信息安全等级保护管理办法(试行)

信息安全等级保护管理办法(试行)（共9篇）

信息安全等级保护管理办法(试行) 篇1

第一章总则

第一条为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规，制定本办法。

第二条信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

第三条信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，信息和信息系统应当达到的基本的安全保护水平等因素确定。

第四条信息系统的安全保护等级分为以下五级：

（一）第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。

（二）第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。

（三）第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。

（四）第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。

（五）第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。

第五条信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。

（一）第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。

（二）第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。

（四）第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。

（五）第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。

第六条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第二章信息安全等级保护工作的安全管理

第七条信息系统的运营、使用单位应当依据本办法和有关标准，确定信息系统的安全保护等级。有主管部门的，应当报主管部门审核批准。

第八条信息系统的运营、使用单位应当根据据已确定的安全保护等级，依照本办法和有关技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，进行信息系统建设。

第九条信息系统的运营、使用单位应当履行下列安全等级保护职责：

（一）落实信息安全等级保护的责任部门和人员，负责信息系统的安全等级保护管理工作；

（二）建立健全安全等级保护管理制度；

（三）落实安全等级保护技术标准要求；

（四）定期进行安全状况检测和风险评估；

（五）建立信息安全事件的等级响应、处置制度；

（六）负责对信息系统用户的安全等级保护教育和培训；

（七）其他应当履行的安全等级保护职责。

第十条信息系统建设完成后，其运营、使用单位应当依据本办法选择具有国家相关技术资质和安全资质的测评单位，按照技术标准进行安全测评，符合要求的，方可投入使用。

第十一条从事信息系统安全等级测评的单位，应当遵守国家有关法律法规和技术标准规定，保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，提供安全、客观、公正的检测评估服务。

测评单位资质管理办法由有关部门另行制定。

第十二条第三级以上信息系统的运营、使用单位应当自系统投入运行之日起三十日内，到所在地的省、自治区、直辖市公安机关指定的受理机构办理备案手续，填写《信息系统安全保护等级备案登记表》。国家另有规定的除外。

备案事项发生变更时，信息系统运营、使用单位或其主管部门应当自变更之日起三十日内将变更情况报原备案机关。

第十三条公安机关应当掌握信息系统运营、使用单位的备案情况，建立备案档案，进行备案管理。发现不符合本办法及有关标准的，应通知其予以纠正。

第十四条公安机关应当监督、检查第三级和第四级信息系统运营、使用单位履行安全等级保护职责的情况。

对安全保护等级为三级的信息系统每年至少检查一次，对安全保护等级为四级的信息系统每半年至少检查一次。

第十五条公安机关发现信息系统运营、使用单位未履行安全等级保护职责或未达到安全保护要求的，应当书面通知其整改。

第三章信息安全等级保护的保密管理

第十六条涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

不涉及国家秘密的信息系统不得处理国家秘密信息。

第十七条涉及国家秘密的信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级和绝密级三个级别，其总体防护水平分别不低于三级、四级、五级的要求。

涉及国家秘密的信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家有关秘密及其密级具体范围的规定，确定系统处理信息的最高密级和系统的保护级别。

第十八条涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理，按照国家保密工作部门的有关规定和技术标准执行。

第十九条各级保密工作部门应当对已投入使用的涉及国家秘密的信息系统组织检查和测评。发现系统存在安全隐患或系统保护措施不符合分级保护管理规定和技术标准的，应当通知系统使用单位和管理部门限期整改。

对秘密级、机密级信息系统，每两年至少进行一次保密检查或系统测评；对绝密级信息系统，每年至少进行一次保密检查或系统测评。

第四章信息安全等级保护的密码管理

第二十条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。

信息系统运营、使用单位采用密码进行等级保护的，应当遵照信息安全等级保护密码管理规定和相关标准。

第二十一条信息系统安全等级保护中密码的配备、使用和管理等，应严格执行国家密码管理的有关规定。

第二十二条要充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和技术标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。

第二十三条各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或违反密码管理相关规定或者未达到密码相关标准要求的，按照国家密码管理的相关规定进行处置。

第五章法律责任

第二十四条三级、四级信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反本办法规定，有下列行为之一，造成严重损害的，由相关部门依照有关法律、法规予以处理：

（一）未按本办法规定报请备案、审批的；

（二）未按等级保护技术标准要求进行系统安全设施建设和制度建设的；

（三）接到整改通知后，拒不整改的；

（四）违反保密管理规定的；

（五）违反密码管理规定的；

（六）违反本办法和其他规定的。

第六章附则

第二十五条军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

信息安全等级保护管理办法(试行) 篇2

信息安全管理是任何组织的信息安全活动中的必不可少的内容,目前信息安全管理领域中,国际上比较流行的管理体系是信息安全管理体系(ISMS),国际标准化组织也加快了信息安全管理体系标准的研究和制定的步伐,目前已经形成了14个国际标准研究编制内容。

我国已经形成的信息安全管理标准主要包括GB/T 22080-2008《信息技术安全技术信息安全管理体系要求》和GB/T 22081-2008《信息技术安全技术安全管理实用规则》。

随着我国信息安全工作的发展,公安部制定了一系列标准,进行信息系统分等级保护,将信息系统划分为五个安全等级,安全要求从第一级到第五级逐级递增。主要标准包括《计算机信息系统安全等级保护划分准则》、《信息安全技术信息系统安全保护等级定级指南》、《信息安全技术信息系统安全等级保护基本要求》等。其等级保护制度的推行,是为了进一步落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。因此推行等级保护制度,与建立信息安全管理体系之间有着紧密的关联。

1 信息安全管理体系

1.1 信息安全管理体系的结构

信息安全管理体系,即Information security management system(ISMS),是由信息安全最佳惯例组成的实施规则,主要内容包括11个安全类别,39个控制目标,133项控制措施。信息安全管理体系中提倡对信息系统进行风险评估,其最终目的是通过风险控制,达到信息安全管理的目的。信息安全管理体系的安全类别包括以下几个方面。

(1)安全方针

确定信息安全管理的方针、目标。

(2)信息安全组织

对组织内部和外部各方的信息安全进行管理。

(3)资产管理

对组织的所有信息资产进行分类,并实施有效管理。

(4)人力资源安全

对员工的所有可能影响信息安全的行为和过程列入信息安全管理范围。

(5)物理和环境安全

对组织的办公环境、设备所处环境等的安全管理。

(6)通信和操作管理

对所有涉及到通信和操作的所有内容加以控制。

(7)访问控制

对信息、信息系统、网络服务等方面的访问进行控制。

(8)信息系统获取、开发和维护

对信息系统的设计、开发、验收、维护等方面进行管理。

(9)信息安全事件管理

对信息安全事件的划分、发现、报告、处理程序进行规范。

(10)业务连续性

为防止业务中断,保护关键业务过程而进行的管理。

(11)符合性

保证符合法律、法规要求及符合组织安全策略的管理。

信息安全管理体系中针对所有管理范围都提出了管理要求,其管理体系虽然是针对“管理”建立的,但是其中亦涵盖了所有针对技术方面所应实施的内容。

1.2 信息安全管理体系的特点

信息安全管理体系ISMS具有如下特点:(1)基于一个组织;(2)目标是体系化建设;(3)立足于风险管理思想;(4)贯穿了“规划-实施-检查-处置”(PDCA)持续改进的过程和活动;(5)根据组织自身的任务和应对安全风险需求来选择安全控制措施;(6)通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性[4]。

2 等级保护中的安全管理

2.1 安全管理基本要求

等级保护制度是根据国家等级保护管理规定,等级保护包含技术和管理两个方面。其中安全管理要求分为五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。这五个方面贯穿了信息系统的全生命周期。其具体要求内容随着安全级别越高,要求的强度越高。

(1)安全管理制度

从建立安全管理制度的角度,要求对日常管理形成管理制度,并进行适当的维护。

(2)安全管理机构

要求建立具有明确职责的信息安全管理机构,并做好具体分工。

(3)人员安全管理

对人员的录用、离岗、考核、教育及外部人员的安全进行规范。

(4)系统建设管理

从系统生命周期角度,对系统的设计、采购、实施等角度对信息系统进行安全管理。

(5)系统运维管理

在系统运维过程中,对系统运行过程中的全部安全问题进行管理。

2.2 等级保护基本要求

等级保护的基本要求分为技术和管理两个方面,在实际的技术要求中,亦涉及到了管理的内容,比如在物理安全层面中对机房的管理、主机安全等层面中对安全审计的要求等,因此,等级保护中的管理与技术两大类是密不可分的,其具有相互关联性,能够在某些方面互相弥补,是一个统一的整体。

3 信息安全管理体系与等级保护管理要求的关系

信息安全管理的目标是保证信息系统资产的安全,不论是何种管理制度,其保护的对象都是信息和信息系统。因此,信息安全管理体系与等级保护的管理其最终目的都是一样的,但是等级保护要求中将管理要求与技术要求进行了区分,因此信息安全管理体系中所包含的管理内容更加全面。本文就具体内容进行分析。

