等级保护测评项目-系统资产表

格式：xlsx
大小：13.33 KB
文档页数：2

下载文档原格式

等级保护测评表单(三级应用系统_安全管理)

本文由ｂｏｏｋｋｉｄ贡献ｘｌｓ１。

信息系统安全等级保护基本要求ａ）　应制定信息安全工作的总体方针和安全策略，　说明机构安全工作的总体目标、范围、原则和安全框　架等；　ｂ）　应对安全管理活动中的各类管理内容建立安全　管理制度；　ｃ）　应对要求管理人员或操作人员执行的日常管理　操作建立操作规程；　ｄ）　应形成由安全策略、管理制度、操作规程等构　成的全面的信息安全管理制度体系。

　ａ）　应指定或授权专门的部门或人员负责安全管理　制度的制定；　ｂ）　安全管理制度应具有统一的格式，并进行版本　控制；　ｃ）　应组织相关人员对制定的安全管理制度进行论　证和审定；　ｄ）　安全管理制度应通过正式、有效的方式发布；　ｅ）　安全管理制度应注明发布范围，并对收发文进　行登记。

　ａ）　信息安全领导小组应负责定期组织相关部门和　相关人员对安全管理制度体系的合理性和适用性进行　审定；　ｂ）　应定期或不定期对安全管理制度进行检查和审　定，对存在不足或需要改进的安全管理制度进行修订　。

　ａ）　应设立信息安全管理工作的职能部门，设立安　全主管、安全管理各个方面的负责人岗位，并定义各　负责人的职责；　ｂ）　应设立系统管理员、网络管理员、安全管理员　等岗位，并定义各个工作岗位的职责；　ｃ）　应成立指导和管理信息安全工作的委员会或领　导小组，其最高领导由单位主管领导委任或授权；　ｄ）　应制定文件明确安全管理机构各个部门和岗位　的职责、分工和技能要求。

　ａ）　应配备一定数量的系统管理员、网络管理员、　安全管理员等；　ｂ）　应配备专职安全管理员，不可兼任；　ｃ）　关键事务岗位应配备多人共同管理。

　ａ）　应根据各个部门和岗位的职责明确授权审批事　项、审批部门和批准人等；　ｂ）　应针对系统变更、重要操作、物理访问和系统　接入等事项建立审批程序，按照审批程序执行审批过　程，对重要活动建立逐级审批制度；　ｃ）　应定期审查审批事项，及时更新需授权和审批　的项目、审批部门和审批人等信息；　ｄ）　应记录审批过程并保存审批文档。

等级保护测评项目测评方案_2级和3级标准

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标（2级） (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通，记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录：等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

2015最新标准-第二级至第四级信息系统测评项权重赋值表

第二级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第二级（S2A2G2）信息系统安全等级保护基本要求对应的测评项权重。

第三级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第三级（S3A3G3）信息系统安全等级保护基本要求对应的测评项权重，其他等级信息系统测评项权重赋值表另行发布。

第四级信息系统测评项权重赋值表
（此表可不提供被测评单位）
下表给出第四级（S4A4G4）信息系统安全等级保护基本要求对应的测评项权重。

等级保护项目实施工作进度计划表

项目内容
工作说明
参与人员
主机加固报告
主机检查加固
主机漏洞扫
根据系统内windows主机安全检查情况编写加固报对cisco路由器、汇聚层和接入层的H3C交换机、服务器区WEB防火墙进行
安全策略的检查对主机进行安全漏洞扫描
10月1日周一
10月2日周二
10月3日 10月4日 10月5日
周三
周一
周二
周三
周四
周五
周一
周二
周三
周四
11月5日 11月6日 11月7日 11月8日 11月9日 11月12日 11月13日 11月14日 11月15日
周一
周二
周三
周四
周五
周一
周二
周三
周四
9月21日 9月24日 9月25日 9月26日 9月27日 9月28日 9月29日
周五
周一
周二
周三
周四
周五
周六
10月19日 10月22日 10月23日 10月24日 10月25日 10月26日 10月29日 10月30日 10月31日
项目内容
工作说明
参与人员
项目会议
讨论项目合同、项目方案
用户、监理、运维商、
现场调研
系统环境调研、资产分类
用户、、运维商
主机检查/加固
对测评系统内主机服务器进行安全检查和加固
9月3日周一
9月4日周二
9月5日周三
9月6日周四
9月7日周五
测评系统更改/ 防火墙安全策
略检查
对服务器区两台防火墙做安全策略检查
周五
周一周二周三周四周五周一
周二

