企業(yè)信息安全等級(jí)保護(hù)實(shí)施方案

1、企業(yè)信息安全等級(jí)保護(hù)實(shí)施方案等級(jí)保護(hù)基礎(chǔ)定級(jí)備案解讀等級(jí)測評(píng)解讀等級(jí)保護(hù)整改1234內(nèi)容目錄一、等級(jí)保護(hù)概念信息系統(tǒng)安全等級(jí)保護(hù)，是指對(duì)國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置的綜合性工作。信息系統(tǒng)安全等級(jí)保護(hù)制度是我國信息安全的基本國策，也是國家意志在信息安全保障方面的具體體現(xiàn),他是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國家信息安全的根本保障。二、為什么要實(shí)施等級(jí)保護(hù)制度1.信息安全形勢嚴(yán)峻敵對(duì)勢力的入侵、攻擊、破壞針對(duì)基礎(chǔ)信

2、息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重2. 是維護(hù)國家安全的需要基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施。信息安全是國家安全的重要組成部分。信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對(duì)抗、技術(shù)對(duì)抗。三、國家對(duì)等級(jí)保護(hù)制度的要求1.中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國務(wù)院147號(hào)令）：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定” 。2.國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng) 信息安全保障工作的意見（中辦發(fā)200327號(hào)）規(guī)定：要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信

3、息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。三、國家對(duì)等級(jí)保護(hù)制度的要求3.20062020年國家信息化發(fā)展戰(zhàn)略（中辦發(fā)200611號(hào)）：“建立和完善信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)?！?。四、實(shí)施等級(jí)保護(hù)制度的主要目的明確重點(diǎn)、突出重點(diǎn)、保護(hù)重點(diǎn)。有利于同步建設(shè)、協(xié)調(diào)發(fā)展。優(yōu)化信息安全資源的配置。明確信息安全責(zé)任。推動(dòng)信息安全產(chǎn)業(yè)發(fā)展。國家發(fā)展改革部門、財(cái)政部門、科技部門、公安機(jī)關(guān)對(duì)重要信息系統(tǒng)在政策上給予支持。五、相關(guān)部門的責(zé)任和義務(wù)公安機(jī)關(guān)：牽頭部門，監(jiān)督、檢查、指導(dǎo)信息安全等級(jí)保護(hù)工作。國家保

4、密部門：負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。并負(fù)責(zé)涉及國家秘密信息系統(tǒng)分級(jí)保護(hù)。國家密碼管理部門：負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。工業(yè)和信息化部門：負(fù)責(zé)等級(jí)保護(hù)工作中部門間的協(xié)調(diào)。五、相關(guān)部門的責(zé)任和義務(wù)職能部門：制定管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ，組織實(shí)施，開展監(jiān)督、檢查、指導(dǎo)。行業(yè)主管部門：督促、檢查、指導(dǎo)本行業(yè)、本部門開展等級(jí)保護(hù)工作。運(yùn)營使用單位：開展信息系統(tǒng)定級(jí)、備案、建設(shè)整改、等級(jí)測評(píng)、自查等工作，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求。安全服務(wù)機(jī)構(gòu)：開展技術(shù)支持、服務(wù)等工作，并接受監(jiān)管部門的監(jiān)督管理。六、等級(jí)保護(hù)工作的主要工作對(duì)信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)和監(jiān)管。五個(gè)規(guī)定

5、動(dòng)作：信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測評(píng)、監(jiān)督檢查。信息安全產(chǎn)品分等級(jí)使用管理。信息安全事件分等級(jí)響應(yīng)、處置。七、開展等級(jí)保護(hù)工作的基本要求各單位、各部門，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測評(píng)”的要求開展等級(jí)保護(hù)的定級(jí)、備案、整改、測評(píng)等工作。公安機(jī)關(guān)要及時(shí)開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測評(píng)等工作。對(duì)故意將信息系統(tǒng)安全級(jí)別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責(zé)任。七、等級(jí)保護(hù)政策體系八、等級(jí)保護(hù)標(biāo)準(zhǔn)體系九、信息安全保護(hù)等級(jí)的劃分與監(jiān)管等級(jí) 對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般

