信息系统等级测评文档准备指引

信息系统等级测评文档准备指南电力行业等级保护测评中心华电卓识实验室2009年9月目录一、文档提交要求 (3)二、准备文档时需注意的问题 (3)附件一信息系统基本情况调查表 (5)表1-1. 单位基本情况 (7)表1-2. 参与人员名单 (8)表1-3. 物理环境情况 (9)表1-4. 信息系统基本情况 (10)表1-5. 信息系统承载业务（服务）情况 (11)表1-6. 信息系统网络结构（环境）情况 (12)表1-7. 外联线路及设备端口（网络边界）情况调查 (13)表1-8. 网络设备情况 (14)表1-9. 安全设备情况 (15)表1-10. 服务器设备情况 (16)表1-11. 终端设备情况 (17)表1-12. 系统软件情况 (18)表1-13. 应用系统软件情况 (19)表1-14. 业务数据情况 (20)表1-15. 数据备份情况 (21)表1-16. 应用系统软件处理流程（多表） (22)表1-17. 业务数据流程（多表） (23)表1-18. 安全威胁情况 (24)附件二信息系统安全技术方案 (26)附件三信息安全管理制度 (27)表3-1. 安全管理机构类文档 (27)表3-2. 安全管理制度类文档 (28)表3-3. 人员安全管理类文档 (29)表3-4. 系统建设管理类文档 (30)表3-5. 系统运维管理类文档 (32)一、文档提交要求当委托机构正式委托电力行业等级保护测评中心华电卓识实验室对其信息系统实施等级测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。

委托测评类型主要包括：●等级符合性检验●风险评估●渗透测试●方案咨询需准备的测评文档主要包括：●《信息系统基本情况调查表》●《信息系统安全技术方案》●《信息安全管理制度》●《其他》委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。

二者对应关系如下：二、准备文档时需注意的问题●保证提交文档内容真实、全面、详细、准确●文档材料，纸版和电子版文档均可●提交文档时做好详细的文档交接记录附件一信息系统基本情况调查表1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出服务器设备的IP地址●应该标识网络区域划分等情况●应该标识网络与外部的连接等情况●应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示，可以将核心部分和接入部分分别划出，或以多张图表示。

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。

（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）；2.测评机构应为成都市本地机构或在成都有常驻服务机构；3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》；4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）；5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。

没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。

6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。

7.本包不接受联合体参加。

二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。

等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。

测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

形式化审查补充材料通知单补充材料通知单通过通过不通过不通过审核
受理委托
确定测评范围
填写核算测评收费核算单
缴纳测评费用签订测评保密协议信息系统测评部受理通知单信息系统测评部受理通知单申请结构测评机构
测评机构符合符合不符合不符合同测评机构同测评机构申
请
流
程
协调会议填写《用户资料使用登记表》制定实施方案、计划
内部测评准备
测评前准备工作填写信息系统基本信息调查表填写信息系统基本信息调查表申请结构测评机构
测评机构成立项目组
编写《信息系统调查报告》
测
评
准
备
确认
《信息系统运行情况验证记录》申请结构
测评机构
测评机构形成信息系统测试核查报告
《安全测评报告接受单》接收申请结构测评机构
出具《信息系统安全等级测评报告》
协调会议形成《信息系统安全等级测评报告》初稿确认项目结束测
评
结
果
评
价
交付各地
公安机关进行登记备案申请结构测评机构测评中心备案归档
等级测评报告备案备案
人员录用人员离开人员考核安全意识教育和培训外部人员访问管理
•人员安全测评是针对于人员录用、人员离开、人员考核、安全意识教育和培训、外部人员访问管理测评，主要通过现场访谈与检查实现。

•测评对象包括：安全主管，人员录用负责人员、人员录用要求管理文档、人员审查文档或记录、考核文档或记录、保密协议、岗位安全协议、审查记录、人员离岗管理文档、关键岗位人员保密承诺文档等。

信息系统安全测评文档准备指南委托单位（公章）：系统名称：委托日期：中国信息安全测评中心一、文档提交要求当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时，为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解，委托机构应根据申请的测评类型准备文档。

