等级保护定级专家评审申请报告范本讲解

附件1

X市邮政金融网信息系统

信息安全等级专家评审申请报告

（示例，试用参考版本）

申报单位：（盖章）

申报日期：

受理单位：宁波市经济和信息化委员会

受理日期：

二零零×年××月

目录

填写说明 (1)

1 单位基本情况 (3)

2 申请评审的信息系统汇总表 (4)

3 信息系统划分 (5)

3.1 管理机构 (5)

3.2 网络结构 (5)

3.3 业务应用 (6)

3.4 信息系统划分结果 (6)

4 邮政金融网中间业务系统自定级报告 (8)

5 邮政综合计算机网系统自定级报告 (13)

6 系统使用的安全产品清单及认证、销售许可证明 (14)

填写说明

1、填报依据。根据《浙江省信息安全等级保护管理办法》（省政府令223号）和《浙江省信息安全等级评审实施细则》之规定制作本表。

2、填报范围。本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。

3、申报方式。本报告一式五份，由申请单位向受理申请的信息化机构提交。同时将电子版本申请材料发电子邮箱:nbjwyqh@https://www.360docs.net/doc/482128230.html,。

4、单位基本情况表：单位负责人，是指主管本单位信息安全工作的领导；责任部门，是指单位内负责信息系统安全工作的部门；隶属关系，是指信息系统运营使用单位与上级行政机构的从属关系。

5、系统自定级报告：是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。

6、系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。

7、信息系统定级评审专家意见表：由参加评审的专家组填写。

8、重要提示。本报告模板第8、9页的蓝色标记部分，属于定级工作

的核心内容，各单位定级工作中要详细分析、准确描述。

9、解释：本表由市信息产业局负责解释。联系人：杨倩红，87183477；nbjwyqh@https://www.360docs.net/doc/482128230.html,；ywq@https://www.360docs.net/doc/482128230.html,联系地址：宁波市解放北路91号市政府北大院4号楼1102，邮编：315010。

1 单位基本情况

2 申请评审的信息系统汇总表

3 信息系统划分

3.1 管理机构

X省邮政储汇局成立于1986年。主要负责对全省37个市县局邮政储蓄、汇兑以及代理保险等金融业务进行管理、指导。邮政局高度重视邮政信息化建设，建立了覆盖全省各市的邮政金融中间业务系统和省局办公综合计算机网络系统。

在整个网络信息系统中，省邮政储蓄局和地方局承担了不同的安全管理责任。省邮政储蓄局负责省数据中心核心系统的运行、维护等安全责任，各市分支机构直接负责所在地的系统的运行、维护和安全责任。

3.2 网络结构

省邮政金融系统包括金融网中间业务系统和综合计算机网两个逻辑上隔离的网络系统。金融网中间业务系统包括省级数据中心和部分市局域网络，涉及的操作系统为HPUX，WINDOWS 和SCO UNIXE。综合计算机网是省局的办公网，包括四台电子汇兑主机，两台报刊发机服务器和两台综合网网管服务器，操作系统涉及Linux 和WINDOWS，数据库为ORACLE，另外在综合网网管服务器上安装NETVIEW。具体网络结构如下：

3.3 业务应用

邮政金融网中间业务系统主要是承担：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务。综合计算机网是部门办公业务网，主要承担：公文收发、邮件处理、日常办公、财务管理等工作。

邮政网的两个业务系统均不涉及国家秘密信息。

3.4 信息系统划分结果

从管理机构的不同考虑，应将省局信息系统和地方信息系统分别进行划分，形成省局信息系统和地方分支机构信息系统。省局信息系统中，由于邮政金融网中间业务系统和综合计算机网各自拥有一套独立的软硬件，且分别承载不同业务，系统业务之间不存在依赖性，故划分为两个独立的系统。各市的网络和数据中心还要作为整个系统的

分系统另行定级。信息系统划分结果如下：

4 邮政金融网中间业务系统自定级报告

一、X省邮政金融网中间业务系统描述

（一）该中间业务于2006年7月1日X省邮政储蓄局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的Switch三层交换机，……

在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW 4防火墙和Cisco 2008路由器。

省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4与Cisco 2008。Cisco 2008外联的其它系统都划分为外部网络部分，而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。

各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。

（三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。

业务处理系统以省集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。

二、X省邮政金融网中间业务系统安全保护等级的确定

（一）业务信息安全保护等级的确定

1、业务信息描述

金融网中间业务信息包括：代收费情况信息，缴费公民、法人和其他组织的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。