6、系統(tǒng)合法權(quán)益一般損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會(huì)秩序和公共利益一般損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全一般損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查十、小結(jié)等級(jí)保護(hù)基礎(chǔ)定級(jí)備案解讀等級(jí)測評(píng)解讀等級(jí)保護(hù)整改1234內(nèi)容目錄信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)) 信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安20071360 號(hào)）關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20082071號(hào)）關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安200786

7、1號(hào)）公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（公信安2008736號(hào)關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安2007861號(hào)）關(guān)于印發(fā)江蘇省開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的實(shí)施意見的通知（蘇公通2007187號(hào)）一、定級(jí)備案法規(guī)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)) 。第十五條 已運(yùn)營（運(yùn)行） 的第二級(jí)以上信息系統(tǒng)， 應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日 內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用 單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國

8、統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)， 應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。一、定級(jí)備案法規(guī)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)) 。第十七條 信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核， 對(duì)符合等級(jí)保護(hù)要求的， 應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正； 發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用

9、單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。一、定級(jí)備案法規(guī)項(xiàng)目建設(shè)單位向?qū)徟块T提出項(xiàng)目竣工驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交該項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)文檔。主要包括：涉及國家秘密的信息系統(tǒng)使用許可證和涉及國家秘密的信息系統(tǒng)檢測評(píng)估報(bào)告，非涉密信息系統(tǒng)安全保護(hù)等級(jí)備案證明，以及相應(yīng)的安全等級(jí)測評(píng)報(bào)告和信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告等。信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知一、定級(jí)備案法規(guī)備案主體受理備案機(jī)構(gòu)備案對(duì)象備案時(shí)間備案形式運(yùn)營、使用單位地市級(jí)公安網(wǎng)監(jiān)二級(jí)及以上30天紙質(zhì)+光盤一、定級(jí)備案法規(guī)確定定級(jí)備案對(duì)象確定系統(tǒng)安全保護(hù)等級(jí)編制定

10、級(jí)報(bào)告專家評(píng)審主管部門審批填寫備案表打印遞交備案公安機(jī)關(guān)審核發(fā)放備案證明二、定級(jí)備案流程三、系統(tǒng)定級(jí)的要素系統(tǒng)等級(jí)調(diào)整信息系統(tǒng)的決策者或上級(jí)主管部門可根據(jù)系統(tǒng)的特殊安全需求進(jìn)行等級(jí)調(diào)整，可以參考以下因素：*上級(jí)主管部門在政策和管理方面的特殊要求；*預(yù)測業(yè)務(wù)數(shù)據(jù)可能會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變；*隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，各種業(yè)務(wù)的取消或合并；*信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。四、確定系統(tǒng)等級(jí)工作流程五、系統(tǒng)等級(jí)調(diào)整信息系統(tǒng)的決策者或上級(jí)主管部門可根據(jù)系統(tǒng)的特殊安全需求進(jìn)行等級(jí)調(diào)整，可以參考以下因素：*上級(jí)主管部門在政策和管理方面的特殊要求；*預(yù)測業(yè)務(wù)數(shù)據(jù)可能

11、會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變；*隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，各種業(yè)務(wù)的取消或合并；*信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。六、人行指導(dǎo)意見-機(jī)構(gòu)總部定級(jí)建議中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見機(jī)構(gòu)類別y-1類Y- II類W1W2W1-1類W1-II類W2-I類國家開發(fā)銀行和政策性銀行33333國有商業(yè)銀行、全國性股份制商業(yè)銀行和中國郵政儲(chǔ)蓄銀行43333城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行和農(nóng)村信用社營業(yè)網(wǎng)點(diǎn)跨省（自治區(qū)、直轄市）33333營業(yè)網(wǎng)點(diǎn)限于省內(nèi)（自治區(qū)、直轄市）32222 y- 1:核心業(yè)務(wù)信息系統(tǒng)或綜合業(yè)務(wù)信息系統(tǒng) Y-