委托测评类型主要包括：1．信息安全风险评估2．信息系统安全等级保护测评3．信息系统安全评估4．远程渗透测试5．系统安全技术监控6．信息系统安全方案评审需准备的测评文档主要包括：1．《信息系统基本情况调查表》2．《信息系统安全技术方案》3．《信息安全管理组织架构》4．《信息安全管理制度》委托单位在准备测评文档时，应根据所申请的测评业务类型准备相应的文档。

二者对应关系如下：二、准备文档时需注意的问题1．保证提交文档内容真实、全面、详细、准确。

2．将提交文档与《委托书》一并提交。

3．提交材料时，应提交纸版和电子版文档(光盘形式)各一份。

附件一《信息安全管理组织机构》至少包括下列内容：1、科技部门整体组织架构2、信息安全管理组织架构图。

3、IT运维部门设置、岗位设置及职责要求，以及人员与岗位的对应关系。

4、如果IT运维外包，请提供外包服务商承担的岗位、职责以及人员与岗位的对应关系。

附件二《信息安全管理制度》至少包括下列内容：1.文档制度体系结构说明及信息安全管理制度清单（如果有，请提前说明。

例如文档是按照ISO9000文档规范组织的）2.机构总体安全方针和政策方面的管理制度3.授权审批、审批流程等方面的管理制度4.安全审核和安全检查方面的管理制度5.管理制度、操作规程修订、维护方面的管理制度6.人员录用、离岗、考核等方面的管理制度7.人员安全教育和培训方面的管理制度8.第三方人员访问控制方面的管理制度9.工程实施过程管理方面的管理制度10.产品选型、采购方面的管理制度11.软件外包开发或自我开发方面的管理制度12.测试、验收方面的管理制度13.机房安全管理方面的管理制度14.办公环境安全管理方面的管理制度15.资产、设备、介质安全管理方面的管理制度16.信息分类、标识、发布、使用方面的管理制度17.配套设施、软硬件维护方面的管理制度18.网络安全管理（网络配置、帐号管理等）方面的管理制度19.系统安全管理（系统配置、帐号管理等）方面的管理制度20.系统监控、风险评估、漏洞扫描方面的管理制度21.病毒防范方面的管理制度22.系统变更控制方面的管理制度23.密码管理方面的管理制度24.备份和恢复方面的管理制度25.安全事件报告和处置方面的管理制度26.系统应急预案27.系统问题管理。

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南；——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求；——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南；——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号）3术语和定义GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。

信息安全技术信息系统安全等级保护测评要求信息安全技术是当今社会不可或缺的重要组成部分，随着信息技术的不断发展和普及，信息系统安全等级保护测评要求也变得愈发重要。

在本文中，我将从深度和广度两个方面对信息安全技术和信息系统安全等级保护测评要求进行全面评估，并据此撰写一篇有价值的文章，希望能为您带来深刻的理解和灵活的思考。

一、信息安全技术1.1 信息安全技术的基本概念信息安全技术是指为了保护信息系统中的信息和数据不受未经授权的访问、使用、披露、破坏、修改、干扰等威胁而采取的一系列技术手段和管理措施。

在当今数字化时代，信息安全技术已经成为企业和个人不可或缺的保障，涉及到网络安全、数据安全、身份认证、加密技术等多个方面。

1.2 信息安全技术的发展历程从最早的密码学和防火墙技术到如今的人工智能和区块链技术，信息安全技术经历了长足的发展和进步。

在不断演进的过程中，信息安全技术不断融合和创新，以适应日益增长的信息安全威胁和挑战，保障信息系统的安全运行。

1.3 信息安全技术的应用领域信息安全技术的应用领域涵盖了各行各业，包括金融、医疗、教育、政府等多个领域。

在互联网、大数据、物联网等新兴技术的推动下，信息安全技术已经成为数字化社会发展的基石，其重要性不言而喻。

二、信息系统安全等级保护测评要求2.1 信息系统安全等级保护的概念和重要性信息系统安全等级保护是指根据信息系统的重要性和安全性需求，对信息系统进行分类和分级，然后制定相应的安全保护措施和措施要求。

