信息安全等级保护系统验收检查项
信息系统安全等级保护测评服务内容及要求
信息系统安全等级保护测评服务内容及要求一、供应商资格:1.供应商应具备《政府采购法》第二十二条规定的条件;1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。
3.具有网络安全等级保护测评机构推荐证书。
4.具有中国合格评定国家认可委员会颁发的CNAS证书。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
二、项目服务内容及要求1.采购项目需求一览表:序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统(签约银行登录)二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。
按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。
2.2项目目标2.2.1等级保护测评服务。
根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。
等级保护验收测评服务项目
等级保护验收测评服务项目【采购编号:MMC2018A007T】竞争性磋商文件广东石油化工学院招投标工作办公室2018年3月第一部分采购公告等级保护验收测评服务项目广东石油化工学院招投标工作办公室受广东石油化工学院实验室与设备管理处的委托,就等级保护验收测评服务项目按竞争性磋商方式进行采购,接受合格的国内投标人提交密封投标文件参加投标。
有关事项如下:一、采购项目的名称、编号及货物需求1、项目名称:等级保护验收测评服务2、项目编号:MMC2018A007T3、货物需求:具体详见招标文件《第三部分服务要求》。
4、项目预算:25.85万元。
二、合格投标人:1、符合《中华人民共和国政府采购法》第二十二条规定;2、投标人必须是具有独立承担民事责任能力的在中华人民共和国境内注册的法人或其他组织,投标时提交有效的企业法人营业执照(或事业法人登记证)副本复印件;3、投标人在参加政府采购活动前三年中没有违法记录,并遵守政府采购法律、法规;4、必须具有广东省信息安全等级保护协调小组办公室颁发的“信息安全等级保护测评机构推荐证书”资质(在有效期内,提供证书复印件) ;或已按照粤等保办【2013】2号文件要求办理相关备案手续的异地测评机构(提供广东省信息安全等级保护协调小组办公室出具的备案登记证明复印件加盖投标人公章)5、本项目不接受联合体投标。
三、报名时间、地点及联系方式1、报名时间:2018年3月19日至2018年3月29日(上班时间)2、报名地点:广东石油化工学院招投标工作办公室(综合办公楼707室)3、报名资料:投标人必须提供有效法人授权委托书原件、工商营业执照副本复印件、组织机构代码证复印件、税务登记证复印件、“信息安全等级保护测评机构推荐证书”资质证书复印件或备案登记证明复印件等证明文件,并加盖单位公章。
4、报名联系人:陈老师、罗老师5、联系电话:************四、递交报价文件地点:广东石油化工学院综合办公楼704室五、递交投标文件时间、投标截止及项目评审时间:1、递交投标文件时间:2018年3月30日上午9:00-9:302、投标截止及项目评审时间:2018年3月30日上午9:30广东石油化工学院招投标工作办公室2018年3月19日第二部分商务要求一、投标保证金1、学校为了保证本次磋商采购免遭因供应商的行为而蒙受损失,学校在因供应商的行为受到损害时,将没收供应商的投标保证金;2、投标保证金金额:人民币叁仟元整(¥3000.00元);投标保证金应从投标人基本账户划入学校财务处指定账户;户名:广东石油化工学院开户行:建行茂名市光华北路分理处账号:44001690413051445422资金用途:投标保证金(注:投标人须在投标文件中明确提供本单位开户许可证复印件和保证金的银行回执复印件。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护基本要求引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。
一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。
本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。
整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。
本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。
三级等保测评验收
三级等保测评验收三级等保测评验收是指对企业信息系统安全等级保护工作进行评估和验收,以确定其是否达到国家三级等保标准的过程。
下面将从三个方面介绍三级等保测评验收的历史、背景和相关内容。
