下载文档原格式
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T20269-2006、GB/T20270-2006 、GB/T20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
信息系统安全等级保护基本要求1范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
等保测评单项收费标准一、引言。
等保测评是指信息系统安全等级保护测评,是国家对信息系统安全等级保护的一种管理手段。
为了规范等保测评工作,保障信息系统的安全性,制定了一系列的收费标准,以确保测评工作的质量和公平性。
二、等保测评单项收费标准。
1. 等保测评范围。
等保测评的范围包括网络安全等级保护测评、信息系统安全等级保护测评、信息系统安全等级保护备案等内容。
根据不同的等保测评范围,收费标准也会有所不同。
2. 收费标准。
(1)网络安全等级保护测评。
网络安全等级保护测评的收费标准主要包括测评申请费、测评费用、测评报告费等。
其中,测评费用根据被测评系统的规模和复杂程度而定,一般以每天/每人工作日为单位计费。
(2)信息系统安全等级保护测评。
信息系统安全等级保护测评的收费标准主要包括测评申请费、测评费用、测评报告费等。
测评费用的计费方式与网络安全等级保护测评相似,根据系统规模和复杂程度而定。
(3)信息系统安全等级保护备案。
信息系统安全等级保护备案的收费标准主要包括备案申请费、备案费用等。
备案费用一般按照系统规模和备案工作量计费。
3. 收费标准的制定原则。
等保测评单项收费标准的制定原则主要包括公平、合理、透明。
收费标准应当公开透明,不得存在任何隐性收费,确保测评工作的公平性和客观性。
4. 收费标准的执行。
等保测评单项收费标准的执行由相关主管部门负责监督,并建立相应的监督机制。
对于不符合收费标准的行为,将依法进行处罚。
5. 结语。
等保测评单项收费标准的制定和执行,对于规范测评工作、保障信息系统安全具有重要意义。
希望各相关单位能够严格执行收费标准,确保测评工作的质量和公平性,为信息系统安全保驾护航。
信息系统安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。
在中国,信息安全等级保护广义上涉及该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
信息系统安全等级保护分为多个级别,不同级别对应不同的保护要求和安全等级。
一般来说,信息系统受到破坏后,会对社会秩序和公共利益造成损害,或者对国家安全造成损害。
根据损害程度的不同,信息系统安全等级保护分为五级,其中第一级为指导保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
对于不同级别的信息系统,其安全保护要求也不同。
例如,对于第二级(指导保护级)信息系统,一般适用于县级其些单位中的重要信息系统以及地市级以上国家机关、企事业单位内部一般的信息系统。
对于第三级(监督保护级)信息系统,一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
对于第四级(强制保护级)和第五级(专控保护级)信息系统,其安全保护要求更加严格,一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
总之,信息系统安全等级保护是保障信息安全的重要措施之一,通过对信息和信息载体的分级别保护,可以有效地提高信息系统的安全性,防止信息泄露和被攻击。
信息系统安全等级保护基本要求1 三级基本要求 (5)1.1 技术要求 (5)1.1.1 物理安全 (5)1.1.1.1 物理位置的选择(G3) (5)1.1.1.2 物理访问控制(G3) (5)1.1.1.3 防盗窃和防破坏(G3) (5)1.1.1.4 防雷击(G3) (6)1.1.1.5 防火(G3) (6)1.1.1.6 防水和防潮(G3) (6)1.1.1.7 防静电(G3) (6)1.1.1.8 温湿度控制(G3) (7)1.1.1.9 电力供应(A3) (7)1.1.1.10 电磁防护(S3) (7)1.1.2 网络安全 (7)1.1.2.1 结构安全(G3) (7)1.1.2.2 访问控制(G3) (8)1.1.2.3 安全审计(G3) (8)1.1.2.4 边界完整性检查(S3) (9)1.1.2.5 入侵防范(G3) (9)1.1.2.6 恶意代码防范(G3) (9)1.1.2.7 网络设备防护(G3) (9)1.1.3.1 身份鉴别(S3) (10)1.1.3.2 访问控制(S3) (11)1.1.3.3 安全审计(G3) (11)1.1.3.4 剩余信息保护(S3) (11)1.1.3.5 入侵防范(G3) (12)1.1.3.6 恶意代码防范(G3) (12)1.1.3.7 资源控制(A3) (12)1.1.4 应用安全 (13)1.1.4.1 身份鉴别(S3) (13)1.1.4.2 访问控制(S3) (13)1.1.4.3 安全审计(G3) (14)1.1.4.4 剩余信息保护(S3) (14)1.1.4.5 通信完整性(S3) (14)1.1.4.6 通信保密性(S3) (14)1.1.4.7 抗抵赖(G3) (14)1.1.4.8 软件容错(A3) (15)1.1.4.9 资源控制(A3) (15)1.1.5 数据安全及备份恢复 (15)1.1.5.1 数据完整性(S3) (15)1.1.5.2 数据保密性(S3) (16)1.1.5.3 备份和恢复(A3) (16)1.2.1 安全管理制度 (16)1.2.1.1 管理制度(G3) (16)1.2.1.2 制定和发布(G3) (17)1.2.1.3 评审和修订(G3) (17)1.2.2 安全管理机构 (17)1.2.2.1 岗位设置(G3) (17)1.2.2.2 人员配备(G3) (18)1.2.2.3 授权和审批(G3) (18)1.2.2.4 沟通和合作(G3) (18)1.2.2.5 审核和检查(G3) (19)1.2.3 人员安全管理 (19)1.2.3.1 人员录用(G3) (19)1.2.3.2 人员离岗(G3) (20)1.2.3.3 人员考核(G3) (20)1.2.3.4 安全意识教育和培训(G3) (20)1.2.3.5 外部人员访问管理(G3) (20)1.2.4 系统建设管理 (21)1.2.4.1 系统定级(G3) (21)1.2.4.2 