国家信息安全测评 .doc
(完整word版)信息系统安全等级保护测评报告
(完整word版)信息系统安全等级保护测评报告报告编号:(—16-1303-01)信息系统安全等级测评报告说明:一、每个备案信息系统单独出具测评报告.二、测评报告编号为四组数据.各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公+安机关颁发的信息系统备案证明(或备案回执)上获得。
第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号).第二组为年份,由2位数字组成.例如09代表2009年。
第三组为测评机构代码,由四位数字组成.前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。
90为国防科工局,91为电监会,92为教育部。
后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。
例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
声明本报告是票务系统的安全等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
国家信息安全评估
国家信息安全评估
国家信息安全评估是指对一个国家的信息系统和信息安全工作进行评估和审查的过程。
其目的是评估国家信息系统的安全性和强度,并为国家制定信息安全政策和措施提供建议。
国家信息安全评估通常包括以下方面:
1. 政策和法律框架评估:评估国家的信息安全政策和相关法律法规是否健全,是否能有效地管理和保护国家的信息系统和数据。
2. 组织结构和管理评估:评估国家信息安全的组织结构和管理体系,包括信息安全责任划分、信息安全管理流程和制度是否完善。
3. 技术设施和安全设备评估:评估国家的信息系统和网络设施是否具备足够的安全防护能力,包括网络设备的安全配置、流量监测和入侵检测等技术措施。
4. 人员素质和培训评估:评估国家信息安全从业人员的素质、能力和培训状况,包括信息安全意识和技能培训等方面。
5. 安全风险评估:评估国家信息系统的安全风险,包括网络攻击、数据泄露和内部安全威胁等方面。
6. 应急响应评估:评估国家信息安全应急响应机制的建设情况,包括应急预案、应急演练和安全事件响应能力等方面。
通过对国家信息系统和信息安全工作的评估,可以发现存在的安全漏洞和薄弱环节,并为国家信息安全的加固提供指导和建议。
同时,国家信息安全评估也是国际互联网安全合作和交流的基础,有助于提高国家的整体信息安全水平和能力。
信息安全等级保护测评
信息安全等级保护测评首先,信息安全等级保护测评是指对信息系统的安全等级进行评估和测定的过程。
它通过对信息系统的安全性能、安全技术和安全管理三个方面进行全面评估,从而为信息系统的安全等级提供客观、科学的评价依据。
信息安全等级保护测评的意义在于帮助企业和个人全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
其次,信息安全等级保护测评的目标是确保信息系统的安全等级符合国家和行业标准要求,保障信息系统的安全性能和安全可靠性。
通过信息安全等级保护测评,可以为信息系统的安全管理提供科学的依据,为信息系统的安全加固提供技术支持,为信息系统的安全运行提供保障。
针对信息安全等级保护测评的方法,主要包括安全等级保护测评的准备工作、安全等级保护测评的实施和安全等级保护测评的报告编制。
在准备工作阶段,需要明确测评的目标和范围,收集相关信息和资料,组织测评工作组等。
在实施阶段,需要进行安全性能测试、安全技术测试和安全管理测试等,全面评估信息系统的安全等级。
在报告编制阶段,需要对测评结果进行分析和总结,提出改进建议和措施,编制测评报告并提交相关部门。
最后,信息安全等级保护测评的应用范围涵盖了政府机关、企事业单位、金融机构、电信运营商等各个领域。
在信息化建设和信息系统运行中,都需要进行信息安全等级保护测评,以确保信息系统的安全等级达到国家和行业标准要求,保障信息资产的安全。
综上所述,信息安全等级保护测评是信息安全管理中不可或缺的重要环节,它对于评估和提升信息系统的安全等级具有重要意义。
通过科学、客观的测评方法,可以全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
在今后的信息化社会中,我们需要不断加强对信息安全等级保护测评的研究和实践,以应对日益严峻的信息安全挑战。
国家信息安全测评信息技术产品自主原创测评流程
二、提交资料明
在自主原创测评中,申请方应根据测评流程提交相关资料,申请方所需提交 的资料包括:
业务受理阶段(申请书)所需提交的资料 在业务受理阶段,申请方在申请书中应提交以下文件:
申请单位应提交以下企业资质文件用于审查: 企业法人营业执照:用于审查企业的法人身份、注册资金、企业 类型、经营范围等内容; 企业资质证书:包括政府或行业协会等单位颁发的企业能力资质 证书,包括质量管理体系证书等。
4)公示注册阶段
第 2 页,共 5 页
通过评审的产品将在中心网站及主流媒体进行公布,并留有半个月的争议期 限,在争议期内接受社会及业内厂家的意见,发生严重争议的,视具体情况经查 实后可终止测评业务。
争议期过后,中心对产品进行注册并颁发《自主原创产品测评证书》,并将 结果公布于中心网站和中心杂志。
第 3 页,共 5 页
国家信息安全测评 信息技术产品自主原创测评流程
(试行)
版本:1.0
©版权 2008—中国信息安全测评中心 二〇〇八年八月
目录