12、II:網(wǎng)上銀行系統(tǒng)、重要支撐系統(tǒng)、重要交易系統(tǒng)、重要管理系統(tǒng)及其他運(yùn)行關(guān)鍵業(yè)務(wù)或涉及客戶身份、資產(chǎn)、交易記錄等敏感信息的重要信息系統(tǒng)。 Y- III:部署有應(yīng)用服務(wù)器或者數(shù)據(jù)服務(wù)器的前置系統(tǒng)( Y- III類)六、人行指導(dǎo)意見-機(jī)構(gòu)總部定級(jí)建議機(jī)構(gòu)類別分支機(jī)構(gòu)級(jí)別Y- III類W1W2W1-III類W2-II類國家開發(fā)銀行和政策性銀行一級(jí)及以下222國有商業(yè)銀行、全國性股份制商業(yè)銀行和中國郵政儲(chǔ)蓄銀行一級(jí)及以下333城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行和農(nóng)村信用社二級(jí)及以下222二級(jí)及以下222備案表解讀備案表由四張表單構(gòu)成，表一為單位信息，每個(gè)填表單位填寫一張；表二為信息系統(tǒng)基本信息，表

13、三為信息系統(tǒng)定級(jí)信息，表二、表三每個(gè)信息系統(tǒng)填寫一張；表四為第三級(jí)以上信息系統(tǒng)需要同時(shí)提交的內(nèi)容，由每個(gè)第三級(jí)以上信息系統(tǒng)填寫一張，并在完成系統(tǒng)建設(shè)、整改、測評(píng)等工作，投入運(yùn)行后三十日內(nèi)向受理備案公安機(jī)關(guān)提交。本表一式二份，一份由備案單位保存，一份由受理備案公安機(jī)關(guān)存檔。備案表解讀單位隸屬關(guān)系代碼(GB/T12404-1997)中華人民共和國行政區(qū)劃代碼GBT22601995備案表解讀1/3備案表解讀備案表解讀定級(jí)備案實(shí)例注意事項(xiàng)1 、 備案單位備案后應(yīng)當(dāng)依據(jù)信息系統(tǒng)所定安全保護(hù)等級(jí)，按照信息安全等級(jí)保護(hù)管理辦法 中規(guī)定的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范建設(shè)安全設(shè)施，落實(shí)安全保護(hù)措施。2、 備案事項(xiàng)發(fā)生變更

14、時(shí)，備案單位應(yīng)當(dāng)自變更之日起三十日內(nèi)將變更情況報(bào)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門重新備案。3、本備案證由信息系統(tǒng)運(yùn)營使用單位或其主管部門保管，公安機(jī)關(guān)監(jiān)督檢查時(shí)應(yīng)主動(dòng)出示本證。等級(jí)保護(hù)基礎(chǔ)定級(jí)備案解讀等級(jí)測評(píng)解讀等級(jí)保護(hù)整改1234內(nèi)容目錄一、等級(jí)測評(píng)概述等級(jí)測評(píng)是指是測評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活勱。等級(jí)測評(píng)工作不同于一般的安全測和風(fēng)險(xiǎn)評(píng)估。首先它是依據(jù)系統(tǒng)安全保護(hù)等級(jí)和該級(jí)別系統(tǒng)的基本保護(hù)要求。其次要求測評(píng)人員具有把握國家政策，理解和掌握相關(guān)的技術(shù)。最后等級(jí)測評(píng)的結(jié)果，是國家信息安全監(jiān)管部門依

15、法行政管理的技術(shù)依據(jù)。是信息系統(tǒng)運(yùn)營使用進(jìn)行等級(jí)保護(hù)整改的基本依據(jù)。測評(píng)目的：一是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是能夠衡量出信息系統(tǒng)安全保護(hù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)等級(jí)的安全保護(hù)能力。二、等級(jí)測評(píng)特點(diǎn) 執(zhí)行的強(qiáng)制性：管理辦法強(qiáng)制周期性執(zhí)行 執(zhí)行主體：符合條件的測評(píng)機(jī)構(gòu) 執(zhí)行對(duì)象：已經(jīng)定級(jí)的信息系統(tǒng) 服務(wù)對(duì)象：主管部門，運(yùn)維、使用單位，信息安全監(jiān)管部門 測評(píng)依據(jù)：依據(jù)基本要求 測評(píng)內(nèi)容：單元測評(píng)（技術(shù)和管理）和整體測評(píng) 測評(píng)付出：不同級(jí)別的測評(píng)強(qiáng)度不同 測評(píng)方式：訪談、檢查和測試 判定準(zhǔn)則：滿足業(yè)務(wù)需求9三、等級(jí)測評(píng)時(shí)機(jī)差距