信息系统安全等级保护的实施可以有效保护信息系统中的重要信息和数据，提升信息系统的整体安全性，是信息安全管理的基础。

2.2 信息系统安全等级保护测评要求的内容和原则信息系统安全等级保护测评要求包括系统安全等级的确定、安全保护措施的制定、安全评估和认证等多个方面。

在具体实施中，需要遵循科学、客观、公正、公开的原则，确保评估结果的可靠性和权威性。

2.3 信息系统安全等级保护测评要求的实施和挑战在实际实施中，信息系统安全等级保护测评要求面临着一些挑战和问题，包括技术实现的复杂性、安全标准的多样性、评估标准的更新和变化等。

项目编号：（XXXX—XX）信息系统安全等级测评方案系统名称：被测单位：测评单位:目录1 概述 (4)1.1 项目简介 (4)1。

2 测评依据 (4)2 被测系统描述 (4)2.1 定级情况 (4)2。

2 网络结构 (4)2.3 系统够成 (4)2.3.1 业务应用软件 (4)2.3。

2 关键数据类别 (5)2.3.3 主机/存储设备 (5)2.3。

4 网络互联设备 (5)2.3。

5 安全设备 (5)2.3.6 安全相关人员 (6)2。

3.7 安全管理文档 (6)3 测评对象与指标 (6)3.1 测评指标 (6)3.2 测评对象 (7)3。

2。

1 机房 (7)3。

2。

2 业务应用软件 (7)3。

2.3 主机(存储）操作系统 (7)3。

2.4 数据库管理系统 (8)3.2。

5 网络互联设备操作系统 (8)3。

2。

6 安全设备操作系统 (8)4 测评方法与工具 (8)4.1 测评方法 (8)4.2 主要测评工具 (9)5 测评内容与实施 (9)5.1 物理安全测评 (9)5。

1.1 测评内容 (9)5。

1.2 测评实施 (9)5.1。

3 配合需求 (9)5。

2 网络安全测评 (11)5.2。

1 测评指标 (11)5.2.2 测评实施 (11)5.2.3 配合需求 (11)5。

3 主机安全测评 (11)5.3.1 测评指标 (11)5.3.2 测评实施 (11)5.3。

3 配合需求 (11)5.4 应用安全测评 (11)5.4。

1 测评指标 (11)5。

4。

2 测评实施 (11)5。

4.3 配合需求 (11)5。

5 数据安全及备份恢复测评 (11)5.6 安全管理制度测评 (11)5。

6.1 测评指标 (11)5。

6.2 测评实施 (11)5。

6.3 配合需求 (12)5.7 安全管理机构测评 (12)5。

8 人员安全管理测评 (12)5.9 系统建设管理测评 (12)5.10 系统运维管理测评 (12)5.11 工具测试 (12)5。

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院 号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发☯号）、《关于信息安全等级保护工作的实施意见》（公通字☯号）和《信息安全等级保护管理办法》（公通字☯号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：☝❆信息安全技术信息系统安全等级保护定级指南；☝❆信息安全技术信息系统安全等级保护基本要求；☝❆信息安全技术信息系统安全等级保护实施指南；☝❆信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件， 其最新版本适用于本标准。

☝❆信息技术词汇第 部分：安全☝计算机信息系统安全保护等级划分准则☝❆信息安全技术信息系统安全等级保护定级指南☝❆信息安全技术信息系统安全等级保护基本要求☝❆信息安全技术信息系统安全等级保护实施指南☝❆信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字☯号）术语和定义☝❆、☝、☝❆和☝❆确立的以及下列的术语和定义适用于本标准。

等保测评方案1. 引言信息系统等级保护（以下简称等保）是指根据我国《中华人民共和国网络安全法》的有关规定，对国家信息系统进行测评和等级评定，以保护国家信息系统的安全与可靠。

等保测评方案是指根据等保评估标准和具体要求，制定用于评估和验证国家信息系统等级保护水平的方案。

本文档旨在提供一个基于Markdown文本格式的等保测评方案模板，以供编写等保测评方案文档时参考。

2.1 测评目标本次等保测评旨在评估和验证国家信息系统的等级保护水平，确保其在设计、实施、运行和维护过程中满足国家安全要求和安全保障措施。

2.2 测评范围本次等保测评的范围包括但不限于以下几个方面：•信息系统的整体架构和设计•信息系统的安全策略和策略控制•信息系统的访问控制和身份认证•信息系统的数据安全和加密机制•信息系统的漏洞管理和安全监控•信息系统的事件响应和恢复能力3.1 测评方法本次等保测评采用以下方法进行：•文档审查：对相关的设计文档、策略文件等进行审查，评估其合规性和完整性。