目 录............................................................................................................................................... I 一、自主原创测评流程介绍 ........................................................................................................... 1 二、提交资料说明........................................................................................................................... 4 三、自主原创测评业务接口说明 ................................................................................................... 5
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安0).doc
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安303)1关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安[2010]303号各省、自治区、直辖市公安厅、局网络安全保卫(公共信息网络安全监察、网络警察)总队(处)、新疆生产建设兵团公安局公共信息网络安全监察处:为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)精神,加快信息安全等级保护测评体系建设,提高测评机构能力,规范测评活动,确保信息安全等级保护安全建设整改工作顺利进行,满足信息安全等级保护工作的迫切需要,决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。
现将有关事项通知如下:一、工作目标(一)通过广泛宣传和正确引导,鼓励更多的有关企事业单位从事信息安全等级保护测评工作,满足信息安全等级保护测评工作的迫切需要。
(二)通过对测评机构进行统一的能力评估和严格审核,保证测评机构的水平和能力达到有关标准规范要求。
(三)加强对测评机构的安全监督,规范其测评活动,保证为备案单位提供客观、公正和安全的测评服务。
(四)督促备案单位开展等级测评工作,为开展等级保护安全建设整改工作奠定基础,使信息系统安全保护状况逐步达到等级保护要求。
二、工作内容各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求,结合本地实际组织开展以下工作:(一)统筹规划,正确引导,积极稳妥地推动等级测评机构建设。
结合本地已定级备案信息系统数量和分布情况,从满足等级测评工作的实际需要出发,统筹规划、合理布局测评机构的规模和数量,积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作,按照成熟一个发展一个的原则,有计划、积极稳妥地推动测评机构建设。
(二)规范流程,严格把关,确保测评机构的水平和能力符合测评工作要求。
依据《信息安全等级保护测评工作管理规范(试行)》(见附件一),对申请成为测评机构的单位严格把关,按照申请受理、测评能力评估、审核、推荐的流程,认真开展测评机构评审和推荐工作。
国家信息安全测评
国家信息安全测评国家信息安全测评是指对一个国家在信息安全领域的整体情况进行评估和分析,以便及时发现存在的问题和隐患,并采取相应的措施加以解决和改进。
信息安全是现代社会的重要组成部分,关乎国家的长治久安和人民的切身利益,因此国家信息安全测评显得尤为重要。
首先,国家信息安全测评需要全面梳理国家信息系统的基本情况,包括政府部门、企事业单位、金融机构、教育科研机构等各个领域的信息系统情况。
这需要对各个系统的规模、功能、安全等级等进行详细的了解和分析,以便全面把握国家信息系统的整体情况。
其次,国家信息安全测评需要对国家信息基础设施的安全情况进行评估。
信息基础设施是信息社会的基础,包括通信网络、数据中心、云计算等各种信息基础设施,其安全情况直接关系到国家信息安全的整体状况。
因此,对信息基础设施的安全性进行全面的评估,对于发现潜在的安全隐患,及时采取措施加以解决十分必要。
再次,国家信息安全测评需要对信息安全法律法规的健全性和执行情况进行评估。
信息安全法律法规的健全与否,直接关系到国家信息安全的保障能力。
因此,对信息安全法律法规的完善程度和执行情况进行评估,对于发现存在的问题和不足,及时进行修订和改进,以加强信息安全法律法规的约束力和保障能力。
最后,国家信息安全测评需要对信息安全意识和技术水平进行评估。
信息安全意识和技术水平是保障国家信息安全的重要因素,只有全社会都具备了良好的信息安全意识和高水平的信息安全技术,才能够有效地保障国家信息安全。
因此,对信息安全意识和技术水平进行评估,对于发现存在的问题和不足,及时进行宣传培训和技术提升,以提高全社会的信息安全保障能力。
总之,国家信息安全测评是一项系统性的工作,需要全社会的共同努力和参与。
只有将国家信息安全测评工作做得全面、深入、细致,才能够更好地保障国家信息安全,确保国家长治久安。
希望相关部门和单位能够高度重视国家信息安全测评工作,加强协作,共同推动国家信息安全事业的发展和进步。
国家信息安全测评认证