信息安全等级保护2.0测评大全

控制点安全要求要求解读a)应指定专门的部门或人是负责机房安全、对机房的出入进行管理，定期对机房供配电、空调、温湿度控制，消防等设施进行维护管理机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人，因此要确保机房的运行环境良好、安全，应对机房环境进行严格管理和控制b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定为保证系统有个良好安会的运行环境，应针对机房建立管理规定或要求c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质等加强内部办公环境的管理是控制网络安全风险的措施之一，为保证内部办公环境的独立性、敏感性，应降低外部人员无意或有意访问内部区域的可能性，同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容等级保护对象资产种类较多，如保护对象的资产管理比较混乱，容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急b)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统件的地位，作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中选行明确，且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出c）应对信息分类与标识方法作出规定，并对信息的使用，传输和存储等进行规范化管理信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的整理分类(一般可分为:敏感、内部公开、对外公开等不同类别），不同类别的信息在使用、传输和存储等方面管理要求也应不同a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期查点介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为存储介质提供安全的存放环境并进行妥善的管控b)应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归等进行登记记录需系统存在离线的存储备份介质应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，应选择可靠的传送人员，并对打包交付过程签字确认等a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理对设备进行有效的维护管理，在一定程度上可降低系统发生安全问题的概率，应明确设备管理的责任部门或人员环境管理资产管理介质管理b)应建立配套设施、软硬件维护方面的管理制度。

等保四级-安全管理-系统运维管理

3.应根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价值选择相应的管理措施；
4.应规定信息分类与标识的原则和方法，并对信息的使用、存储和传输作出规定。
5.应根据信息分类与标识的原则和方法，在信息的存储、传输等过程中对信息进行标识
测试记录：
1.访谈安全主管，询问是否指定资产管理的责任人员或部门？
7.应在安全管理机构统一安全策略下对服务器进行系统配置和服务设定，并实施配置管理。
测试记录：
1.是否对各类设施、设备指定专人或专门部门进行定期维护？
否□
是□〇由何部门/何人维护？
〇维护周期多长？
2.是否对设备选用的各个环节（如选型、采购、发放等）进行审批控制？
否□
是□〇是否对设备带离机构进行审批控制？
否□是□
是否具有介质销毁过程记录?
否□是□
7.是否对介质进行了分类?
否□
是□〇是否具有不同标识？
否□是□
8.检查介质本地存放地的实际环境条件是否是安全的：
否□是□
异地存放地的环境要求和管理要求是否与本地相同：
否□是□
是否有专人对存放地进行管理？
否□是□
测试结果：□符合□部分符合□不符合
备注：
测试记录1-8项全部符合即视为符合
测试记录：
1.介质的存放环境是否有保护措施，防止其被盗、被毁、被未授权修改以及信息的非法泄漏？
否□
是□〇是否有专人管理？
否□是□
2.是否对介质的使用管理要求制度化和文档化？
否□
是□〇是否根据介质的目录清单对介质的使用现状进行定期检查？
否□是□
〇是否定期对其完整性（数据是否损坏或丢失）和可用性（介质是否受到物理破坏）进行检查？