16、測評(píng) 符合性測評(píng)監(jiān)督性測評(píng)建設(shè)整改前：等級(jí)測評(píng)，現(xiàn)狀分析；建設(shè)整改后：等級(jí)測評(píng)，檢驗(yàn)整改效果。測評(píng)頻率：第三級(jí)以上定期；第二級(jí)參照。四、測評(píng)方法 訪談 檢查 測試26 訪談 是指測評(píng)人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測評(píng)人員理解、澄清取得證據(jù)的過程。27 訪談的對(duì)象是人員。典型的訪談人員包括：信息安全主管、信息系統(tǒng)安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、資產(chǎn)管理員等。 工具：管理核查表（ checklist ） 適用情況： 對(duì)技術(shù)要求，使用訪談方法進(jìn)行測評(píng)的目的是為了了解信息系統(tǒng)的全局性(包括局部，但不是細(xì)節(jié))、方向/策略性和過程性信息，一般不涉及到具體的實(shí)現(xiàn)細(xì)節(jié)和具

17、體技術(shù)措施，在遇到優(yōu)勢證據(jù)時(shí)，最弱。 對(duì)管理要求，訪談的內(nèi)容應(yīng)該較為詳細(xì)和明確29訪談作用 作用一：了解基本情況，作為下一步測評(píng)工作的基礎(chǔ) 作用二：訪談結(jié)果作為判斷不其他幾種測評(píng)方式所得到證據(jù)是否一致； 作用三：作為相關(guān)管理方面實(shí)現(xiàn)要求不否的直接證據(jù)。30 檢查 是指測評(píng)人員通過對(duì)測評(píng)對(duì)象（如制度文檔、各類設(shè)備、安全配置等）進(jìn)行觀察、查驗(yàn)、分析以幫助測評(píng)人員理解、澄清取得證據(jù)的過程。34 檢查對(duì)象包括： 文檔、各類設(shè)備、安全配置、機(jī)房、存儲(chǔ)介質(zhì)等。 主要工具： 核查表 適用情況： 對(duì)技術(shù)要求，檢查的內(nèi)容應(yīng)該是具體的、較為詳細(xì)的機(jī)制配置和運(yùn)行實(shí)現(xiàn) 。 對(duì)管理要求，檢查方法主要用亍規(guī)范性要求（檢查

18、文檔）。36 測試 是指測評(píng)人員使用預(yù)定的方法/工具使測評(píng)對(duì)象（各類設(shè)備及安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過程。37 功能/性能測試、滲透測試等 測試對(duì)象包括機(jī)制和設(shè)備等 測試一般需要借助特定工具 掃描檢測工具 攻擊工具 滲透工具 適用情況： 對(duì)技術(shù)要求，測試的目的是驗(yàn)證信息系統(tǒng)當(dāng)前的、具體的安全機(jī)制與運(yùn)行的有效性與安全強(qiáng)度。 對(duì)管理要求，一般不采用測試技術(shù)。39測評(píng)證據(jù)來源 開發(fā)、集成資料 之前的可信測評(píng)結(jié)果 當(dāng)前的現(xiàn)場測評(píng)結(jié)果42測評(píng)內(nèi)容 等級(jí)測評(píng)包括： 單元測評(píng) 整體測評(píng) 單元測試 以安全控制為基本工作單位組織描述 測評(píng)指標(biāo)、測評(píng)實(shí)施和結(jié)果判定。43 基本要求在

19、整體框架結(jié)構(gòu)上以三種分類為支撐點(diǎn)，自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示基本要求在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類?？刂泣c(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理安全大類中的“物理訪問控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員測評(píng)內(nèi)容來源第三級(jí)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全第一級(jí)基本要求第二級(jí)基本要求第四級(jí)基本要求第五級(jí)基本要求數(shù)據(jù)安全及備份恢復(fù)

