信息安全等级保护测评机构申请表
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全2集成等业务;(十)应具备的其他条件。
某单位信息系统安全等级保护测评报告(S3A3G3)
某单位信息系统安全等级保护测评报告(S3A3G3)报告编号:信息系统安全等级测评报告系统名称:被测单位:测评单位:报告时间:报告编号:错误!未找到引⽤源。
[2013版]信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
声明本报告是错误!未找到引⽤源。
的等级测评报告。
本报告测评结论的有效性建⽴在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
当测评⼯作完成后,由于信息系统发⽣变更⽽涉及到的系统构成组件(或⼦系统)都应重新进⾏等级测评,本报告不再适⽤。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引⽤本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅⾃进⾏增加、修改和伪造或掩盖事实。
⽬录信息系统等级测评基本信息表 (1)报告摘要 (1)1测评项⽬概述 (10)1.1测评⽬的 (10)1.2测评依据 (10)1.3测评过程 (11)1.4报告分发范围 (13)2被测信息系统情况 (14)2.1承载的业务情况 (14)2.2⽹络结构 (14)2.3系统构成 (14)2.3.1业务应⽤软件 (14)2.3.2关键数据类别 (15)2.3.3主机/存储设备 (15)2.3.4⽹络互联设备 (15)2.3.5安全设备 (15)2.3.6安全相关⼈员 (15)2.3.7安全管理⽂档 (16)2.4安全环境 (17)2.5前次测评情况 (18)3等级测评范围与⽅法 (19)3.1测评指标 (19)3.1.1基本指标 (19)3.1.2特殊指标 (19)3.2测评对象 (20)3.2.1测评对象选择⽅法 (20)3.2.2测评对象选择结果 (20)3.3测评⽅法 (23)4单元测评 (24)4.1物理安全 (24)4.1.1结果记录 (24)4.1.2结果汇总 (28)4.1.3问题分析 (28)4.2⽹络安全 (29)4.2.1结果记录 (29)4.2.2结果汇总 (43)4.2.3问题分析 (43)4.3主机安全 (44)4.3.2结果汇总 (49)4.3.3问题分析 (49)4.4应⽤安全 (50)4.4.1结果记录 (50)4.4.2结果汇总 (56)4.4.3问题分析 (56)4.5数据安全及备份恢复 (57) 4.5.1结果记录 (57)4.5.2结果汇总 (58)4.5.3问题分析 (59)4.6安全管理制度 (59)4.6.1结果记录 (59)4.6.2结果汇总 (61)4.6.3问题分析 (62)4.7安全管理机构 (62)4.7.1结果记录 (62)4.7.2结果汇总 (67)4.7.3问题分析 (67)4.8⼈员安全管理 (68)4.8.1结果记录 (68)4.8.2结果汇总 (71)4.8.3问题分析 (71)4.9系统建设管理 (72)4.9.1结果记录 (72)4.9.2结果汇总 (79)4.9.3问题分析 (79)4.10系统运维管理 (80)4.10.1结果记录 (80)4.10.2结果汇总 (91)4.10.3问题分析 (91)5整体测评 (93)5.1安全控制间安全测评 (93)5.2层⾯间安全测评 (93)5.3区域间安全测评 (93)5.4系统结构安全测评 (93)5.4.1整体结构的安全性测评分析 (93)5.4.2整体安全防范的合理性测评分析 (93)6测评结果汇总 (94)7风险分析和评价 (96)8等级测评结论 (105)9安全建设整改建议 (106)9.2⽹络安全 (106)9.2.1整体⽹络 (106)9.2.2北电交换机 (106)9.2.3华为NE08 (106)9.2.4天融信防⽕墙 (106)9.2.5天融信防毒墙 (107)9.3主机安全 (107)9.4应⽤安全 (107)9.5数据安全及备份恢复 (108)9.6安全管理制度 (108)9.7安全管理机构 (109)9.8⼈员安全管理 (109)9.9系统建设管理 (110)9.10系统运维管理 (110)报告摘要⼀、测评⼯作概述⼆、系统存在的主要问题1、相关⼈员进⼊机房缺乏必要的审批程序,没有⼈员进⼊机房的登记记录。
等级保护测评申请书
编号:XXXX信息系统安全等级测评申请书申请单位(盖章):系统名称:系统安全等级:________________________ 申请日期:赛博信测(北京)技术有限公司填表说明用户填写和提供的信息及资料应保证真实可靠。
