

8.中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。

9.本项目不接受联合体投标。

二、项目服务内容及要求1.采购项目需求一览表：序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统（签约银行登录）二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。

按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。

2.2项目目标2.2.1等级保护测评服务。

根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。

信息安全技术信息系统安全等级保护基本要求引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南；——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求；——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。

一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。

本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。

单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。

整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。

本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。

如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。

在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。

信息系统安全等级保护测评要求1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。

本标准略去对第五级信息系统进行单元测评的具体内容要求。

本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。

信息系统安全等级保护测评报告概述本文档旨在对信息系统的安全等级保护进行测评，为组织提供详细的安全等级评估报告。

通过对信息系统进行分析和评估，可以发现系统中存在的安全风险和漏洞，并提供相应的安全建议和解决方案。

测评方法本次测评采用了以下几种常见的安全评估方法：1.漏洞扫描：使用专业的漏洞扫描工具对系统进行端口扫描和漏洞检测，识别系统中存在的安全漏洞。

2.安全配置审计：通过分析系统的配置文件和日志文件，评估系统的安全配置是否符合最佳实践，识别潜在的配置安全风险。

3.代码审计：对系统的核心代码进行审计，检查代码中是否存在安全漏洞和不安全的编码实践。

4.安全意识培训：通过针对组织内部员工的安全意识培训，提高员工的安全意识和防范能力，减少社交工程等人为因素对系统安全的影响。

5.网络流量分析：对系统的网络流量进行分析，检测是否存在异常的网络行为和入侵攻击。

测评结果经过对信息系统的安全测评，以下是我们得到的主要结论：1.系统存在安全漏洞：通过漏洞扫描工具的测试结果显示，系统中存在多个已知的安全漏洞，这些漏洞可能被攻击者利用来获取系统权限或者篡改系统数据。

2.配置安全风险：部分系统的安全配置未按照最佳实践进行设置，存在潜在的安全风险。

比如，弱密码策略、未开启安全日志记录等。

3.代码安全问题：代码审计发现系统中存在部分代码编写不当的情况，如未对用户输入进行充分的验证和过滤，存在SQL注入和跨站脚本攻击的风险。

4.员工意识不足：安全意识培训结果显示，部分员工对安全意识和操作规范的理解不够，容易受到社交工程等攻击手段的影响。

5.未发现异常网络行为：经过对系统的网络流量进行分析，未发现异常的网络流量和入侵行为。

安全建议和解决方案根据上述测评结果，我们提出以下安全建议和解决方案：1.及时修复漏洞：针对系统中发现的安全漏洞，及时修复并升级相应的软件和组件，以免被攻击者利用。

同时建议定期进行漏洞扫描，及时发现新的漏洞，并进行修复。

信息安全技术信息系统安全等级保护测评要求信息安全技术是当今社会不可或缺的重要组成部分，随着信息技术的不断发展和普及，信息系统安全等级保护测评要求也变得愈发重要。

在本文中，我将从深度和广度两个方面对信息安全技术和信息系统安全等级保护测评要求进行全面评估，并据此撰写一篇有价值的文章，希望能为您带来深刻的理解和灵活的思考。

一、信息安全技术1.1 信息安全技术的基本概念信息安全技术是指为了保护信息系统中的信息和数据不受未经授权的访问、使用、披露、破坏、修改、干扰等威胁而采取的一系列技术手段和管理措施。

在当今数字化时代，信息安全技术已经成为企业和个人不可或缺的保障，涉及到网络安全、数据安全、身份认证、加密技术等多个方面。

1.2 信息安全技术的发展历程从最早的密码学和防火墙技术到如今的人工智能和区块链技术，信息安全技术经历了长足的发展和进步。

在不断演进的过程中，信息安全技术不断融合和创新，以适应日益增长的信息安全威胁和挑战，保障信息系统的安全运行。

1.3 信息安全技术的应用领域信息安全技术的应用领域涵盖了各行各业，包括金融、医疗、教育、政府等多个领域。

在互联网、大数据、物联网等新兴技术的推动下，信息安全技术已经成为数字化社会发展的基石，其重要性不言而喻。

二、信息系统安全等级保护测评要求2.1 信息系统安全等级保护的概念和重要性信息系统安全等级保护是指根据信息系统的重要性和安全性需求，对信息系统进行分类和分级，然后制定相应的安全保护措施和措施要求。

