等级保护测评项目管理制度

合集下载

《信息安全等级保护测评机构管理办法》最新

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。

第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全2集成等业务;(十)应具备的其他条件。

等级保护测评工作方案

等级保护测评工作方案

等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。

本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。

二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。

2.确定系统安全等级,为后续安全防护措施提供依据。

3.提高系统管理员和用户的安全意识。

三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。

四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。

2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。

3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。

4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。

五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。

2.文档审查:收集并审查系统相关文档。

3.现场检查:对系统实体进行检查。

4.问卷调查:开展问卷调查,收集系统管理员和用户意见。

5.实验室测试:进行渗透测试,发现安全漏洞。

6.数据分析:整理测评数据,分析系统安全状况。

六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。

2.对测评结果进行通报,提高系统安全防护意识。

3.根据测评结果,调整系统安全策略,提高系统安全等级。

七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。

2.设备保障:提供必要的硬件、软件设备,支持测评工作。

3.时间保障:合理规划测评时间,确保测评工作按时完成。

八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。

2.测评结果可能存在局限性,需结合实际情况进行分析。

本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。

《信息安全等级保护测评机构管理办法》最新

《信息安全等级保护测评机构管理办法》最新

信息平安等级爱护测评机构管理方法第一条为加强信息平安等级爱护测评机构管理,规范等级测评行为,提高测评技术实力和服务水平,依据《信息平安等级爱护管理方法》等有关规定,制定本方法。

其次条等级测评工作,是指等级测评机构依据国家信息平安等级爱护制度规定,依据有关管理规范和技术标准,对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动。

等级测评机构,是指依据国家信息平安等级爱护制度规定,具备本方法规定的基本条件,经审核举荐,从事等级测评等信息平安服务的机构。

第三条等级测评机构举荐管理工作遵循统筹规划、合理布局、平安规范的方针,依据“谁举荐、谁负责,谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以供应等级测评服务为主,可依据信息系统运营运用单位平安保障需求,供应信息平安询问、应急保障、平安运维、平安监理等服务。

第五条国家信息平安等级爱护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息平安职能部门和重点行业主管部门申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。

省级信息平安等级爱护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统平安相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统平安相关工作阅历的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,运用的技术装备、设施应满意测评工作需求;(七)具有完备的平安保密管理、项目管理、质量管理、人员管理和培训教化等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家平安、社会秩序、公共利益不构成威逼;(九)不涉及信息平安产品开发、销售或信息系统平安集成等业务;(十)应具备的其他条件。

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。

第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。

测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。

第三条测评机构实行推荐目录管理。

测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。

第四条测评机构联合成立测评联盟。

测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。

测评联盟在国家等保办指导下开展工作。

第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。

第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。

国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。

省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。

第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15人,专职渗透测试人员不少于2人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。

信息安全等级保护测评机构管理规定

信息安全等级保护测评机构管理规定

信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。

第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其他条件。

等保测评单位管理制度

等保测评单位管理制度

一、总则第一条为确保等保测评工作的规范、高效运行,保障测评质量和信息安全,根据国家有关法律法规和《信息安全等级保护条例》,结合本单位的实际情况,特制定本制度。

第二条本制度适用于等保测评单位的内部管理,包括测评项目、人员管理、设备管理、信息安全、质量控制等方面。

二、测评项目管理第三条测评项目应当符合国家相关法律法规和政策要求,遵循公平、公正、公开的原则。

第四条测评项目实施前,应进行充分的市场调研和需求分析,明确测评目标、范围、方法、时间节点和预期成果。

第五条测评项目实施过程中,应严格按照测评计划和标准进行,确保测评结果的准确性和有效性。

第六条测评项目完成后,应进行总结评估,形成正式的测评报告,并及时提交给客户。

三、人员管理第七条等保测评单位应设立专门的测评团队,团队成员应具备以下条件:(一)具有信息安全相关专业的学历背景或工作经验;(二)熟悉国家有关信息安全等级保护的相关政策和标准;(三)具备良好的职业道德和保密意识。

