信息安全等级保护测评机构申请表
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全2集成等业务;(十)应具备的其他条件。
等级保护测评申请书
编号:XXXX信息系统安全等级测评申请书申请单位(盖章):系统名称:系统安全等级:________________________ 申请日期:赛博信测(北京)技术有限公司填表说明用户填写和提供的信息及资料应保证真实可靠。
1、本申请表请在计算机上填写,内容以实际情况为准。
2、请提交申请书1份,包括要求的附件内容,并加盖单位公章。
申请单位联系信息部门: 部门负责人: 电话: 手机:联系人: 电话: 手机: 传真: 电子邮箱: 联系地址: 邮政编码:附件:一、基本材料1.《信息系统安全等级保护备案表》2.《信息系统安全等级保护备案表》要求的相关附件:定级报告系统拓扑结构及说明(要求描述)安全组织机构说明系统安全保护设施设计实施方案或改建实施方案系统使用的安全产品清单及认证、销售许可证明3.系统相关的主要服务商及其资质4.其他:专家评审意见(如有)安全测评报告(如有)二、系统资料网络系统:1.网络安全域的划分情况;2.网络的访问控制策略;3.网络的带宽控制策略(如QoS);4.网络设备、安全设备审计功能的设计与实现;5.非法外联、非法接入控制措施;6.入侵防范及恶意代码防范部署情况;7.网络和安全设备管理员身份鉴别;8.边界和核心交换设备保护措施;主机系统:1.各操作系统和数据库系统采用的鉴别方式(账号/密码或其他方式)2.操作系统和数据库系统用户账号安全策略(包括对账号口令复杂度设置、口令修改设置、登录失败处理情况)3.服务器远程管理安全策略(是否允许远程管理、传输加密要求)4.服务器中各用户对资源的访问控制策略(敏感信息资源清单,用户权限分配策略、系统账号列表及各账号用途)5.主要服务器必须开放的端口及其用途6.操作系统和数据库安全审计策略7.服务器本地安全防护措施(如:防火墙、防恶意代码等);8.服务器提供其功能所必需的操作系统组件及其他软件清单9.服务器安全监控(如:主机入侵检测系统等)10.设计/验收文档应用系统:1.应用系统用户身份鉴别方式(账号/密码、数字证书等)。
关于开展集团信息网络安全等级保护测评工作的请示
关于开展集团信息网络安全等级保护测评工作的请示关于开展集团信息网络安全等级保护测评工作的请示尊敬的集团领导:根据2017年颁布的《网络安全法》,网络运营者应遵守网络安全等级保护制度,保障网络免受干扰、破坏、未经授权访问,防止数据泄露、窃取和篡改。
2019年12月1日,国家发布了《信息安全技术网络安全等级保护基本要求》(GBT-2019)。
《网络安全法》第五十九条明确规定了网络运营者不履行网络安全保护义务将面临的行政处罚。
目前,银行系统、政府机关和国有大中型企业均已开展信息网络安全等级保护相关工作,例如XXX、XXX、XXX、XXX等。
为了满足集团信息安全建设需要,我们拟开展网络安全等级保护相关工作,包括网络安全测评、建设整改、等级评定和每年的定期检查测评及优化等。
我们建议选择第三方专业资质的测评机构提供相关测评服务,进行网络安全等级保护测评工作,预算为XX万元。
我们请求集团集中采购委员会确定采购方式和组织实施相关采购程序。
现将有关情况报告如下:一、信息网络安全建设现状。
集团于XX年进行了机房和网络信息安全相关建设,解决了内外网隔离和访问身份认证问题,形成了网络信息安全基础防护能力。
目前仍然存在不足,一是网络信息安全构架不够完善,与国家标准等级保护要求尚有一定差距。
二是缺少配套的信息安全管理制度体系。
二、开展信息网络安全等级保护工作的意义。
1.《网络安全法》将网络运营者的信息网络安全责任和义务上升到法律约束高度,《信息安全技术网络安全等级保护基本要求》(GBT-2019)规定了明确的执行标准,开展信息网络安全等级保护工作意义重大。
2.通过信息网络安全等级保护建设找出信息系统在信息安全方面与国家标准要求之间的差距,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,并建立长效机制,保障信息安全工作与信息化建设同步、可持续的开展。
3.有利于采取系统、规范、经济有效的管理和技术保障措施,建立健全各项信息安全管理制度,保障业务信息系统安全正常运行,保障信息安全,进而保障各部门职能安全、高速、高效地运转。
信息安全等级保护测评机构管理规定
信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其他条件。
信息安全等级保护测评技术规格书
信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。