20、技術(shù)要求管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理測評(píng)內(nèi)容來源案編制活動(dòng)方報(bào)告編制活動(dòng)測評(píng)實(shí)施流程測 評(píng)準(zhǔn)備活動(dòng)測評(píng)對(duì)象確定等級(jí)測評(píng)項(xiàng)目啟動(dòng)信息收集與分析工具和表單準(zhǔn)備測評(píng)內(nèi)容確定工具測試方法確定測評(píng)指導(dǎo)書開發(fā)測評(píng)指標(biāo)確定測評(píng)方案編制通與洽談溝場測評(píng)活動(dòng)現(xiàn)測評(píng)實(shí)施準(zhǔn)備現(xiàn)場測評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還單項(xiàng)測評(píng)結(jié)果判定單元測評(píng)結(jié)果判定整體測評(píng)風(fēng)險(xiǎn)分析等級(jí)測評(píng)結(jié)論形成測評(píng)報(bào)告編制 測評(píng)準(zhǔn)備階段 方案編制階段 現(xiàn)場測評(píng)階段 報(bào)告編制階段測評(píng)實(shí)施工作流程-階段劃分測評(píng)準(zhǔn)備活動(dòng)測評(píng)實(shí)施主要內(nèi)容測評(píng)準(zhǔn)備活動(dòng)輸入委托測評(píng)協(xié)議書被測系統(tǒng)描述文件、定級(jí)報(bào)告、驗(yàn)收?qǐng)?bào)告、安全需求分析報(bào)告

21、、安全總體方案、自查或上次等級(jí)測評(píng)報(bào)告（如果有）、信息系統(tǒng)基本情況調(diào)查表、項(xiàng)目計(jì)劃書各種與被測系統(tǒng)相關(guān)的技術(shù)資料主要任務(wù)項(xiàng)目啟動(dòng)信息收集和分析工具和表單準(zhǔn)備輸出項(xiàng)目計(jì)劃書填好的信息系統(tǒng)基本情況調(diào)查表格選用的測評(píng)工具清單打印的各類表單：現(xiàn)場測評(píng)授權(quán)書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單69測評(píng)準(zhǔn)備活動(dòng)-雙方職責(zé)測評(píng)機(jī)構(gòu)職責(zé)： a) 組建等級(jí)測評(píng)項(xiàng)目組。b) 指出測評(píng)委托單位應(yīng)提供的基本資料。c) 準(zhǔn)備被測系統(tǒng)基本情況調(diào)查表格，并提交給測評(píng)委托單位。d) 向測評(píng)委托單位介紹安全測評(píng)工作流程和方法。e) 向測評(píng)委托單位說明測評(píng)工作可能帶來的風(fēng)險(xiǎn)和規(guī)避方法。f) 了解測評(píng)委托單位的信息化建設(shè)狀況與

22、發(fā)展，以及被測系統(tǒng)的基本情況。g) 初步分析系統(tǒng)的安全情況。h) 準(zhǔn)備測評(píng)工具和文檔。69測評(píng)準(zhǔn)備活動(dòng)-雙方職責(zé)測評(píng)委托機(jī)構(gòu)職責(zé)： a) 向測評(píng)機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況。b) 準(zhǔn)備測評(píng)機(jī)構(gòu)需要的資料。c) 為測評(píng)人員的信息收集提供支持和協(xié)調(diào)。d) 準(zhǔn)確填寫調(diào)查表格。e) 根據(jù)被測系統(tǒng)的具體情況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等，為測評(píng)時(shí)間安排提供適宜的建議。f) 制定應(yīng)急預(yù)案。方案編制活動(dòng)測評(píng)實(shí)施主要內(nèi)容方案編制活動(dòng)輸入填好的調(diào)查表格主要任務(wù)測評(píng)對(duì)象確定輸出確定出的測評(píng)對(duì)象列表輸入填好的調(diào)查表格、基本要求主要任務(wù)測評(píng)指標(biāo)確定輸出確定出的測評(píng)指標(biāo)填好的調(diào)查表格，確定出的測評(píng)對(duì)象、

23、測評(píng)指標(biāo)及測試工具接入點(diǎn)填好的調(diào)查表格，測評(píng)要求單元測評(píng)內(nèi)容委托測評(píng)協(xié)議書，填好的調(diào)研表格，確定出的測評(píng)對(duì)象、測評(píng)指標(biāo)及測試工具接入點(diǎn)，單元測評(píng)內(nèi)容測評(píng)內(nèi)容確定工具測試方法確定測評(píng)指導(dǎo)書開發(fā)測評(píng)方案編制單元測評(píng)內(nèi)容確定出的測試工具接入點(diǎn)及測試路徑測評(píng)指導(dǎo)書測評(píng)方案文本測評(píng)方案的構(gòu)成 項(xiàng)目概述 測評(píng)對(duì)象 測評(píng)指標(biāo) 測試工具接入點(diǎn) 單元測評(píng)實(shí)施 系統(tǒng)測評(píng)實(shí)施 配套的測評(píng)指導(dǎo)書 等等6269方案編制活動(dòng)-雙方職責(zé)測評(píng)機(jī)構(gòu)職責(zé)： a) 詳細(xì)分析被測系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。b) 初步判斷被測系統(tǒng)的安全薄弱點(diǎn)。c) 分析確定測評(píng)對(duì)象、測評(píng)指標(biāo)和測試工具接入點(diǎn)，確定測評(píng)內(nèi)容及方法。d)