第八条测评团队成员应接受定期培训和考核,确保其专业知识和技能水平。

第九条测评团队成员应签订保密协议,对测评过程中获取的信息负有保密义务。

四、设备管理第十条等保测评单位应配备必要的测评设备,包括但不限于:(一)安全测试工具;(二)网络模拟设备;(三)密码学分析设备;(四)其他辅助设备。

第十一条测评设备应定期进行维护和升级,确保其性能稳定可靠。

第十二条测评设备的使用和管理应遵循国家相关法律法规和行业标准。

五、信息安全第十三条等保测评单位应建立健全信息安全管理制度,包括但不限于:(一)网络安全管理制度;(二)数据安全管理制度;(三)物理安全管理制度;(四)保密管理制度。

第十四条测评过程中,应严格遵守信息安全规定,确保测评数据的安全性和完整性。

第十五条测评单位应定期对信息安全制度进行审查和改进,提高信息安全防护能力。

六、质量控制第十六条等保测评单位应建立完善的质量控制体系,确保测评工作的质量和效果。

等级测评机构安全管理制度

等级测评机构安全管理制度

一、总则为加强等级测评机构安全管理,保障测评工作的顺利进行,确保测评数据的安全性和准确性,根据《中华人民共和国网络安全法》、《网络安全等级保护条例》等法律法规,结合本机构实际情况,制定本制度。

