等级保护测评项目-系统资产表

本文由ｂｏｏｋｋｉｄ贡献 ｘｌｓ１。

信息系统安全等级保护基本要求 ａ）　应制定信息安全工作的总体方针和安全策略，　说明机构安全工作的总体目标、范围、原则和安全框　架等；　ｂ）　应对安全管理活动中的各类管理内容建立安全　管理制度；　ｃ）　应对要求管理人员或操作人员执行的日常管理　操作建立操作规程；　ｄ）　应形成由安全策略、管理制度、操作规程等构　成的全面的信息安全管理制度体系。

　ａ）　应指定或授权专门的部门或人员负责安全管理　制度的制定；　ｂ）　安全管理制度应具有统一的格式，并进行版本　控制；　ｃ）　应组织相关人员对制定的安全管理制度进行论　证和审定；　ｄ）　安全管理制度应通过正式、有效的方式发布；　ｅ）　安全管理制度应注明发布范围，并对收发文进　行登记。

　ａ）　信息安全领导小组应负责定期组织相关部门和　相关人员对安全管理制度体系的合理性和适用性进行　审定；　ｂ）　应定期或不定期对安全管理制度进行检查和审　定，对存在不足或需要改进的安全管理制度进行修订　。

　ａ）　应设立信息安全管理工作的职能部门，设立安　全主管、安全管理各个方面的负责人岗位，并定义各　负责人的职责；　ｂ）　应设立系统管理员、网络管理员、安全管理员　等岗位，并定义各个工作岗位的职责；　ｃ）　应成立指导和管理信息安全工作的委员会或领　导小组，其最高领导由单位主管领导委任或授权；　ｄ）　应制定文件明确安全管理机构各个部门和岗位　的职责、分工和技能要求。

　ａ）　应配备一定数量的系统管理员、网络管理员、　安全管理员等；　ｂ）　应配备专职安全管理员，不可兼任；　ｃ）　关键事务岗位应配备多人共同管理。

　ａ）　应根据各个部门和岗位的职责明确授权审批事　项、审批部门和批准人等；　ｂ）　应针对系统变更、重要操作、物理访问和系统　接入等事项建立审批程序，按照审批程序执行审批过　程，对重要活动建立逐级审批制度；　ｃ）　应定期审查审批事项，及时更新需授权和审批　的项目、审批部门和审批人等信息；　ｄ）　应记录审批过程并保存审批文档。

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标（2级） (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通，记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录：等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

第二级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第二级（S2A2G2）信息系统安全等级保护基本要求对应的测评项权重。

第三级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第三级（S3A3G3）信息系统安全等级保护基本要求对应的测评项权重，其他等级信息系统测评项权重赋值表另行发布。

第四级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第四级（S4A4G4）信息系统安全等级保护基本要求对应的测评项权重。

控制点安全要求要求解读a)应指定专门的部门或人是负责机房安全、对机房的出入进行管理，定期对机房供配电、空调、温湿度控制，消防等设施进行维护管理机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人，因此要确保机房的运行环境良好、安全，应对机房环境进行严格管理和控制b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定为保证系统有个良好安会的运行环境，应针对机房建立管理规定或要求c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质等加强内部办公环境的管理是控制网络安全风险的措施之一，为保证内部办公环境的独立性、敏感性，应降低外部人员无意或有意访问内部区域的可能性，同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容等级保护对象资产种类较多，如保护对象的资产管理比较混乱，容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急b)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统件的地位，作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中选行明确，且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出c）应对信息分类与标识方法作出规定，并对信息的使用，传输和存储等进行规范化管理信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的整理分类(一般可分为:敏感、内部公开、对外公开等不同类别），不同类别的信息在使用、传输和存储等方面管理要求也应不同a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期查点介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为存储介质提供安全的存放环境并进行妥善的管控b)应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归等进行登记记录需系统存在离线的存储备份介质应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，应选择可靠的传送人员，并对打包交付过程签字确认等a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理对设备进行有效的维护管理，在一定程度上可降低系统发生安全问题的概率，应明确设备管理的责任部门或人员环境管理资产管理介质管理b)应建立配套设施、软硬件维护方面的管理制度。