与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称“《保护条例》”)。
作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。
为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。
欢迎国内具有独立承担民事责任的企业, 具备相关资格(具备信息安全等级保护测评资质)条件的供应商参加。
二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。
定级系统: (二级)①公司OA办公系统;②物流系统;③采购系统;④质量中心系统;⑤炼铁部-工业网络系统;⑥铸管部-工业网络系统;工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。
项目实施内容:1.安全检查(1)信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析;(2)信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险;(3)信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。
2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括:对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。
信息安全等级保护三级测评内容标准和测评方法表单
信息安全等级保护三级测评内容标准和测评方法等级保护三级技术类测评控制点类别序号测评内容测评方法告。
结果记录符合情况Y N10.应对介质分类标识,存储在介质库或档案室中。
(G2)11.应利用光、电等技术设置机房防盗报警系统。
(G3)12.应对机房设置监控报警系统。
(G3)防雷击13.14.机房建筑应设置避雷装置。
(G2)应设置防雷保安器,防止感应雷。
(G3)访谈,检查。
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线)建筑防雷设计/验收文档。
—15.机房应设置交流电源地线。
(G2)防火16.机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
(G3)访谈,检查。
物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,火灾自动报警系统设计/验收文档。
17.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
(G3)18.机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
(G3)防水和防潮19.水管安装,不得穿过机房屋顶和活动地板下。
(G2)访谈,检查。
物理安全负责人,机房维护人员,机房设20.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
(G2)21.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
(G2)22.应安装对水敏感的检测仪表或兀件,对机房进>.z. .施等级保护三级技术类测评控制点类别序号测评内容测评方法结果记录符合情况Y N 行防水检测和报警。
(G3)防静电23.主要设备应采用必要的接地防静电措施。
(G2)访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文24.机房应采用防静电地板。
(G3)温湿度控制25.应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
(G2)访谈,检查。
物理安全负责人,机房维护人员,机房设施,温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。
关于开展集团信息网络安全等级保护测评工作的请示
关于开展集团信息网络安全等级保护测评工作的请示(参考)集团领导:按照2017年国家颁布的《网络安全法》要求,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
对应的国家标准《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)于2019年12月1日正式颁布实施。