2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体）

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以

表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）

上述结果的程度表现为严重损害，即工作职能收到严重影响，业务能力显著先将，出现较严重的法律问题，较大范围的不良影响等。

4、确定业务信息安全等级

查《定级指南》表2知，业务信息安全保护等级为第二级。

（二）系统服务安全保护等级的确定

1、系统服务描述

系统服务主要包括：中国移动代收费、中国联通代收费、代理国债、批量工资代发等，属于为国计民生、经济建设等提供服务的信息系统，其服务范围为全省范围内的普通公民、法人等。

2、系统服务受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。

侵害的客观方面表现为：1、邮政中间业务无法正常办理，办理能

力下降，对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等）；2、优越邮政系统覆盖面广，可以对社会秩序公共利益造成侵害（造成社会不良影响，引起公共利益的损害等）。根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

3、服务受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）

上述结果的程度表现为：对社会秩序和公共利益造成严重损害，即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。

4、确定系统服务安全等级

查《定级指南》表3知，由于侵害的客体有两个，侵害的程度也有两个，则系统服务安全保护等级为第二级。

（三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以，X省邮政金融网中间业务系统安全保护

等级为第三级。

5 邮政综合计算机网系统自定级报告

参考金融网中间业务系统定级方式，具体内容略。

6 系统使用的安全产品清单及认证、销售许可证明

是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。

附件1 邮政金融网中间业务系统定级评审意见表

宁波市信息安全等级专家评审申请报告

附件2 邮政综合计算机网系统定级评审意见表

重要信息系统安全可控试点示范具体要求及项目资金申请报告

附件2 重要信息系统安全可控试点示范具体要求及项目 资金申请报告编制要点 一、关于试点示范工程的总体要求（分不同领域） （一）关于商业银行一体化信息安全风险感知体系试点示范的要求 按照信息安全等级保护的相关要求，建设信息安全风险感知体系。能够支持对银行重要信息系统中终端、网络、主机、应用和数据的业务、运维以及安全管理等操作行为进行主动感知，支持对相关多元化异构大数据进行预处理，对安全事件进行智能关联分析、集中展现和及时预警。支持银行网点终端统一管理，实现终端接入认证、访问控制、恶意代码防范、安全审计等功能。该体系分级分布式部署，具有可移植性、可扩展性，可并发会话数大于1000个，银行业务安全数据日处理能力大于1000万条，网点终端管理规模达到20万台以上。建立完善银行灾备系统建设、运行、维护、测评和应急处置的标准规范体系。制定第三方安全服务机构服务质量基本评价指标体系，包括第三方安全服务机构的制度体系评价指标、服务内容合规性评价指标、服务过程规范性评价指标、人员管理水平及稳定性评价指标、机构资质评价指标等，质量评价以量化分值方式呈现。

（二）关于商业银行开展电子银行和移动支付业务系统安全态势监控试点示范的要求 按照信息安全等级保护的相关要求，建设电子银行和移动支付业务系统安全态势监控体系。支持商业银行对电子银行系统（包括网上银行、手机银行及其门户网站等系统）、相关新型（增值）系统及其相关产品的安全态势进行监测预警，重点监控电子银行系统及其相关产品漏洞和入侵事件，对其存在的漏洞和重要信息安全事件进行预警，定期对其面临的信息安全形势作出分析研判；针对金融移动支付领域的各种主流操作系统应用，建立涵盖手机银行业务交易处理与关键流程安全性审核、客户端安全检测与防护措施验证、服务器端内控措施等多方面的安全检测与防护措施，并形成相应标准规范体系。提出手机银行从设计、开发、测试、部署、运维等不同阶段的安全性要求和实施要点，完善手机银行应用安全检测指引和相关安全设计规范。 （三）关于金融领域钓鱼网站和金融诈骗事件安全应急保障试点示范的要求 支持信息安全专业机构、商业银行、行业主管部门对电子银行系统联合建立针对钓鱼网站和金融诈骗事件的应急 保障体系。研究建立信息安全专业机构、商业银行、执法部门联合处置、应急保障的协调机制。具体是：

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全 B.便捷完整性检查 C.剩余信息保护 D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。