信息安全管理体系中,信息安全方针的管理与等保管理要求中的“安全管理制度:管理制度”的要求相同。

在信息安全组织类中,信息安全管理的承诺对应“安全管理机构:岗位设置”、“安全管理制度:制定和发布”;信息安全协调对应“安全管理机构:沟通和合作”;信息安全职责的分配对应“安全管理机构:岗位设置”;信息处理设施的授权过程对应“系统建设管理:产品采购和使用”,保密性协议对应“人员安全管理:人员录用”,与政府部门的联系对应“安全管理机构:沟通和合作”,与特定利益集团的联系对应“安全管理机构:沟通和合作”,信息安全的独立评审对应“安全管理制度:制定和发布”,与外部各方相关风险的识别、处理与顾客有关的安全问题对应“人员安全管理:外部人员访问管理”,处理第三方协议中的安全问题对应“系统建设管理:安全服务商选择”。

在资产管理安全类中,资产清单、资产责任人、资产的合格使用、信息分类指南、信息的标记和处理对应“系统运维管理:资产管理”。

人力资源安全类中,任用前的角色和职责对应“安全管理机构:人员配置”、“安全管理机构:岗位设置”,任用前的审查、任用条款和条件、人员任用中的管理职责对应“人员安全:人员录用”,信息安全意识、教育和培训对应“人员安全管理:安全意识教育和培训”,纪律处理过程对应“人员安全管理:人员考核”,任用终止职责、资产的归还、撤销访问权对应“人员安全管理:人员离岗”。

物理安全管理类中,大部分内容对应等级保护要求中的“物理安全”层面,其中物理安全边界、物理入口控制、办公室、房间和设施的安全保护、在安全区域工作、支持性设施、资产的移动对应“系统运维管理:环境管理”,设备维护、组织场所外的设备安全对应“系统运维管理:设备管理”,设备的安全处置和再利用对应“系统运维管理:介质管理”。

在通信和操作管理安全类中,文件化的操作程序对应“安全管理制度:管理制度”中日常操作规程的要求,变更管理对应“系统运维管理:变更管理”,系统操作的责任分割对应“安全管理机构:人员配置”,开发、测试和运行设施分离对应“系统建设管理:自行软件开发”,第三方服务交付对应“系统建设管理:系统交付”,第三方服务的监视和评审对应“系统建设管理:工程实施”中关于实施过程管理、建立等方面的要求,第三方服务的变更管理对应“系统运维管理:变更管理”中关于系统变更的控制,系统容量管理对应“系统运维管理:系统安全管理”中关于系统容量的要求,系统验收对应“系统建设管理:测试验收”和“系统建设管理:系统交付”,控制恶意代码、控制移动代码对应“系统运维管理:恶意代码防范”,信息备份对应“系统运维管理:备份与恢复管理”,网络控制对应“系统运维管理:网络安全管理”,网络服务安全对应的是等级保护技术要求中的网络安全层面,可移动介质的管理、介质的处置对应“系统运维管理:介质管理”,系统文件安全对应“系统运维管理:系统安全管理”,审计日志对应“系统运维管理:系统安全管理”,监视系统的使用对应“系统运维管理:监控管理和安全管理中心”,另外一些如日志信息的保护、管理员和操作员日志、故障日志、时钟同步、电子消息发送、业务信息系统、电子商务、在线交易等对应到等级保护要求中的“主机安全”、“应用安全”、“数据安全”等多个层面。

在访问控制安全类里面,大部分都对应着等级保护要求的“主机安全”、“应用安全”、“网络安全”中的“访问控制”控制点,另外,访问控制策略对应“系统运维管理:系统安全管理”,网络连接控制对应“系统运维管理:网络安全管理”。

系统安全要求分析和说明对应“系统建设管理:安全方案设计”,密钥管理对应“系统运维管理:密码管理”,变更控制程序、操作系统变更后应用的技术评审对应“系统运维管理:变更管理”,外包软件开发对应“系统建设管理:外包软件开发”,技术脆弱性的控制对应“系统运维管理:网络安全管理”和“系统运维管理:系统安全管理”中关于系统漏洞及补丁的要求。

在信息安全事件管理的安全类里面,报告信息安全事态、报告安全弱点、职责和程序、对信息安全事件的总结、证据的收集都对应着“系统运维管理:安全事件处置”。

在业务连续性管理安全类中,主要对应等级保护要求中的“系统运维管理:应急预案管理”,但是业务连续性管理中提到了要进行风险评估,并根据评估结果开发连续性计划,这与等级保护政策中开展等级测评,并根据测评结果进行信息系统改建的要求是相一致的。

在符合性要求类中,主要涉及等级保护要求中的“安全管理机构:审核和检查”及一些技术要求。

4 结束语

信息安全管理体系的建立是为了保障组织的信息和信息系统的安全,与等级保护的最终目标是一致的,虽然信息安全管理体系的名为管理,实际上涵盖了所有对技术实施方面的要求,是一个综合的管理体系。等级保护基本要求中的管理要求是按照组织实施管理过程的五个基本方面来进行约束的,对组织的信息安全、提供服务进行保障。两者之间既有区别又有联系,但是其最终目的都是为了保障组织的信息安全。

参考文献

[1]GB/T22080-2008,信息技术安全技术信息安全管理体系要求[S].

[2]GB/T22081-2008,信息技术安全技术安全管理实用规则[S].

[3]GBT22239-2008,信息安全技术信息系统安全等级保护基本要求[S].

[4]赵战生.信息安全管理标准发展研究[J].信息网络安全,2011,1:1-4.

信息安全等级保护管理办法(试行) 篇3

会上，国家信息安全等级保护协调小组组长、公安部副部长张新枫强调，信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容：一是开展信息系统基本情况的摸底调查，确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南，初步确定定级对象的安全保护等级，请专家进行评审，并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后，要对信息系统的安全保护等级和备案情况进行审核、管理。

同时，张新枫要求，各基础信息网络和重要信息系统在9月底前，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。

信息安全等级保护管理办法(试行) 篇4

（试行）

第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。

第二条本规范适用于等级测评机构和人员及其测评活动的管理。

第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

第四条省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件：

（一）在中华人民共和国境内注册成立（港澳台地区除

外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）产权关系明晰，注册资金100万元以上；

（四）从事信息系统检测评估相关工作两年以上，无违法记录；

（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；

（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；

（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（九）对国家安全、社会秩序、公共利益不构成威胁;

（十）应当具备的其他条件。

第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：

（一）影响被测评信息系统正常运行，危害被测评信息系统安全；

（二）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；

（三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；

（四）未按规定格式出具等级测评报告；

（五）非授权占有、使用等级测评相关资料及数据文件；

（六）分包或转包等级测评项目；

（七）信息安全产品开发、销售和信息系统安全集成；

（八）限定被测评单位购买、使用其指定的信息安全产品；

（九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

第七条申请成为等级测评机构的单位（以下简称“申请单位”）应当向省级以上等保办申请。

国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省（区、直辖市）申请单位提出的申请。

申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测评机构的责任和义务。

第八条知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写《信息安全等级保护测评机构申请表》。

申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。

省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。

第九条评估中心按照有关标准规范，在30个工作日内完成对申请单位的材料审查和现场核查工作。

测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）。等级测评人员需持等级测评师证上岗。

评估中心综合评估申请单位的测评能力，测评能力评估合格的，出具评估报告。

第十条省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。

第十一条通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书，并向社会公布测评机构推荐目录。

省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。

第十二条测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版（试行）》格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。

第十三条省级以上等保办每年对所推荐的测评机构进行检查。检查时，测评机构应提交《信息安全等级保护测评机构检查表》。

第十四条测评机构名称、法人等事项发生变化的，或者其等级测评师变动的，测评机构应在30日内到受理申请的省级以上等保办办理变更手续。

第十五条测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。

第十六条测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的，由省级以上等保办责令其限期改正；逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评师证书，并向社会公告；造成严重损害的，由相关部门依照有关法律、法规予以处理。

第十七条测评机构或者测评人员违反本规范的规定，给被测评单位造成损失的，应当依法承担法律责任。

第十八条本规范由国家信息安全等级保护工作协调小组办公室负责解释。

第十九条本规范中省级以上含省级。

信息安全等级保护工作计划篇5

信息安全等级保护工作实施方案

为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。

一、指导思想

以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

（一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。

2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

四、主要内容、工作步骤

（一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。

（二）初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

（三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。

（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

（一）加强领导，落实保障。各部门要落实责任，并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。

（二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平，保证定级工作顺利进行，各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南（国标）》、《信息系统安全等级保护基本要求（报批）》、《信息系统安全等级保护实施指南（报批）》等材料。

（三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。

（四）自查自纠、完善制度。此次定级工作完成后，请各部门按照《信息安全等级保护管理办法》和有关技术标准，依据系统所定保护等级的要求，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，并不断完善安全管理制度，今后，若信息系统备案资料发生变化，应及时进行变更备案篇二：医院信息系统安全等级保护工作实施方案医院信息系统安全等级保护工作实施方案

医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行，根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发【2011】85号和省市有关文件精神，并结合我院信息化建设的工作实际，特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。

一、组织领导组长：副组长：组员：

领导小组办公室设在xx科，由xx同志兼任主任，xx等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》（gb/t22239-2008）等有关标准，结合医院工作实际，组织开展等级保护安全建设整改工作，具体要求如下：

三、工作要求

1、建立安全管理组织机构。成立信息安全工作组，网络办负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件，应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件，应在24小时内向公安机关报告，并保护好现场。篇三：2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报

一、加强领导

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》（扬办发[2012]57号）文件精神，对集团信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过ups供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的usb等外设接口的控制管理，采用key用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出sql注入，ftp匿名登录，网站目录遍历，探测主机地址漏洞等。

在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

信息安全等级保护监督检查报告篇6

接县公安局文件后，我单位对本单位信息安全等级保护工作进行了自查

一、等级保护工作组织开展、实施情况：严格按照文件精神组织开始了信息安全等级保护自查工作，主要检查对象为本单位维护的翼城政府网；安全责任落实情况：按照“谁主管谁负责，谁运营谁负责”的原则开展工作，我单位负责人为第一责任人，对翼城政府网信息安全负直接责任，并接受信息安全监管部门对开展等级保护工作的监管；信息系统安全岗位和安全管理人员设置情况：本单位负责人主管信息系统安全工作，有安全管理员两名。

二、按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况：遵照有关法律法规，对翼城政府网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对翼城政府网信息安全保护等级进行了自主定级。

三、信息系统定级备案情况，信息系统变化及定级备案变动情况：按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字„2007‟861号），对本单位维护网站（翼城政府网）安全保护等级级别定位第二级。

四、信息安全设施建设情况和信息安全整改情况：鉴于

网站的性质，无信息安全设施。

五、信息安全管理制度建设和落实情况：制定了翼城政府网信息安全管理制度，按照“谁主管谁负责”的原则开展工作，我单位负责人为第一责任人，对翼城政府网信息安全管理负直接责任，并接受上级单位的监管。

六、信息安全保护技术措施建设和落实情况：对翼城政府网机房实施了24小时值班，操作系统、数据库系统、防病毒系统、网站软件系统实时升级，发现安全隐患，第一时间由技术人员解决。

七、选择使用信息安全产品情况：翼城政府网使用了锐捷网络的XXX产品。

八、聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况：暂无聘请测评机构开展技术测评工作。

九、自行定期开展自查情况：每半年对翼城政府网进行一次信息系统安全保护自查。

十、开展信息安全知识和技能培训情况：主动学习信息安全法律法规，积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。

翼城县网络中心

信息安全等级保护及其方法篇7

随着现在高科技的快速发展以及当前社会对信息系统需求的不断增加，信息系统的规模也在日益扩大，它的诸多应用都给社会创造了巨大的财富，与此同时，信息系统也成为了威胁、攻击以及破坏的对象。由于信息在网络上的存储、传输和共享等过程的非法利用，导致目前如何确保信息系统的安全性就成为了我们现阶段亟待解决的重点问题。当前，我们正在有计划的开展信息安全等级保护制度实施工作。为了确保计算机信息系统的安全，一定要系统地、深入地研究和学习信息系统安全技术和等级保护方法。

1. 信息安全基本概念

信息系统的基础是计算机和其外部设备，任务是进行信息的处理、存储和传输和加工处理。信息安全的主要任务是对信息系统等一系列功能进行保护。因此，一个信息系统如若没有安全保障措施，就无从谈及提供可信的功能。

信息系统的风险分析和评估，需要利用定性和定量的分析方法，进而分析确定其风险等级和安全需求，按照关于安全技术等级划分的相关规定，选择相应的安全技术，结合系统化方法，建立一个完整的安全子系统，此系统具有相应的安全等级。在此过程中，应该依照等级保护的相应的规定，考虑到信息系统的安全等级的一致性和信息安全技术等级的一致性，对这些安全机制有机地集成，设计出的信息安全系统具有一定的安全保护等级。

2. 信息安全等级划分

(1）按相关政策规定划分安全保护等级

对于我国中央和国家各级机关、国家重点科研部门机构、国防建设部门等需要对信息系统施行特殊隔离和保护的单位机关，均应按照相关政策、相关法律法规，实施安全等级保护。

(2）按照保护数据的价值划分保护等级

不同类别的数据信息需要实施不同安全等级的保护，这样不仅能使信息系统中的数据信息的安全得到应有的保证，而且又能缩减一部分不必要的开销。

3. 信息安全等级保护具体方法

信息系统安全等级划分的最优的选择是全方位划分等级，其最基本的思想为重点保护和适度保护。在此基础上，投入合理的安全投入，运用以下两点信息安全等级保护方法，努力使信息系统得到应有的安全保护。

3.1 全系统的同一安全等级的安全保护

全系统同一安全等级安全保护：在一个需要进行安全等级保护的信息系统中，在组成系统的任何部分，所存储、传输和处理的全部数据信息，都需进行相同的安全保护等级的保护措施。

当有这样要求，规定所要保护的数据信息，不管处于系统中任何位置，进行任何形式的数据处理都需采取相同安全保护等级是，都应严格按照全系统同一安全等级安全保护方法开展系统安全性设计，设计出要求所需的安全机制。

这里特殊说明的是，此处的相同安全保护等级的安全保护，意指的是根据规定的安全保护等级，对其中某一等级进行全系统的安全设计，它的安全等级不同于多级安全模型中所实现的强制访问中的主体、客体标记所设置的安全等级。这是因为实施强制访问控制的客体可能会出现下面的情况，在计算机信息系统的不同部位，作为强制访问控制基础的安全等级的多级安全模型，需求不同其安全等级会有所区别。这就是为什么常常要规定当保密文件被带出原单位或者被带到异地是要对其升高保密的等级。

3.2 分系统不同安全等级安全保护

所谓分系统不同安全等级安全保护：在一个需要进行安全等级保护的计算机信息系统中，其中所存储、传输和处理的全部数据信息，应该按照信息在组成计算机信息系统的每个分系统中的不同保护要求的原则，对其实施不同安全保护等级的安全保护。

这种安全保护措施应用在当处于信息系统的各个不同分系统中的数据信息需要区别地进行

不同安全等级的安全保护的情况下，此时应该按照这种分系统不同地安全保护方法实施系统的安全性设计工作。此安全设计保护可按数据服务器进行实施，或者也可按照网段和子网段实施。这种情况下，多个数据服务器系统中的各个不同的服务器，就根据它们不同的的存储和处理数据信息的类型，实施不同安全保护等级的安全保护。

如果一个计算机信息系统中存在各种不同类型的数据信息，想要对这个信息系统进行其安全保护设计，就可以按照把数据分类别地存放在不同的数据服务器中的这种方法来进行安全保护设计。此外有一种使网段或者子网具有较高安全保护等级的安全保护方法，即分别按网段或者按照子网实施保护。这时，我们需要将过滤器设计在网段和子网的前端，以防数据在内、外的随意地流动。前端的过滤器起到两点功能： (1) 严格地检查、控制和认证了进入此网段和子网的用户，对用户进行审核。 (2) 严格控制过滤器两端的进、出数据信息。

分系统不同安全等级安全保护是实现信息系统安全的一种有效方法：在一个庞大的信息系统中，其多种多样的数据信息，安全保护要求也必定各不相同，某一个单一的安全等级保护措施不可能适用于所有的安全保护要求。分系统地实施安全保护进而成为了实现信息系统的安全保护的有效而切实可行的方法措施。

3.3 虚拟系统不同安全等级安全保护

依据虚拟系统的概念，建立起类似分层的虚拟安全系统以便实现对不同类型信息不同安全保护等级的保护措施。这样针对其中每类数据信息，就需要建立一个相应地、适当地安全保护等级的虚拟的安全保护系统。实际应用中，这种针对不同类型数据采取不同安全保护的虚拟分层的这种思想也是非常常见的。例如，在一个计算机信息系统中，对其中一些数据的传输进行加密保护处理，而同时对另外某些数据的传输不施行加密，这就是对不同类型数据的虚拟分层安全保护。此外，还可以对某类数据设定自主访问控制或者强制访问控制，对另外某类信息仅仅设定自主访问控制等。

摘要：当今, 我国关于实现信息安全的一项重要的举措就是信息系统安全等级保护。严格按照等级保护的规定, 建设安全的信息系统成为了目前面临的主要问题。本文主要介绍了信息安全等级的划分以及如何对具体的信息系统实施安全等级保护措施的方法。

关键词：信息安全,等级划分,等级保护

参考文献

[1]吉增瑞.如何理解和确定信息系统的安全等级[J].信息网络安全, 2005, (5) :39-40

[2]吉增瑞.等级保护的具体应用[J].网络安全技术与应用, 2003:61-63

信息安全等级保护管理办法(试行) 篇8

省教育技术中心唐连章主任介绍了信息安全工作背景，提出要全面贯彻落实教育部和省教育厅关于加强教育行业网络与信息安全工作的指导意见等文件精神，要求各省属中等职业学校认真部署本校的信息安全等级保护工作、强化信息网络安全责任、明确开展等级保护各项工作的时间节点，增强安全预警和应急处置能力，提高学校整体安全防护水平，形成与教育信息化发展相适应、完备的网络与信息安全保障体系。

省公安厅网警总队蔡旭副总队长以丰富的案例勾勒出当前信息安全工作面临的严峻形势，强调信息安全的重要性和紧迫性，要求各省属中职学校增强网络信息安全意识，选择符合资质的信息安全测评机构进行信息安全等级保护测评工作，建立信息化和安全建设同步机制和应急处置机制，共同维护国家信息安全。

教育信息安全等级保护测评中心广东测评部有关负责人作了专题培训，介绍了教育行业信息安全的形势、等级保护的政策和制度以及信息安全等级保护的工作流程。

广东省民政职业技术学校副校长刘伟峰代表学校作了信息安全建设工作的经验介绍。

信息安全等级保护管理办法(试行) 篇9

送审稿

引言

依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括：

——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南； ——GB/T DDDD-DDDD 信息安全技术信息系统安全等级保护测评要求。

信息安全技术

信息系统安全等级保护测评过程指南范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。2 规范性引用文件

下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南 GB/T DDDD-DDDD 信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号）3 术语和定义

GB/T 5271.8、GB 17859-1999、GB/T CCCC-CCCC和GB/T DDDD-DDDD确立的以及下列的术语和定义适用于本标准。3.1

优势证据 superior evidence 对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛盾，且都没有足够的证据否定与之矛盾的测评结果的，则测评结果的证明力明显大于其他测评结果的证明力的那个（些）测评结果即为优势证据。4 等级测评概述 4.1 等级测评的作用

依据《信息安全等级保护管理办法》（公通字[2007]43号），信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节。

在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。

在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构开展等级测评，对信息系统安全等级保护状况进行安全测试，对信息安全管控能力进行考察和评价，从而判定信息系统是否具备GB/T 22239-2008中相应等级安全保护能力。而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。等级测评结论为信息系统未达到相应等级的基本安全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。4.2 等级测评执行主体

可以为三级及以上等级信息系统实施等级测评的等级测评执行主体应具备如下条件：在中华人民共和国境内注册成立（港澳台地区除外）；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；从事相关检测评估工作两年以上，无违法记录；

工作人员仅限于中国公民；法人及主要业务、技术人员无犯罪记录；使用的技术装备、设施应当符合《信息安全等级保护管理办法》（公通字[2007]43号）对信息安全产品的要求；具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；对国家安全、社会秩序、公共利益不构成威胁。（摘自《信息安全等级保护管理办法》（公通字[2007]43号））

等级测评执行主体应履行如下义务：遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。4.3 等级测评风险

等级测评实施过程中，被测系统可能面临以下风险。4.3.1 验证测试影响系统正常运行

在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。4.3.2 工具测试影响系统正常运行

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。4.3.3 敏感信息泄漏

泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。4.4 等级测评过程

本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构对已经实施过一次（或以上）等级测评的被测系统的等级测评，测评机构和测评人员可以根据实际情况调整部分工作任务，具体原则见附录A。

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

4.4.1 测评准备活动

本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。4.4.2 方案编制活动

本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。4.4.3 现场测评活动本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。4.4.4 分析与报告编制活动

本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T DDDD-DDDD的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。5 测评准备活动

5.1 测评准备活动的工作流程

测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。

测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1：

5.2 测评准备活动的主要任务 5.2.1 项目启动

在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。输入：委托测评协议书。任务描述：

a)根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。b)测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。

输出/产品：项目计划书。5.2.2 信息收集和分析

测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。

输入：调查表格，被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有）。任务描述：

a)测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。b)测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。

c)测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。

d)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。

输出/产品：填好的调查表格。5.2.3 工具和表单准备

测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。

输入：各种与被测系统相关的技术资料。任务描述：

a)测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。

b)测评人员模拟被测系统搭建测评环境。

c)准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。

输出/产品：选用的测评工具清单，打印的各类表单。5.3 测评准备活动的输出文档

测评准备活动的输出文档及其内容如表1所示：

5.4 测评准备活动中双方的职责测评机构职责：

a)组建等级测评项目组。

b)指出测评委托单位应提供的基本资料。

c)准备被测系统基本情况调查表格，并提交给测评委托单位。d)向测评委托单位介绍安全测评工作流程和方法。

e)向测评委托单位说明测评工作可能带来的风险和规避方法。

f)了解测评委托单位的信息化建设状况与发展，以及被测系统的基本情况。g)初步分析系统的安全情况。h)准备测评工具和文档。

测评委托单位职责：

a)向测评机构介绍本单位的信息化建设状况与发展情况。b)准备测评机构需要的资料。

c)为测评人员的信息收集提供支持和协调。d)准确填写调查表格。e)根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议。f)制定应急预案。方案编制活动

6.1 方案编制活动的工作流程

方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。

方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。这六项任务的基本工作流程见图 2：

6.2 方案编制活动的主要任务 6.2.1 测评对象确定

根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。输入：填好的调查表格。任务描述：

a)识别并描述被测系统的整体结构

根据调查表格获得的被测系统基本情况，识别出被测系统的整体结构并加以描述。描述内容应包括被测系统的标识（名称），物理环境，网络拓扑结构和外部边界连接情况等，并给出网络拓扑图。

b)识别并描述被测系统的边界

根据填好的调查表格，识别出被测系统边界并加以描述。描述内容应包括被测系统与其他网络进行外部连接的边界连接方式，如采用光纤、无线和专线等；描述各边界主要设备，如防火墙、路由器或服务器等。如果在被测系统边界连接处有共用设备，一般可以把该设备划到等级较高的那个信息系统中。c)识别并描述被测系统的网络区域

一般信息系统都会根据业务类型及其重要程度将信息系统划分为不同的区域。对于没有进行区域划分的系统，应首先根据被测系统实际情况进行大致划分并加以描述。描述内容主要包括区域划分、每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。d)识别并描述被测系统的重要节点

描述系统节点时可以以区域为线索，具体描述各个区域内包括的计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、网络硬件设备（包括交换机、路由器、各种适配器等）等，并说明各个节点之间的主要连接情况和节点上安装的应用系统软件情况等。e)描述被测系统

对上述描述内容进行整理，确定被测系统并加以描述。描述被测系统时，一般以被测系统的网络拓扑结构为基础，采用总分式的描述方法，先说明整体结构，然后描述外部边界连接情况和边界主要设备，最后介绍被测系统的网络区域组成、主要业务功能及相关的设备节点等。f)确定测评对象

分析各个作为定级对象的信息系统，包括信息系统的重要程度及其相关设备、组件，在此基础上，确定出各测评对象。g)描述测评对象

描述测评对象时，一般针对每个定级对象分门别类加以描述，包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备及其操作系统、安全设备及其操作系统、访谈人员及其安全管理文档等。在对每类测评对象进行描述时则一般采用列表的方式，包括测评对象所属区域、设备名称、用途、设备信息等内容。

输出/产品：测评方案的测评对象部分。6.2.2 测评指标确定

根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。输入：填好的调查表格，GB/T 22239-2008。任务描述：

a)根据被测系统调查表格，得出被测系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级，从而得出被测系统应采取的安全保护措施ASG组合情况。

b)从GB/T 22239-2008中选择相应等级的安全要求作为测评指标，包括对ASG三类安全要求的选择。举例来说，假设某信息系统的定级结果为：安全保护等级为3级，业务信息安全保护等级为2级，系统服务安全保护等级为3级；则该系统的测评指标将包括GB/T 22239-2008“技术要求”中的3级通用安全保护类要求（G3），2级业务信息安全类要求（S2），3级系统服务保证类要求（A3），以及第3级“管理要求”中的所有要求。

c)对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的这些测评指标应采用就高原则。d)分别针对每个定级对象加以描述，包括系统的定级结果、指标选择两部分。其中，指标选择可以列表的形式给出。例如，一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为2级的定级对象，测评指标可以列出下表：

6.2.3 测试工具接入点确定

在等级测评中，对二级和二级以上的信息系统应进行工具测试，工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。

输入：填好的调查表格，GB/T DDDD-DDDD。任务描述：

a)确定需要进行工具测试的测评对象。

b)选择测试路径。一般来说，测试工具的接入采取从外到内，从其他网络到本地网段的逐步逐点接入，即：测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。c)根据测试路径，确定测试工具的接入点。

从被测系统边界外接入时，测试工具一般接在系统边界设备（通常为交换设备）上。在该点接入漏洞扫描器，扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪，可以捕获应用程序的网络数据包，查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集，试图利用被测试系统的主机或网络设备的安全漏洞，跨过系统边界，侵入被测系统主机或网络设备。

从系统内部与测评对象不同网段接入时，测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。在该点接入扫描器，可以直接扫描测试内部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具，可以探测信息系统的网络拓扑情况。在系统内部与测评对象同一网段内接入时，测试工具一般接在与被测对象在同一网段的交换设备上。在该点接入扫描器，可以在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。一般来说，该点扫描探测出的漏洞数应该是最多的，它说明主机、网络设备在没有网络安全保护措施下的安全状况。如果该接入点所在网段有大量用户终端设备，则可以在该接入点接入非法外联检测设备，测试各终端设备是否出现过非法外联情况。

d)结合网络拓扑图，采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。

输出/产品：测评方案的测评内容中关于测评工具接入点部分。6.2.4 测评内容确定

本部分确定现场测评的具体实施内容，即单元测评内容。

输入：填好的调查表格，测评方案的测评对象、测评指标及测评工具接入点部分。任务描述： a)确定单元测评内容

依据GB/T DDDD-DDDD，将前面已经得到的测评指标和测评对象结合起来，然后再将测评对象与具体的测评方法结合起来，这也是编制测评指导书测评指导书的第一步。

具体做法就是把各层面上的测评指标结合到具体测评对象上，并说明具体的测评方法，如此构成一个个可以具体实施测评的单元。参照GB/T DDDD-DDDD，结合已选定的测评指标和测评对象，概要说明现场单元测评实施的工作内容；涉及到工具测试部分，应根据确定的测试工具接入点，编制相应的测试内容。在测评方案中，现场单元测评实施内容通常以表格的形式给出，表格包括测评指标、测评内容描述等内容。现场测评实施内容是项目组每个成员开发测评指导书测评指导书的基础。现场单元测评实施内容表格描述的基本格式之一为：

6.2.5 测评指导书开发测评指导书是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本。因此，测评指导书应当尽可能详尽、充分。输入：测评方案的测试工具接入点、单元测评实施部分。任务描述：

a)描述单个测评对象，包括测评对象的名称、IP地址、用途、管理人员等信息。b)根据GB/T DDDD-DDDD的单元测评实施确定测评活动，包括测评项、测评方法、操作步骤和预期结果等四部分。

测评项是指GB/T 22239-2008中对该测评对象在该用例中的要求，在GB/T DDDD-DDDD中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法，具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法，每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤，是按照GB/TDDDD-DDDD中的每个“测评实施”项目开发的操作步骤，涉及到工具测试时，应描述工具测试路径及接入点等；预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。

c)单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容。整体测评则一般以文字描述的方式表述，可以以测评用例的方式进行组织。

单元测评的测评指导书描述的基本格式为：

输出/产品：测评指导书，测评结果记录表格。6.2.6 测评方案编制

测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容：项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。

输入：委托测评协议书，填好的调研表格，GB/T 22239-2008中相应等级的基本要求，测评方案的测评对象、测评指标、测试工具接入点、测评内容部分。任务描述：

a)根据委托测评协议书和填好的调研表格，提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。

b)根据等级保护过程中的等级测评实施要求，将测评活动所依据的标准罗列出来。

c)依据委托测评协议书和被测系统情况，估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试内容等情况进行估算。d)根据测评项目组成员安排，编制工作安排情况。

e)根据以往测评经验以及被测系统规模，编制具体测评计划，包括现场工作人员的分工和时间安排。在进行时间计划安排时，应尽量避开被测系统的业务高峰期，避免给被测系统带来影响。同时，在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出，便于测评实施之前双方沟通协调、合理安排。f)汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿。

g)评审和提交测评方案。测评方案初稿应通过测评项目组全体成员评审，修改完成后形成提交稿。然后，测评机构将测评方案提交给测评委托单位签字认可。

输出/产品：经过评审和确认的测评方案文本。6.3 方案编制活动的输出文档

方案编制活动的输出文档及其内容如表5所示：

6.4 方案编制活动中双方的职责测评机构职责：

a)详细分析被测系统的整体结构、边界、网络区域、重要节点等。b)初步判断被测系统的安全薄弱点。

c)分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。d)编制测评方案文本，并对其内部评审，并提交被测机构签字确认。

测评委托单位职责：

a)对测评方案进行认可，并签字确认。现场测评活动

7.1 现场测评活动的工作流程

现场测评活动通过与测评委托单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。

现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。这三项任务的基本工作流程见图3：

7.2 现场测评活动的主要任务 7.2.1 现场测评准备

本任务启动现场测评，是保证测评机构能够顺利实施测评的前提。输入：现场测评授权书，测评方案。任务描述：

a)测评委托单位签署现场测评授权书。

b)召开测评现场首次会，测评机构介绍测评工作，交流测评信息，进一步明确测评计划和方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排等，以便于后面的测评工作开展。

c)测评双方确认现场测评需要的各种资源，包括测评委托单位的配合人员和需要提供的测评条件等，确认被测系统已备份过系统及数据。

d)测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。

输出/产品：会议记录，更新后的测评计划和测评程序，确认的测评授权书等。7.2.2 现场测评和结果记录

现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。7.2.2.1 访谈

输入：测评指导书，技术安全和管理安全测评的测评结果记录表格。任务描述：

a)测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。具体可参照GB/T DDDD-DDDD中的各级要求。

输出/产品：技术安全和管理安全测评的测评结果记录或录音。7.2.2.2 文档审查

输入：安全方针文件，安全管理制度，安全管理的执行过程文档，系统设计方案，网络设备的技术资料，系统和产品的实际配置说明，系统的各种运行记录文档，机房建设相关资料，机房出入记录等过程记录文档，测评指导书，管理安全测评的测评结果记录表格。任务描述：

a)检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。

b)检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。

c)对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性。

下面列出对不同等级信息系统在测评实施时的不同强度要求。一级：满足GB/T 22239-2008中的一级要求。

二级：满足GB/T 22239-2008中的二级要求，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致。

三级：满足GB/T 22239-2008中的三级要求，所有文档应具备且完整，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致，安全管理过程应与系统设计方案保持一致且能够有效管理系统。

四级：满足GB/T 22239-2008中的四级要求，所有文档应具备且完整，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致，安全管理过程应与系统设计方案保持一致且能够有效管理系统。输出/产品：管理安全测评的测评结果记录。7.2.2.3 配置检查

输入：测评指导书，技术安全测评的网络、主机、应用测评结果记录表格。任务描述：

a)根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）。b)如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试。c)针对网络连接，应对连接规则进行验证。

下面列出对不同等级信息系统在测评实施时的不同强度要求。一级：满足GB/T 22239-2008中的一级要求。

二级：满足GB/T 22239-2008中的二级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性。

三级：满足GB/T 22239-2008中的三级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，测试系统是否达到可用性和可靠性的要求。

四级：满足GB/T 22239-2008中的四级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，测试系统是否达到可用性和可靠性的要求。输出/产品：技术安全测评的网络、主机、应用测评结果记录。7.2.2.4 工具测试

输入：测评指导书，技术安全测评的网络、主机、应用测评结果记录表格。任务描述：

a)根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。b)备份测试结果。

下面列出对不同等级信息系统在测评实施时的不同强度要求。

一级：满足GB/T 22239-2008中的一级要求。

二级：满足GB/T 22239-2008中的二级要求，针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。

三级：满足GB/T 22239-2008中的三级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

四级：满足GB/T 22239-2008中的四级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

输出/产品：技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件。7.2.2.5 实地察看

输入：测评指导书，技术安全测评的物理安全和管理安全测评结果记录表格。任务描述：

a)根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。

下面列出对不同等级信息系统在测评实施时的不同强度要求。一级：满足GB/T 22239-2008中的一级要求。二级：满足GB/T 22239-2008中的二级要求。

三级：满足GB/T 22239-2008中的三级要求，判断实地观察到的情况与制度和文档中说明的情况是否一致，检查相关设备、设施的有效性和位置的正确性，与系统设计方案的一致性。

四级：满足GB/T 22239-2008中的四级要求，判断实地观察到的情况与制度和文档中说明的情况是否一致，检查相关设备、设施的有效性和位置的正确性，与系统设计方案的一致性。输出/产品：技术安全测评的物理安全和管理安全测评结果记录。7.2.3 结果确认和资料归还

输入：测评结果记录，工具测试完成后的电子输出记录。任务描述：

a)测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评。

b)召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认。

c)测评机构归还测评过程中借阅的所有文档资料，并由测评委托单位文档资料提供者签字确认。

输出/产品：现场测评中发现的问题汇总，证据和证据源记录，测评委托单位的书面认可文件。

7.3 现场测评活动的输出文档

现场测评活动的输出文档及其内容如表6所示：

7.4 现场测评活动中双方的职责测评机构职责：

a)利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况，并获取相关证据。

测评委托单位职责：

a)测评前备份系统和数据，并确认被测设备状态完好。b)协调被测系统内部相关人员的关系，配合测评工作的开展。c)签署现场测评授权书。

d)相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作。

e)相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响。f)相关人员协助测评人员完成业务相关内容的问询、验证和测试。g)相关人员对测评结果进行确认。h)相关人员确认测试后被测设备状态完好。分析与报告编制活动

8.1 分析与报告编制活动的工作流程

在现场测评工作结束后，测评机构应对现场测评获得的测评结果（或称测评证据）进行汇总分析，形成等级测评结论，并编制测评报告。

测评人员在初步判定单元测评结果后，还需进行整体测评，经过整体测评后，有的单元测评结果可能会有所变化，需进一步修订单元测评结果，而后进行风险分析和评价，形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。这六项任务的基本工作流程见图4：

8.2 分析与报告编制活动的主要任务 8.2.1 单项测评结果判定

本任务主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。输入：技术安全和管理安全的单项测评结果记录，测评指导书。任务描述：

a)针对每个测评项，分析该测评项所对抗的威胁在被测系统中是否存在，如果不存在，则该测评项应标为不适用项。

b)分析单个测评项是否有多方面的要求内容，针对每一方面的要求内容，从一个或多个测评证据中选择出“优势证据”，并将“优势证据”与要求内容的预期测评结果相比较。

c)如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合；如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；否则判定该测评项的单项测评结果为部分符合。

根据“优势证据”的定义，具体从测评方式上来看，针对物理安全测评，实地察看证据相比文档审查证据为优势证据，文档审查证据相比访谈证据为优势证据；针对技术安全的其他方面测评，工具测试证据相比配置检查证据为优势证据，配置检查证据相比访谈证据为优势证据；针对管理安全测评，优势证据不确定，需根据实际情况分析确定优势证据。

输出/产品：测评报告的单元测评的结果记录部分。8.2.2 单元测评结果判定

本任务主要是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。

输入：测评报告的单元测评的结果记录部分。任务描述：

a)按层面分别汇总不同测评对象对应测评指标的单项测评结果情况，包括测评多少项，符合要求的多少项等内容，一般以表格形式列出。

汇总统计分析的基本表格形式可以如下：

注：“.”表示“符合”，“.”表示部分符合，“×”表示“不符合”，“N/A”表示“不适用”。

上表中的符号即为测评对象对应的单元测评结果。测评对象在某个测评指标的单元测评结果判别原则如下：

1．测评指标包含的所有适用测评项的单项测评结果均为符合，则该测评对象对应该测评指标的单元测评结果为符合；

2．测评指标包含的所有适用测评项的单项测评结果均为不符合，则该测评对象对应该测评指标的单元测评结果为不符合；

3．测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结果为不适用； 4．测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。

输出/产品：测评报告的单元测评的结果汇总部分。

8.2.3 整体测评

针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。输入：测评报告的单元测评的结果汇总部分。任务描述：

a)针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他测评项能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。b)针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他层面的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。

c)针对测评对象“部分符合”及“不符合”要求的单个测评项，分析与该测评项相关的其他区域的测评对象能否和它发生关联关系，发生什么样的关联关系，这些关联关系产生的作用是否可以“弥补”该测评项的不足，以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。

d)从安全角度分析被测系统整体结构的安全性，从系统角度分析被测系统整体安全防范的合理性。e)汇总上述分析结论，形成表格。

表格基本形式如下：

输出/产品：测评报告的整体测评部分。8.2.4 风险分析

测评人员依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。

输入：填好的调查表格，测评报告的单元测评的结果汇总及整体测评部分。任务描述：

a)结合单元测评的结果汇总和整体测评结果，将物理安全、网络安全、主机安全、应用安全等层面中各个测评对象的测评结果再次汇总分析，统计符合情况。一般可以表格的形式描述。

表格的基本形式可以如下：

b)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性，可能性的取值范围为高、中和低。

c)判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后，对被测系统的业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低。

d)综合b）和c）的结果，对被测系统面临的安全风险进行赋值，风险值的取值范围为高、中和低。e)结合被测系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

输出：测评报告的测评结果汇总及风险分析和评价部分。8.2.5 等级测评结论形成

测评人员在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。

输入：测评报告的测评结果汇总部分。任务描述：

a)根据表9测评结果汇总表格，如果部分符合和不符合项的统计结果不全为0，则该信息系统未达到相应等级的基本安全保护能力；如果部分符合和不符合项的统计结果全为0，则该信息系统达到了相应等级的基本安全保护能力。

输出/产品：测评报告的等级测评结论部分。8.2.6 测评报告编制

测评报告应包括但不局限于以下内容：概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中，概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据；被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容，有改动的地方应根据实际测评情况进行修改。

输入：测评方案，单元测评的结果记录和结果汇总部分，整体测评部分，风险分析和评价部分、等级测评结论部分。任务描述：

a)测评人员整理前面几项任务的输出/产品，编制测评报告相应部分。一个测评委托单位应形成一份测评报告，如果一个测评委托单位内有多个被测系统，报告中应分别描述每一个被测系统的等级测评情况。b)针对被测系统存在的安全隐患，从系统安全角度提出相应的改进建议，编制测评报告的安全建设整改建议部分。

c)列表给出现场测评的文档清单和单项测评记录，以及对各个测评项的单项测评结果判定情况，编制测评报告的单元测评的结果记录和问题分析部分。

d)测评报告编制完成后，测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息，对测评报告进行评审。

e)评审通过后，由项目负责人签字确认并提交给测评委托单位。

输出/产品：经过评审和确认的被测系统等级测评报告。8.3 分析与报告编制活动的输出文档

分析与报告编制活动的输出文档及其内容如表10所示：

8.4 分析与报告编制活动中双方的职责测评机构职责：

a)分析并判定单项测评结果和整体测评结果。b)分析评价被测系统存在的风险情况。c)根据测评结果形成等级测评结论。

d)编制等级测评报告，说明系统存在的安全隐患和缺陷，并给出改进建议。e)评审等级测评报告，并将评审过的等级测评报告按照分发范围进行分发。f)将生成的过程文档归档保存，并将测评过程中生成的电子文档清除。

测评委托单位职责： a)签收测评报告。

附录A（资料性附录）等级测评工作流程

受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异，初次等级测评和再次等级测评的工作活动及流程也不完全相同，而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。

受委托测评机构对信息系统的初次等级测评可以分为四项活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。具体如图5所示：

上图是对受委托测评机构对信息系统实施初次等级测评的基本工作流程。如果被测系统已经实施过一次（或多次）等级测评，上图中的四个活动保持不变，但是具体任务内容会有所变化。测评机构和测评人员可以根据上一次等级测评中存在的问题和被测系统的实际情况调整部分工作任务内容。例如，信息收集和分析任务中，可以只收集那些自上次等级测评后有所变更的信息，其他信息可以重用上次等级测评结果；测评对象尽量选择上次等级测评中未测过或存在问题的作为测评对象；测评内容也应关注上次等级测评中发现的问题。不同等级信息系统的等级测评的基本工作活动与图5中信息系统的等级测评活动应完全一致，即：测评准备、方案编制、现场测评、分析与报告编制四项活动。由于图5给出的是较为全面的工作流程和任务，因此，较低等级信息系统的等级测评的各个活动的具体工作任务应在图5基础上删除或简化部分内容。如针对二级信息系统的等级测评，测评人员在分析与报告编制活动中可以不进行单项测评结果汇总分析，仅进行简单的汇总等。相反，较高等级信息系统的等级测评的工作任务则可以在此基础上增加或细化部分内容。如针对四级信息系统的等级测评，在测评对象确定任务中，不但需要确定出测评对象，还需给出选择这些测评对象的过程及理由等；整体测评需设计具体的整体测评实例等。

附录B

（资料性附录）测评对象确定方法 B.1 测评对象确定原则和方法

测评对象是等级测评的直接工作对象，也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件，因此，选择测评对象是编制测评方案的必要步骤，也是整个测评工作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。

测评对象的确定一般采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。在确定测评对象时，需遵循以下原则：

1．恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求； 2．重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等； 3．安全性，应抽查对外暴露的网络边界；

4．共享性，应抽查共享设备和数据交换平台/设备；

5．代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。

B.2 具体确定方法说明 B.2.1 第一级信息系统

第一级信息系统的等级测评，测评对象的种类和数量比较少，重点抽查关键的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：

1．主机房（包括其环境、设备和设施等），如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施，那么也应该作为测评对象； 2．整个系统的网络拓扑结构；

3．安全设备，包括防火墙、入侵检测设备、防病毒网关等；

4．边界网络设备（可能会包含安全设备），包括路由器、防火墙和认证网关等； 5．对整个信息系统的安全性起决定作用的网络互联设备，如核心交换机、路由器等； 6．承载最能够代表被测系统使命的业务或数据的核心服务器（包括其操作系统和数据库）； 7．最能够代表被测系统使命的重要业务应用系统； 8．信息安全主管人员；

9．涉及到信息系统安全的主要管理制度和记录，包括进出机房的登记记录、信息系统相关设计验收文档等。

在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查一台作为测评对象。B.2.2 第二级信息系统

第二级信息系统的等级测评，测评对象的种类和数量都较多，重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：

1．主机房（包括其环境、设备和设施等），如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施，那么也应该作为测评对象； 2．存储被测系统重要数据的介质的存放环境； 3．整个系统的网络拓扑结构；

4．安全设备，包括防火墙、入侵检测设备、防病毒网关等；

5．边界网络设备（可能会包含安全设备），包括路由器、防火墙和认证网关等；

6．对整个信息系统或其局部的安全性起决定作用的网络互联设备，如核心交换机、汇聚层交换机、核心路由器等；

7．承载被测系统核心或重要业务、数据的服务器（包括其操作系统和数据库）； 8．重要管理终端；

9．能够代表被测系统主要使命的业务应用系统； 10．信息安全主管人员、各方面的负责人员； 11．涉及到信息系统安全的所有管理制度和记录。

在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。B.2.3 第三级信息系统

第三级信息系统的等级测评，测评对象种类上基本覆盖、数量进行抽样，重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：

1．主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象； 2．存储被测系统重要数据的介质的存放环境； 3．办公场地；

4．整个系统的网络拓扑结构；

5．安全设备，包括防火墙、入侵检测设备和防病毒网关等；

6．边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

7．对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等； 8．承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）； 9．管理终端和主要业务应用系统终端；

10．能够完成被测系统不同业务使命的业务应用系统； 11．业务备份系统；

12．信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人； 13．涉及到信息系统安全的所有管理制度和记录。

在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。B.2.4 第四级信息系统

第四级信息系统的等级测评，测评对象种类上完全覆盖、数量进行抽样，重点抽查不同种类的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：

1．主机房和全部辅机房（包括其环境、设备和设施等）； 2．介质的存放环境； 3．办公场地；

4．整个系统的网络拓扑结构；

5．安全设备，包括防火墙、入侵检测设备和防病毒网关等；

6．边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

7．主要网络互联设备，包括核心和汇聚层交换机； 8．主要服务器（包括其操作系统和数据库）； 9．管理终端和主要业务应用系统终端； 10．全部应用系统； 11．业务备份系统；

12．信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人； 13．涉及到信息系统安全的所有管理制度和记录。

在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查三台作为测评对象。附录C

（资料性附录）等级测评工作要求 C.1 依据标准，遵循原则

等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239-2008和GB/T DDDD-DDDD，其中等级测评目标和内容应依据GB/T 22239-2008，对具体测评项的测评实施方法则依据GB/T DDDD-DDDD。

在等级测评实施活动中，应遵循GB/T DDDD-DDDD中规定的测评原则，保证测评工作公正、科学、合理和完善。

C.2 恰当选取，保证强度

恰当选取是指对具体测评对象的选择要恰当，既要避免重要的对象、可能存在安全隐患的对象没有被选择，也要避免过多选择，使得工作量增大。

保证强度是指对被测系统应实施与其等级相适应的测评强度。C.3 规范行为，规避风险

测评机构实施等级测评的过程应规范，包括：制定内部保密制度；制定过程控制制度；规定相关文档评审流程；指定专人负责保管等级测评的归档文件等。

测评人员的行为应规范，包括：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评指导书使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员等。

规避风险，是指要充分估计测评可能给被测系统带来的影响，向被测系统运营/使用单位揭示风险，要求其提前采取预防措施进行规避。同时，测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险，尽量避免给被测系统和单位带来影响。附录D

（资料性附录）

测评方案与报告编制示例

某公司（简称“AAA”）用电信息系统承载着该公司的电力营销业务，由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成，是一个安全等级为三级的信息系统。

现场测评时间为X年X月X日至X年X月X日，现场测评小组分为管理组（2人）和技术组（4人）两组，分别完成安全管理和安全技术方面的测评。D.1 测评方案编制示例针对AAA用电信息系统的实际情况，下面从被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容以及配套的测评指导书等方面说明测评方案的编制方法。D.1.1 被测系统描述

被测系统为承载着AAA公司电力营销业务，是AAA公司的重要信息系统，其安全等级定为三级（S3A2G3）。

被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成，对内有业务扩充管理、电量计量管理、电费结算、收费、统计分析等业务功能模块；对外有可以为Internet网、大客户单位、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房，其它功能区域位于中心机房。

与被测系统相连的外部连接有Internet、外联单位（包括DDN单位和PSTN用户）和控制网三处。在Internet、外联单位的边界连接处设置了防火墙；与控制网连接是通过交换机SJ6506以共用服务器方式进行的。整个网络拓扑结构示意图如图6所示。D.1.2 测评对象

根据用电信息系统的实际情况，分别确定物理安全、网络安全、主机安全、应用安全等各层面的测评对象。

a)物理方面主要是测评屏蔽机房和主机房。

b)网络方面主要测评的设备有：路由器、交换机、防火墙、IDS、外联检测、防病毒等，如表11所示。

c)主机方面主要测评的主机服务器（包括数据库服务器）如表12所示。

d)应用方面主要测评的应用系统如表13所示。

e)安全管理，主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等。

D.1.3 测评指标

被测系统的定级结果为：安全保护等级为3级，业务信息安全等级为S3，系统服务安全等级为A2；则该系统的测评指标应包括GB/T 22239-2008“技术要求”中的3级通用指标类（G3），3级业务信息安全指标类（S3），2级系统服务安全指标类（A2），以及第3级“管理要求”中的所有指标类。本次测评的测评指标情况具体如表14所示。

D.1.4 测评工具和接入点

本次测评的信息系统为3级信息系统，根据3级信息系统的测评强度要求，在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试，功能测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统等。因此，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。针对被测系统的网络边界和测评设备、主机和业务应用系统的情况，需要在被测系统及其互联网络中设置6个测试工具接入点――接入点JA到JF，如图7所示，“接入点”标注表示进行工具测试时，需要从该接入点接入，对应的箭头路线表示工具测试数据的主要流向示意。

a)在接入点JA接入扫描器，模拟Internet用户，探测对外服务功能区上各服务器对Internet暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集，试图利用服务器的安全漏洞入侵服务器。b)在接入点JB接入扫描器，模拟外联单位，探测对外服务功能区上各服务器对外联单位暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集，试图利用服务器的安全漏洞入侵服务器。

c)在接入点JC接入扫描器，直接测试对外服务功能区上各服务器对网络暴露的安全漏洞情况。同时，试图穿过防火墙，探测业务处理功能区上各服务器对外暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集，试图利用业务处理功能区上各服务器的安全漏洞入侵服务器。d)……

D.1.5 测评内容

本次测评的单项测评从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。a)物理安全

物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为屏蔽机房和主机房。

在内容上，物理安全层面测评实施过程涉及10个测评单元，具体如表15所示：

b)网络安全

网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。

在内容上，网络安全层面测评实施过程涉及7个测评单元，具体如表16所示：

c)主机系统安全

主机系统安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统，数据库管理系统为数据库服务器Sybase。

在内容上，主机系统安全层面测评实施过程涉及7个测评单元，具体如表17所示。

d)应用安全

应用安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况，主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统。

在内容上，应用安全层面测评实施过程涉及9个测评单元，具体如表18所示。

e)数据安全

数据安全测评将通过访谈、配置检查的方式测评信息系统的数据安全保障情况，主要涉及对象为信息系统的管理数据及业务数据等。

在内容上，数据安全层面测评实施过程涉及3个测评单元，具体如表19所示。

f)安全管理部分

安全管理部分为全局性问题，涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。其中，安全管理制度测评实施过程涉及3个测评单元，安全管理机构测评实施过程涉及5个测评单元，人员安全管理测评实施过程涉及5个测评单元，系统建设管理测评实施过程涉及11个测评单元，系统运维管理测评实施过程涉及13个测评单元等。由于管理部分的测评内容在描述时差异不大，这里以安全管理制度部分为例说明。

安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等，具体如表20所示。

D.1.6 测评指导书

下面从被测系统的物理安全、网络安全、主机安全、应用安全等技术部分和安全管理部分分别举例说明测评指导书的格式和开发方法。a)物理安全

按照方案的要求，物理安全应测评物理位置选择（G3）、物理访问控制（G3）、防盗窃和防破坏（G3）、防雷击（G3）、防水和防潮（G3）、防静电（G3）、温湿度控制（G3）、电力供应（A2）和电磁防护（S3）等。在GB/T 22239-2008中找到对应等级项目的要求，然后在GB/T DDDD-DDDD中找到相应的测评方法。如：对于温湿度控制（G3），在GB/T 22239-2008中的描述为“机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。”，按照该要求在GB/T DDDD-DDDD的第三级中找到对应测评方法，然后按照该方法开发出对应的预期结果。按照上述思路，对于“温湿度控制（G3）”可以开发出如下的测评指导书。【测评项】

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。【测评实施过程】

1．应访谈物理安全负责人，询问机房是否配备了温、湿度自动调节设施，保证温湿度能够满足计算机设备运行的要求，是否在机房管理制度中规定了温湿度控制的要求，是否有人负责此项工作；

2．应访谈机房维护人员，询问是否定期检查和维护机房的温湿度自动调节设施，询问是否出现过温湿度影响系统运行的事件；

3．应检查机房是否有温湿度控制设计/验收文档，是否能够满足系统运行需要，是否与当前实际情况相符合；

4．应检查温、湿度自动调节设施是否能够正常运行，查看温湿度记录、运行记录和维护记录；查看机房温、湿度是否满足GB 2887-89《计算站场地技术条件》的要求。

【预期结果】

1．执行步骤1)，机房配备了温、湿度自动调节设施，在机房管理制度中规定了温湿度控制的要求，有人负责此项工作；

2．执行步骤2)，定期检查和维护机房的温湿度自动调节设施，没有出现过温湿度影响系统运行的事件； 3．执行步骤3)，有温湿度控制设计/验收文档，能够满足系统运行需要，与当前实际情况相符合； 4．温、湿度自动调节设施能够正常运行，机房温、湿度满足GB 2887-89《计算站场地技术条件》的要求。b)网络安全

按照测评方案的要求，核心交换机SJ6509应测评网络访问控制（G3）、网络安全审计（G3）、网络设备防护（G3）等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求，然后在GB/T DDDD-DDDD中找到相应的测评方法。如：对于网络设备防护（G3），在GB/T 22239-2008中的描述之一为“应对网络设备的管理员登录地址进行限制”，按照该项要求找到对应测评实施（方法），然后开发出对应的操作步骤和预期结果即可。按照上述思路，对于“网络设备防护（G3）” 的一个测评项可以开发如下的测评指导书。【测评项】

应对网络设备的管理员登录地址进行限制。【测评实施过程】

1．应检查边界和主要网络设备上的安全设置，查看是否对边界和主要网络设备的管理员登录地址进行限制；

2．应测试边界和主要网络设备的安全设置，对网络设备的管理员登录地址进行限制（如使用任意地址登录，观察网络设备的动作等）等功能是否有效。

【操作步骤】

1．执行命令：show ip permit，查看IP地址限定情况；

2．在业务处理功能区中，用主机192.168.1.3（限制的IP地址）试图登录SJ6509的管理界面，查看是否成功。

【预期结果】

1．执行步骤1)，系统对管理IP地址进行了限定；

2．执行步骤2)，192.168.1.3登录SJ6509的管理界面失败。c)主机安全

按照方案的要求，DB2（数据库为Sybase）应测评身份鉴别（S3）、自主访问控制（S3）、强制访问控制（S3）、安全审计（G3）、资源控制（A2）、数据备份与恢复（A2）、数据完整性（S3）、数据保密性（S3）等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求，然后在GB/T DDDD-DDDD中找到相应的测评方法。如：对于身份鉴别（S3），在测评项中的描述之一为“应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”，按照该项要求找到对应测评实施方法，然后开发对应操作步骤和预期结果。按照上述思路，对于“身份鉴别（S3）”的一个测评项可以开发如下的测评指导书。【测评项】

应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。【测评实施过程】

应检查主要数据库管理系统，查看对管理用户的身份鉴别是否采用两个及两个以上鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合）。【操作步骤】

1．在DB2主机上执行命令：select * from syslogins，查看是否有用户存在空口令；

2．询问数据库管理员，除使用口令鉴别外是否采用其他的鉴别方式，如果有，则检查其是否有效。

【预期结果】

1．执行步骤1)，数据库没有空口令用户，从而说明数据库管理系统采用口令鉴别方式； 2．执行步骤2)，数据库管理系统还采取有其他的鉴别方式，并且有效。d)应用安全和数据安全

按照方案的要求，业务应用程序（用户自主开发）应测评身份鉴别（S3）、访问控制（S3）、安全审计（G3）、剩余信息保护（G3）、通信完整性（S3）、通信, 保密性（S3）、抗抵赖（S3）、软件容错（A3）、资源控制（A3）、数据备份与恢复（A3）、数据完整性（S3）、数据保密性（S3）等部分的内容。在GB/T 22239-2008中找到对应等级项目的要求，然后在GB/T DDDD-DDDD中找到相应的测评方法。如：对于通信保密性（S3），在测评项中的描述之一为“应对通信过程中的整个报文或会话过程进行加密。”，按照该项要求找到对应测评实施方法，然后开发出对应操作步骤和预期结果。按照上述思路，对于“通信保密性（S3）”的一个测评项可以开发如下的测试用例。【测评项】

应对通信过程中的整个报文或会话过程进行加密。【测评实施过程】

1．应访谈安全管理员，询问业务系统数据在通信过程中是否采取保密措施，具体措施有哪些； 2．应测试主要应用系统，通过查看通信双方数据包的内容，查看系统在通信过程中，对整个报文或会话过程进行加密的功能是否有效。

【操作步骤】

1．应访谈安全管理员，询问业务系统数据在通信过程中是否采取保密措施，具体措施有哪些； 2．应采用协议分析工具测试应用系统，通过查看通信双方数据包的内容，查看系统在通信过程中，是否对整个报文或会话过程进行加密，加密功能是否有效。

【预期结果】

1．执行步骤1)，业务系统采用了保密措施，且能具体说明保密措施；

2．执行步骤2)，协议分析工具看到的数据包进行了加密，且加密方法符合国家规定，时有效的。e)管理安全

管理安全部分在测评时可以按照GB/T DDDD-DDDD中介绍的测评实施过程在现场直接实施使用。对于系统运维管理中的密码管理“应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品”的要求可以编制如下的测评指导书。【测评项】

应建立密码使用管理制度，使用符, 合国家密码管理规定的密码技术和产品。【测评实施过程】

1．应访谈安全员，询问密码技术和产品的使用是否遵照国家密码管理规定； 2．应检查是否具有密码使用管理制度。

【预期结果】 1．执行步骤1)，密码技术和产品的使用遵照国家密码管理规定； 2．执, 行步骤2)，有密码使用管理制度。

D.2 测评报告编制示例

等级测评报告一般包括：概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评的结果记录及结果汇总、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等内容。下面主要举例说明整体测评和整改建议这两部分内容。D.2.1 整体测评 a)物理层面

1．由于屏蔽机房位于主机房内部，其唯一出口也在主机房内，因此，对其物理层面的安全要求中的物理访问控制、防盗窃和防破坏的测评项可以通过关联互补关系得到补充。2． ……

综合以上测评分析过程，可以得到如表21物理层面的整体测评结果（安全控制间、层面间和区域间）：

b)网络层面

1．外联功能区拨号路由器DW3600上基本没有直接采取较好的拨号访问控制措施，只是对用户进行了固定IP地址分配。但是，由于在防火墙DW208FW上，严格限定了拨号接入IP地址的用户的访问范围，从而可以弥补这部分功能。2．外联功能区的6台路由器DW3600在网络设备防护的用户身份认证方面，存在口令不强、未限制管理员登录地址等方面问题，但是，由于这些设备都没有开放网络管理（TELNET/HTTP等），全部采取通过本地串口方式来管理，而其又是存放在主机房中，因此，其网络设备防护安全控制可以通过物理的相关措施（物理访问控制、防盗窃和防破坏等）得到增强。

3．对外服务功能区的网络安全审计功能没有采取单独的设备来完成，其网络流量、用户行为等的监测、记录功能是通过网络入侵防范安全控制的IDS来协助完成的。

4．网络安全审计设备IDS具有对部分病毒、蠕虫攻击的检测识别能力，可以部分弥补恶意代码防范功能，因为，防病毒网关只对邮件数据进行病毒过滤。5． …….综合以上测评分析过程，可以得到如表22的测评结果：

c)系统结构测评分析

在信息系统整体结构的安全性方面，从被测系统的网络拓扑结构示意图来看，该网络系统虽然有多处相对独立的出口，但是这些出口除到控制网外的连线都集中到防火墙DW208FW，因此，从在网络结构上，不存在出口过多的问题；对外服务功能区上防病毒服务器a（拓扑图上未标出）使用双网卡方式工作，一边连接内部网络，一边连接对外服务功能区，通过防火墙DW208FW上网升级，这在安全上是不可取的，外部用户一旦控制防病毒服务器a，则可通过双网卡直接进入信息系统的内部网络功能区域，对信息系统的安全构成严重威胁。

从被测系统的网络拓扑结构示意图来看，内部网络划分了多个功能区域，这些功能区域之间采取了网络访问控制措施，即使是内网用户也只能访问到应用处理功能区上的服务器主机，而不能直接访问数据存储功能区的数据库服务器。这种保护方法符合纵深防御的要求，重点突出，能较好地解决一些安全问题。D.2.2 整改建议

a)安全建议（网络安全部分）1．主要问题

.没有绘制与实际网络相一致的网络拓扑结构图。有一份与实际网络相一致的网络拓扑结构图对网络管理相当重要，可以方便工作人员掌握网络的整体情况，便于网络故障的排除，便于网络安全设备的策略配置等；

.没有对重要网段采取网络层地址与数据链路层地址绑定措施。进行MAC地址和IP地址的绑定，有助于防止地址欺骗。

2．立即整改

需要立即整改的安全建议如下：

.应根据当前运行的网络拓扑情况，绘制与实际网络相一致的网络拓扑结构图，以便于工作人员掌握网络结构的整体情况；

3．持续改进

需要持续改进的建议如下：

.对重要网段采取网络层地址与数据链路层地址绑定措施，防止地址欺骗；.购置并在适当网段部署防病毒网关。

b)安全管理方面 1．主要问题

.与安全管理制度相配套的总体信息安全策略还没有正式制定，且有部分管理制度没有制定，如工程实施安全管理制度等。总体性安全策略文件是整个机构开展信息安全工作的纲领，对机构近期和远期的安全规划起着重要的指导作用。