二级安全等级保护测评及风险评估内容

二级安全等级保护测评及风险评估内容
二级安全等级保护测评和风险评估是评估信息系统或网络安全的安全性和可靠性的过程。

它主要包括以下内容：1. 风险评估：通过识别和评估信息系统或网络中潜在的威胁和漏洞，确定系统或网络的安全风险等级。

风险评估一般包括威胁辨识、漏洞扫描、风险估算和风险排名等环节。

2. 资产评估：对信息系统或网络中的各种资产进行评估，包括硬件设备、软件应用、数据库、用户权限等。

通过评估资产的价值和重要性，确定资产的保护措施和优先级。

3. 安全控制评估：评估信息系统或网络中已有的安全控制措施的有效性和合规性。

包括评估密码策略、访问控制、数据加密、安全日志、防火墙等安全控制措施的部署情况和实际应用效果。

4. 安全策略和流程评估：评估信息系统或网络中的安全策略、规程和操作流程的合理性和有效性。

包括评估密码管理流程、网络接入控制策略、安全事件处理流程等。

5. 物理安全评估：评估信息系统或网络中物理环境的安全性，包括机房的物理访问控制、安全设备的部署和防护措施等。

6. 威胁和漏洞评估：评估信息系统或网络中存在的威胁和漏洞，包括网络扫描、漏洞评估、安全漏洞修补等。

7. 安全事件响应评估：评估信息系统或网络中的安全事件响应机制和能力，包括评估安全事件检测、响应流程、恢复和备份策略等。

通过以上评估内容的全面评估，可以帮助确定信息系统或网络的安全等级，并提供保护措施和优先级，以应对安全风险。

三级等级保护测评内容

三级等级保护测评内容
三级等级保护测评内容是指对特定主体的安全水平进行评估和分类，以保护重
要信息和资源的安全性。

在这个测评过程中，需要考虑以下几个关键要点。

首先，测评的重点是评估特定主体的安全等级。

这包括了对主体的信息系统、
数据和业务流程等方面的安全性进行检查和评估。

针对不同的等级，会有不同的安全要求和措施来保护信息资产的机密性、完整性和可用性。

其次，测评内容还涉及到系统安全等级的认定。

通过对系统的功能、技术实施、安全策略和措施等进行评估，可以判断出该系统所属的等级。

这个等级的认定对于制定相应的安全保护计划和防护措施至关重要。

另外，测评内容还包括审核信息系统的安全政策和制度。

这些政策和制度是保
障信息安全的基础，包括了对人员的安全培训、安全管理制度、应急预案等方面的要求。

通过对这些要求的审核和评估，可以确定信息系统是否符合相应的安全等级要求。

最后，测评内容还需要根据测评结果提出相应的建议和改进措施。

这些建议和
改进措施可以针对已有的安全问题，提出相应的解决方案和预防措施，以提高信息系统的安全等级。

综上所述，三级等级保护测评内容主要包括对特定主体的安全等级评估、系统
安全等级认定、安全政策和制度审核以及建议和改进措施等方面的内容。

通过这些评估和检查，可以确保信息系统和资源的安全性，保护关键信息资产。

等保2.0测评表-安全建设管理

2526Fra bibliotek系统交付 27
b) 应对负责运行维护的技术人员进行相应的技能培训；
28
c) 应确保提供建设过程中的文档和指导用户进行运行维护的文档。 a) 应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；等级测评 b) 应在发生重大变更或级别发生变化时进行等级测评； c) 应确保测评机构的选择符合国家有关规定。 a) 应确保服务供应商的选择符合国家的有关规定；
10
c) 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。
11
为避免开发过程中对系统造成影响，要保证 a) 应确保开发环境与实际运开发环境与实际运行环境物理分开。而且，行环境物理分开，测试数据和系统开发文档的保管、使用以及后续程序资测试结果受到控制；源库的维护都应严格管理，加以限制。 b) 应制定软件开发管理制为保证开发过程的安全性，要制定开发方面度，明确说明开发过程的控制的管理制度，规定开发过程的控制方法和人方法和人员行为准则；员行为准则。 c) 应制定代码编写安全规范，要求开发人员参照规范编写代码；自行软件开发安全建设管理
查看是否存在软件设计的相关文档和使用指南，对文档的使用进行控制。查看是否存在软件测试文档。应访谈系统建设负责人，是否对程序资源库的修改、更新、发布进行授权和批准，授权部门是何部门，批准人是何人。应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录，查看是否有批准人的签字。应访谈系统建设负责人，询问是否要求开发人员不能做测试人员（即二者分离），开发人员有哪些人，是否是专职人员。应访谈系统建设负责人，询问对开发人员的开发活动采取哪些控制措施，是否有专人监控、审查。应检查是否具有对开发人员的审查记录，查看审查记录是否记录审查结果等。应访谈系统建设负责人，询问软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品。应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南。应访谈系统建设负责人，询问是否要求开发单位提供源代码，是否根据源代码对软件中可能存在的后门进行审查。应检查软件源代码审查记录，查看是否包括对可能存在后门的审查结果。应访谈系统建设负责人，询问是否有专门部门或人员负责工程实施管理工作，由何部门/何人负责。应检查工程实施方案，查看其是否包括工程时间限制、进度控制和质量控制等方面内容。应检查是否具有按照实施方案形成的阶段性工程报告等文档。询问安全管理员项目实施时是否有监理全程控制。

等级保护测评报告模板

共享知识分享快乐信息系统安全等级测评报告模板项目名称：委托单位：测评单位：公安部信息安全等级保护评估中心年月日共享知识分享快乐报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (10)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (18)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

门户网站
序号设备类型设备名称
1
WEB服务器
2
数据库服务器
3 服务器视频服务器
4
备份服务器
5
出口防火墙
6 防火墙服务器区防火墙
7
web防火墙
8 9
交换机
服务器区汇聚交换机
服务器区接入交换机
10 路由器数据中心路由器
11 流控设备数据中心流控
基础平台
序号设备类型
1 服务器 2 服务器 3 服务器
设备型号
操作系统
操作系统操作系统操作系统
IP地址
应用名称
应用软件登陆账号/密码
数量
IP地址 IP地址
应用名称
应用软件登陆账号/密码
数量
应用名称
应用软件登陆账号/密码
1 备注
IP地址
应用名称
应用软件登陆账号/密码
备注
设备名称
web服务器 DB服务器即时通讯
网站系统
序号设备类型 1 服务器 2 交换机
设备名称
WEB服务器 cisco交换机
设备型号
设备型号设备型号
序号设备类型
1 服务器 2 服务器 3 交换机 4 路由器 5 防火墙
设备名称
web服务器 DB服务器 cisco交换机 H3C路由器网神防火墙