《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案

《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名：分数： 一、填空题（每空3分，共30分） 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ （有或没有）作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择（每题5分，共30分） 1.三级测评通用要求机房出入口应__________。 A．安排专人值守B．放置灭火器

C．安装玻璃门D．配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要 求设置__________。 A．照明灯具B．过压保护器 C．防雷保安器D．空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A．动态口令B．数字证书 C．生物技术D．设备指纹 4.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。A．端口级B．用户级 C．进程级D．应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容，三级测评通用要求安全管理中心内容包括__________。 A．系统管理B．审计管理 C．安全管理D．集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A．身份认证B．访问控制 C．数据D．以上都不是

信息化项目安全测评申请书-上海信息安全测评认证中心

项目编号： 信息化项目安全测评申请书 项目名称： 申请单位：（盖章） 申请日期： 上海市信息安全测评认证中心 年月日

告用户 在正式填写本申请书前，请认真阅读并理解以下内容： 1.适用范围 本申请书适用于对已建信息系统进行部分改造建设的信息化项目，建设内容可以包括系统应用开发，网络、系统平台改造，系统安全加固，环境建设，系统安全管理制度建设等方面。 新建完整信息系统的信息化项目（完整信息系统建设包括机房物理环境、网络平台、系统平台、应用系统、系统运行安全保障、安全管理体系等方面），应按照国家《信息安全等级保护管理办法》和市政府58号令《上海市公共信息系统安全测评管理办法》》进行信息系统安全测评。 2.测评内容 信息化项目安全测评内容包括分别对信息系统网络、服务器等平台改造的安全测试和评估；对信息系统应用系统开发进行功能、安全功能测试；对信息系统安全加固实施的安全测试和评估；对网络环境建设中安全、基本链路测试；对安全管理制度建设的评估等。 3.提交文档 以下申请书填写项中，如无备注说明，均属信息化项目申请安全测评的必填项。用户申请安全测评时，应请交纸质版申请书及附件原件一份，同时交电子版一份。如填写内容较多，可另加附页。 4.联系方式 上海市信息安全测评认证中心地址：上海市陆家浜路1308号 邮编：200011 电话：（021）63789900 传真：（021）63789039 E-mail：yewubu@https://www.360docs.net/doc/482128230.html,，cyj@https://www.360docs.net/doc/482128230.html,

一、申请单位基本情况

二、提交申请材料详细内容 提交的申请文档须包括但不限于以下内容： 1、项目任务书 内容要求：包括项目类型、项目名称、承担单位、项目建设内容、项目投资总额、项目成果和项目要求实现的技术指标等； 2、项目设计（实施）方案 具体描写项目的主要建设内容，应用业务及需求说明，主要开发内容和功能模块，实施周期等； 3、应用开发设计方案、用户手册、功能说明 具体描写应用开发软件的主要功能项，软件功能详细说明，用户操作手册等； 4、网络环境描述 提供项目实施范围内的网络拓扑图，标明涉及的具体网络环境、设备情况； 5、主要购买软硬件设备清单 包括购买的主要服务器的型号、类型及配置描述等，购买的主要应用软件的版本和功能，购买的网络设备和安全设备的型号及性能指标。 6、项目自测分析报告（可选） 本部分可以是：1.项目运行前由集成单位或开发人员进行系统安全功能联调或相关指标测试（如系统峰值容量、系统延迟、系统容错能力、系统可靠性、有关资源配置的重要数据等）的方法和报告，测试过程中出现的

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年

目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全 建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

信息系统安全等级保护测评及服务要求

成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

等级保护定级专家评审申请报告范本讲解

附件1 X市邮政金融网信息系统 信息安全等级专家评审申请报告 （示例，试用参考版本） 申报单位：（盖章） 申报日期： 受理单位：宁波市经济和信息化委员会 受理日期： 二零零×年××月

目录 填写说明 (1) 1 单位基本情况 (3) 2 申请评审的信息系统汇总表 (4) 3 信息系统划分 (5) 3.1 管理机构 (5) 3.2 网络结构 (5) 3.3 业务应用 (6) 3.4 信息系统划分结果 (6) 4 邮政金融网中间业务系统自定级报告 (8) 5 邮政综合计算机网系统自定级报告 (13) 6 系统使用的安全产品清单及认证、销售许可证明 (14)