1、本申请表请在计算机上填写,内容以实际情况为准。
2、请提交申请书1份,包括要求的附件内容,并加盖单位公章。
申请单位联系信息部门: 部门负责人: 电话: 手机:联系人: 电话: 手机: 传真: 电子邮箱: 联系地址: 邮政编码:附件:一、基本材料1.《信息系统安全等级保护备案表》2.《信息系统安全等级保护备案表》要求的相关附件:定级报告系统拓扑结构及说明(要求描述)安全组织机构说明系统安全保护设施设计实施方案或改建实施方案系统使用的安全产品清单及认证、销售许可证明3.系统相关的主要服务商及其资质4.其他:专家评审意见(如有)安全测评报告(如有)二、系统资料网络系统:1.网络安全域的划分情况;2.网络的访问控制策略;3.网络的带宽控制策略(如QoS);4.网络设备、安全设备审计功能的设计与实现;5.非法外联、非法接入控制措施;6.入侵防范及恶意代码防范部署情况;7.网络和安全设备管理员身份鉴别;8.边界和核心交换设备保护措施;主机系统:1.各操作系统和数据库系统采用的鉴别方式(账号/密码或其他方式)2.操作系统和数据库系统用户账号安全策略(包括对账号口令复杂度设置、口令修改设置、登录失败处理情况)3.服务器远程管理安全策略(是否允许远程管理、传输加密要求)4.服务器中各用户对资源的访问控制策略(敏感信息资源清单,用户权限分配策略、系统账号列表及各账号用途)5.主要服务器必须开放的端口及其用途6.操作系统和数据库安全审计策略7.服务器本地安全防护措施(如:防火墙、防恶意代码等);8.服务器提供其功能所必需的操作系统组件及其他软件清单9.服务器安全监控(如:主机入侵检测系统等)10.设计/验收文档应用系统:1.应用系统用户身份鉴别方式(账号/密码、数字证书等)。
信息系统安全等级保护定级备案测评流程图
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息安全等级保护测评机构管理规定
信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其他条件。
等级保护测评机构基本介绍
测评机构义务
测评机构应按照国家有关网络安全法律法规规定和标准 规范要求,为用户提供科学、安全、客观、公正的等级 测评服务。
测评机构 测评要求
为什么要修订《网络安全等级保护测评要求》
国家标准GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》在我国网络安 全等级保护工作开展过程中发挥了重要的指导作用,被广泛应用于等级保护测评机构、各个行业 和领域开展网络安全等级保护的等级测评和安全自查等相关工作。GB/T 28448自2012年发布 以来,随着信息技术的发展,在标准应用过程中特别是云计算、移动互联、物联网、工业控制和 大数据等新技术、新应用环境下也遇到了一些新的问题,GB/T 28448-2012在适用性、时效 性、易用性、可操作性上需要进一步完善。此外,作为测评指标进行引用的GB/T 22239- 2008也启动了修订工作。为适应我国网络安全等级保护工作发展的需要,进一步与新版的GB/T 22239相协调,有必要对GB/T 28448-2012进行修订。
《测评要求第1部分:安全通用要求》主要修订内容
根据全国信息安全标准化技术委员会2013年10月下达的国家标准制修订计划,公安部第三研究所(公安 部信息安全等级保护评估中心)牵头组织了对GB/T 28448-2012的修订工作。
在前期先对GB/T 22239进行修订的同时,研究确定了《测评要求》修订技术思路。待GB/T22239形成 草案后,同步开始修订《测评要求》。修订经历了调查研究、草案形成、征求意见稿、送审稿等过程, 也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于大家更好地理解和使用新标准体系 ,提前向大家介绍以下对原国家标准GB/T 28448-2012修订的一些主要内容。
申请时,申请单位应向等保办提交以下材料:
信息安全等级保护测评机构申请表
编号:(X)XXX 年月日
信息安全等级保护测评机构
申请表
单位名称:
单位地址:
申请日期:
国家信息安全等级保护工作协调小组办公室制
填表说明:(封皮背面)
1、申请表编号“(X)XXX 年月日”由受理申请单位填写,其中(X)是各地行政区划简称,XXX是申请表编号。
2、申请表各项内容应如实填写,文字表述明确。
3、申请表签字盖章方为有效。
应由申请单位法定代表人签字;委托代表人签字的,应出具有效的委托书。
4、申请表中“单位类型”应按照单位营业执照填写。
5、如所填内容超出表格时,可添加附页。
6、申请单位人员基本情况表每人填写一份。
7、申请表一式二份。