•静态分析：对信息系统的程序代码、配置文件等进行分析，发现潜在的安全风险和漏洞。

•动态测试：通过模拟实际攻击行为，评估信息系统的安全性能和防护能力。

•风险评估：基于测评结果和安全风险分析，对信息系统进行综合评估，并提出改进建议。

3.2 测评流程本次等保测评按照以下流程进行：1.确定测评目标和范围。

2.收集相关的设计文档、策略文件等。

3.进行文档审查，评估其合规性和完整性。

4.对信息系统的程序代码、配置文件等进行静态分析。

5.模拟实际攻击行为，进行动态测试。

6.对测评结果进行风险评估和综合评估。

7.提出改进建议和安全加固措施。

8.撰写等保测评报告。

4. 测评评估指标本次等保测评采用以下评估指标进行评估：•设计和架构评估•策略和控制评估•访问控制和身份认证评估•数据安全和加密评估•漏洞管理和安全监控评估•事件响应和恢复能力评估5. 结论本次等保测评的结果如下：•信息系统的设计和架构较为合理，满足等保评估标准的要求。

信息系统安全等级保护测评要求
等级保护是我国基本的网络安全体系、基本的国家政策和完善的网络安全管理体系。

按照等级保护的相关标准开始安全建设是企业事业单位的一般要求，也是国家重点信息基本措施5261保护的基本要求。

网络安全偏向于“动态”安全，即信息系统和信息传递过程中的安全；而数据安全侧重于“静态”的数据自身安全状态。

在数据完整生命周期保护的角度，两者既有交集，又有各自的偏重。

企业办理网络安全等级保护备案的原因：
1.建立有效的网络安全防御系统(让客户系统真正具备4102的安全防御能力)
2.完成信息系统等级保护公安备案(取得备案证明)，顺利通过网络安全等级保护评估(取得评估报告)
3.满足1653个相关部门的合规要求(包括国家政策、法律法规、上级部门和甲方客户的要求等)。

4.系统通过等保，可以在一定程度上提高企业投标锁标能力，为投标加分
网络安全等级保护分为五个等级：
证书案例
在网信、公安以及各行业主管部门、密码管理部门监管治理下，需要对用户做好关键信息基础设施、网络安全等级保护和数据安全保护的宣贯工作，让大家真正意识到信息化与数据安全、关基保护、等级保护的重要性、必要性，促使传统厂商、网络安全服务企业、网络安全测评认证机构等网络安全供应方做好关保、等保和数据安全保护的服务工作，促进行业健康发展。

ICS xx.xxxL xx团体标准T/ISEAA XXX-2019信息安全技术网络安全等级保护云计算测评指引Information security technology—Testing and evaluation guideline of cloud computing forclassified production of cybersecurity（征求意见稿）20XX -XX-XX 发布20XX -XX-XX 实施中关村信息安全测评联盟发布目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 概述 (2)5 云计算等级测评实施 (3)6 云计算等级测评问题分析 (7)7 云计算等级测评结论分析 (8)附录A 被测系统基本信息表（样例） (10)附录B 云计算平台服务（样例） (12)前言为配合国家网络安全等级保护制度2.0全面推进，更好的指导等级测评机构在云计算环境下开展等级测评工作，加强、规范云计算安全等级测评工作的独立性、客观性、合规性及有效性，依据网络安全等级保护2.0相关系列标准，制定网络安全等级保护云计算安全等级测评指引，本指引遵从下列标准规范：—— GB/T 22239—2019 信息安全技术网络安全等级保护基本要求；—— GB/T 28448—2019 信息安全技术网络安全等级保护测评要求；—— GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南。

本标准由中关村信息安全联盟提出并归口。

本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、阿里云计算有限公司、深信服科技股份有限公司、电力行业信息安全等级保护测评中心、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、中国金融电子化公司测评中心、交通运输信息安全中心有限公司、信息产业信息安全测评中心、公安部第一研究所、中国信息通信研究院、国家信息中心、教育部信息安全等级保护测评中心、国家计算机网络与信息安全管理中心、安徽省信息安全测评中心、广西网信信息安全等级保护测评有限公司、中国电信集团系统集成有限责任公司、成都市锐信安信息安全技术有限公司。