二、安全管理制度1. 机构内部安全管理(1)建立健全机构内部安全管理制度,明确各部门、各岗位的安全职责,确保安全管理工作落实到位。

(2)加强员工安全意识教育,定期组织安全培训和演练,提高员工安全防护能力。

(3)对机构内部网络进行安全隔离,严格控制访问权限,防止外部攻击和内部泄露。

(4)加强物理安全管理,确保办公场所、设备设施的安全。

2. 测评数据安全管理(1)对测评数据进行严格保密,确保测评数据不被非法获取、泄露、篡改。

(2)建立测评数据备份制度,定期对测评数据进行备份,防止数据丢失。

(3)对测评数据进行分类管理,根据数据敏感性确定数据访问权限,防止数据滥用。

(4)加强测评数据传输过程中的安全防护,确保数据传输安全。

3. 测评工具和设备安全管理(1)对测评工具和设备进行定期检查和维护,确保其正常运行和安全使用。

(2)对测评工具和设备进行加密保护,防止工具和设备被非法复制、篡改。

(3)对测评工具和设备的使用进行规范,防止滥用和误操作。

4. 等级测评项目管理(1)建立健全等级测评项目管理制度,明确项目流程、职责分工和考核标准。

(2)对项目进行全程跟踪管理,确保项目进度和质量。

(3)对项目文档进行规范管理,确保项目文档的完整性和安全性。

5. 应急处置管理(1)建立健全应急处置预案,明确应急处置流程和责任。

(2)定期开展应急处置演练,提高应急处置能力。

(3)对突发事件进行及时、有效的处置,确保测评工作正常进行。

三、监督检查1. 机构内部定期开展安全检查,发现问题及时整改。

2. 接受上级主管部门和客户的安全检查,积极配合并提供相关资料。

3. 对安全管理制度执行情况进行监督,确保制度落实到位。

四、附则1. 本制度自发布之日起施行。

等级保护测评项目质量监督管理制度

等级保护测评项目质量监督管理制度

等级保护测评项目质量监督管理制度为确保等级保护测评项目的质量和信义,及时发现和纠正问题,提高测评结果的可靠性和公正性,特制定本测评项目质量监督管理制度。

一、测评项目质量监督管理的目标及原则1.目标:确保测评项目的质量和信义,提高测评结果的可靠性和公正性,保障测评用户的权益。

2.原则:(1)科学性原则:测评项目的设计、实施和评价必须遵循科学、可行、可靠的原则,数据分析和结论推断必须有科学依据。

(2)公正性原则:测评项目应公平、公正、透明进行,不偏袒任何一方,尽量避免影响测评结果的外界干扰和偏见。

(3)客观性原则:测评过程必须客观、中立、公开,评价结果应以客观指标为依据,不带有主观偏见。

(4)时效性原则:测评项目监督管理应及时进行,及时发现问题并采取相应措施加以解决,确保测评项目的质量。

(5)风险管理原则:及时评估和管理可能对测评项目质量产生不利影响的风险,采取相应的预防和纠正措施。

二、测评项目质量监督管理的内容1.测评项目设计和准备阶段的质量监督管理(1)设立测评项目工作组,负责测评项目的设计与准备工作。

(2)明确测评项目的目标、内容和评价指标。

(3)对测评工具和测评程序进行评估,确保其科学性和可靠性。

(4)进行试点测试,及时发现问题并进行改进和修正。

(5)编制测评项目相关说明文件和操作规范,确保测评过程的规范性和透明度。

2.测评项目实施阶段的质量监督管理(1)建立测评项目的实施群体,明确各参与方的职责和权利。

(2)组织培训和指导,提高参与人员的专业素质和操作技能。

(3)监督和检查测评操作的过程和结果,确保操作的规范性和可靠性。

(4)定期对测评结果进行质量评估,确保结果的准确性和可信度。

(5)收集和记录测评过程中的问题和意见,并及时进行处理和回馈。

3.测评项目结果和效果的质量监督管理(1)建立测评结果的统计和分析体系,确保结果的可靠性和科学性。

(2)对测评结果进行解读和推断,及时发现可能的问题和偏差。

等级保护测评项目质量监督管理制度

等级保护测评项目质量监督管理制度

等级保护测评项目质量监督管理制度一、制度目的为了确保等级保护测评项目质量,保证测评结果真实可靠,特制定本管理制度。

二、适用范围本制度适用于等级保护测评项目的实施单位。

三、职责分工项目实施单位1.负责制定测评方案和具体实施计划,明确测评工作目标和时间节点。

2.负责组织测评人员参加有关培训,并对其进行考核,确保测评人员具备必要的知识和技能。

3.负责组织实施测评工作,按照测评方案和实施计划完成测评任务。

4.负责对测评结果进行审核,确保测评结果真实可靠,符合相关标准。

5.负责编制测评报告,并向相关部门提出建议和意见。

测评人员1.参加有关培训,熟练掌握测评技能和知识。

2.严格按照测评方案和实施计划进行测评工作。

3.对测评结果进行审核和验证,保证测评结果真实可靠。

监督部门1.负责对项目实施单位的测评工作进行监督和管理。

2.对测评工作过程中存在的问题及时进行整改和处理。

3.对测评结果进行审核和核实,确保测评结果真实可靠。

四、测评项目质量监督管理要点测评方案和实施计划1.测评方案应根据测评对象的特点和要求,明确测评标准和工作流程,确保测评结果具有参考价值。

2.实施计划应包括测评人员的选派、调配、培训等具体细节,确保测评工作按时、高质量完成。

测评人员的考核测评人员的考核应确保其具备必要的知识和技能,以保证测评结果真实可靠。

测评结果审核应对测评结果进行审核和核实,对于不符合标准的测评结果及时进行整改或重测,确保测评结果真实可靠。

测评报告测评报告应内容全面、准确、具有参考价值,对测评结果进行客观、准确的描述和分析,并提供合理、可行的建议和措施。

五、制度执行制度执行的具体过程需要由相关部门的领导和管理人员共同监督和管理,确保制度落地生根,达到预期效果。

六、制度的修订和完善制度应根据实际情况进行修订和完善,以适应新的需求和挑战。

修订和完善应由有关部门经咨询、审批后执行。

七、制定日期和执行日期本制度自制定之日起实施。

八、附则本制度解释权归 xxxx单位所有。

安全等级保护测评项目中的风险管理

安全等级保护测评项目中的风险管理

安全等级保护测评项目中的风险管理胡皓(联通系统集成有限公司,北京100032)摘要:信息系统安全等级测评是等保工作的重要环节,等保测评工作的成果直接影响到等级保护制度的落实及开展。

目前等保测评机构在测评项目的开展过程中,会遇到各种各样的因素影响测评项目的实施。

为了有效地开展等级保护测评工作,需要在项目实施过程中对其所可能遇到的风险进行管理。

本文主要运用风险管理方法,对测评活动中的主要风险进行分析,通过分析在不同阶段面临的风险值,来评价各测评项目阶段主要需要应对的风险内容,并在此基础上面提出了相应的应对措施。

关键词:等级保护;测评;风险管理;The risk management of Information security level protection assessmentHu Hao(China Unicom System Integration Limited Corporation, Beijing 100032)Abstract:Assessment is an important part of Information system security level protection, the result directly affect the level protection system and developing the implementation. At present the evaluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be managed. This paper mainly with the application of risk management methods of assessment activities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures.Key words:Information security level protection ,Assessment, Risk management0引言信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。

等级保护工作 管理制度

等级保护工作 管理制度

等级保护工作管理制度第一章总则第一条为了加强对机密信息等级保护工作的管理,确保国家安全和利益不受损害,根据《中华人民共和国保守国家秘密法》等相关法规,制定本管理制度。

第二条本制度适用于本单位内部所有工作人员,包括党政机关、国有企业、事业单位等各类机构。

第三条本制度的基本原则是保密责任制、分级保护、最低权限原则和责任追究原则。

第四条本单位设立等级保护工作领导小组,负责统一领导、协调管理等级保护工作,并组织开展培训、检查和评估工作。

第二章保密责任第五条本单位所有工作人员都应当认真履行保密责任,切实做到保守国家秘密,保护机密信息的安全。

第六条工作人员在处理机密信息时,必须遵守保密规定,不得泄露国家秘密,不得利用职务之便获取、泄露机密信息。

第七条工作人员应当认真学习保密知识,提高保密意识,严格遵守有关规定,不得自行制定、修改、打破保密规定。

第八条对于违反保密规定的工作人员,将根据《中华人民共和国保守国家秘密法》等相关规定,给予相应的处罚。

第三章分级保护第九条本单位根据机密信息的重要性和敏感程度进行分级,分为绝密、机密、秘密和一般级别。

第十条不同级别的机密信息应当采取不同的保密措施,确保信息的安全性和完整性。

第十一条绝密级别的机密信息只能让特定的人员知晓,不得外传;机密级别的机密信息可以适量传递给有关人员,但仍需保密;秘密级别的机密信息可以适量传递给有关人员,但不得流传。

第十二条对于一般级别的机密信息,工作人员在处理时应当谨慎对待,不得随意传播。

第四章最低权限原则第十三条本单位实行最低权限原则,即工作人员只能取得其必要知晓的机密信息,不得超出职责范围以及权限范围。

第十四条工作人员在处理机密信息时,一旦工作任务完成,应当及时将相关信息归档或者销毁,不得长时间保存。

第十五条工作人员应当定期修改密码,保证通讯设备和网络的安全性。

第五章责任追究原则第十六条对于保密责任失职的工作人员,将进行责任追究,包括批评教育、通报批评、处分或者开除。

信息安全等级保护测评机构管理办法最新

信息安全等级保护测评机构管理办法最新

信息安全等级保护测评机构管理办法最新信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。

第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其它条件。

信息安全等级保护测评工作管理规范(试行)

信息安全等级保护测评工作管理规范(试行)

附件一:信息安全等级保护测评工作管理规范(试行)第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。

第二条本规范适用于等级测评机构和人员及其测评活动的管理。

第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。

第四条省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上,无违法记录;(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(九)对国家安全、社会秩序、公共利益不构成威胁;(十)应当具备的其他条件。