二级安全等级保护测评及风险评估内容
二级安全等级保护测评和风险评估是评估信息系统或网络安全的安全性和可靠性的过程。

它主要包括以下内容：1. 风险评估：通过识别和评估信息系统或网络中潜在的威胁和漏洞，确定系统或网络的安全风险等级。

风险评估一般包括威胁辨识、漏洞扫描、风险估算和风险排名等环节。

2. 资产评估：对信息系统或网络中的各种资产进行评估，包括硬件设备、软件应用、数据库、用户权限等。

通过评估资产的价值和重要性，确定资产的保护措施和优先级。

3. 安全控制评估：评估信息系统或网络中已有的安全控制措施的有效性和合规性。

包括评估密码策略、访问控制、数据加密、安全日志、防火墙等安全控制措施的部署情况和实际应用效果。

4. 安全策略和流程评估：评估信息系统或网络中的安全策略、规程和操作流程的合理性和有效性。

包括评估密码管理流程、网络接入控制策略、安全事件处理流程等。

5. 物理安全评估：评估信息系统或网络中物理环境的安全性，包括机房的物理访问控制、安全设备的部署和防护措施等。

6. 威胁和漏洞评估：评估信息系统或网络中存在的威胁和漏洞，包括网络扫描、漏洞评估、安全漏洞修补等。

7. 安全事件响应评估：评估信息系统或网络中的安全事件响应机制和能力，包括评估安全事件检测、响应流程、恢复和备份策略等。

通过以上评估内容的全面评估，可以帮助确定信息系统或网络的安全等级，并提供保护措施和优先级，以应对安全风险。

三级等级保护测评内容
三级等级保护测评内容是指对特定主体的安全水平进行评估和分类，以保护重
要信息和资源的安全性。

在这个测评过程中，需要考虑以下几个关键要点。

首先，测评的重点是评估特定主体的安全等级。

这包括了对主体的信息系统、
数据和业务流程等方面的安全性进行检查和评估。

针对不同的等级，会有不同的安全要求和措施来保护信息资产的机密性、完整性和可用性。

其次，测评内容还涉及到系统安全等级的认定。

通过对系统的功能、技术实施、安全策略和措施等进行评估，可以判断出该系统所属的等级。

这个等级的认定对于制定相应的安全保护计划和防护措施至关重要。

另外，测评内容还包括审核信息系统的安全政策和制度。

这些政策和制度是保
障信息安全的基础，包括了对人员的安全培训、安全管理制度、应急预案等方面的要求。

通过对这些要求的审核和评估，可以确定信息系统是否符合相应的安全等级要求。

最后，测评内容还需要根据测评结果提出相应的建议和改进措施。

这些建议和
改进措施可以针对已有的安全问题，提出相应的解决方案和预防措施，以提高信息系统的安全等级。

综上所述，三级等级保护测评内容主要包括对特定主体的安全等级评估、系统
安全等级认定、安全政策和制度审核以及建议和改进措施等方面的内容。

通过这些评估和检查，可以确保信息系统和资源的安全性，保护关键信息资产。

共享知识分享快乐信息系统安全等级测评报告模板项目名称：委托单位：测评单位：公安部信息安全等级保护评估中心年月日共享知识分享快乐报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (10)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (18)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

等保2.0 测评项目清单内容228项清单-回复等保2.0 测评项目清单内容228项清单是一个很重要的指南，它涵盖了许多与信息安全有关的要素。

本文将逐步回答关于这些主题的问题，并详细解释其重要性和如何应对。

第一步：为什么需要等保2.0 清单？信息安全对于任何组织来说都是至关重要的。

随着技术的快速发展，新的安全威胁和攻击方式也在不断涌现。

因此，为了确保组织的信息资产得到足够的保护，需要一个明确的指南，以确保所有重要的方面都被纳入考虑。

等保2.0 清单的出现正好满足了这个需求。

这个清单包含了228项核心要素，涵盖了组织的安全政策、组织架构、人员管理、外部关系管理、安全策略与规划、网络安全、主机安全、应用程序安全、数据安全、业务连续性管理等众多关键领域，它帮助组织制定一套全面的信息安全控制措施，从而保护其信息资产免受威胁。

第二步：清单中的核心要素有哪些？等保2.0 清单中包含了许多关键要素，以下是其中一些的详细说明：1. 安全政策：组织应该开发和实施一套信息安全政策来指导其安全实践。