信息系统安全等级保护的实施可以有效保护信息系统中的重要信息和数据，提升信息系统的整体安全性，是信息安全管理的基础。

2.2 信息系统安全等级保护测评要求的内容和原则信息系统安全等级保护测评要求包括系统安全等级的确定、安全保护措施的制定、安全评估和认证等多个方面。

在具体实施中，需要遵循科学、客观、公正、公开的原则，确保评估结果的可靠性和权威性。

2.3 信息系统安全等级保护测评要求的实施和挑战在实际实施中，信息系统安全等级保护测评要求面临着一些挑战和问题，包括技术实现的复杂性、安全标准的多样性、评估标准的更新和变化等。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998）GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

信息系统安全等级保护测评报告模板信息系统安全等级保护测评报告听起来可能让人一头雾水，尤其是对一些不太懂技术的小伙伴来说。

说白了，它就是一个针对信息系统安全进行“体检”的报告。

就像你去医院做体检，医生会根据你身体的各项指标，判断你是不是健康，哪个地方可能出问题，哪些方面需要加强一样。

信息系统的安全等级保护测评报告，也是给“信息系统”做体检，看看它在面对各种威胁时，能不能保持健康，能不能保护好公司的数据、网络以及其他重要信息。

这些东西不检查，谁知道哪天会被黑客盯上，或者系统被不法分子钻了空子，闹出大事儿来呢？好了，咱们先聊聊“等级保护”这回事儿。

简单说，就是信息系统的安全防护要根据它的重要性来定等级，系统重要，保护就得更到位。

就像你家里有个金库，肯定得比你家门口的自行车锁更加严密，防不住小偷还怎么行？而这个“等级保护”就是告诉你，你的系统在这个网络社会中属于什么等级，需要多高的防护来防止外部的威胁。

为了让这些工作做得更专业、更细致，咱们有了这个测评报告，来一针见血地告诉你，哪儿是薄弱环节，哪里需要加固。

接下来要说的就是“测评”了。

说到这个测评，可能你就想，哎呀，跟考试一样是不是？其实倒也不是。

它更多的是一种专业的技术评估，专业的测评人员会拿出一套严格的标准，通过多方位的检查，检测你信息系统的各项安全性指标。

比如，系统的访问控制、数据的加密保护、网络的安全防护、应用的漏洞扫描等等。

用一个通俗的比喻，测评就像是给你家门口安个监控，看看有没有黑客在附近转悠，门窗是不是关好，防盗门的锁是不是牢靠。

做完这些检测后，评估人员就会给出一个详细的报告，告诉你：你的系统哪些方面做得好，哪些方面可能会让黑客有机可乘。

测评报告里最让人关心的，当然是那个“安全等级”啦。

它通常分为五个等级，级别从低到高。

等级越高，表示你的系统越安全，越能抵挡来自网络世界的各种威胁。

最简单的举个例子，假如你的系统只是普通的办公系统，重要性一般，那它可能是三级保护，防护标准也就普通一些。

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院 号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发☯号）、《关于信息安全等级保护工作的实施意见》（公通字☯号）和《信息安全等级保护管理办法》（公通字☯号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：☝❆信息安全技术信息系统安全等级保护定级指南；☝❆信息安全技术信息系统安全等级保护基本要求；☝❆信息安全技术信息系统安全等级保护实施指南；☝❆信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件， 其最新版本适用于本标准。

☝❆信息技术词汇第 部分：安全☝计算机信息系统安全保护等级划分准则☝❆信息安全技术信息系统安全等级保护定级指南☝❆信息安全技术信息系统安全等级保护基本要求☝❆信息安全技术信息系统安全等级保护实施指南☝❆信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字☯号）术语和定义☝❆、☝、☝❆和☝❆确立的以及下列的术语和定义适用于本标准。

一、积极应对信息安全挑战随着信息技术的不断发展，信息安全问题已经成为各个行业不可忽视的重要议题。

在信息安全领域中，信息系统安全等级保护测评是保障信息系统安全的重要手段之一。

信息系统安全等级保护测评要求是针对信息系统的安全等级进行评估，以确保系统的安全性和稳定性。

在当前全球范围内，信息安全面临着日益猖獗的网络攻击和威胁，包括但不限于黑客攻击、病毒木马、网络钓鱼等。

加强信息系统安全等级保护测评工作，提高信息系统的安全水平，对于保护国家的重要信息资产和维护国家的网络安全和稳定具有重要意义。

二、信息系统安全等级保护测评要求的意义1. 保障国家安全信息系统安全等级保护测评要求的实施，可以有效保障国家的安全。

国家的重要信息资产经常受到来自国内外的网络攻击威胁，因此加强对信息系统安全等级保护测评的要求，可以提高信息系统的安全等级，从而保护国家的核心安全利益。

2. 维护社会稳定信息系统安全等级保护测评要求的严格实施，可以有效维护社会的稳定。

在信息时代，信息系统已经深入到社会的各个领域，一旦信息系统遭受到攻击或者破坏，就会给社会带来严重的影响，因此加强对信息系统安全等级保护测评的要求，可以保障社会的正常运行。