一、历史背景随着信息化的快速发展,网络安全问题越来越受到人们的关注。
为了保障国家信息安全,国家相关部门制定了《信息安全等级保护管理办法》和《信息安全技术等级保护要求》等一系列法规标准,其中包括了三级等保标准。
三级等保标准是国家信息安全等级保护的最高标准,要求企业信息系统在技术、管理和人员等方面达到一定水平,以确保信息安全。
二、评估内容三级等保测评验收主要包括以下内容:1.安全管理制度:评估企业是否建立了完善的安全管理制度,包括安全策略、安全规章制度、安全管理组织机构等。
2.安全技术措施:评估企业是否采取了有效的安全技术措施,包括网络安全设备、安全软件、加密技术等。
3.安全人员素质:评估企业是否有专业的安全管理人员,是否具备相关的安全技术知识和技能。
4.安全事件处理:评估企业是否建立了完善的安全事件处理机制,包括安全事件的报告、分析、处置和跟踪等。
5.安全保障能力:评估企业是否具备应对各种安全威胁的能力,包括安全预警、安全漏洞管理、安全应急响应等。
三、评估结果三级等保测评验收的评估结果分为合格和不合格两种情况。
如果企业的信息系统安全等级保护工作符合国家三级等保标准的要求,评估结果为合格;如果不符合要求,则评估结果为不合格。
对于不合格的企业,需要进行整改,并重新进行评估。
总之,三级等保测评验收是企业信息安全等级保护工作的重要组成部分,对于保障国家信息安全具有重要意义。
企业需要积极配合评估工作,加强信息安全管理,提高信息安全保障能力。
信息安全等级保护的各个环节以及相关要求
信息安全等级保护的各个环节以及相关要求第一篇:信息安全等级保护的各个环节以及相关要求一、信息安全等级保护的各个环节一、基本环节(一)组织开展调查摸底(二)合理确定保护等级(三)开展安全建设整改(四)组织系统安全测评(五)依法履行备案手续(六)加强日常测评自查(七)加强安全监督检查二、主要环节定级-安全建设-安全测评-备案二、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。
小型个体、私营企业中的信息系统。
中小学中的信息系统。
二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。
例如小的局域网,非涉及秘密、敏感信息的办公系统等。
三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。
DB11_T1344-2016信息安全等级保护检查规范
ICS13.310A 90 DB11 北京市地方标准DB11/T 1344—2016信息安全等级保护检查规范Examination specification for information security classifiedprotection2016-08-10发布2016-12-01实施目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 检查流程 (1)5 一级信息系统检查 (2)6 二级信息系统检查 (7)7 三级信息系统检查 (16)8 四级信息系统检查 (27)前言本标准按照GB/T 1.1—2009给出的规则起草。
本标准由北京市公安局提出并归口。
本标准由北京市公安局组织实施。
本标准主要起草单位:北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、北京中软华泰信息技术有限责任公司。
本标准主要起草人:叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。
信息安全等级保护检查规范1 范围本标准规定了对信息安全等级保护状况进行检查的流程和内容要求,其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。
本标准适用于信息安全等级保护检查工作。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术词汇第8部分:安全GB 17859 计算机信息系统安全保护等级划分准则GB/T 22239 信息安全技术信息系统安全等级保护基本要求GB/T 25069 信息安全技术术语GB/T 25070 信息安全技术信息系统等级保护安全设计技术要求3 术语和定义GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069和GB/T 25070界定的以及下列术语和定义适用于本文件。
信息系统安全等级保护自查项目表
等级保护工作责任部门和岗位人员确定状况。
1-3
等级保护工作旳文献,有关工作意见或方案旳制定状况。
1-4
根据国家、省、市等级保护政策法规、原则规范和行业主管部门等规定,组织开展各项工作状况。
1-5
等级保护工作会议、业务技能培训状况。
1-6
单位重要领导对等级保护工作指示、指示状况。
(二)信息系统安全等级保护定级立案状况
4-2
本单位如采用国外信息安全产品,重要是哪几类产品,所占比例怎样?