申请单位基本情况表
申请单位人员基本情况表
安全保证承诺书
等级测评工作是等级保护工作的重要组成部分,直接关系信息系统安全,作为从事信息安全等级测评工作的机构,本单位及其人员知悉测评机构的责任义务和工作规范,愿意服从并接受各项安全保密管理,并承诺按照有关标准规范开展等级测评工作,保证测评工作的客观、公正、安全,如有虚假或有违反测评管理规范的行为,本单位将承担由此造成的一切后果及相关的法律责任。
法定代表人签字:
单位盖章:
年月日。
《信息安全等级保护管理办法(精)》
《信息安全等级保护管理办法(精)》第一篇:信息安全等级保护管理办法(精)信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护1第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
关于开展集团信息网络安全等级保护测评工作的请示
关于开展集团信息网络安全等级保护测评工作的请示(参考)集团领导:按照2017年国家颁布的《网络安全法》要求,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
对应的国家标准《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)于2019年12月1日正式颁布实施。
其中,《网络安全法》第五十九条对网络运营者不履行本法规定的网络安全保护义务的情况,明确了相关行政处罚。
目前,银行系统、政府机关和国有大中型企业均已开展信息网络安全等级保护相关工作,例如XXX、XXX、XXX、XXX等。
结合集团信息安全建设实际情况,拟开展网络安全等级保护相关工作,包括网络安全测评、建设整改、等级评定和每年的定期检查测评及优化等。
建议选择第三方专业资质的测评机构提供相关测评服务,进行网络安全等级保护测评工作,预算为XX万元。
并提请集团集中采购委员会确定采购方式和组织实施相关采购程序。
现将有关情况报告如下:一、信息网络安全建设现状。
集团于XX年进行了机房和网络信息安全相关建设,解决了内外网隔离和访问身份认证问题,形成了网络信息安全基础防护能力。
目前仍然存在不足,一是网络信息安全构架不够完善,与国家标准等级保护要求尚有一定差距。
二是缺少配套的信息安全管理制度体系。
二、开展信息网络安全等级保护工作的意义。
1.《网络安全法》将网络运营者的信息网络安全责任和义务上升到法律约束高度,《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)规定了明确的执行标准,开展信息网络安全等级保护工作意义重大。
2.通过信息网络安全等级保护建设找出信息系统在信息安全方面与国家标准要求之间的差距,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,并建立长效机制,保障信息安全工作与信息化建设同步、可持续的开展。
3.有利于采取系统、规范、经济有效的管理和技术保障措施,建立健全各项信息安全管理制度,保障业务信息系统安全正常运行,保障信息安全,进而保障各部门职能安全、高速、高效地运转。
等保测评机构资质申请条件
等级保护测评(等保测评)是指对信息系统进行的安全等级保护合规性评估。
在中国,等保测评机构指的是经过国家有关部门批准,具有从事信息系统安全等级保护测评服
务资格的专业机构。
等保测评机构资质申请条件一般包括但不限于以下几点:
1. 组织机构条件:
- 必须是依法注册的独立法人。
- 有固定的办公场所和必要的工作设施。
- 有与开展测评工作相适应的组织管理结构。
2. 人员条件:
- 具有一定数量的具备相关专业背景的全职员工。
- 测评人员需要具备相应的专业技术职称或者安全相关的专业资格认证。
- 测评人员应当接受过专业的等级保护测评培训,并通过考核。
3. 技术能力条件:
- 能够独立开展测评工作,具备完成测评任务所需的技术和工具。
- 有完善的测评方法和测评流程。
- 有质量保证体系和信息安全管理制度。
4. 业绩条件:
- 通常需要有一定的信息系统安全服务业绩,比如曾经承担过相关的安全服务项目。
5. 法律法规遵循条件:
- 遵守国家法律法规,没有违法违规记录。
6. 保密条件:
- 有严格的保密制度和措施,确保客户信息安全。
7. 相关部门要求:
- 根据不同时间点,国家相关部门可能会有额外的具体要求。
申请成为等保测评机构,需要向国家相关部门提交申请材料,包括公司资质、人员资格证明、业绩报告、技术能力说明等,并接受相关部门的审核。
审核通过后,才能获得相应的资质,从事等级保护测评服务。
需要注意的是,以上条件仅供参考,具体申请条件和流程可能会随着政策的变化而变化,建议咨询相关部门获取最新的申请指南和详细信息。