第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。

测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。

等保测评方案

等保测评方案
3.遵循职业道德,避免利益冲突;
4.加强项目管理,确保项目进度和质量。
本等保测评方案旨在为信息系统提供全面、深入的安全评估,帮助客户识别并解决安全隐患,提高信息系统的安全保护能力。在实施过程中,我们将严格按照方案要求,确保测评项目的顺利进行。
第2篇
等保测评方案
一、引言
为积极响应国家信息安全等级保护政策,确保信息系统安全稳定运行,降低潜在安全风险,本方案针对某信息系统开展等级保护测评工作。通过评估现有安全措施,发现安全隐患,提出整改建议,提升整体安全保护能力。
2.人员保障:选派具有丰富经验和专业技能的测评人员;
3.资源保障:提供必要的测评工具、设备、场地等资源;
4.时间保障:合理安排测评时间,确保项目按期完成;
5.质量保障:建立严格的质量管理体系,确保测评结果客观、公正、准确。
十、风险控制
1.遵循国家相关法律法规,确保测评过程合法合规;
2.严格保护客户隐私,签订保密协议;
二、项目背景
随着信息技术的广泛应用,信息安全问题日益凸显。我国政府高度重视信息安全,制定了一系列法律法规和政策文件,要求各类信息系统开展等级保护测评。本项目旨在确保信息系统符合国家相关安全要求,为广大用户提供安全、可靠的服务。
三、测评目标
1.确保信息系统满足国家信息安全等级保护基本要求;
2.发现并解决信息系统存在的安全隐患,提升安全防护能力;
八、成果交付
1.编制详细测评报告,包括以下内容:
a.项目背景及目标;
b.测评范围及依据;
c.测评方法及流程;
d.测评结果及分析;
e.整改建议及措施。
2.提交测评报告及相关附件。
九、项目保障
1.组织保障:成立项目组,明确各成员职责,确保项目顺利进行;

网络安全等级保护测评机构管理办法【最新版】

网络安全等级保护测评机构管理办法【最新版】

网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。

第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。

测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。

第三条测评机构实行推荐目录管理。

测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。

第四条测评机构联合成立测评联盟。

测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。

测评联盟在国家等保办指导下开展工作。

第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。

第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。

国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。

省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。

第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500 万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15 人,专职渗透测试人员不少于2 人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。

网络安全等级保护测评与建设服务项目管理制度

网络安全等级保护测评与建设服务项目管理制度

优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。
4、质量改进
质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评与建
设服务质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长
填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》
表明服务规范,用 明服务流程完成,
户满意。
用户认可。
《工作确认单》,或用户 主动反映现场测评存在 缺陷,经核查属实。
《工作确认单》,或 测评客户投诉,后果 对测评产生严重影 响,经核查属实。
3、质量评定的方法
质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定
方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为
4. 测评过程的质量监督管理: 测评部测评部负责对等保测评与建设服务的被测系统的详细情况进行分析,为实施测评 做好文档及测试工具,从而完成测评与建设服务的测评准备过程活动;进入测评实施过程活 动后测评部部负责开发与被测信息系统相适应的测评内容及实施方法,为测评实施提供最基 本的文档和指导方案;在测评实施过程活动中,按照测评方案的总体要求,分步实施所有测 评与建设服务,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取 足够证据,发现系统存在的安全问题;最后进入分析与报告编制过程,综合评价被测信息系 统保护状况,并形成测评报告文本。整个测评活动应与质量管理体系的其他要求相一致,质 量部需同步对测评活动的以下各项目进行监督管理:
五、 系统集成建设和服务提供的控制 测评部依通过以下方式来对测评过程进行质量控制:
1. 测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要 节点进行重点控制;
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护测评项目管理制度
一、目的
为有效保障等级保护测评中心的测评质量,防止发生质量异常,提升效率,确保质量满足客户需求,特制定本制度。
二、职责
等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系,由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制:
质量主管:
1)全面领导等保测评中心的质量管理工作,监督执行有关等保测评中心须遵循的各种政策、法律法规,并传达法律法规对测评工作的重要性;
测评过程产生的各类文件和记录定稿前得到测评中心主任审批,确保其适宜性、充分性;
质量管理体系文件在每年的管理评审时进行适宜性、有效性评审,确定是否需要更新,体系文件更新后要重新进行审核,并再次批准;
文件的版本、修订状态在文件中有标识,文件更改标识体现在修订状态上,文件更改按《文档管理制度》进行;
确保使用场所具有适宜版本的有效文件,便于使用;
2.文件要求:
2.1各部门按国家/国际标准要求实施相关文件要求,并作好相关质量记录。
2.2质量管理体系的范围:测评中心按等级保护测评相关法规和技术标准的要求进行等级保护测评服务。包括ISO9001:2000质量管理体系的全过程、全要素。
2.3文件控制:测评过程中产生的各类文档和记录应指定管理部按质量管理体系的要求加以管理控制。质量体系文件的架构见“质量体系文件架构图”,并建立文件目录。每一份规范化程序文件的制定包括以下内容:
质量部:质量管理体系完成100%;测评项目质量监督完成100%。
八、质量文件的修订
测评中心测评项目质量监督管理制度依据ISO9001:2000质量管理体系的要求,结合等级保护测评相关法规和技术标准编制而成。测评中心质量部每年年底前至少重新校正一次,并参照以往质量管理实际情况检查各项标准及规范的合理性,进行修订。
良好
一般

进度(非测评组长可控因素除外)
按时完成。
未按时完成,进度变更控制良好,延期在计划工期的10%之内。
未按时完成,延期在计划工期的25%内。
未按时完成,进度变更控制差,延期计划工期的25%以上。
测评成果
及时提交完备的测评成果,文档材料规范。
及时提交关键的测评成果,文档材料规范,得到质量主管认可。
8)主持质量管理体系的策划、建立,并完善实现等保测评中心质量方针、质量目标所必须的组织机构,确保质量部各类人员的职责和权限得到规定与沟通;
9)主持管理评审和质量工作会,定期向等保测评中心主任汇报质量体系运行情况,提出改进的建议;
10)负责质量问题和质量事故的申诉处理以及质量奖惩工作,签发质量管理体系程序文件和质量规章制度文件;
质量部对测评设备的日常保养进行监督管理,对各项文档记录进行审核后由管理部存档。
七、质量方针和质量总目标
1.质量方针:技术先进、诚信服务、用户至上。
2.质量总目标:
等级保护测评方案评审一次成功;
测评质量目标:等级保护测评报告评审一次成功;
顾客满意率:≥95%。
等级保护测评报告准时交付率:≥80%。
3.宣贯方式:通过会议、质量手册、培训等方式确保传递到测评中心的每一位员工,总质量目标分解到各部门。
提交关键的测评成果,延期不超过2天,文档材料不规范,但基本得到质量主管认可。
拖延提交测评成果超过一周,文档材料严重不规范,缺少关键内容。
用户反馈
《工作确认单》,表明服务规范,用户满意。
《工作确认单》表明服务流程完成,用户认可。
《工作确认单》,或用户主动反映现场测评存在缺陷,经核查属实。
《工作确认单》,或测评客户投诉,后果对测评产生严重影响,经核查属实。
各部门按要求确保所需要的资讯容易获取,从而支持测评过程的实施及监控;
通过质量方针、质量目标及各部门的分解目标的达成状况,测量、监控及分析这些过程,并且执行所需要的测量、监视活动,以证实这些过程的成果及今后的持续改进;
质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程,组织进行持续改进。
测评中心质量管理体系所需过程主要有:客户服务体系的建立、测评设备的管理、测评活动的开展、验收评审、文档管理等过程,并对各过程进行监视、测量和控制管理,测评项目的质量控制有关过程参见“质量管理体系过程图”见附件;
在“质量管理体系过程图”中可看到测评过程的顺序及相互的关联;
质量主管通过质量目标的测量和监控对质量管理体系的各过程进行监控和管理,并分析过程的有效性。技术主管决定所需要的技术标准及方法,以确保等保测评的相关过程可达到有效作业及控制。
2)确保质量部开展工作所需的各种资源;
3)审批质量部发展的中长期计划和年度计划;
4)主持重大质量问题的申诉,对等保测评中心的质量和质量管理工作全面负责;
5)质量手册(方针、目标等)的发布者;
6)负责贯彻执行等保测评中心应遵循的各种法律、法规及标准;
7)负责主持制定质量方针、质量目标,并确保质量管理体系得以完善和有效运行;
3、质量评定的方法
质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。
4、质量改进
质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》上的整改时间,进行跟踪验证改进措施的效果,直到合格为止。
4.在现场测评过程中,质量部对测评设备的运行以及测评输出的数据进行监督管理,确保在现场测评过程中不断的测量及监控测评设备检测过程的变化,为调整和修正这些变化提供保证;
5.对测评的重要特性形成的过程执行监控和测量活动,通过对现场测评师,测评设备,测评方法都进行监控,保证测评质量满足要求;
6.测评部按照预先与被测评单位商定的验收时间,执行规定的测评结果交付活动;未通过质量部评审合格或不满足测评要求的测评项目不得放行。
4.质量目标分解
管理部:培训计划完成率98%;文件资料管理失误次数每年度小于3次。
市场部:客户服务体系完成98%;合同评审率100%。
研究部:测评方案、作业指导书研究完成100%。
测评部:测评方案一次成功;测评报告一次成功;测评过程各节点质量控制100%符合等保测评技术标准;准时交付率80%;客户满意度95%。
测评中心依通过以下方式来对测评过程进行质量控制:
1.测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要节点进行重点控制;
2.向现场测评活动提供各类作业指导书,给出更为详细的测评规范和方法,指导现场测评;
3.测评部选取测评活动所需要的测评设备种类及数量,并对测评设备进行适宜的维护,确保设备的运行能力。
四、等保测评质量管理体系
1.总要求:
1.1依据ISO9001:2000质量管理体系的要求,对测评中心等级保护测评项目的测评过程进行控制,表明本中心有能力稳定地提供满足被测评单位的测评要求,并通过对质量管理体系的有效运用,包括持续改进和纠正预防不合格的发生而保证测评质量。
1.2实施质量管理体系,测评中心做到:
保证测评活动中的各类输出记录的完整性和准确性;
质量部针对测评输入进行验证,并在放行前得到测评中心主任和测评报告)进行评审,并由测评中心主任审批后方可提交客户;
质量部对选取的测评设备进行校验,确保设备的可靠性和检测数据准确性;
五、系统集成建设和服务提供的控制
7.被测评单位资产:测评过程中有被测评单位提供的场地、终端设备、用户的知识产权的保护,包括系统需求、图样等都是客户资产,进场前与客户进行验证确认,明确其状态,并在现场测评活动中加以保护,发生损坏及时向客户报告,必要时予以修复或赔偿。
六、测评设备的质量管理
测评中心管理部负责维护、保养测评中心现有测评设备,建立《测评设备清单》,《编制保养计划》,《设备履历卡》,《维修记录》,确保测评设备的运行正常、测评数据准确。测评部协助管理部对测评设备进行日常保养,包括测设备的版本升级、校对和维修。当发现测评设备不符合要求时,对以往的测量结果进行有效性的评价和记录,对该设备和任何受影响的测评项目采取补救措施。校准和验证结果的记录应予以保持。
确保文件保持清晰、完好,易于阅读、识别、调阅及追溯;
确保外来文件原稿已作标识,并控制其分发;特别关注国家、行业的标准和管理文件的最新版本的收集和管理、发放;
预防作废文件被误用,假如因任何目的需保存以备用时,则应作出适当鉴别(加盖作废章、保留章),并加以控制。
3.记录控制:
3.1测评中心各部门执行《等级保护测评项目质量监督管理制度》对质量管理体系所需的质量记录予以控制,并保持、维护有效的质量记录,以证明符合各项要求及质量管理体系得到有效运行。
11)制订质量部发展的中长期计划和年度计划,注重计划的准确性、可操作性,把质量工作计划纳入年度计划;
12)负责组织对《等级测评报告》进行评估活动,并批准签发《等级测评报告》;
13)根据等保测评项目的论证签订等级保护测评合同,并批准等级保护测评总体计划;
14)调研分析对设备供应单位质量保证能力,确定供应设备能满足工作需要;
6)统筹安排等保测评中心资源,确保每项测评工作顺利完成;
7)制定等级保护测评中心测评人员技术培训计划,确保计划能与预期的任务相适应;
8)确保等保测评中心专用设备的准确度,指定专人负责设备运输、存放、使用、维护的管理;
9)负责组织设备的验收、入库、保管、标识工作;
10)在技术上负责系统测评的正确性,负责审核等保测评中心《等级测评报告》,并可以受测评中心主任委托批准《等级测评报告》。
三、工作程序
1、测评中心开展的等级保护测评项目,严格按照《质量管理体系文件》要求和国家《信息系统安全等级保护测评过程指南》和《信息系统安全等级保护测评要求》等规范文件进行,严格遵循ISO9001:2000质量管理体系规范管理。
相关文档
最新文档