4-3
本单位与否采用国外信息安全服务,如采用,重要是哪几种方面,重要原因是什么?
4-4
本单位信息系统2023年以来发生旳信息安全事件(事故、案件)状况。
(五)其他需要阐明旳自查状况(包括本单位下步等级保护工作计划)
附件1
信息系统安全等级保护自查项目表
填表时间:2023年月日自查单位(盖章):
一、单位基本状况
已立案单位
单位全称
等级保护工作责任部门
责任部门负责人
姓名
职务
办公
移动
责任部门联络人
姓名
职务
办公
移动
已定级、立案旳信息系统记录
四级系统
三级系统
二级系统
一级系统
定级、立案系统数量总计:
未定级、立案旳信息系统记录
2-1
本单位与否有未定级、立案旳信息系统;已定级信息系统与否认级精确;二级以上信息系统与否立案。
2-2
新建、续建信息系统与否在规划设计阶段确定安全保护等级,定为二级以上旳与否立案。
2-3
已立案信息系统所承载旳业务功能、服务范围、安全需求等与否发生变化,信息系统安全保护等级与否及时进行变更立案。
信息系统安全等级保护第一级检查-管理要求+技术要求
应用系统的输入域设有长度限制; 应用系统的日期型输入域设有限制,输入非日期数值进行过滤。 应用系统的数值型输入域设有限制,对输入字符或字母进行过滤; 应用系统不存在SQL注入漏洞(如未过滤单引号等); 应用系统对可上传的文件类型具有限制,不能上传.asp、.jsp、.php和webshell脚本等文件; 应用系统是否采取身份标识和鉴别措施? 应用系统已对管理员权限或者用户权限进行区分控制; 具有对重要信息的备份与恢复策略。
网络安全
软件容错 应用安全
软件容错 应用安全 身份鉴别 访问控制 备份和恢复
数据安全及备份恢复
a 检查项 检查是否建立日常管理活动中常用的安全管理制度。 检查是否配备一定数量的系统管理员、网络管理员、安全管理员。
检查是否由专门的部门或人员负责对信息系统建设运维相关的人员进行录用。 检查是否对外部人员访问受控区域前进行授权或审批,查验审批记录。
检查范围 安全管理制度 安全管理机构
检查内容 管理制度 人员配备 人员录用
人员安全管理
外部人员访问管理 系统定级 安全方案设计 产品采购和使用 工程实施 测试验收 环境管理 资产管理 设备管理
系统建设管理
网络安全管理 系统运维管理 系统安全管理 恶意代码防范管理
安全事பைடு நூலகம்处置
物理访问控制 物理安全 温湿度控制 结构安全 访问控制 网络设备防护 恶意代码防范 主机安全 身份鉴别 访问控制
指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 检查是否编制与信息系统相关的资产清单。
否对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。
人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
信息系统安全等级保护三级评测内容
信息系统安全等级保护三级评测内容信息系统安全等级保护二级评测内容等级保护自上而下分别为:类、控制点和项。
其中,类表示《信息系统安全等级保护基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
” 根据等级保护第二级的基本要求,在物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理等几方面目前的安全现状进行分析检测。
物理安全对象主要为中心机房、重要设备存放物理位置等。
指标及检测内容:1.1.3定,并设置明显的不易除去的标窃和 c )应将通信线缆铺设在隐蔽处,防破可铺设在地下或管道中;e )主机房应安装必要的防盗报 ______ 警设施;1.1.4a )机房建筑应设置避雷装置;(G2) _________________________ 1.1.5 a )机房应设置火灾自动消防系1.1.2 a) 机房出入口应安排专人值守,物理访问控制 控制、鉴别和记录进入的人员; b )需进入机房的来访人员应经 过申请和审批流程,并限制和监(G2)控其活动范围。
a )应将主要设备放置在机房内;b) 应将设备或主要部件进行固记;坏 (G2)d )应对介质分类标识,存储在 介防雷击 b )应设置交流电源地线。
统,能够自动检测火情、自动报 警,并自动灭火。
a )水管安装,不得穿过机房屋 顶b )应采取措施防止雨水通过机 房窗户、屋顶和墙壁渗透;c )应采取措施防止机房内水蒸 气结露和地下积水的转移与渗 透。
a ) 机房应设置温、湿度自动调 节设施,使机房温、湿度的变化 在 设备运行所允许的范围之内。
安机关信息安全等级保护检查工作规范.doc