24、編制測評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審，并提交被測機(jī)構(gòu)簽字確認(rèn)。測評(píng)委托單位職責(zé)： a) 對(duì)測評(píng)方案進(jìn)行認(rèn)可，并簽字確認(rèn)?，F(xiàn)場測評(píng)活動(dòng)測評(píng)實(shí)施主要內(nèi)容現(xiàn)場測評(píng)活動(dòng)輸入現(xiàn)場測評(píng)授權(quán)書，測評(píng)方案，測評(píng)指導(dǎo)書測評(píng)指導(dǎo)書，測評(píng)結(jié)果記錄表格測評(píng)結(jié)果記錄，工具測試完成后的電子輸出記錄等主要任務(wù)現(xiàn)場測評(píng)準(zhǔn)備現(xiàn)場測評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還輸出會(huì)議記錄，更新后的測評(píng)計(jì)劃和測評(píng)程序，確認(rèn)的現(xiàn)場測評(píng)授權(quán)書測評(píng)結(jié)果記錄，工具測試完成后的電子輸出記錄等現(xiàn)場測評(píng)中發(fā)現(xiàn)的主要問題匯總，證據(jù)和證據(jù)源記錄，測評(píng)委托單位對(duì)測評(píng)結(jié)果記錄的書面認(rèn)可69現(xiàn)場測評(píng)活動(dòng)-雙方職責(zé)測評(píng)機(jī)構(gòu)職責(zé)： a) 利用訪談、文檔審查、配置檢查、工具測試

25、和實(shí)地察看的方法測評(píng)被測系統(tǒng)的保護(hù)措施情況，并獲取相關(guān)證據(jù)。測評(píng)委托單位職責(zé)： a) 測評(píng)前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測設(shè)備狀態(tài)完好。b) 協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評(píng)工作的開展。c) 簽署現(xiàn)場測評(píng)授權(quán)書。d) 相關(guān)人員回答測評(píng)人員的問詢，對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作。e) 相關(guān)人員確認(rèn)測試前協(xié)助測評(píng)人員實(shí)施工具測試并提供有效建議，降低安全測評(píng)對(duì)系統(tǒng)運(yùn)行的影響。f) 相關(guān)人員協(xié)助測評(píng)人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗(yàn)證和測試。g) 相關(guān)人員對(duì)測評(píng)結(jié)果進(jìn)行確認(rèn)。h) 相關(guān)人員確認(rèn)測試后被測設(shè)備狀態(tài)完好。報(bào)告編制活動(dòng)測評(píng)實(shí)施主要內(nèi)容報(bào)告編制活動(dòng)輸入測評(píng)結(jié)果記錄，測評(píng)指導(dǎo)書單項(xiàng)測評(píng)結(jié)果單元

26、測評(píng)結(jié)果整體測評(píng)結(jié)果單元測評(píng)結(jié)果整體測評(píng)結(jié)果測評(píng)方案/測評(píng)結(jié)果記錄、單項(xiàng)測評(píng)結(jié)果、單元測評(píng)結(jié)果、整體測評(píng)結(jié)果、風(fēng)險(xiǎn)分析結(jié)果主要任務(wù)單項(xiàng)測評(píng)結(jié)果判定單元測評(píng)結(jié)果判定整體測評(píng)風(fēng)險(xiǎn)分析等級(jí)測評(píng)結(jié)論形成測評(píng)報(bào)告編制輸出單項(xiàng)測評(píng)結(jié)果單元測評(píng)結(jié)果整體測評(píng)結(jié)果風(fēng)險(xiǎn)分析結(jié)果等級(jí)測評(píng)結(jié)論測評(píng)報(bào)告文本等級(jí)測評(píng)結(jié)論 符合 等級(jí)測評(píng)結(jié)果中不存在部分符合項(xiàng)或不符合項(xiàng)。 基本符合 等級(jí)測評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng)，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。 不符合 等級(jí)測評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng)，導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。測評(píng)報(bào)告的構(gòu)成報(bào)告摘要測評(píng)項(xiàng)目概述被測信息系統(tǒng)情況等級(jí)測評(píng)范圍與方法單元測評(píng)整體測評(píng)

27、測評(píng)結(jié)果匯總風(fēng)險(xiǎn)分析和評(píng)價(jià)等級(jí)測評(píng)結(jié)論安全建設(shè)整改建議測評(píng)風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)規(guī)避 可能的3大風(fēng)險(xiǎn) 風(fēng)險(xiǎn)控制措施106風(fēng)險(xiǎn)規(guī)避-可能風(fēng)險(xiǎn)1驗(yàn)證測試對(duì)運(yùn)行系統(tǒng)可能會(huì)造成影響：在現(xiàn)場測評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測試工作，可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。107載造成一定的影響風(fēng)險(xiǎn)規(guī)避-可能風(fēng)險(xiǎn)2 工具測試對(duì)運(yùn)行系統(tǒng)可能會(huì)造成影響在現(xiàn)場測評(píng)時(shí)，會(huì)使用一些技術(shù)測試工具進(jìn)行漏洞測試、性能測試甚至抗?jié)B透能力測試。測試可能會(huì)對(duì)系統(tǒng)的負(fù)定的影響，漏洞測試和滲透測試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害 。108風(fēng)險(xiǎn)規(guī)避-可能風(fēng)險(xiǎn)3 敏感信息泄漏 泄漏被測評(píng)信息系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓

28、撲、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息 。109風(fēng)險(xiǎn)的規(guī)避1簽署委托測評(píng)協(xié)議2簽署保密協(xié)議3簽署現(xiàn)場測評(píng)授權(quán)書4現(xiàn)場測評(píng)工作風(fēng)險(xiǎn)的規(guī)避5規(guī)范化實(shí)施過程6良好溝通與交流117風(fēng)險(xiǎn)規(guī)避-簽署委托測評(píng)協(xié)議（測評(píng)服務(wù)合同） 在測評(píng)工作正式開始之前，測評(píng)機(jī)構(gòu)和測評(píng)委托單位需要以委托協(xié)議的方式明確測評(píng)工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求、以及雙方的責(zé)任和義務(wù)等。使得測評(píng)雙方對(duì)測評(píng)過程中的基本問題達(dá)成共識(shí)，后續(xù)的工作以此為基礎(chǔ)，避免以后的工作出現(xiàn)大的分歧。110風(fēng)險(xiǎn)規(guī)避-簽署保密協(xié)議 測評(píng)雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測評(píng)雙方現(xiàn)在及將來的行為。 測評(píng)工作的

29、成果屬測評(píng)委托單位所有，測評(píng)機(jī)構(gòu)對(duì)其的引用與公開應(yīng)得到測評(píng)委托單位的授權(quán)，否則測評(píng)委托單位將按照保密協(xié)議的要求追究測評(píng)機(jī)構(gòu)的法律責(zé)任。111風(fēng)險(xiǎn)規(guī)避-簽署現(xiàn)場測評(píng)授權(quán)書 在現(xiàn)場測評(píng)工作正式開始之前，測評(píng)機(jī)構(gòu)和測評(píng)委托單位需要以測評(píng)授權(quán)的方式明確測評(píng)工作中雙方的責(zé)任，揭示可能的風(fēng)險(xiǎn)等，避免可能出現(xiàn)的糾紛和分歧。風(fēng)險(xiǎn)規(guī)避-現(xiàn)場測評(píng)工作風(fēng)險(xiǎn)的規(guī)避1 進(jìn)行驗(yàn)證測試和工具測試時(shí)，測評(píng)機(jī)構(gòu)需要與測評(píng)委托單位充分的協(xié)調(diào)，安排好測試時(shí)間，盡量避開業(yè)務(wù)高峰期，在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行，并需要測評(píng)委托單位對(duì)整個(gè)測試過程進(jìn)行監(jiān)督； 需要對(duì)關(guān)鍵數(shù)據(jù)做好備份工作，并對(duì)可能出現(xiàn)的影響制定相應(yīng)的處理方案；113風(fēng)險(xiǎn)規(guī)避

30、-現(xiàn)場測評(píng)工作風(fēng)險(xiǎn)的規(guī)避2 上機(jī)驗(yàn)證測試原則上由測評(píng)運(yùn)營、使用單位提供相應(yīng)的技術(shù)人員進(jìn)行操作，測評(píng)人員根據(jù)情況提出需要操作的內(nèi)容，并進(jìn)行查看和驗(yàn)證; 避免由于測評(píng)人員對(duì)某些專用設(shè)備不熟悉造成誤操作； 測評(píng)機(jī)構(gòu)使用的測試工具在使用前應(yīng)事先告知測評(píng)委托單位，并詳細(xì)介紹這些工具的用途以及可能對(duì)信息系統(tǒng)造成的影響，征得同意。114風(fēng)險(xiǎn)規(guī)避-規(guī)范化實(shí)施過程 為保證按計(jì)劃、高質(zhì)量地完成測評(píng)工作，應(yīng)當(dāng)明確測評(píng)記錄和測評(píng)報(bào)告要求，明確測評(píng)過程中每一階段需要產(chǎn)生的相關(guān)文檔，使測評(píng)有章可循。 在委托協(xié)議、現(xiàn)場測評(píng)授權(quán)書和測評(píng)方案中需要明確雙方的人員職責(zé)、測評(píng)對(duì)象、時(shí)間計(jì)劃、測評(píng)內(nèi)容要求等。115風(fēng)險(xiǎn)規(guī)避-良好溝通

31、與交流 為避免測評(píng)工作中可能出現(xiàn)的爭議，在測評(píng)開始前、測評(píng)過程中以及現(xiàn)場測評(píng)完成后，雙方需要進(jìn)行積極有效的溝通和交流，及時(shí)解決測評(píng)中出現(xiàn)的問題，這對(duì)保證測評(píng)的過程質(zhì)量和結(jié)果質(zhì)量有重要的作用。116等級(jí)保護(hù)基礎(chǔ)定級(jí)備案解讀等級(jí)測評(píng)解讀等級(jí)保護(hù)整改1234內(nèi)容目錄依據(jù)國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)安全的建設(shè)整改工作，通過落實(shí)安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國家安全、社會(huì)秩序和公共利益。 安全整改的目的安全整改-需求分析滿足政策要求滿足標(biāo)準(zhǔn)要

32、求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)1、如果系統(tǒng)需重新考慮設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，包括安全產(chǎn)品或安全組件的部署位置、連線方式、IP地址分配等。根據(jù)網(wǎng)絡(luò)調(diào)整的圖示方案對(duì)原有網(wǎng)絡(luò)進(jìn)行調(diào)整。針對(duì)安全管理方面的整體策略問題，機(jī)構(gòu)需重新定位安全管理策略、方針，明確機(jī)構(gòu)的信息安全管理工作方向。 2、將未實(shí)現(xiàn)的安全技術(shù)要求轉(zhuǎn)化為相關(guān)安全產(chǎn)品的功能/性能指標(biāo)要求，在適當(dāng)?shù)奈锢?邏輯位置對(duì)安全產(chǎn)品進(jìn)行部署。3、正確配置產(chǎn)品的相關(guān)功能（安全加固），使其發(fā)揮作用。4、完善配套的管理制度，建立、完善、落實(shí)信息安全管理體系。安全整改-整改措施分類物理位置的選擇基本

33、防護(hù)能力高層、地下室物理訪問控制基本出入控制分區(qū)域管理在機(jī)房中的活動(dòng)電子門禁防盜竊和防破壞存放位置、標(biāo)記標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)防雷擊建筑防雷、機(jī)房接地設(shè)備防雷防火滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護(hù)線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制物理安全的整改要點(diǎn)結(jié)構(gòu)安全關(guān)鍵設(shè)備冗余空間主要設(shè)備冗余空間訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾撥號(hào)訪問限制會(huì)話終止安全審計(jì)日志記錄審計(jì)報(bào)表邊界完整性檢查內(nèi)部的非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)網(wǎng)絡(luò)安全的整改要點(diǎn)子網(wǎng)/網(wǎng)段控制核心網(wǎng)絡(luò)帶寬整體網(wǎng)絡(luò)帶寬重要網(wǎng)段部署路由控制帶寬分配優(yōu)先級(jí)端口