人民银行信息系统信息安全等级保护测评
人民银行信息系统信息安全等级保护测评在当今数字化时代,信息安全已成为至关重要的议题,特别是对于人民银行这样承担着国家金融稳定和货币管理重任的机构。
人民银行的信息系统涵盖了大量敏感的金融数据、交易信息以及政策决策相关的关键内容,其安全性直接关系到国家金融体系的稳定和公众的利益。
因此,对人民银行信息系统进行信息安全等级保护测评具有极其重要的意义。
信息安全等级保护测评是一种全面评估信息系统安全状况的方法和过程。
它依据国家相关的标准和规范,对信息系统的安全性进行系统、客观、公正的评估,以确定其在安全保护方面的能力和水平,并发现可能存在的安全隐患和薄弱环节。
在人民银行信息系统中,涉及到的业务种类繁多,包括货币发行与管理、支付结算、金融统计、征信管理等等。
这些业务所依赖的信息系统在架构上复杂多样,涵盖了从核心业务处理系统到外围的管理和服务系统。
为了保障这些系统的安全稳定运行,等级保护测评工作需要覆盖到系统的各个层面和环节。
首先,测评工作要对人民银行信息系统的物理环境进行评估。
这包括机房的选址、布局、防火、防水、防静电、温湿度控制等方面。
一个良好的物理环境是信息系统稳定运行的基础,如果机房存在物理安全隐患,如漏水、火灾、电磁干扰等,都可能导致系统故障甚至数据丢失。
其次,网络安全是测评的重点之一。
要评估网络拓扑结构的合理性、网络访问控制策略的有效性、网络设备的安全配置等。
人民银行的网络连接着众多金融机构和相关部门,网络安全防护必须严密,防止外部攻击和非法访问。
在系统安全方面,要对操作系统、数据库系统等进行安全评估。
检查系统的补丁更新情况、用户权限管理、安全审计机制等。
任何一个系统漏洞都可能被攻击者利用,从而危及整个信息系统的安全。
应用安全也是不可忽视的环节。
对各类业务应用系统的身份认证、访问控制、数据加密、安全日志等功能进行检测。
确保应用系统在处理金融业务时,能够保障数据的保密性、完整性和可用性。
数据安全更是重中之重。
信息安全等级保护测评机构管理办法最新
信息安全等级保护测评机构管理办法最新信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其它条件。
等级保护定级专家评审申请报告范本
附件1X市邮政金融网信息系统信息安全等级专家评审申请报告(示例,试用参考版本)申报单位:(盖章)申报日期:受理单位:宁波市经济和信息化委员会受理日期:二零零×年××月目录填写说明 (1)1 单位基本情况 (3)2 申请评审的信息系统汇总表 (4)3 信息系统划分 (5)3.1 管理机构 (5)3.2 网络结构 (5)3.3 业务应用 (6)3.4 信息系统划分结果 (6)4 邮政金融网中间业务系统自定级报告 (8)5 邮政综合计算机网系统自定级报告 (13)6 系统使用的安全产品清单及认证、销售许可证明 (14)填写说明1、填报依据。
根据《浙江省信息安全等级保护管理办法》(省政府令223号)和《浙江省信息安全等级评审实施细则》之规定制作本表。
2、填报范围。
本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。
3、申报方式。
本报告一式五份,由申请单位向受理申请的信息化机构提交。
同时将电子版本申请材料发电子邮箱:***************。
4、单位基本情况表:单位负责人,是指主管本单位信息安全工作的领导;责任部门,是指单位内负责信息系统安全工作的部门;隶属关系,是指信息系统运营使用单位与上级行政机构的从属关系。
5、系统自定级报告:是指依据《定级报告模版》编写的定级报告。
所有信息系统均应该填写。
6、系统使用的安全产品清单及认证、销售许可证明:是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型(功能)产品中该产品的使用率等信息。
7、信息系统定级评审专家意见表:由参加评审的专家组填写。
8、重要提示。
本报告模板第8、9页的蓝色标记部分,属于定级工作的核心内容,各单位定级工作中要详细分析、准确描述。
9、解释:本表由市信息产业局负责解释。
联系人:杨倩红,87183477;***************;************.cn联系地址:宁波市解放北路91号市政府北大院4号楼1102,邮编:315010。
信息安全等级保护测评工作管理规范(试行)
附件一:信息安全等级保护测评工作管理规范(试行)第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条本规范适用于等级测评机构和人员及其测评活动的管理。
第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条等级测评机构应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上,无违法记录;(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(九)对国家安全、社会秩序、公共利益不构成威胁;(十)应当具备的其他条件。
第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。
等保测评资质申请流程
等保测评资质申请流程等保测评资质申请流程1. 引言在当前信息时代,网络安全问题日益突出,各种网络攻击和数据泄露事件层出不穷。
为保障国家网络安全,我国推出了《信息安全等级保护测评管理办法》(以下简称《办法》),并建立了等保测评制度。
等保测评是对信息系统安全等级的测评工作,其资质申请流程是企业申请等保测评资质的重要步骤。
2. 等保测评资质申请流程的重要性和意义等保测评资质申请流程是企业获得等保测评资质的关键步骤,通过申请流程,企业可以获得对自身信息安全状况的全面评估,有效提升信息系统的安全等级,保护重要信息资产的安全。
获得等保测评资质还可以提升企业在市场竞争中的竞争力,为企业在信息安全领域树立良好的形象。
3. 等保测评资质申请流程的具体步骤3.1 准备资料在开始资质申请流程之前,企业需要准备相关资料,包括企业的基本信息、组织结构、人员构成、信息系统的详细情况等。
企业还需要对自身的信息安全管理制度进行规范和完善,确保符合等保测评的要求。
3.2 提交申请企业完成资料的准备后,需要向相关部门提交等保测评资质申请。
申请材料需要详细描述企业的情况,并附上相关证明文件和资料,以便相关部门进行审核和评估。
3.3 审核与评估一旦企业的申请提交后,相关部门将对申请材料进行审核和评估。
审核和评估过程主要是针对企业的信息安全管理制度、信息系统的安全性、安全设备的配置和使用等方面进行的。
评估还包括对企业现场的走访和实地考察,以便全面了解和评估企业的信息安全状况。
3.4 发放等保测评资质在审核和评估合格后,相关部门将发放等保测评资质给企业。
等保测评资质的级别与企业的信息安全等级相匹配,通常分为一级、二级和三级等不同等级。
其中,一级为最高等级,代表企业的信息安全水平达到了国际领先水平。
4. 个人观点和理解等保测评资质申请流程是一个系统的流程,需要企业做好准备工作,提供真实、准确且详尽的资料,以便相关部门进行评估和审核。
作为企业,应该高度重视信息安全,建立完善的信息安全管理制度,加强人员培训和技术设施的建设,以提升企业的信息安全等级。
分级保护测评申请书模板
尊敬的XXX部门:您好!我单位(以下简称“申请人”)拟进行信息安全分级保护测评,以确保我国信息系统安全建设的整体水平,提高信息系统安全。
特此向贵部门提交分级保护测评申请书,敬请审批。
一、项目背景信息安全等级保护制度是我国信息安全保障工作的基本制度,对维护国家安全、社会秩序和公共利益具有重要意义。
根据《信息安全与通信保密》等相关资料,信息安全产品体系探讨以及信息安全等级保护制度下信息安全产品分级测评体系的研究,我们意识到信息安全测评是确保信息系统安全的关键环节。
因此,我们决定申请进行信息安全分级保护测评,以提升我国信息系统安全建设的整体水平。
二、项目目标通过分级保护测评,我们希望实现以下目标:1. 提高信息系统安全防护能力,防范信息安全风险;2. 保障信息系统在遭受攻击时能够及时发现并得到有效处置;3. 提升我国信息安全建设的整体水平,满足国家信息安全需求;4. 培养一支高素质的信息安全专业队伍,为我国信息安全事业发展贡献力量。
三、项目实施方案1. 成立项目组,负责组织、协调和推进分级保护测评工作;2. 对照信息安全分级保护相关标准,对信息系统进行自评估,找出潜在的安全隐患;3. 聘请具有专业资质的安全测评机构,对信息系统进行正式测评;4. 根据测评结果,对信息系统进行整改,提升安全防护能力;5. 定期对信息系统进行安全巡查和漏洞扫描,确保信息安全。
四、项目预算根据项目需求和实际情况,我们拟定的项目预算为人民币XX万元,其中包括:1. 安全测评机构费用:XX万元;2. 设备购置费用:XX万元;3. 人员培训费用:XX万元;4. 的其他相关费用:XX万元。
五、申请单位基本情况申请人名称:XXX单位单位性质:国有企业成立时间:XXXX年经营范围:信息系统建设、运维、安全防护等。
六、申请单位信息安全保障能力1. 具备完善的信息安全管理制度和操作规程;2. 拥有一支专业的信息安全团队,具备信息安全防护能力;3. 采用国内外先进的信息安全技术,不断提升信息安全水平;4. 积极参加国家信息安全相关的培训和交流活动,了解最新的信息安全动态。
信息安全等级保护测评流程介绍!