安机关信息安全等级保护检查工作规范1 安机关信息安全等级保护检查工作规范(一)开展信息系统安全等级测评,为信息系统安全提供保障。
选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。
等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。
经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。
各部门要及时向受理备案的公安机关提交等级测评报告。
对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。
建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
等级保护测评验收
/
项目负责人、 省公司信息中 5个工作日 心测评负责人 、开发商相关 人员
输入:安全风险评估报告、 信息系统安全问题整改报告 输出:等级保护测评验收结 论
否
《信息安 全管理办
法》
否
2、相关输出物 等级保护测评验收结论;
3、输出物来源依据 流程相关输出物来源参考《管理信息系统安全等级保护标准》第4分册测评准则
输出:无
否
《管理信 息系统安
否
获取省公司信 经确认如果还存在安全问题,
输入:系统安全问题整改报
2 息中心对整改 则继续整改,若确认无问题, / 5个工作日 信息安全专责 告
否
报告的意见 则组织测评验收
输出:确认结果
全等级保 护标准》 第4分册测 评准则、
否
依据风险评估报告、安全问题 整改报告对信息系统整体拓扑 3 组织测评验收 结构、安全性,安全功能模块 的实现情况进行验收测评,并 给出验收结论
流程名称 流程目录结构
等级保护测评验收 安全管理--> 安全等级保护管理 --> 等级保护测评验收
1、管理流程
序号 流程节点
细节描述
频度 时限 涉及岗位角色
输入/输出
是否有系 统支持
所遵循的 制度或工
作要求是否需要ຫໍສະໝຸດ 作业指导书备注1
提交整改报告
把整改报告提交给省公司信息 中心测评负责人进行确认
/
输入:系统安全问题整改报 2个工作日 信息安全专责 告
等级保护 验收标准
等级保护验收标准
等级保护的验收标准包括以下几个方面:
1.安全性验收:对二级等保设备在实际应用中的安全性进行评估,
以确保其在安全性方面能够满足等级保护要求。
验收过程中应注重设备的安全防护能力、网络安全功能、数据加密性能等。
2.功能验收:对二级等保设备在实际应用中的各项功能进行评估,
以确保其能够满足业务需求。
验收过程中应注重设备的性能稳定性、性能可靠性、功能完备性等。
3.兼容性验收:对二级等保设备在实际应用中的兼容性进行评估,
以确保其能够适应不同的应用场景。
验收过程中应注重设备的操作系统兼容性、协议兼容性、接口兼容性等。
请注意,具体的等级保护标准可能会根据不同的地区和政策有所不同。
等保二级测评验收证明
等保二级测评验收证明
【最新版】
目录
1.等保二级测评验收证明简介
2.等保二级测评验收证明的作用
3.等保二级测评验收证明的申请流程
4.等保二级测评验收证明的有效期
5.等保二级测评验收证明的重要性
正文
等保二级测评验收证明,是我国信息安全等级保护制度的重要组成部分,是对信息系统安全等级保护工作的一种肯定和认可。
它是信息系统运营单位在完成等保二级测评后,向有关部门申请获取的证明文件。
等保二级测评验收证明的作用主要体现在以下几个方面:
首先,它是信息系统运营单位完成等保二级测评的证明。
通过这个证明,可以证明信息系统已经达到了等保二级的标准,能够有效保障信息系统的安全。
其次,它是信息系统运营单位向有关部门展示其信息系统安全保护能力的重要依据。
这个证明能够证明信息系统运营单位对于信息安全的重视和投入,有助于提升信息系统运营单位的社会形象和信誉。
再次,它是信息系统运营单位在面对安全事故时,能够有效进行责任追溯的依据。
如果信息系统发生了安全事故,这个证明可以证明信息系统运营单位已经完成了等保二级测评,已经尽到了应尽的安全保护义务。
等保二级测评验收证明的申请流程相对简单,信息系统运营单位只需要在完成等保二级测评后,向有关部门提交申请,经过审核后,就可以获取等保二级测评验收证明。
等保二级测评验收证明的有效期为三年,到期后需要重新进行等保二级测评,并重新申请等保二级测评验收证明。
总的来说,等保二级测评验收证明对于信息系统运营单位来说,具有重要的意义。
第1页共1页。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
b)审计内容应包括重要用户行为、系统资源的异常 使用和重要系统命令的使用等系统内重要的安全相 关事件:
17.