安全方案设计(G3) (21)1.2.4.3 产品采购和使用(G3) (22)1.2.4.4 自行软件开发(G3) (22)1.2.4.5 外包软件开发(G3) (22)1.2.4.6 工程实施(G3) (23)1.2.4.7 测试验收(G3) (23)1.2.4.8 系统交付(G3) (23)1.2.4.9 系统备案(G3) (24)1.2.4.10 等级测评(G3) (24)1.2.4.11 安全服务商选择(G3) (24)1.2.5 系统运维管理 (24)1.2.5.1 环境管理(G3) (25)1.2.5.2 资产管理(G3) (25)1.2.5.3 介质管理(G3) (25)1.2.5.4 设备管理(G3) (26)1.2.5.5 监控管理和安全管理中心(G3) (27)1.2.5.6 网络安全管理(G3) (27)1.2.5.7 系统安全管理(G3) (28)1.2.5.8 恶意代码防范管理(G3) (28)1.2.5.9 密码管理(G3) (29)1.2.5.10 变更管理(G3) (29)1.2.5.11 备份与恢复管理(G3) (29)1.2.5.12 安全事件处置(G3) (30)1.2.5.13 应急预案管理(G3) (30)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)(“第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)计算机信息系统安全保护等级划分准则(GB 17859-1999)(“第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级”)国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)关于信息安全等级保护工作的实施意见(公通字[2004]66号)信息安全等级保护管理办法(公通字[2007]43号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)中华人民共和国网络安全法(2017年6月1日发布)十大重要标准计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为:类、控制点和项。
信息系统安全等级保护测评服务内容及要求一、供应商资格:1.供应商应具备《政府采购法》第二十二条规定的条件;1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。
3.具有网络安全等级保护测评机构推荐证书。
4.具有中国合格评定国家认可委员会颁发的CNAS证书。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
二、项目服务内容及要求1.采购项目需求一览表:序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统(签约银行登录)二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。
按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。
2.2项目目标2.2.1等级保护测评服务。
根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。
等保服务内容及报价;一、信息安全等级保护服务流程及内容;信息安全等级保护服务分为定级备案咨询、安全建设规;1.定级备案咨询阶段:通过定级对象分析、定级要素;2.安全建设规划阶段:协助建设单位按照同步规划、;3.安全等级现状测评阶段:详实调研业务系统,了解;4.信息系统安全整改咨询阶段:依据脆弱性评估结果;5.信息安全等级测评阶段:实施等级测评,以满足国;等保等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。
4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。
在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。
在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1 定级备案咨询1.1 工作内容(1)系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
信息系统安全等级保护基本要求信息系统安全等级保护是指根据国家有关法律法规和标准规范,对信息系统进行等级划分,并按照不同等级的保护要求,采取相应的技术、管理和物理措施,确保信息系统的安全性、可靠性和稳定性。
信息系统安全等级保护基本要求是确保信息系统安全的基础,对于各类单位和组织来说都具有重要意义。
首先,信息系统安全等级保护基本要求包括对信息系统进行等级划分。
根据国家标准和相关规定,信息系统按照其所涉及的信息重要性、系统功能、系统规模和系统对外联络等因素,划分为不同的安全等级,一般包括四个等级,即一级、二级、三级和四级。
不同等级的信息系统,其安全保护要求和措施也各不相同。
其次,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本原则。
信息系统安全保护的基本原则包括全面性原则、合理性原则、有效性原则和持续性原则。
全面性原则是指信息系统安全保护措施必须覆盖信息系统的各个方面,包括技术、管理和物理层面;合理性原则是指信息系统安全保护措施必须符合实际情况和实际需求,不能盲目追求安全而忽视系统的正常运作;有效性原则是指信息系统安全保护措施必须能够有效地防范和抵御各类安全威胁和风险;持续性原则是指信息系统安全保护是一个持续的过程,必须不断地进行安全监测、评估和改进。
另外,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本措施。
信息系统安全保护的基本措施包括技术措施、管理措施和物理措施。
技术措施是指利用各种安全技术手段,保护信息系统的安全,包括加密技术、防火墙技术、入侵检测技术等;管理措施是指建立健全的安全管理制度和安全管理机构,加强对信息系统安全的管理和监督;物理措施是指采取各种物理手段,保护信息系统的物理环境安全,包括机房防护、门禁系统、视频监控等。
最后,信息系统安全等级保护基本要求还包括对信息系统安全保护的持续改进。
信息系统安全保护是一个动态的过程,随着信息技术的发展和安全威胁的变化,安全保护措施也需要不断地改进和完善。