信息安全等级保护测评流程介绍!!信息安全等级保护测评流程介绍⼀、等级保护测评的依据:依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第⼗四条:信息系统建设完成后,运营、使⽤单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第⼀级:⽤户⾃主保护级,⽬前1.0版本不需要去备案(提交材料公安部也会给备案证明),等保2.0是需要备案的;第⼆级:系统审计保护级,⼆级信息系统为⾃主检查或上级主管部门进⾏检查,建议时间为每两年检查⼀次;第三级:安全标记保护级,三级信息系统应当每年⾄少进⾏⼀次等级测评;第四级:结构化保护级,四级信息系统应当每半年⾄少进⾏⼀次等级测评;第五级:访问验证保护级,五级信息系统应当依据特殊安全需求进⾏等级测评。
⼆、等级保护⼯作的步骤运营单位确定要开展信息系统等级保护⼯作后,应按照以下步骤逐步推进⼯作:1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、⽹络设备、安全设备等)、机房的模式(⾃建、云平台、托管等)等。
2、对每个⽬标系统,按照《信息系统定级指南》的要求和标准,分别进⾏等级保护的定级⼯作,填写《系统定级报告》、《系统基础信息调研表》(每个系统⼀套)。
运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、对所定级的系统进⾏专家评审(⼆级系统也需要专家评审)。
4、向属地公安机关⽹监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它新系统定级备案证明材料,获取《信息系统等级保护定级备案证明》(每个系统⼀份),完成系统定级备案阶段⼯作。
5、依据确定的等级标准,选取等保测评机构,对⽬标系统开展等级保护测评⼯作(具体测评流程见第三条)。
6、完成等级测评⼯作,获得《信息系统等级保护测评报告》(每个系统⼀份)后,将《测评报告》提交⽹监部门进⾏备案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护测评机
构申请表
This manuscript was revised by the office on December 10, 2020.
附件1:
信息安全等级保护测评机构
申请表
名称:
地址:
日期:
国家信息安全等级保护工作协调小组办公室制
填表说明:(封皮背面)
1、申请表应由申请单位法定代表人签字;委托代表人签字的,应出具有效的委托书。
2、如所填内容超出表格时,可添加附页。
3、测评机构申请单位测评人员基本情况表一人一表。
4、申请表一式二份。
同时提供word格式电子版光盘。
测评机构申请单位基本情况表
承诺书
等级测评工作是等级保护工作的重要组成部分,直接关系信息系统安全,作为从事等级测评工作的机构,本单位及全体人员知悉测评机构的责任义务和工作规范,愿意服从并接受各项安全保密管理,并承诺按照国家信息安全有关标准规范开展等级测评工作,保证测评工作的客观、公正、安全,承诺不会从事对等级测评工作的公正性产生影响的业务和工作(包括但不限于:从事信息系统安全集成或信息安全产品研发、生产、销售;限定被测评单位购买、使用指定的信息安全产品;影响被测评单位对安全集成商的选择等)。
如有虚假或有违反测评管理规范的行为,本单位将承担由此造成的一切后果及相关的法律责任。
法定代表人签字:
(单位盖章)
年月日
测评机构申请单位测评人员汇总表
单位名称(盖章):填表日期:
测评机构申请单位测评人员基本情况表。