主机安全
入侵防范(G2)
操作系统遵循最小安装的原则,仅安装需要的组件 和应用程序,并通过设巻升级服务器等方式保持系 统补丁及时得到更新。
18.
主机安全
恶意代码防范
(G2)
a)应安装防恶意代码软件,并及时更新防恶意代码 软件版本和恶意代码库:
31.
人员安全 管理
人员录用(G2)
b)应规范人员录用过程,对被录用人的身份、背景 和专业资格等进行审查,对其所具有的技术技能进 行考核。
32.
人员安全
管理
人员录用(G2)
c)应与从事关键岗位的人员签署保密协议。
33.
人员安全 管理
安全意识教冇和 培训(G2)
a)应对各类人员进行安全意识教育、岗位技能培训 和相关安全技术培训。
22.
应用安全
安全审计(G2)
a)应提供覆盖到每个用户的安全审计功能,对应用 系统重要安全事件进行审计;
23.
应用安全
通信保密性(S2)
b)应对通信过程中的敏感信息字段进行加密。
24.
应用安全
软件容错(A2)
a)应提供数据有效性检验功能,保证通过人机接口 输入或通过通信接口输入的数据格式或长度符合系 统设定要求;
44.
系统运维 管理
系统安全管理
(G2)
c)应安装系统的最新补丁程序,在安装系统补丁前, 应首先在测试环境中测试通过,并对重要文件进行 备份后,方可实施系统补丁程序的安装。
45.
系统运维 管理
4.
网络安全
结构安全(G2)
d)应根据各部门的工作职能、重要性和所涉及信息 的重要程度等因素,划分不同的子网或网段,并按 照方便管理和控制的原则为各子网、网段分配地址 段;
5.
网络安全
访问控制(G2)
a)应在网络边界部署访问控制设备,启用访问控制 功能;
6.
网络安全
访问控制(G2)
b)应能根据会话状态信息为数据流提供明确的允许 /拒绝访问的能力,控制粒度为网段级:
10.
网络安全
网络设备防护
(G2)
d)身份鉴别信息应具有不易被冒用的特点,口令应 有复杂度要求并定期更换:
11.
网络安全
网络设备防护
(G2)
f)当对网络设备进行远程管理时,应采取必要措施 防止鉴别信息在网络传输过程中被窃听。
12.
主机安全
身份鉴别(S2)
b)操作系统和数据库系统管理用户身份鉴別信息应 具有不易被冒用的特点,口令应有复杂度要求并泄 期更换:
7.
网络安全
安全审计(G2)
a)应对网络系统中的网络设备运行状况、网络流量、 用户行为等进行日志记录;
8.
网络安全
边界完整性检查
(S2)
应能够对内部网络中出现的内部用户未通过准许私 自联到外部网络的行为进行检查。
9.