填写说明 1、填报依据。根据《浙江省信息安全等级保护管理办法》（省政府令223号）和《浙江省信息安全等级评审实施细则》之规定制作本表。 2、填报范围。本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。 3、申报方式。本报告一式五份，由申请单位向受理申请的信息化机构提交。同时将电子版本申请材料发电子邮箱:nbjwyqh@https://www.360docs.net/doc/482128230.html,。 4、单位基本情况表：单位负责人，是指主管本单位信息安全工作的领导；责任部门，是指单位内负责信息系统安全工作的部门；隶属关系，是指信息系统运营使用单位与上级行政机构的从属关系。 5、系统自定级报告：是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。 6、系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。 7、信息系统定级评审专家意见表：由参加评审的专家组填写。 8、重要提示。本报告模板第8、9页的蓝色标记部分，属于定级工作

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。 第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。 测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。 省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录； （三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力； （四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

信息安全等级保护测评及服务技术参数

信息安全等级保护测评及服务技术参数 一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。 二、测评系统目录 投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。 表1 三级系统目录 表2 二级系统目录 特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务 投标人在本项目中，须完成以下工作： 1.协助完成定级备案的相关工作 协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作 依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。 测评内容应包括但不限于以下内容： （1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； （2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评； （3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 3．完成测评服务相关文档 出具的测评服务记录或报告文档包括：测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4．完成安全隐患整改指导与复测评工作 提供安全隐患整改指导与安全加固服务，并协助建立和完善相关制度。 在校方完成相应的整改工作后，对整改项进行复测评，出具复测报告，确保信息系统备案工作的完成。 5．为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。 四、其他要求 1.投标人须在投标之前做充分的现场调研工作，对拟测评的信息系统现状有足够的了

05.信息安全等级保护商用密码系统安全测评流程详解

信息安全等级保护商用密码系统安全测评流程详解 信息安全等级保护商用密码系统安全测评流程图测评申请 现场检测 报告与结论

一、检测依据 《信息安全等级保护商用密码管理办法》 《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》 二、检测范围 信息安全等级为三级以上（含三级）信息系统中的商用密码系统。 三、检测程序 上海市信息安全测评认证中心（以下简称测评中心）的商用密码系统安全等级保护测评工作拟分以下三个阶段进行： 1．测评申请阶段 1）填写文档 申请单位可到上海市信息安全测评认证中心网站https://www.360docs.net/doc/482128230.html,下载《信息安全等级保护商用密码系统安全测评申请书》，并填写相关信息。 2）提交申请 申请单位： l须按照申报表的要求，据实填写（用Word录入排版）。 l提交申报表纸质版1份（加盖单位公章）、电子版本1份,并送交测评中心。 l须同时提交上海市密码管理局有关收到“信息安全等级保护商用密码产品备案表”的确认回执单。 3)受理申请 测评中心对申请单位提交的有关材料进行审核后，对符合测评条件的予以受理，并协商有关测评的费用，发放测评受理单或签订相关委托测评协议。 2．现场检测阶段 测评中心组成检测小组对现场商用密码信息系统进行调研，明确商用密码产

品实际使用情况和系统相关信息。 测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求，和申请单位及相关集成单位协商制订测试方案、测试计划，并实施测试任务。 3．报告与结论阶段 测评中心检测小组对现场采集的检测结果数据进行分析，形成有关商密系统的安全测评意见，并告知申请单位。 测评中心最后向申请单位出具安全测评报告，并将有关测评情况和安全测评结论报送上海市密码管理局。

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐

的等级测评机构进行监督管理。 省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位； （二）产权关系明晰，注册资金100万元以上； （三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全

网络安全等级保护项目参数及要求【模板】

网络安全等级保护项目参数及要求 1.1项目名称 项目名称：商丘医学高等专科学校网络安全等级保护测评项目 1.2项目基本情况 1.项目概况：商丘医学高等专科学校网络安全等级保护测评项目 2.采购内容包括：智慧化校园平台、网站群、教务管理系统和财务内控管理系统。 3.采购方式：竞争性谈判 4.项目预算金额： 5.工期：合同签订生效后30个工作日（不包含整改建设时间）。 6.服务地点：采购人指定地点。 7.服务要求：满足采购人要求。 8.质量标准：符合国家或行业规定的合格标准，满足采购人提出的技术标准及要求。 9.验收标准：满足采购人的验收标准及要求。