这包括对信息安全目标和责任进行明确定义，明确安全意识的重要性，并制定相应的风险管理计划。

2. 组织架构：组织应该明确定义并实施各级安全管理和职责划分。

这包括设立信息安全专职和兼职人员，制定安全工作职责和权限，确保信息安全管理得到高层管理支持并得到适当落地。

3. 外部关系管理：组织与外部合作伙伴进行合作时，应该确保共享的信息得到足够的保护。

这包括与供应商签订安全协议，对外部合作伙伴进行必要的安全审计和风险评估。

4. 安全策略与规划：组织应该制定一套全面的安全策略和规划，以确保信息安全与业务目标相一致。

这包括对信息资产进行分类、安全培训和教育、安全演练和评估等。

5. 网络安全：组织应该建立和维护一个安全可靠的网络基础设施。

这包括防火墙和入侵检测系统的实施，网络流量和行为监控，访问控制策略的制定等。

6. 主机安全：组织应该确保其主机系统得到充分的保护。

{安全生产管理}信息系统安全等级保护测评报告报告编号：（-16-1303-01）信息系统安全等级测评报告说明：一、每个备案信息系统单独出具测评报告。

二、测评报告编号为四组数据。

各组含义和编码规则如下：第一组为信息系统备案表编号，由2段16位数字组成，可以从公+安机关颁发的信息系统备案证明（或备案回执）上获得。

第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第二组为年份，由2位数字组成。

例如09代表2009年。

第三组为测评机构代码，由四位数字组成。

前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科工局，91为电监会，92为教育部。

后两位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明本报告是票务系统的安全等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。

附件1：国家信息安全等级保护工作协调小组组长：张新枫（公安部副部长）成员：李昭（公安部十一局局长）闻荣友（国家保密局副局长）任守信（国家密码管理局副局长）附件2：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

信息系统三级等级保护测评项目需求书一、项目概况根据《网络安全法》和《中华人民共和国计算机信息系统安全等级保护条例》等法律、法规、政策文件的要求，医院的核心信息系统的为关键信息基础设施，网络安全等级保护等级不低于三级，需要每年进行等保测评，从物理环境、通信网络、区域边界、计算环境等各方面进行的网络安全检测评估。

(-)网络拓扑图♦目前内外网没有做物理隔离，通过核心交换机策略以及上网行为管理设备限制主机和终端进行互联网访问。

♦内网核心交换机分别连接服务器区、楼层终端接入区、互联网区域，目前内网终端至服务器区域部署防火墙，内网终端至互联网部署了防火墙、上网行为管理设备，终端部署卡巴杀毒软件以及联想网御准入。

网络拓扑如下图所示:目前我院信息系统应用广泛，医院各项工作对信息系统依赖性越来越高，未来几年中，各信息系统会为医院业务开展提供更好的支撑作用。

保障基础物理设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

保障数据安全及备份恢复，保障数据完整性、数据保密性、备份和恢复等。

安全管理体系保障。

根据国家有关信息安全等级保护方面的标准和规范要求，建立一套切实可行的安全管理体系，加强安全管理机制。

（二）设备清单二、服务清单三、项目需求(-)项目范围按照国家和行业的要求，广东省第二人民医院信息系统的安全配置是符合国家等级保护标准的要求。

在本期服务中，服务商要提供联通本年度等保的全生命周期的服务，提供从等保备案、差距测评、整改指导、等保验收、备案回执等所有等保阶段的服务。

信息系统等级保护测评工作方案目录信息系统等级保护测评工作方案 0目录 (1)1.项目概述 (2)1.1. 项目背景21.2. 项目目标21.3. 项目原则21.4. 项目依据32. 测评实施内容 (3)2.1. 测评分析42.1.1. 测评范围 (4)2.1.2. 测评对象 (4)2.1.3. 测评架构图 (4)2.1.4. 测评内容 (4)2.1.5. 测评对象 (7)2.1.6. 测评指标 (8)2.2. 测评流程92.2.1. 测评准备阶段 (10)2.2.2. 方案编制阶段 (11)2.2.3. 现场测评阶段 (11)2.2.4. 分析与报告编制阶段 (13)2.3. 测评方法142.3.1. 工具测试 (14)2.3.2. 配置检查 (14)2.3.3. 人员访谈 (15)2.3.4. 文档审查 (15)2.3.5. 实地查看 (16)2.4. 测评工具162.5. 输出文档173.时间安排 (17)4.人员安排 (17)4.1. 组织结构 (18)4.2. 项目工作分工 (18)4.3. 人员配置表 (19)4.4. 工作配合 (20)5.其他相关事项 (21)5.1. 风险规避 (21)5.2. 项目信息管理 (23)5.2.1. 保密责任法律保证 (23)5.2.2. 现场安全保密管理 (24)5.2.3. 文档安全保密管理 (24)5.2.4. 离场安全保密管理 (24)5.2.5. 其他情况说明 (24)1.项目概述1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，2020年某司需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求，对某司现有N个信息系统进行全面的信息安全测评与评估工作,并且为某司提供驻点咨询、实施等服务。