人工智能、机器学习等技术的应用,提高测评认证的自动化和智能化 水平
区块链技术的应用,提高测评认证的可信度和安全性ቤተ መጻሕፍቲ ባይዱ
国际合作与交流,推动测评认证标准的国际化和互认
挑战:技术更新换代迅速,需要不断更新测评标准和方法 挑战:信息安全威胁日益严重,需要加强测评认证的力度和范围 机遇:国家政策支持,推动信息安全测评认证行业的发展 机遇:市场需求增长,为信息安全测评认证行业带来更多商机
信息安全测评的重要性:保障国家信息安全,维护国家安全 测评方法:采用科学的测评方法和技术,确保测评结果的准确性和可靠性 测评结果应用:将测评结果应用于信息安全防护和改进,提高信息安全水平 教训:在测评过程中,需要注意信息安全风险,防止信息泄露和攻击。
Part Five
技术进步:随着科技 的发展,信息安全测 评认证技术将更加先 进和智能化
保障信息安全: 通过测评认证, 确保信息系统
的安全性
提高企业竞争 力:通过测评 认证,提高企 业在市场中的
竞争力
促进行业发展: 通过测评认证, 推动信息安全
行业的发展
增强用户信心: 通过测评认证, 增强用户对信 息系统的信任
和信心
Part Three
测评认证机构:国家信息安全测评中心、中国信息安全测评中心等 测评流程:申请、受理、测评、报告、认证等 测评内容:信息安全技术、管理、人员等方面的测评 认证结果:颁发认证证书,证明企业或产品的信息安全水平。
汇报人:
Part Six
国家信息安全测评认证的重要性:保障国家安全,维护社会稳定
测评认证的现状:存在不足,需要进一步完善
建议:加强监管,提高测评认证的准确性和权威性 结论:国家信息安全测评认证是保障国家安全的重要手段,需要不断完 善和加强。
中国信息安全测评中心
中国信息安全测评中心中国信息安全测评中心(China Information Security Evaluation Center,CISEC)是中国国家信息安全测评机构,负责对各类信息系统和产品进行安全测评和认证。
作为中国信息安全领域的权威机构,CISEC在信息安全技术、标准和管理方面发挥着重要作用。
本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。
CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。
在信息系统方面,CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评,评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。
在产品方面,CISEC对各类信息安全产品进行认证,包括防火墙、入侵检测系统、安全管理软件等,以确保其符合国家和行业标准,具有良好的安全性能。
CISEC在信息安全领域的作用主要体现在以下几个方面,首先,CISEC对信息系统和产品进行安全测评和认证,有助于提高其安全性能和可信度,为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。
其次,CISEC通过对信息系统的安全测评,有助于发现系统存在的安全隐患和漏洞,提出改进建议和技术要求,促进信息系统的安全加固和提升。
再次,CISEC通过对信息安全产品的认证,推动了信息安全产品的研发和创新,促进了信息安全产业的健康发展。
最后,CISEC作为国家信息安全测评机构,还参与了国家信息安全标准的制定和推广,提高了信息安全管理水平和标准化程度。
CISEC在信息安全领域的重要性不言而喻。
随着网络技术的飞速发展和信息化进程的加快,信息安全问题日益突出,网络攻击、数据泄露等安全事件频发,给国家安全和社会稳定带来了严重威胁。
而CISEC作为国家信息安全测评机构,承担着信息安全保障的重要责任,其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。
信息安全等级保护测评报告模版
信息安全等级保护测评报告模版嘿,朋友们,今天咱们聊聊信息安全等级保护测评报告。
听起来是不是有点高大上?其实吧,咱们的生活中,信息安全无处不在,就像空气一样,看不见摸不着,但没了可就麻烦了。
想想你的手机,里面存着多少重要的东西,银行信息、通讯记录,还有那珍贵的自拍照。
谁都不想这些东西被人“偷”去,对吧?先说说啥是信息安全等级保护。
简单来说,就是为了保护信息不被坏人拿走、损坏或者泄露,国家专门设定了一套规则。
就像有些地方必须佩戴安全帽、系好安全带,保护措施总是要跟上。
你想,信息安全也得有个“保护罩”,不然就像一只没盖的鸡蛋,随时可能被摔碎。
接下来咱们来聊聊这个测评报告,它就像是个健康检查,给你的信息系统做个全面的“体检”。
通过这些测评,能知道你的信息保护得怎么样,是不是像个坚不可摧的堡垒,还是像个豆腐渣工程。
测评的内容其实挺多的,涉及到设备、网络、应用等等,像个大拼图,缺一不可。
报告里首先得有个概述,告诉大家这次测评的背景、目的和方法。
这就像开场白,给人个大概念。
接着得详细描述一下被测评的系统和环境,这可是重头戏,谁都想知道自己的系统是不是强大无比,或者说“这小子实在不怎么样”。
想象一下,如果你的家有个无敌的安防系统,那真是倍儿有面子,邻居都得羡慕。
然后,得有评估结果,这个部分就像成绩单,真是让人期待又紧张。
系统的安全性、可用性、可靠性……哎呀,听上去有点复杂,但其实就是在说这个系统到底能不能让人放心。
好比你买个新手机,包装好看、功能全,但用起来要是老是卡,那就是白搭。
再接下来就是发现的问题和风险,这部分可得认真看。
没事,发现问题是好事,说明你还在进步。
就像考试时,错题都是学习的机会,找到了问题才能对症下药,解决它。
这就像你穿的新鞋,有时候磨脚,你得找出原因,是鞋太小了,还是袜子没选对。
解决了问题,才能穿得舒舒服服。
最后嘛,报告里得有点建议,这些都是为了让你的信息系统更安全。
就像医生给你开的处方,不能光说“你病了”,还得告诉你怎么治。
国家信息安全测评中心
国家信息安全测评中心国家信息安全测评中心(National Information Security Evaluation Center,简称NISEC)是中国的一个重要机构,负责评估和提升国家信息系统的安全性和可信度。
成立于2002年,NISEC的目标是为了确保国家信息安全,维护网络与信息系统的良好运行和稳定。
NISEC的职责和作用1. 评估信息系统的安全性:NISEC负责对国家重要信息系统进行安全性评估和渗透测试,发现潜在的安全隐患和漏洞,并提供相关技术建议和安全改进措施。
2. 指导安全技术标准:NISEC致力于研究与制定信息安全评估和测试的标准规范,以及加强信息安全技术的研究与发展,提高国家信息安全水平。
3. 信息安全事件响应:NISEC负责协助国家相关部门应对信息安全事件,提供合理的解决方案和技术支持,确保信息系统和网络的安全运行。
4. 促进信息安全人才培养:NISEC为相关单位提供信息安全培训和教育,提高从业人员的工作能力和技术水平,推动信息安全人才的培养和发展。
NISEC的工作内容1. 安全评估与测试:NISEC通过制定方法和规范,对国家重要信息系统进行源代码审计、渗透测试、密码分析等手段,评估其安全性和可信度,发现潜在漏洞和隐患。
2. 安全技术标准研究:NISEC参与制定信息安全评估和测试的标准和规范,推动信息安全技术的发展和应用,提高信息系统的安全性。
3. 安全事件响应:NISEC成立了专业的安全事件响应小组,负责响应和处理重要信息系统和网络的安全事件,迅速采取措施修复漏洞,确保信息系统的正常运行。
4. 信息安全培训与教育:NISEC组织和承办信息安全培训和教育活动,提供相关课程和资料,培养和培训信息安全从业人员,不断提高他们的专业水平和技能。
NISEC的重要意义和影响1. 提升国家信息安全水平:NISEC通过评估和测试信息系统的安全性,为政府和企业提供有效的安全保障措施,提高了国家信息安全的整体水平。
国家信息安全测评信息安全产品自主原创测评白皮书
国家信息安全测评信息安全产品自主原创测评白皮书版本:1.0©版权2008—中国信息安全测评中心二〇〇八年三月目录目录 (I)第1 章简介 (1)1.1 引言 (1)1.2 目的和意义 (1)1.3 业务范围 (2)第2 章自主原创测评业务介绍 (3)2.1 业务特点 (3)2.1.1 国家权威 (3)2.1.2 公平、公正、保密 (3)2.1.3 成熟的技术 (3)2.2 业务需求 (3)2.2.1 支持自主产权 (3)2.2.2 经济发展需要 (3)2.2.3 政策措施完善 (3)2.3 依据标准 (4)第3 章自主原创测评方法介绍 (5)3.1 企业自主原创环境和能力测评 (5)3.1.1 企业资质考查 (5)3.1.2 企业管理状况考查 (6)3.1.3 企业产品研发生产环境和过程 (7)3.2 产品自主原创资质和技术测评 (8)3.2.1 产品资质 (8)3.2.2 产品安全性测评 (8)3.2.3 产品核心技术同源性分析 (8)3.3 自主原创测评内容综述 (9)第4 章自主原创测评流程介绍 (10)4.1 自主原创测评流程综述 (10)4.2 资料提交和说明 (12)4.2.1 业务受理阶段(申请书)所需提交的资料 (12)4.2.2 测评实施阶段(启动通知单)所需提交的资料 (13)4.3 自主原创测评业务接口说明 (13)4.3.1 测评内容 (14)4.3.2 人员及时间 (15)4.3.3 监督测评 (15)4.3.4 代码托管 (15)4.4 业务输出 (15)第 1 章简介1.1 引言当今世界,国家的核心竞争力越来越表现为对智力资源和智慧成果的培育、配置、调控能力,表现为对知识产权的拥有、运用能力。
因此,加强我国自主知识产权的建设,大力提高对知识产权的创造、管理、保护、运用能力,是完善社会主义市场经济体制、规范市场秩序和建立诚信社会的迫切需要,是增强我国企业市场竞争力、提高国家核心竞争力的迫切需要。
中国信息安全测评中心
中国信息安全测评中心中国信息安全测评中心(CISC)是中国政府主管的国家级机构,负责评估和管理国内信息安全领域的相关工作。
CISC的建立是中国政府对信息安全的高度重视和发展的体现,旨在提供专业评估和认证服务,以保障国家信息安全,促进信息化建设的顺利进行。
CISC的成立目的是为了加强对信息安全技术的研究、测试和评估,提升信息系统的安全性和可信度。
作为中国政府的重要机构,CISC 的职责主要包括以下几个方面:1. 信息安全技术研究:CISC与多个知名研究机构和高校合作,开展信息安全技术和标准的研究工作。
通过不断创新和研发,提升中国在信息安全领域的技术能力和竞争力。
2. 安全评估和认证:CISC负责对各类信息系统进行安全评估和认证,包括网络安全评估、系统安全评估、安全产品评估等。
通过对系统和产品的安全性和可信度进行评估,为用户提供可靠的判断依据。
3. 安全技术培训与指导:CISC开展信息安全技术培训和指导工作,提升国内从业人员的信息安全意识和技能水平。
通过培训和指导,提高信息系统的建设和运维人员的安全防护能力,提升信息安全管理水平。
4. 安全标准制定:CISC参与国内信息安全标准的制定和更新工作,推动信息安全标准的国际化和本土化。
通过制定和推广信息安全标准,规范信息系统的建设和运维,提高整个信息安全产业的发展水平。
CISC的工作涉及多个领域,包括网络安全、系统安全、应用安全等。
在网络安全方面,CISC致力于发现网络威胁和漏洞,并提供相应的防护措施和建议。
在系统安全方面,CISC对各类操作系统和应用软件进行安全性评估和测试,揭示潜在的安全风险。
在应用安全方面,CISC重点关注金融、电子支付、电子政务等领域的安全问题,加强对核心应用系统的评估和监管。
为了提供优质的服务,CISC拥有一支专业的团队,包括信息安全专家、安全工程师和研究人员。
他们具有丰富的实战经验和专业知识,能够针对不同的需求,提供全面的安全解决方案和建议。
(完整word版)信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
中国信息安全测评中心
中国信息安全测评中心中国信息安全测评中心(China Information Security Evaluation Center)是中国国家信息安全主管部门设立的专业机构,负责进行信息系统安全评估和认证工作。
该中心采用科学、专业的方法,对各类信息系统的安全性与稳定性进行全面评估,为用户和企业提供可靠的安全保障。
首先,中国信息安全测评中心具备先进的评估技术和方法。
该中心引进了多种国际先进的安全评估技术和标准,建立了全面的测评方法和流程。
通过对信息系统的攻击模拟、漏洞挖掘、安全策略分析等手段,有效评估系统的安全性。
同时,中心还开展了一系列的安全认证活动,为用户提供系统安全的产品和服务选择。
其次,中国信息安全测评中心依靠专业团队保障评估质量。
该中心拥有一支由中国国内外顶级信息安全专家组成的团队。
这些专家具备深厚的理论知识和丰富的实践经验,能够准确判断系统存在的安全隐患,并提出有效的改进措施。
他们严谨的工作态度和专业的技术能力,保证了评估结果的准确性和可信度。
第三,中国信息安全测评中心积极开展国际交流与合作。
该中心与国际上众多知名的信息安全机构、专家进行了深入的合作和交流,通过学习先进的安全技术和经验,不断提升自身的水平和能力。
同时,中心还参与国际安全评估和认证标准的制定工作,保障了中国信息安全的国际化水平。
最后,中国信息安全测评中心注重推动信息安全产业的发展。
该中心积极参与安全技术研究和创新,在密码算法、安全协议、保护技术等方面取得了一系列的科研成果。
同时,中心还开展了一系列的信息安全培训和宣传活动,提高了公众对信息安全的意识和重视程度。
这些举措为中国信息安全产业的发展提供了强有力的支持。
总之,中国信息安全测评中心是中国国家信息安全主管部门设立的专业机构,具备先进的评估技术和方法,依靠专业团队保障评估质量,积极开展国际交流与合作,注重推动信息安全产业的发展。
中心的成立和发展为中国信息安全的提升和保障发挥了重要作用,也为广大用户和企业提供了可靠的安全支持。
国家信息安全测评公告
5. 通过国家信息安全测评 / 信息安全服务资质 ( 灾难恢科大国祯信息科技有限责任公司 证书编号 CNITSEC2017SRV-DR-Ⅰ-024 发证日期 2017-10-20 有效期 2020-10-19 备注 维持
2017/10/26 2020/10/25 2017/10/26 2020/10/25 2017/10/26 2020/10/25 2017/10/26 2020/10/25 2017/10/26 2020/10/25 2017/10/26 2020/10/25 2017/11/13 2020/11/12 2017/11/13 2020/11/12 2017/11/13 2020/11/12 2017/11/13 2020/11/12
3. 通过国家信息安全测评 / 信息安全服务资质 ( 安全工程类二级)测评的单位
序号 1 获证单位名称 网神信息技术(北京)股份有限公司 证书编号 CNITSEC2017SRV-Ⅱ-116 发证日期 2017-10-20 有效期 2020-10-19 备注 维持
4. 通过国家信息安全测评 / 信息安全服务资质 ( 安全开发类一级)测评的单位 CNITSEC
1. 通过国家信息安全测评 / 信息技术产品安全测评的产品
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 获证单位 中铁信安(北京)信息安全技术有限公司 北京威努特技术有限公司 北京匡恩网络科技有限责任公司 北京兰云科技有限公司 蓝盾信息安全技术股份有限公司 蓝盾信息安全技术有限公司 蓝盾信息安全技术股份有限公司 蓝盾信息安全技术有限公司 中新网络信息安全股份有限公司 江苏通付盾信息安全技术有限公司 杭州迪普科技股份有限公司 浪潮电子信息产业股份有限公司 北京永新视博数字电视技术有限公司 获证产品名称 科博安全隔离与信息单向导入系统 V2.0 工业防火墙 V2.0 匡恩网络监测审计系统 V2.0 兰眼下一代威胁感知系统 V2.0 蓝盾防火墙(百兆)V2.0 蓝盾防火墙(百兆)V2.0 蓝盾防火墙(千兆)V2.0 蓝盾防火墙(千兆)V2.0 中新金盾抗拒绝服务系统 ZX-DMS V9.0(万兆) 安全加固 V3.4 迪普异常流量检测与清洗系统 Dptech Guard3000( 万兆)V1.0 InCloud Sphere V5 数字电视条件接收系统 CDCAS3.0 证书编号 CNITSEC2017PRD0743 CNITSEC2017PRD0744 CNITSEC2017PRD0745 CNITSEC2017PRD0746 CNITSEC2017PRD0747 CNITSEC2017PRD0748 CNITSEC2017PRD0749 CNITSEC2017PRD0750 CNITSEC2017PRD0751 CNITSEC2017PRD0752 CNITSEC2017PRD0753 CNITSEC2017PRD0754 CNITSEC2017PRD0755 级别 EAL3+ EAL1 EAL3 EAL3+ EAL3+ EAL3+ EAL3+ EAL3+ EAL3+ EAL3 EAL3+ EAL3+ EAL3 发证日期 2017/9/29 2017/9/29 2017/9/29 有效期 2020/9/28 2020/9/28 2020/9/28
国家信息安全等级保护测评标准
国家信息安全等级保护测评标准国家信息安全等级保护测评标准是指针对信息系统、网络、数据等安全保护等级的测评标准,旨在保护国家、企事业单位及个人信息安全,促进信息安全建设。
下面按照步骤来阐述一下这一标准的相关内容。
一、测评范围标准的测评范围主要是针对国家层面的信息系统和网络安全,包括政府机关、金融、电信、能源、医疗等领域。
测评的对象包括信息系统和网络安全产品、企事业单位的信息系统和网络、云计算等。
二、测评等级国家信息安全等级保护测评分为5个等级,分别是1级、2级、3级、4级和5级。
其中,1级为最低等级,5级为最高等级。
不同等级的测评标准不同,按照每个等级的标准合格与否来衡量信息安全等级的高低。
三、测评方法国家信息安全等级保护测评采用的是“过程+结果”双重评价方法,主要包括技术测评和文化建设两个方面。
技术测评主要是对信息系统和网络的技术性能进行评价,包括漏洞扫描、渗透测试等;文化建设主要是针对企业文化、安全管理等方面进行评价,包括安全政策和规程制定、人员培训、应急演练等。
四、测评结果测评结果主要有两个方面,一是技术阶段的测评结果,二是文化建设阶段的测评结果。
根据这两个方面的测评结果,评出具体的信息安全等级。
企事业单位可以通过国家信息安全等级保护测评标准,了解自身信息安全的现状,制定改进措施,提高信息安全水平。
五、使用建议针对国家信息安全等级保护测评标准,企事业单位可以采取以下措施来提高信息安全等级:1. 加强信息安全意识教育,提高人员安全意识。
2. 制定有效的安全管理制度和规程,严格执行。
3. 选择安全性能较高的产品和技术,保障信息系统和网络的安全。
4. 定期进行安全漏洞扫描和渗透测试,及时修复安全漏洞。
总之,国家信息安全等级保护测评标准是保障国家信息安全的重要手段,也是提高企事业单位信息安全水平的必要途径。
企事业单位应该重视此标准,在实际应用中不断优化和改进,确保信息安全得到有效的保障。
国家信息安全测评认证
编号: 国家信息安全测评认证信息系统安全服务资质认证申请书 (一级) 申请单位(公章): 填表日期: 中国信息安全产品测评认证中心 目录填表须知................................................................3 申 请 表..............................................................4 一, 申请单位基本情况..................................................5 二, 企业组织结构......................................................6 三, 企业近三年资产运营情况............................................7 四, 企业主要负责人情况................................................9 五, 企业技术能力基本情况.............................................13 六, 企业的信息系统安全工程过程能力...................................15 七, 企业的项目和组织过程能力.........................................15 八, 企业安全服务项目汇总.............................................15 九, 企业安全培训软硬件情况...........................................15 十, 企业获奖、资格授权情况...........................................15 十一, 企业在安全服务方面的发展规划....................................15 十二, 企业其他说明情况................................................15 十三, 其他附件........................................................15 申请单位声明...........................................................15 填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容: 1.中国信息安全产品测评认证中心对下列对象进行测评认证: l信息技术产品 l信息系统 l提供信息安全服务的组织和单位 l信息安全专业人员 2.申请单位应仔细阅读《信息系统安全服务资质认证指南》,并按照其要求如实、详细地填写本申请书所有项目。
信息安全等级保护测评
信息安全等级保护测评信息安全等级保护测评是指根据国家有关法律法规和标准,对信息系统的信息安全等级进行评估和认证的过程。
信息安全等级保护测评是信息系统安全保护的重要环节,它可以帮助企业和组织全面了解信息系统的安全状况,发现安全隐患,及时采取措施加以解决,保障信息系统的安全运行。
首先,信息安全等级保护测评需要全面梳理信息系统的安全要求和安全功能,明确信息系统的安全等级。
在信息系统建设初期,需要对系统进行等级划分,包括国家秘密、商业秘密、一般公共信息等级别,根据不同等级的信息系统,确定相应的安全保护要求和技术措施。
通过对信息系统的等级划分,可以有针对性地开展信息安全等级保护测评工作,保证测评工作的准确性和有效性。
其次,信息安全等级保护测评需要综合考虑信息系统的物理环境、网络环境、应用环境等多方面因素。
在信息系统的建设和运行过程中,需要对系统进行全面的风险评估和安全漏洞扫描,及时发现和解决可能存在的安全隐患。
同时,还需要对信息系统的网络拓扑结构、数据传输加密、访问控制、安全审计等方面进行综合评估,确保信息系统的安全性和稳定性。
另外,信息安全等级保护测评需要结合实际情况,采用科学的测评方法和工具。
在进行信息安全等级保护测评时,可以采用定性和定量相结合的方法,综合运用风险评估、安全漏洞扫描、安全测试等手段,全面评估信息系统的安全等级。
同时,可以借助专业的测评工具和软件,对信息系统的安全性能进行全面检测和评估,为信息安全等级保护提供科学依据。
最后,信息安全等级保护测评需要建立完善的管理机制和监督体系。
在信息系统的建设和运行过程中,需要建立健全的信息安全管理制度,明确各方责任和权限,加强对信息系统的安全监控和管理。
同时,还需要建立信息安全等级保护测评的监督机制,定期对信息系统进行安全等级测评和认证,及时发现和解决安全问题,确保信息系统的安全运行。
总之,信息安全等级保护测评是保障信息系统安全的重要环节,需要全面梳理安全要求,综合考虑多方面因素,采用科学的方法和工具,建立完善的管理机制和监督体系。
国家信息安全测评信息安全服务资质申请指南.doc
国家信息安全测评信息安全服务资质申请指南(安全开发类二级)©版权2017—中国信息安全测评中心2017年10月一、认定依据4二、级别划分4三、二级资质要求53.1 基本资格要求53.2 基本能力要求53.3质量管理能力要求 63.4安全开发过程能力要求 6四、资质认定74.1认定流程图74.2申请阶段 84.3资格审查阶段 84.4能力测评阶段 84.4.1静态评估84.4.2现场审核94.4.3综合评定94.4.4资质审定94.5证书发放阶段 9五、监督、维持和升级10六、处置10七、争议、投诉与申诉10八、获证组织档案11九、费用及周期11十、联系方式12中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评;2.对国内信息系统和工程进行安全性评估;3.对提供信息系统安全服务的组织和单位进行评估;4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
一、认定依据信息安全服务(安全开发类)资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家信息安全测评信息安全服务资质申请指南(安全开发类二级)©版权2017—中国信息安全测评中心2017年10月一、认定依据4二、级别划分4三、二级资质要求53.1 基本资格要求53.2 基本能力要求53.3质量管理能力要求 63.4安全开发过程能力要求 6四、资质认定74.1认定流程图74.2申请阶段 84.3资格审查阶段 84.4能力测评阶段 84.4.1静态评估84.4.2现场审核94.4.3综合评定94.4.4资质审定94.5证书发放阶段 9五、监督、维持和升级10六、处置10七、争议、投诉与申诉10八、获证组织档案11九、费用及周期11十、联系方式12中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评;2.对国内信息系统和工程进行安全性评估;3.对提供信息系统安全服务的组织和单位进行评估;4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
一、认定依据信息安全服务(安全开发类)资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分信息安全服务(安全开发类)资质认定是对产品安全开发服务提供者的综合实力的客观评价和确认,信息安全服务(安全开发类)资质级别反映了产品安全开发服务提供者从事产品安全开发保障能力的成熟程度。
资质级别划分的主要依据包括:基本资格、基本能力要求、质量管理能力要求、安全开发过程能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级二级:计划跟踪级三级:充分定义级四级:量化控制级五级:持续改进级三、二级资质要求信息安全服务资质(安全开发类二级)为计划跟踪级,要求满足基本资格的产品安全开发服务组织通过建立有效的质量管理体系,使安全开发能力方面实施的过程规范被定义、标准化和文档化,安全开发过程时能普遍按照规范执行,通过跟踪发现开发过程中的重大偏离并采取纠正措施,从而使组织的安全开发能力达到部分可重复的水平。
申请信息安全服务(安全开发类二级)资质的组织需要在基本资格、基本能力、质量管理能力和安全开发过程能力等几个方面符合《信息安全服务资质具体要求(安全开发类二级)》的规定。
3.1 基本资格要求基本资格要求是评定信息安全服务资质的起评条件。
申请信息安全服务(安全开发类二级)资质的组织必须:1.是具有独立法人地位的实体;2.获得相关主管部门的批准;3.遵守国家现行法律法规;4.已获信息安全服务(安全开发类一级)资质,且资质证书在有效期内;5.达到其他补充要求。
3.2 基本能力要求基本能力的要求包括:技术能力要求,资源配置要求(包括人员构成与素质要求、设备、设施与环境要求),规模与资产要求和业绩要求。
申请信息安全服务(安全开发类二级)资质的组织应该:1.从事信息安全服务行业3年以上;2.注册资本应在100万元以上,资产总额在200万元以上;3.近3年的财务状况良好;4.从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定,拥有专职的“注册信息安全专业人员(CISP)”数量不少于从事安全开发专业技术人员的10%,但不得少于4人,其中CISD人员不少于2人,或专职的“注册软件安全专业人员(CWASP CSSP)”不少6人。
若同时拥有专职的“注册信息安全专业人员(CISD)”和专职的“注册软件安全专业人员(CWASP CSSP)”,则按3名CWASP CSSP等同于1名CISD的配置方式计算。
5.实践过完整的安全开发过程;6.近3年完成信息安全产品开发服务工程项目总值应在200万元以上。
3.3质量管理能力要求申请信息安全服务(安全开发类二级)资质的组织,在质量管理方面应该:0.建立合理的组织架构来满足产品安全开发服务的实施和管理,产品安全开发服务技术部门相对独立;1.建立合理的管理架构来满足产品安全开发服务的管理,建立有效的技术管理、质量管理和组织管理机制;2.建立有效的质量管理体系,至少满足支持产品安全开发技术能力达到计划跟踪级所需的相关管理能力要求。
3.4安全开发过程能力要求安全开发过程能力方面的要求是产品安全开发服务资质的核心要求。
申请信息安全服务(安全开发类二级)资质的组织应该:1.在按照一级所要求的各个过程域最佳实践的基础上将实践上升为理论,形成规范指导安全开发过程有计划、规范化地实施;2.验证安全开发实施过程与规范的一致性;3.通过对计划实施过程的跟踪,发现实施过程与计划产生重大偏离时能采取纠正措施。
四、资质认定4.1认定流程图4.2申请阶段申请组织应首先到CNITSEC网站(xxx )查看并下载《信息安全服务资质申请指南(安全开发类二级)》和《信息安全服务资质申请书(安全开发类二级)》,认真阅读上述文档,了解资质认定的流程及相关情况,确定本组织满足二级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质(安全开发类二级)后,根据《信息安全服务资质申请书(安全开发类二级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。
在向CNITSEC 递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。
如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估静态评估是对申请组织资料进行符合性审查,是对申请组织的安全开发服务能力做出基本判断,初步确定申请组织的安全开发能力水平状况,为现场审核做准备。
如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核现场审核是对申请组织从事安全开发的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、安全开发能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。
申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。
逾期未整改的,视作整改不符合。
4.4.4资质审定根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的产品安全开发服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全开发过程能力。
CNITSEC将通过申诉系统、现场见证以及对产品安全开发服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。
CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。
CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合产品安全开发服务能力二级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(xxx)下载并填写《信息安全服务资质变更申请书》,并提出资质转移申请。
获证组织获证后,可根据自身能力的提升情况,向CNITSEC申请三级资质。
六、处置获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。
CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。
CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案CNITSEC将对每个获证组织建立专项档案,所有资料将保存六年。
九、费用及周期信息安全服务资质认定收费划分为如下四个部分:(1)申请费:2000元(2)测评费:3000元/人日(3)审定与注册费(含证书费):3000元(4)年金(含标志使用费):5000元/年测评费将根据测评过程的工作日进行具体核算。
对于中小型规模的组织,首次申请测评过程工作日至少为静态评估2人日、现场审核4人2日和综合评估2人日;证书维持测评过程工作日至少为静态评估2人日、现场审核4人1日和综合评估2人日。