其中,《网络安全法》第五十九条对网络运营者不履行本法规定的网络安全保护义务的情况,明确了相关行政处罚。
目前,银行系统、政府机关和国有大中型企业均已开展信息网络安全等级保护相关工作,例如XXX、XXX、XXX、XXX等。
结合集团信息安全建设实际情况,拟开展网络安全等级保护相关工作,包括网络安全测评、建设整改、等级评定和每年的定期检查测评及优化等。
建议选择第三方专业资质的测评机构提供相关测评服务,进行网络安全等级保护测评工作,预算为XX万元。
并提请集团集中采购委员会确定采购方式和组织实施相关采购程序。
现将有关情况报告如下:一、信息网络安全建设现状。
集团于XX年进行了机房和网络信息安全相关建设,解决了内外网隔离和访问身份认证问题,形成了网络信息安全基础防护能力。
目前仍然存在不足,一是网络信息安全构架不够完善,与国家标准等级保护要求尚有一定差距。
二是缺少配套的信息安全管理制度体系。
二、开展信息网络安全等级保护工作的意义。
1.《网络安全法》将网络运营者的信息网络安全责任和义务上升到法律约束高度,《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)规定了明确的执行标准,开展信息网络安全等级保护工作意义重大。
2.通过信息网络安全等级保护建设找出信息系统在信息安全方面与国家标准要求之间的差距,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,并建立长效机制,保障信息安全工作与信息化建设同步、可持续的开展。
3.有利于采取系统、规范、经济有效的管理和技术保障措施,建立健全各项信息安全管理制度,保障业务信息系统安全正常运行,保障信息安全,进而保障各部门职能安全、高速、高效地运转。
XX局信息安全等级保护-测评调查表
XX省XX局信息系统基本情况调查表(XX省XX)20XX年6月1 / 1说明1、请提供信息系统的最新网络结构图(拓扑图)2、请根据信息系统的网络结构图填写各类调查表格。
表1-1. 单位基本情况调查1 / 11 / 1表1-2. 参与人员名单填表人:日期:序号人员姓名所属部门职务/职称负责范围联系方法1 省XX局处长网络设备、安全设备2 省XX局科长服务器3456789101 / 1表1-3. 物理环境情况填表人:日期:序号物理环境名称物理位置涉及信息系统1 省XX局机房国家XX局广域网、计算机网络系统、省XX局公众网站系统、省XX 局内部网站系统、内部办公自动化站2 省XX机房广3 省XX局办公楼计算机网络系统45678注:物理环境包括主机房、辅机房、办公环境等。
1 / 1表1-4. 信息系统基本情况填表人:日期:序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务应用1 XX局广域网三三二2 计算机网络系统二二二3 二二二4 省XX局内部网站系统二二二5 内部办公自动化二二二6 二二二7 二二二8 内部办公自动化OA信二二二息系统9 内部门户网站二二二10111 / 1表1-5. 国家XX局广域网-外联(网络边界)情况调查1 / 1表1-6. 国家XX局广域网-网络设备情况调查1 / 1表1-8. 计算机网络系统-外联(网络边界)情况调查1 / 1表1-9. 计算机网络系统-网络设备情况调查1 / 11 / 1表1-10. 计算机网络系统-安全设备情况调查1 / 1表1-11. 服务器设备情况调查1 / 11 / 11 / 11 / 11 / 1表1-12. 应用系统情况调查填表人:日期:1 / 1表1-13. 业务数据情况调查1 / 11 / 11 / 11 / 1表1-14. 数据备份情况填表人:日期:序号备份数据名介质类型备份周期保存期是否异地保存涉及应用系统备注1 否多个应用系统的数据备份2 否3 否暂没业务应用4 否XX5678910111 / 1表1-17. 终端设备情况调查1 / 1表1-18. 管理文档情况调查制度类文档填表人:日期:1 / 11 / 1表1-19. 人员抽样情况调查人员抽样调查文档序号人员抽样调研要求回答情况备注1 是否发生过信息安全事件?发生后是如何处理的?发生过,立马组织相关技术人员进行处理,同时通知厂家派工程师上门提供技术支持2 人员信息安全意识与安全技能掌握情况?3 管理层对信息安全/等级保护是如何认识的??4 员工对信息安全/等级保护的看法??1 / 1表1-19. 安全威胁情况表填表人:日期:序号安全事件调查调查结果1 是否发生过网络安全事件□没有□1次/年□2次/年□3次以上/年□不清安全事件说明:(时间、影响)2 发生的网络安全事件类型(多选)□感染病毒/蠕虫/特洛伊木马程序□拒绝服务攻击□端口扫描攻击□数据窃取□破坏数据或网络□篡改网页□垃圾邮件□内部人员有意破坏□内部人员滥用网络端口、系统资源□被利用发送和传播有害信息□网络诈骗和盗窃□其它其它说明:3 如何发现网络安全事件(多选)□网络(系统)管理员工作检测发现□通过事后分析发现□通过安全产品发现□有关部门通知或意外发现□他人告知□其它其它说明:4 网络安全事件造成损失评估□非常严重□严重□一般□比较轻微□轻微□无法评估5 可能的攻击来源□内部□外部□都有□病毒□其他原因□不清攻击来源说明:6 导致发生网络安全事件的可能原因□未修补或防范软件漏洞□网络或软件配置错误□登录密码过于简单或未修改□缺少访问控制□攻击者使用拒绝服务攻击□攻击者利用软件默认设置□利用内部用户安全管理漏洞或内部人员作案□内部网络违规连接互联网□攻击者使用欺诈方法□不知原因□其它其它说明:1 / 1序号安全事件调查调查结果7 是否发生过硬件故障□有(注明时间、概率)□无造成的影响是:8 是否发生过软件故障□有(注明时间、概率)□无造成的影响是:9 是否发生过维护失误□有(注明时间、概率)□无造成的影响是:10 是否发生过因用户操作失误引起的安全事件□有(注明时间、概率)□无造成的影响是:11 是否发生过物理设施/设备被物理破坏□有(注明时间、概率)□无造成的影响是:12 有无遭受自然性破坏(如雷击等)□有(注明时间、概率)□无有请注明时间、时间后果13 是否发生过莫名其妙的故障□有(注明时间、概率)□无有请注明时间、时间后果1 / 1。
信息安全技术-网络安全等级保护测评要求-第1部分:安全通用要求-编制说明
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448—2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448—2012进行修订.根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd—WG5—006.1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现.《信息安全技术信息系统安全等级保护基本要求》(GB/T22239—2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节.此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法.1.3 与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)(简称“《定级指南》")确定等级保护对象的安全保护等级,然后根据《信息安全技术 网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术 信息系统安全等级保护实施指南》(简称“《实施指南》”)或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-20XX)(简称“《测评过程指南》”)来规范测评过程和各项活动,利用《信息安全技术 网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。
等保测评机构资质申请条件
等级保护测评(等保测评)是指对信息系统进行的安全等级保护合规性评估。
在中国,等保测评机构指的是经过国家有关部门批准,具有从事信息系统安全等级保护测评服
务资格的专业机构。
等保测评机构资质申请条件一般包括但不限于以下几点:
1. 组织机构条件:
- 必须是依法注册的独立法人。
- 有固定的办公场所和必要的工作设施。
- 有与开展测评工作相适应的组织管理结构。
2. 人员条件:
- 具有一定数量的具备相关专业背景的全职员工。
- 测评人员需要具备相应的专业技术职称或者安全相关的专业资格认证。
- 测评人员应当接受过专业的等级保护测评培训,并通过考核。
3. 技术能力条件:
- 能够独立开展测评工作,具备完成测评任务所需的技术和工具。
- 有完善的测评方法和测评流程。
- 有质量保证体系和信息安全管理制度。
4. 业绩条件:
- 通常需要有一定的信息系统安全服务业绩,比如曾经承担过相关的安全服务项目。
5. 法律法规遵循条件:
- 遵守国家法律法规,没有违法违规记录。
6. 保密条件:
- 有严格的保密制度和措施,确保客户信息安全。
7. 相关部门要求:
- 根据不同时间点,国家相关部门可能会有额外的具体要求。
申请成为等保测评机构,需要向国家相关部门提交申请材料,包括公司资质、人员资格证明、业绩报告、技术能力说明等,并接受相关部门的审核。
审核通过后,才能获得相应的资质,从事等级保护测评服务。
需要注意的是,以上条件仅供参考,具体申请条件和流程可能会随着政策的变化而变化,建议咨询相关部门获取最新的申请指南和详细信息。
信息安全等级保护测评机构管理办法最新
信息安全等级保护测评机构管理办法最新信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其它条件。
信息系统安全等级保护测评及服务要求
成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。
(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件);2.测评机构应为成都市本地机构或在成都有常驻服务机构;3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》;4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准);5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。
没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。
6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。
7.本包不接受联合体参加。
二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。
等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。
测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。
等保测评资质申请流程
等保测评资质申请流程等保测评资质申请流程1. 引言在当前信息时代,网络安全问题日益突出,各种网络攻击和数据泄露事件层出不穷。
为保障国家网络安全,我国推出了《信息安全等级保护测评管理办法》(以下简称《办法》),并建立了等保测评制度。
等保测评是对信息系统安全等级的测评工作,其资质申请流程是企业申请等保测评资质的重要步骤。
2. 等保测评资质申请流程的重要性和意义等保测评资质申请流程是企业获得等保测评资质的关键步骤,通过申请流程,企业可以获得对自身信息安全状况的全面评估,有效提升信息系统的安全等级,保护重要信息资产的安全。
获得等保测评资质还可以提升企业在市场竞争中的竞争力,为企业在信息安全领域树立良好的形象。
3. 等保测评资质申请流程的具体步骤3.1 准备资料在开始资质申请流程之前,企业需要准备相关资料,包括企业的基本信息、组织结构、人员构成、信息系统的详细情况等。
企业还需要对自身的信息安全管理制度进行规范和完善,确保符合等保测评的要求。
3.2 提交申请企业完成资料的准备后,需要向相关部门提交等保测评资质申请。
申请材料需要详细描述企业的情况,并附上相关证明文件和资料,以便相关部门进行审核和评估。
3.3 审核与评估一旦企业的申请提交后,相关部门将对申请材料进行审核和评估。
审核和评估过程主要是针对企业的信息安全管理制度、信息系统的安全性、安全设备的配置和使用等方面进行的。
评估还包括对企业现场的走访和实地考察,以便全面了解和评估企业的信息安全状况。
3.4 发放等保测评资质在审核和评估合格后,相关部门将发放等保测评资质给企业。
等保测评资质的级别与企业的信息安全等级相匹配,通常分为一级、二级和三级等不同等级。
其中,一级为最高等级,代表企业的信息安全水平达到了国际领先水平。
4. 个人观点和理解等保测评资质申请流程是一个系统的流程,需要企业做好准备工作,提供真实、准确且详尽的资料,以便相关部门进行评估和审核。
作为企业,应该高度重视信息安全,建立完善的信息安全管理制度,加强人员培训和技术设施的建设,以提升企业的信息安全等级。
信息系统安全等级保护_资质申请_要求、资质、工具和收费概述.
suansin@
2、测评机构资质-注册资金,营业执照
suansin@
2、测评机构资质-测评机构能力评估报告
sua估合格证书
1、测评机构要求-申请材料
(一)《信息安全等级保护测评机构申请书》; (二)当地公安网安部门的推荐意见; (三)营业执照及其他注册证明文件; (四)《内设组织机构与岗位设置情况表》; (五)《工作人员基本情况表》、证明材料和声明; (六)《办公场地、设备与设施情况表》; (七)《安全测评设备、工具配备情况表》; (八)信息系统安全测评能力报告; (九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件; (十)需要提供的其他材料。
suansin@
1、测评机构要求-业务范围
地方测评机构在本地开展测评业务,行业测评机构在行
业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地 等级保护协调(领导)小组办公室协调; 承担有关部门委托的安全测评专项任务; 配合当地公安网安部门对信息系统进行监督、检查; 开展风险评估、信息安全培训、咨询服务和信息安全工程监理; 为当地信息安全等级保护工作提供技术支持和服务; 其他有关文件规定的职责任务。
等级测评活动是确保信息安全等级保护工作的关键环节,通过测评 能够了解系统的安全现状与等级保护要求之间的差距,明确安全整 改的目标与方向。工具测试作为一种高灵活性的辅助测试手段,在 测评活动中发挥着重要作用。
suansin@
3、测评工具-分类
根据在等级测评过程中任务的不同,等级测评工具可以分成如下三大类:
信息系统安全等级保护 要求、资质、工具和收费
内容
1 2
信息系统安全等级保护_资质申请_要求、资质、工具和收费
(六)具有胜任等级测评工作的专业技术人员和管理人员,大
学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少 于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制
度;
(八)对国家安全、社会秩序、公共利益不构成威胁; (九)应当具备的其他条件。
suansin@
suansin@
1、测评机构要求-业务范围
地方测评机构在本地开展测评业务,行业测评机构在行
业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地 等级保护协调(领导)小组办公室协调; 承担有关部门委托的安全测评专项任务; 配合当地公安网安部门对信息系统进行监督、检查; 开展风险评估、信息安全培训、咨询服务和信息安全工程监理; 为当地信息安全等级保护工作提供技术支持和服务; 其他有关文件规定的职责任务。
等级测评活动是确保信息安全等级保护工作的关键环节,通过测评 能够了解系统的安全现状与等级保护要求之间的差距,明确安全整 改的目标与方向。工具测试作为一种高灵活性的辅助测试手段,在 测评活动中发挥着重要作用。
suansin@
3、测评工具-分类
根据在等级测评过程中任务的不同,等级测评工具可以分成如下三大类:
1、测评机构要求-设施与设备
1、 等级测评机构应具备必要的办公环境、设备、设施和
管理系统。
2 、等级测评机构应具备满足等级测评工作需要的工具,
如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具 等。
3 、等级测评机构应具备符合相关要求的机房以及必要的
软、硬件设备,用于满足信息系统仿真、技术培训和模拟 测试的需要。
1)等级测评安全测试工具:主要用于对信息系统的主要部件
关于等保测评的申请报告
关于等保测评的申请报告
申请报告是进行等保测评的重要文件,它提供了组织在信息安全管理方面的整体情况,并详细说明了等级保护要求的达成情况。
以下是关于等保测评申请报告应包括的主要内容:
1. 组织概况:简要介绍组织的背景、规模、业务范围及信息系统的情况。
2. 法律法规整合情况:列举适用的法律法规要求,说明组织已经建立的信息安全管理体系,以及与法规要求的整合情况。
3. 信息系统架构:详细描述组织的信息系统架构,包括网络拓扑、系统设备、关键应用等。
4. 等级保护目标:根据等级保护标准,确定组织需要达到的等级保护目标,并说明其中包括的安全需求。
5. 安全保护措施:描述组织已经实施的安全措施,例如网络设备配置、访问控制、入侵检测系统、安全审计等。
6. 安全事件处理:说明组织建立的安全事件处理流程,包括事件的发现、报告、响应和修复。
7. 安全培训与意识:介绍组织开展的安全培训与意识活动,包括员工的安全培训计划和沟通渠道。
8. 安全评估与演练:说明组织对信息系统的定期安全评估与演练活动,包括漏洞扫描、渗透测试和灾备演练等。
9. 安全监控与报告:描述组织建立的安全监控和报告机制,包括安全事件日志记录、安全事件分析和报告等。
10. 安全管理文件:包括安全策略、安全操作规程、密码管理规定等安全管理文件的情况。
11. 问题和改进措施:列举之前等保测评中发现的问题,以及组织已经实施或计划实施的改进措施。
最后,申请报告需要由组织相关负责人签署,并附上其他相关证明文件,如安全事件的记录和处理报告、安全培训的证明等。
申请报告的编写需经过仔细评估和准备,确保完整、准确地反映组织在信息安全方面的情况。
分级保护测评申请书模板
尊敬的XXX部门:您好!我单位(以下简称“申请人”)拟进行信息安全分级保护测评,以确保我国信息系统安全建设的整体水平,提高信息系统安全。
特此向贵部门提交分级保护测评申请书,敬请审批。
一、项目背景信息安全等级保护制度是我国信息安全保障工作的基本制度,对维护国家安全、社会秩序和公共利益具有重要意义。
根据《信息安全与通信保密》等相关资料,信息安全产品体系探讨以及信息安全等级保护制度下信息安全产品分级测评体系的研究,我们意识到信息安全测评是确保信息系统安全的关键环节。
因此,我们决定申请进行信息安全分级保护测评,以提升我国信息系统安全建设的整体水平。
二、项目目标通过分级保护测评,我们希望实现以下目标:1. 提高信息系统安全防护能力,防范信息安全风险;2. 保障信息系统在遭受攻击时能够及时发现并得到有效处置;3. 提升我国信息安全建设的整体水平,满足国家信息安全需求;4. 培养一支高素质的信息安全专业队伍,为我国信息安全事业发展贡献力量。
三、项目实施方案1. 成立项目组,负责组织、协调和推进分级保护测评工作;2. 对照信息安全分级保护相关标准,对信息系统进行自评估,找出潜在的安全隐患;3. 聘请具有专业资质的安全测评机构,对信息系统进行正式测评;4. 根据测评结果,对信息系统进行整改,提升安全防护能力;5. 定期对信息系统进行安全巡查和漏洞扫描,确保信息安全。
四、项目预算根据项目需求和实际情况,我们拟定的项目预算为人民币XX万元,其中包括:1. 安全测评机构费用:XX万元;2. 设备购置费用:XX万元;3. 人员培训费用:XX万元;4. 的其他相关费用:XX万元。
五、申请单位基本情况申请人名称:XXX单位单位性质:国有企业成立时间:XXXX年经营范围:信息系统建设、运维、安全防护等。
六、申请单位信息安全保障能力1. 具备完善的信息安全管理制度和操作规程;2. 拥有一支专业的信息安全团队,具备信息安全防护能力;3. 采用国内外先进的信息安全技术,不断提升信息安全水平;4. 积极参加国家信息安全相关的培训和交流活动,了解最新的信息安全动态。
《信息安全等级保护测评机构管理办法》
信息安全等级保护测评机构治理方法第一条为加强信息安全等级保护测评机构治理,标准等级测评行为,提高测评技术力量和效劳水平,依据《信息安全等级保护治理方法》等有关规定,制定本方法.其次条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,依据有关治理标准和技术标准,对非涉及国家隐秘信息系统安全等级保护状况进展检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本方法规定的根本条件,经审核推举,从事等级测评等信息安全效劳的机构。
第三条等级测评机构推举治理工作遵循统筹规划、合理布局、安全标准的方针,依据“谁推举、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以供给等级测评效劳为主,可依据信息系统运营使用单位安全保障需求,供给信息安全询问、应急保障、安全运维、安全监理等效劳。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办“〕负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推举的等级测评机构进展监视治理。
省级信息安全等级保护工作协调〔领导〕小组办公室〔以下简称“省级等保办”〕负责受理本省〔区、直辖市)申请单位提出的申请,并对其推举的等级测评机构进展监视治理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”〕应具备以下根本条件:〔一〕在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;〔二〕产权关系明晰,注册资金100 万元以上;〔三〕从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;〔五〕具有信息系统安全相关工作阅历的技术人员,不少于10 人;(六〕具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;〔七〕具有完备的安全保密治理、工程治理、质量治理、人员治理和培训教育等规章制度;〔八〕自觉承受等保办的监视、检查和指导,对国家安全、社会秩序、公共利益不构成威逼;〔九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;〔十)应具备的其他条件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
培训项目
证书名称工作经历时间 Nhomakorabea单位名称
职务\职称
见证人
所提供附件
(请在提供的材料序号前□内打“√”)
□ 1、身份证复印件
□ 2、最高学历证书复印件
□ 3、相关认证、技能证书复印件
个人郑重声明
郑重声明
本人清楚国家对等级测评从业人员的安全审查和等级测评技术能力等方面的要求,愿意服从并遵守有关安全保密等管理规范,并承诺按照相关标准规范要求和规定认真履行工作职责。本人自愿接受关于本人的审核,所提供的全部资料均真实有效,如有虚假,本人将承担由此造成的一切后果及相关法律责任。
其他特别声明事项:
法定代表人:(签字)
申请单位:(盖章)
年月日
申请单位人员基本情况表
姓名
性别
免冠照片
出生年月
国籍
政治面貌
出生地
最高学历
身份证号
护照号码
绿卡号码
户籍地址
邮编
居住地址
邮编
职务
职称
电子邮箱
电话
犯罪记录
业务能力和专长
直系亲属涉外关系
教育背景(从大专填写)
时间
院校名称
专业方向
见证人
培训经历
时间
□ 3、申请单位人员基本情况表(每人填写一份)
□ 4、股权(资本)结构说明
□ 5、申请单位组织结构表
□ 6、相关资质能力证书复印件
申请单位声明
我单位知悉信息安全等级保护测评机构的责任义务,现申请成为信息安全等级保护测评机构,自愿服从并接受相关安全保密、测评规范管理,并保证所提交的有关材料均真实有效。如有虚假,本单位愿承担一切后果及相关法律责任。
□4、从事信息系统检测评估相关工作两年以上;
□5、工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
□6、具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
□7、具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
编号:(X)XXX年月日
信息安全等级保护测评机构
申请表
单位名称:
单位地址:
申请日期:
国家信息安全等级保护工作协调小组办公室制
填表说明:(封皮背面)
1、申请表编号“(X)XXX 年 月 日”由受理申请单位填写,其中(X)是各地行政区划简称,XXX是申请表编号。
2、申请表各项内容应如实填写,文字表述明确。
3、申请表签字盖章方为有效。应由申请单位法定代表人签字;委托代表人签字的,应出具有效的委托书。
4、申请表中“单位类型”应按照单位营业执照填写。
5、如所填内容超出表格时,可添加附页。
6、申请单位人员基本情况表每人填写一份。
7、申请表一式二份。
申请单位基本情况表
单位名称
单位地址
法定代表人
手机
办公电话
单位负责人
法定代表人签字:
单位盖章:
年月日
以下内容由省级以上等保办填写
能力评估情况
(能力评估报告摘录,评估情况及结论)
等级测评师培训获证情况
专家审核意见
专家组长:(签字)
年月日
推荐意见
承办人:(签字)
年月日
负责人:(签字/盖章)
年月日
安全保密管理等制度情况
(为加强内部规范管理,适应等级测评业务安全保密要求而采取的人员管理、安全保密管理、设备使用管理、测评质量控制管理等方面的措施和制度建设情况)
测评技术力量情况
(技术人才数量、层次、培训、承担重大课题、项目情况)
申请表附件
(请在提供的材料序号前□内打“√”)
□1、营业执照复印件
□ 2、法定代表人及股东身份证复印件
□8、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
□9、对国家安全、社会秩序、公共利益不构成威胁。
业务范围及主营业务
(按营业执照填写)
从事信息系统检测评估相关工作情况
(近年来从事信息系统检测评估相关工作的业绩,需要列举已完成项目的范例)
设备设施配备情况
(等级测评所需的测试实验环境、测评工作平台、专门工具、测试与评估设备及其它服务保障设施情况;设备类别清单)
个人签名:
单位盖章:
年月日
安全保证承诺书
等级测评工作是等级保护工作的重要组成部分,直接关系信息系统安全,作为从事信息安全等级测评工作的机构,本单位及其人员知悉测评机构的责任义务和工作规范,愿意服从并接受各项安全保密管理,并承诺按照有关标准规范开展等级测评工作,保证测评工作的客观、公正、安全,如有虚假或有违反测评管理规范的行为,本单位将承担由此造成的一切后果及相关的法律责任。
手机
办公电话
单位联系人
手机
办公电话
电子邮箱
注册资本
单位类型
员工总数
管理人员数
技术人员数
测评机构应当具备的基本条件
(请在符合的条件序号前□内打“√”)
□1、在中国境内注册成立(港澳台地区除外);
□2、由中国公民投资、中国法人投资或国家投资的企事业单位(港澳台地区除外);
□3、产权关系明晰,注册资金100万元以上;