3. 促进信息技术创新信息系统安全等级保护测评要求的实施，有助于促进信息技术的创新发展。

由于信息系统安全等级保护测评要求注重提高信息系统的安全性和稳定性，这就需要信息技术相关行业加强技术创新，提高信息系统的安全技术水平，推动信息技术的发展。

三、信息系统安全等级保护测评要求的关键内容1. 等级划分信息系统安全等级保护测评要求首先需要对信息系统的安全等级进行划分。

信息系统的安全等级划分是基于国家秘密的保密等级，根据信息系统的特点和重要性确定其相对应的安全等级，以便进一步对信息系统的安全性进行测评和评估。

2. 安全风险评估信息系统安全等级保护测评要求需要对信息系统的安全风险进行评估。

安全风险评估是通过对信息系统的潜在威胁和漏洞进行分析和评估，以确定信息系统的安全隐患和风险，从而为制定安全防护措施提供依据。

信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录;本标准由公安部和全国信息安全标准化技术委员会提出;本标准由全国信息安全标准化技术委员会归口;本标准起草单位：公安部信息安全等级保护评估中心;本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥;引言依据中华人民共和国计算机信息系统安全保护条例国务院147号令、国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号、关于信息安全等级保护工作的实施意见公通字200466号和信息安全等级保护管理办法公通字200743号,制定本标准;本标准是信息安全等级保护相关系列标准之一;与本标准相关的系列标准包括：——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求;在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作;在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级;在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作;GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集;对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求;除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准;信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施;2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款;凡是注日期的引用文件,其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本;凡是不注明日期的引用文件,其最新版本适用于本标准;GB/T 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 和GB 17859-1999确立的以及下列术语和定义适用于本标准;等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程;4 等级保护实施概述基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督;信息系统安全等级保护实施过程中应遵循以下基本原则：a 自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护;b 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;c 同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应;d 动态调整原则要跟踪信息系统的变化情况,调整安全保护措施;由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护;角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下：a 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调;b 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作;c 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准；根据已经确定的安全保护等级,到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计；使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评；制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置;d 信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等;e 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评;f 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务;实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程;5 信息系统定级信息系定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准;信息系统分析系统识别和描述活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统的立项、建设和管理文档;活动描述：本活动主要包括以下子活动内容：a 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式;b 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体;c 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围;d 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象;e 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度;f 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等;g 信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件;一个典型的信息系统的总体描述文件应包含以下内容：1系统概述；2系统边界描述；3网络拓扑；4设备部署；5支撑的业务应用的种类和特性；6处理的信息资产；7用户的范围和用户类型；8信息系统的管理框架;活动输出：信息系统总体描述文件;信息系统划分活动目标：本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统总体描述文件;活动描述：本活动主要包括以下子活动内容：a 划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则;b 信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征;在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素;c 信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数;进一步的信息系统详细描述文件应包含以下内容：1相对独立信息系统列表；2 每个定级对象的概述；3 每个定级对象的边界；4 每个定级对象的设备部署；5 每个定级对象支撑的业务应用及其处理的信息资产类型；6 每个定级对象的服务范围和用户类型；7 其他内容;活动输出：信息系统详细描述文件;安全保护等级确定定级、审核和批准活动目标：本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性;参与角色：信息系统主管部门,信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统总体描述文件,信息系统详细描述文件;活动描述：本活动主要包括以下子活动内容：a 信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级;b 定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准;跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级;对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审;活动输出：信息系统定级评审意见;形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告;参与角色：信息系统主管部门,信息系统运营、使用单位;活动输入：信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果;活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告;信息系统定级结果报告可以包含以下内容：a 单位信息化现状概述；b 管理模式；c 信息系统列表；d 每个信息系统的概述；e 每个信息系统的边界；f 每个信息系统的设备部署；g 每个信息系统支撑的业务应用；h 信息系统列表、安全保护等级以及保护要求组合；i 其他内容;活动输出：信息系统安全保护等级定级报告;6 总体安全规划总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施;对于已运营运行的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距;安全需求分析基本安全需求的确定活动目标：本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求;参与角色：信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等;初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等;b 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标;根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容：1 管理状况评估表格；2 网络状况评估表格；3 网络设备含安全设备评估表格；4 主机设备评估表格；5 主要设备安全测试方案；6 重要操作的作业指导书;c 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论;整理和分析不符合的评价指标,确定信息系统安全保护的基本需求;活动输出：基本安全需求;额外特殊安全需求的确定活动目标：本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性, 提出信息系统的特殊安全保护需求;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档;活动描述：确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动：a 重要资产的分析明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等;b 重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的；分析安全弱点被利用的可能性;c 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率;d 综合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性;按照重要资产的排序和风险的排序确定安全保护的要求;活动输出：重要资产的特殊保护要求;形成安全需求分析报告活动目标：本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告;参与角色：信息系统运营,使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求;活动描述：本活动主要包括以下子活动内容：a 完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告;安全需求分析报告可以包含以下内容：1 信息系统描述；2 安全管理状况；3 安全技术状况；4 存在的不足和可能的风险；5 安全需求描述;活动输出：安全需求分析报告;总体安全设计总体安全策略设计活动目标：本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告;活动描述：本活动主要包括以下子活动内容：a 确定安全方针形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;b 制定安全策略形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等;活动输出：总体安全策略文件;安全技术体系结构设计活动目标：本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现;参与角色：信息系统运营、使用单位,信息安全服务机构;活动输入：信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求;活动描述：本活动主要包括以下子活动内容：a 规定骨干网/城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域网的安全保护策略和安全技术措施;骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;b 规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;c 规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措施;子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;d 规定不同级别子系统内部系统平台和业务应用的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施;e 规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施;信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求;f 形成信息系统安全技术体系结构将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构;活动输出：信息系统安全技术体系结构;整体安全管理体系结构设计。

实用标准报告编号：（ -16-1303-01）信息系统安全等级测评报告说明：一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下：第一组为信息系统备案表编号，由2段16位数字组成，可以从公+安机关颁发的信息系统备案证明（或备案回执）上获得。

第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第二组为年份，由2位数字组成。

例如09代表2009年。

第三组为测评机构代码，由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科工局，91为电监会，92为教育部。

后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明本报告是票务系统的安全等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

信息系统安全保护等级测评是对信息系统安全等级保护状况进行检测评估的活动。

根据《信息安全等级保护管理办法》，信息系统安全等级测评工作一般包括以下步骤：
1. 系统定级：根据业务、资产、安全技术和安全管理进行调研，确定定级系统，准备定级报告，提供协助定级服务，辅助用户完成定级报告，组织专家评审。

2. 系统备案：持定级报告和备案表到所在地公安网监进行系统备案。

3. 建设整改：参照定级要求和标准，对信息系统整改加固，建设安全管理体系。

4. 等级测评：测评机构对信息系统等级测评，形成测评报告。

5. 合规监督检查：向所在地公安网监提交测评报告，公安机关监督检查进行等级保护工作。

在等级测评过程中，一般采用5个方式，循序渐进地进行测试流程。

具体包括：1. 系统定级：对业务、资产、安全技术和安全管理进行调研，确定定级系统，准备定级报告，提供协助定级服务，辅助用户完成定级报告，组织专家评审。

2. 系统备案：持定级报告和备案表到所在地公安网监进行系统备案。

3. 建设整改：参照定级要求和标准，对信息系统整改加固，建设安全管理体系。

4. 等级测评：测评机构对信息系统等级测评，形成测评报告。

5. 合规监督检查：向所在地公安网监提交测评报告，公安机关监督检查进行等级保护工作。

总之，信息系统安全保护等级测评是保障信息系统安全的重要手段之一，通过定期的测评和整改加固可以确保信息系统的安全性和稳定性。

信息安全技术信息系统安全等级保护测评过程指南送审稿引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南；——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求；——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南；——GB/T DDDD-DDDD 信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南1 范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南 GB/T DDDD-DDDD 信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号）3 术语和定义GB/T 5271.8、GB 17859-1999、GB/T CCCC-CCCC和GB/T DDDD-DDDD确立的以及下列的术语和定义适用于本标准。