信息安全等级保护测评作业指导书系统建设管理（三级）修改页一、系统定级1．信息系统边界和安全保护等级2．信息系统定级方法和理由3．定级结果论证和审定4．定级结果经过相关部门批准二、安全方案设计1．选择基本安全措施及补充调整2．安全建设总体规划3．细化系统安全方案4．安全技术专家论证和审定5．安全方案调整和修订三、产品采购和使用1．安全产品采购和使用符合国家有关规定2．保密码产品采购和使用符合国家密码主管部门要求3．专门部门负责产品采购4．预先产品选型测试四、自行软件开发1．开发环境与实际运行环境物理分开，测试数据和测试结果受到控制2．软件开发管理制度3．代码编写安全规范4．软件设计相关文档和使用指南5．程序资源库修改、更新、发布进行授权和批准五、外包软件开发1．软件质量测试2．检测软件包恶意代码3．软件设计相关文档和使用指南4．软件源代码检查六、工程实施1．工程实施管理2．工程实施方案3．工程实施管理制度七、测试验收1．第三方安全性测试2．安全性测试验收报告3．书面规定测试验收的控制方法和人员行为准则4．系统测试验收授权及完成5．测试验收报告审定八、系统交付1．系统交付清单2．运行维护技术人员技能培训3．系统运行维护文档4．书面规定系统交付的控制方法和人员行为准则5．系统交付管理工作授权及完成九、系统备案1．系统定级材料管理2．系统主管部门备案3．备案材料报送相应公安机关备案十、等级测评1．每年一次等级测评及整改2．系统变更进行等级测评3．测评单位技术资质和安全资质4．授权专门部门或人员负责等级测评管理十一、安全服务商选择1．安全服务商选择合规2．安全服务商协议3．安全服务商服务合同。

信息系统等级保护测评工作方案目录信息系统等级保护测评工作方案 0目录 (1)1.项目概述 (2)1.1. 项目背景21.2. 项目目标21.3. 项目原则21.4. 项目依据32. 测评实施内容 (3)2.1. 测评分析42.1.1. 测评范围 (4)2.1.2. 测评对象 (4)2.1.3. 测评架构图 (4)2.1.4. 测评内容 (4)2.1.5. 测评对象 (7)2.1.6. 测评指标 (8)2.2. 测评流程92.2.1. 测评准备阶段 (10)2.2.2. 方案编制阶段 (11)2.2.3. 现场测评阶段 (11)2.2.4. 分析与报告编制阶段 (13)2.3. 测评方法142.3.1. 工具测试 (14)2.3.2. 配置检查 (14)2.3.3. 人员访谈 (15)2.3.4. 文档审查 (15)2.3.5. 实地查看 (16)2.4. 测评工具162.5. 输出文档173.时间安排 (17)4.人员安排 (17)4.1. 组织结构 (18)4.2. 项目工作分工 (18)4.3. 人员配置表 (19)4.4. 工作配合 (20)5.其他相关事项 (21)5.1. 风险规避 (21)5.2. 项目信息管理 (23)5.2.1. 保密责任法律保证 (23)5.2.2. 现场安全保密管理 (24)5.2.3. 文档安全保密管理 (24)5.2.4. 离场安全保密管理 (24)5.2.5. 其他情况说明 (24)1.项目概述1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，2020年某司需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求，对某司现有N个信息系统进行全面的信息安全测评与评估工作,并且为某司提供驻点咨询、实施等服务。

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表.1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

.1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中，遵循以下原则：完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；重要性原则，应抽查重要的服务器、数据库和网络设备等；安全性原则，应抽查对外暴露的网络边界；共享性原则，应抽查共享设备和数据交换平台/设备；代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

1.4测评依据信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价），因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下：系统定级使用的主要指标依据有：《计算机信息系统安全保护等级划分准则》（GB 17859-1999）《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）等级保护测评使用的主要指标依据有：《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）《信息安全技术信息系统安全等级保护测评要求》（GBT 28448-2012） 《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）现状测评使用的主要指标依据有：制度检查：以GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求，检查是否具有相应的制度、记录。