2供应商须知 一、响应投标文件的编写 1、要求 1.1投标人应仔细阅读招标文件的全部内容，按招标文件的要求提供响应投标文件，并保证所提供的全部资料的真实性和可靠性，以使其文件对招标文件作出实质性响应。投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求，否则其响应投标将有可能被拒绝。 1.2投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料，如果投标人未按照招标文件的要求提交全部资料，或者提交的资料没有对招标文件在各方面作出实质性响应，可能导致其响应投标文件被拒绝，由此导致的不利后果由投标人自行承担。 1.3响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据，投标人应严格按照格式要求统一填写编制，否则，其响应投标将有可能被拒绝。 2、响应语言 2.1响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件，应以中文书写。若投标人提交的资料为英文或其他语言文字文本，须附中文译文以让评审小

信息安全等级保护测评机构管理办法最新

信息安全等级保护测评机构管理办法 最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位； （二）产权关系明晰，注册资金100万元以上； （三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全集成等业务； （十）应具备的其它条件。

信息安全等级测评机构

信息安全等级测评机构 信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。我省对测评机构实施备案制度。 一、备案条件 承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。 （一）在中华人民共和国境内注册成立（港澳台地区除外），具有相应经营范围的营业执照，注册资本100万元以上； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）近3年完成的测评项目总值150万元以上； （四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人。 （五）管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事安全测评工作不少于3年，无犯罪记录； （六）工作人员仅限于中国公民，法人及主要业务、技术人员无犯罪记录； （七）具有与所承担项目适应的技术装备； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁。 二、备案程序 信息安全等级测评机构申请备案，应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料： （一）备案申请书； （二）营业执照复印件； （三）管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合

格证书复印件和无犯罪证明； （四）技术装备情况及组织管理制度报告。 地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门审查；初审不合格的，退回申请并说明理由。 省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查，符合条件的，发给备案证书。不符合条件的，作出不予备案的决定并说明理由。 承担省直和中央驻粤单位信息安全等级测评工作的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出备案意见。 三、公布 省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。 四、证书管理 备案证书分为正本和副本，正本和副本具有同等效力。 五、年检程序 备案证书实行年检制度。年检时间为每年2月至3月，新领备案证书未满半年的不需年检。 信息安全等级测评机构参加年检，应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请： （一）备案证书年检申请书； （二）备案证书副本； （三）其他材料。 地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门审查；初审不合格的，退回申请并说明理由。 省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查并作出年检结论。

信息安全等级保护测评机构申请表

附件1: 信息安全等级保护测评机构 申请表 名称：______________________________________ 地址：______________________________________ 日期：______________________________________ 国家信息安全等级保护工作协调小组办公室制填表说明：（封皮背面） 1、申请表应由申请单位法定代表人签字；委托代表人签字的，应出具有效的委托书 2、如所填内容超出表格时，可添加附页。 3、测评机构申请单位测评人员基本情况表一人一表。 4、申请表一式二份。同时提供word格式电子版光盘。 测评机构申请单位基本情况表

（为加强内部规范管理，适应等级测评业务安全保密要求而采取的人员管理、安全保密管理、设备使用管理、测评质量控制管理等方面的措施和制度建设情况） 安 全 保 密 管 理 等 制 度 情 况 （技术人才数量、层次、培训、承担重大课题、项目情况） （请在提供的材料序号前□内打“ V”） □1、承诺书 □2、测评机构申请单位测评人员汇总表 □3、测评机构申请单位测评人员基本情况表（一人一表）、人员缴纳社保的证明 □4、营业执照复印件、法定代表人及股东身份证复印件 □5、股权（资本）结构说明 □6、申请单位组织结构表 □7、相关资质能力证书复印件 □8、其他：

承诺书 等级测评工作是等级保护工作的重要组成部分，直接关系信息系统安全，作为从事等级测评工作的机构，本单位及全体人员知悉测评机构的责任义务和工作规范，愿意服从并接受各项安全保密管理，并承诺按照国家信息安全有关标准规范开展等级测评工作，保证测评工作的客观、公正、安全，承诺不会从事对等级测评工作的公正性产生影响的业务和工作（包括但不限于：从事信息系统安全集成或信息安全产品研发、生产、销售；限定被测评单位购买、使用指定的信息安全产品；影响被测评单位对安全集成商的选择等）。如有虚假或有违反测评管理规范的行为，本单位将承担由此造成的一切后果及相关的法律责任。 法定代表人签字： （单位盖章） 年月日 测评机构申请单位测评人员汇总表 单位名称（盖章）：填表日期: