下载文档原格式
信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全2集成等业务;(十)应具备的其他条件。
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
信息平安等级爱护测评机构管理方法第一条为加强信息平安等级爱护测评机构管理,规范等级测评行为,提高测评技术实力和服务水平,依据《信息平安等级爱护管理方法》等有关规定,制定本方法。
其次条等级测评工作,是指等级测评机构依据国家信息平安等级爱护制度规定,依据有关管理规范和技术标准,对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动。
等级测评机构,是指依据国家信息平安等级爱护制度规定,具备本方法规定的基本条件,经审核举荐,从事等级测评等信息平安服务的机构。
第三条等级测评机构举荐管理工作遵循统筹规划、合理布局、平安规范的方针,依据“谁举荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以供应等级测评服务为主,可依据信息系统运营运用单位平安保障需求,供应信息平安询问、应急保障、平安运维、平安监理等服务。
第五条国家信息平安等级爱护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息平安职能部门和重点行业主管部门申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
省级信息平安等级爱护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统平安相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统平安相关工作阅历的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,运用的技术装备、设施应满意测评工作需求;(七)具有完备的平安保密管理、项目管理、质量管理、人员管理和培训教化等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家平安、社会秩序、公共利益不构成威逼;(九)不涉及信息平安产品开发、销售或信息系统平安集成等业务;(十)应具备的其他条件。
网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。
国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。
省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。
第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15人,专职渗透测试人员不少于2人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。
信息安全等级保护测评机构管理规定Company number【1089WT-1898YT-1W8CB-9UUT-92108】信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;(十)应具备的其他条件。
一、总则第一条为确保等保测评工作的规范、高效运行,保障测评质量和信息安全,根据国家有关法律法规和《信息安全等级保护条例》,结合本单位的实际情况,特制定本制度。
第二条本制度适用于等保测评单位的内部管理,包括测评项目、人员管理、设备管理、信息安全、质量控制等方面。
二、测评项目管理第三条测评项目应当符合国家相关法律法规和政策要求,遵循公平、公正、公开的原则。
第四条测评项目实施前,应进行充分的市场调研和需求分析,明确测评目标、范围、方法、时间节点和预期成果。
第五条测评项目实施过程中,应严格按照测评计划和标准进行,确保测评结果的准确性和有效性。
第六条测评项目完成后,应进行总结评估,形成正式的测评报告,并及时提交给客户。
三、人员管理第七条等保测评单位应设立专门的测评团队,团队成员应具备以下条件:(一)具有信息安全相关专业的学历背景或工作经验;(二)熟悉国家有关信息安全等级保护的相关政策和标准;(三)具备良好的职业道德和保密意识。
第八条测评团队成员应接受定期培训和考核,确保其专业知识和技能水平。
第九条测评团队成员应签订保密协议,对测评过程中获取的信息负有保密义务。
四、设备管理第十条等保测评单位应配备必要的测评设备,包括但不限于:(一)安全测试工具;(二)网络模拟设备;(三)密码学分析设备;(四)其他辅助设备。
第十一条测评设备应定期进行维护和升级,确保其性能稳定可靠。
第十二条测评设备的使用和管理应遵循国家相关法律法规和行业标准。
五、信息安全第十三条等保测评单位应建立健全信息安全管理制度,包括但不限于:(一)网络安全管理制度;(二)数据安全管理制度;(三)物理安全管理制度;(四)保密管理制度。
第十四条测评过程中,应严格遵守信息安全规定,确保测评数据的安全性和完整性。
第十五条测评单位应定期对信息安全制度进行审查和改进,提高信息安全防护能力。
六、质量控制第十六条等保测评单位应建立完善的质量控制体系,确保测评工作的质量和效果。
一、总则为加强等级测评机构安全管理,保障测评工作的顺利进行,确保测评数据的安全性和准确性,根据《中华人民共和国网络安全法》、《网络安全等级保护条例》等法律法规,结合本机构实际情况,制定本制度。
二、安全管理制度1. 机构内部安全管理(1)建立健全机构内部安全管理制度,明确各部门、各岗位的安全职责,确保安全管理工作落实到位。
(2)加强员工安全意识教育,定期组织安全培训和演练,提高员工安全防护能力。
(3)对机构内部网络进行安全隔离,严格控制访问权限,防止外部攻击和内部泄露。
(4)加强物理安全管理,确保办公场所、设备设施的安全。
2. 测评数据安全管理(1)对测评数据进行严格保密,确保测评数据不被非法获取、泄露、篡改。
(2)建立测评数据备份制度,定期对测评数据进行备份,防止数据丢失。
(3)对测评数据进行分类管理,根据数据敏感性确定数据访问权限,防止数据滥用。
(4)加强测评数据传输过程中的安全防护,确保数据传输安全。
3. 测评工具和设备安全管理(1)对测评工具和设备进行定期检查和维护,确保其正常运行和安全使用。
(2)对测评工具和设备进行加密保护,防止工具和设备被非法复制、篡改。
(3)对测评工具和设备的使用进行规范,防止滥用和误操作。
4. 等级测评项目管理(1)建立健全等级测评项目管理制度,明确项目流程、职责分工和考核标准。
(2)对项目进行全程跟踪管理,确保项目进度和质量。
(3)对项目文档进行规范管理,确保项目文档的完整性和安全性。
5. 应急处置管理(1)建立健全应急处置预案,明确应急处置流程和责任。
(2)定期开展应急处置演练,提高应急处置能力。
(3)对突发事件进行及时、有效的处置,确保测评工作正常进行。
三、监督检查1. 机构内部定期开展安全检查,发现问题及时整改。
2. 接受上级主管部门和客户的安全检查,积极配合并提供相关资料。
3. 对安全管理制度执行情况进行监督,确保制度落实到位。
四、附则1. 本制度自发布之日起施行。
等级保护测评项目质量监督管理制度为确保等级保护测评项目的质量和信义,及时发现和纠正问题,提高测评结果的可靠性和公正性,特制定本测评项目质量监督管理制度。
一、测评项目质量监督管理的目标及原则1.目标:确保测评项目的质量和信义,提高测评结果的可靠性和公正性,保障测评用户的权益。
2.原则:(1)科学性原则:测评项目的设计、实施和评价必须遵循科学、可行、可靠的原则,数据分析和结论推断必须有科学依据。
(2)公正性原则:测评项目应公平、公正、透明进行,不偏袒任何一方,尽量避免影响测评结果的外界干扰和偏见。
(3)客观性原则:测评过程必须客观、中立、公开,评价结果应以客观指标为依据,不带有主观偏见。
(4)时效性原则:测评项目监督管理应及时进行,及时发现问题并采取相应措施加以解决,确保测评项目的质量。
(5)风险管理原则:及时评估和管理可能对测评项目质量产生不利影响的风险,采取相应的预防和纠正措施。
二、测评项目质量监督管理的内容1.测评项目设计和准备阶段的质量监督管理(1)设立测评项目工作组,负责测评项目的设计与准备工作。
(2)明确测评项目的目标、内容和评价指标。
(3)对测评工具和测评程序进行评估,确保其科学性和可靠性。
(4)进行试点测试,及时发现问题并进行改进和修正。
(5)编制测评项目相关说明文件和操作规范,确保测评过程的规范性和透明度。
2.测评项目实施阶段的质量监督管理(1)建立测评项目的实施群体,明确各参与方的职责和权利。
(2)组织培训和指导,提高参与人员的专业素质和操作技能。
(3)监督和检查测评操作的过程和结果,确保操作的规范性和可靠性。
(4)定期对测评结果进行质量评估,确保结果的准确性和可信度。
(5)收集和记录测评过程中的问题和意见,并及时进行处理和回馈。
3.测评项目结果和效果的质量监督管理(1)建立测评结果的统计和分析体系,确保结果的可靠性和科学性。
(2)对测评结果进行解读和推断,及时发现可能的问题和偏差。
等级保护测评项目质量监督管理制度一、制度目的为了确保等级保护测评项目质量,保证测评结果真实可靠,特制定本管理制度。
二、适用范围本制度适用于等级保护测评项目的实施单位。
三、职责分工项目实施单位1.负责制定测评方案和具体实施计划,明确测评工作目标和时间节点。
2.负责组织测评人员参加有关培训,并对其进行考核,确保测评人员具备必要的知识和技能。
3.负责组织实施测评工作,按照测评方案和实施计划完成测评任务。
4.负责对测评结果进行审核,确保测评结果真实可靠,符合相关标准。
5.负责编制测评报告,并向相关部门提出建议和意见。
测评人员1.参加有关培训,熟练掌握测评技能和知识。
2.严格按照测评方案和实施计划进行测评工作。
3.对测评结果进行审核和验证,保证测评结果真实可靠。
监督部门1.负责对项目实施单位的测评工作进行监督和管理。
2.对测评工作过程中存在的问题及时进行整改和处理。
3.对测评结果进行审核和核实,确保测评结果真实可靠。
四、测评项目质量监督管理要点测评方案和实施计划1.测评方案应根据测评对象的特点和要求,明确测评标准和工作流程,确保测评结果具有参考价值。
2.实施计划应包括测评人员的选派、调配、培训等具体细节,确保测评工作按时、高质量完成。
测评人员的考核测评人员的考核应确保其具备必要的知识和技能,以保证测评结果真实可靠。
测评结果审核应对测评结果进行审核和核实,对于不符合标准的测评结果及时进行整改或重测,确保测评结果真实可靠。
测评报告测评报告应内容全面、准确、具有参考价值,对测评结果进行客观、准确的描述和分析,并提供合理、可行的建议和措施。
五、制度执行制度执行的具体过程需要由相关部门的领导和管理人员共同监督和管理,确保制度落地生根,达到预期效果。
六、制度的修订和完善制度应根据实际情况进行修订和完善,以适应新的需求和挑战。
修订和完善应由有关部门经咨询、审批后执行。
七、制定日期和执行日期本制度自制定之日起实施。
八、附则本制度解释权归 xxxx单位所有。
安全等级保护测评项目中的风险管理胡皓(联通系统集成有限公司,北京100032)摘要:信息系统安全等级测评是等保工作的重要环节,等保测评工作的成果直接影响到等级保护制度的落实及开展。
目前等保测评机构在测评项目的开展过程中,会遇到各种各样的因素影响测评项目的实施。
为了有效地开展等级保护测评工作,需要在项目实施过程中对其所可能遇到的风险进行管理。
本文主要运用风险管理方法,对测评活动中的主要风险进行分析,通过分析在不同阶段面临的风险值,来评价各测评项目阶段主要需要应对的风险内容,并在此基础上面提出了相应的应对措施。
关键词:等级保护;测评;风险管理;The risk management of Information security level protection assessmentHu Hao(China Unicom System Integration Limited Corporation, Beijing 100032)Abstract:Assessment is an important part of Information system security level protection, the result directly affect the level protection system and developing the implementation. At present the evaluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be managed. This paper mainly with the application of risk management methods of assessment activities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures.Key words:Information security level protection ,Assessment, Risk management0引言信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