网络安全
入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击和网络蠕虫攻击等。
25.
数据安全 及备份恢 复
数据保密性(S2)
b)应采用加密或其他保护措施实现鉴別信息的存 储保密性。
26.
数据安全 及备份恢 复
备份和恢复(A2)b)源自提供关键网络设备、通信线路和数据处理系统 的硬件冗余,保证系统的可用性。
27.
安全管理 制度
管理制度(G2)
b)应对安全管理活动中重要的管理内容建立安全管 理制度。
34.
人员安全 管理
安全意识教冇和 培训(G2)
c)应制左安全教育和培训计划,对信息安全基础知 识、岗位操作规程等进行培训。
35.
系统建设 管理
安全方案设计
(G2)
b)应以书而形式描述对系统的安全保护要求、策略 和措施等内容,形成系统的安全方案;
36.
系统建设 管理
安全方案设计
(G2)
c)应对安全方案进行细化,形成能指导安全系统建 设和安全产品采购和使用的详细设计方案:
2&
安全管理 机构
岗位设置(G2)
a)应设立安全主管、安全管理各个方面的负责人岗 位,并定义各负责人的职责。
29.
安全管理 机构
人员配备(G2)
a)应配备一泄数量的系统管理员、网络管理员、安 全管理员等。
30.
安全管理 机构
审核和检査(G2)
安全管理员应负责立期进行安全检查,检查内容包 括系统日常运行、系统漏洞和数据备份等情况。
第二级信息系统验收检查项
序号
层面
控制点
要求项
1・
物理安全
物理访问控制
(G2)
a)机房岀入口应安排专人值守,控制、鉴别和记录 进入的人员。
2・
物理安全
电力供应(A2)
b)应提供短期的备用电力供应,至少满足关键设备 在断电情况下的正常运行要求。
3・
网络安全
结构安全(G2)
a)应保证关键网络设备的业务处理能力具备冗余空 间,满足业务髙峰期需要;
13.
主机安全
身份鉴别(S2)
d)当对服务器进行远程管理时,应采取必要措施, 防止鉴别信息在网络传输过程中被窃听:
14.
主机安全
访问控制(S2)
b)应实现操作系统和数据库系统特权用户的权限 分离:
15.
主机安全
安全审计(G2)
a)审计范用应覆盖到服务器上的每个操作系统用 户和数据库用户;
16.
主机安全
19.
应用安全
身份鉴别(S2)
b)应提供用户身份标识唯一和鉴别信息复杂度检 查功能,保证应用系统中不存在重复用户身份标识, 身份鉴别信息不易被冒用;
20.
应用安全
访问控制(S2)
c)应由授权主体配置访问控制策略,并严格限制默 认帐户的访问权限:
21.
应用安全
访问控制(S2)
d)应授予不同帐户为完成各自承担任务所需的最 小权限,并在它们之间形成相互制约的关系。
41.
系统运维 管理
网络安全管理
(G2)
d)应泄期对网络系统进行漏洞扫描,对发现的网络 系统安全漏洞进行及时的修补。
42.
系统运维 管理
系统安全管理
(G2)
a)应根据业务需求和系统安全分析确左系统的访问 控制策略。
43.
系统运维
管理
系统安全管理
(G2)
b)应泄期进行漏洞扫描,对发现的系统安全漏洞及 时进行修补。
37.
系统建设
管理
自行软件开发
(G2)
a)应确保开发环境与实际运行环境物理分开;
38.
系统建设 管理
外包软件开发
(G2)
a)应根据开发要求检测软件质量。
39.
系统建设 管理
外包软件开发
(G2)
c)应在软件安装之前检测软件包中可能存在的恶意 代码。
40.
系统运维
管理
网络安全管理
(G2)
a)应指泄人员对网络进行管理,负责运行日志、网 络监控记录的日常维护和报警信息分析和处理工 作。