信息安全等級(jí)保護(hù)測(cè)評(píng)

信息安全等級(jí)保護(hù)測(cè)評(píng)第1頁(yè)/共90頁(yè)目錄21信息安全等級(jí)保護(hù)概述3信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹2信息安全等級(jí)測(cè)評(píng)概述4現(xiàn)場(chǎng)工作安排5附錄第2頁(yè)/共90頁(yè)

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法。開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn)。什么是信息安全等級(jí)保護(hù)一、信息安全等級(jí)保護(hù)概述第3頁(yè)/共90頁(yè)1994年，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定”。

1999年，強(qiáng)制性國(guó)家標(biāo)準(zhǔn)－《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB-17859）。2003年，中辦、國(guó)辦轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”?！耙攸c(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。

2004年，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合印發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（66號(hào)文件）

2006年1月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合制定了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2006]7號(hào)）

2011年9月，國(guó)家電監(jiān)會(huì)印發(fā)《關(guān)于組織開(kāi)展電力行業(yè)重要管理信息安全等級(jí)保護(hù)測(cè)評(píng)試點(diǎn)工作的通知》，要求統(tǒng)一組織開(kāi)展重要管理信息系統(tǒng)試點(diǎn)測(cè)評(píng)。同年，《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》出臺(tái)，至今已更新至V11.0相關(guān)法律法規(guī)一、信息安全等級(jí)保護(hù)概述第4頁(yè)/共90頁(yè)安全保護(hù)等級(jí)的劃分一、信息安全等級(jí)保護(hù)概述第5頁(yè)/共90頁(yè)（一）定級(jí)原則堅(jiān)持“自主定級(jí)、自主保護(hù)”與國(guó)家監(jiān)管相結(jié)合的原則（二）確定需要定級(jí)的系統(tǒng)（1）省轄市以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)；（2）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)；（3）電力、鐵路、銀行、海關(guān)、稅務(wù)、民航、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門(mén)的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)；（4）涉及國(guó)家秘密的信息系統(tǒng)。等級(jí)保護(hù)等級(jí)的劃分一、信息安全等級(jí)保護(hù)概述第6頁(yè)/共90頁(yè)7電力行業(yè)系統(tǒng)定級(jí)情況2010年，隨著信息化SG186工程竣工，公司信息系統(tǒng)由三級(jí)向兩級(jí)并逐漸向一級(jí)部署過(guò)渡，系統(tǒng)集中集成程度大幅提高，智能電網(wǎng)對(duì)客戶服務(wù)安全交互服務(wù)能力要求更高，按照公安部和電監(jiān)會(huì)要求，2012年2月，按照營(yíng)銷系統(tǒng)和ERP系統(tǒng)級(jí)別由2級(jí)調(diào)整為3級(jí)、變電站二次系統(tǒng)不再作為獨(dú)立系統(tǒng)定級(jí)、新建智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)作為整體統(tǒng)一定級(jí)的原則，重新梳理定級(jí)984套信息系統(tǒng)，管理信息系統(tǒng)調(diào)整為545套，其中3級(jí)系統(tǒng)127套，2級(jí)系統(tǒng)418套，電力二次系統(tǒng)調(diào)整為4級(jí)系統(tǒng)31套，3級(jí)系統(tǒng)379套。國(guó)家能源局印發(fā)《關(guān)于對(duì)國(guó)家電網(wǎng)公司信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)調(diào)整的批復(fù)》（信息辦函[2012]90號(hào)）同意公司定級(jí)調(diào)整結(jié)果。公司管理信息系統(tǒng)定級(jí)表定級(jí)對(duì)象系統(tǒng)級(jí)別總部區(qū)域（?。┑厥袃?nèi)部門(mén)戶（網(wǎng)站）系統(tǒng)2對(duì)外門(mén)戶（網(wǎng)站）系統(tǒng)32郵件系統(tǒng)2公司廣域網(wǎng)(SGInet)2ERP管理系統(tǒng)3財(cái)務(wù)（資金）管理系統(tǒng)32營(yíng)銷管理系統(tǒng)32電力市場(chǎng)交易系統(tǒng)3無(wú)生產(chǎn)管理信息系統(tǒng)2協(xié)同辦公系統(tǒng)（辦公自動(dòng)化系統(tǒng)）32人力資源管理系統(tǒng)2物資管理系統(tǒng)2項(xiàng)目管理系統(tǒng)2綜合管理系統(tǒng)2公司電力二次系統(tǒng)定級(jí)表定級(jí)對(duì)象系統(tǒng)級(jí)別總部區(qū)域(省)地市1.智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)實(shí)時(shí)監(jiān)控與預(yù)警4無(wú)2.智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)調(diào)度計(jì)劃與安全校核3無(wú)3.智能電網(wǎng)調(diào)度技術(shù)支持系統(tǒng)（地調(diào)）無(wú)34.通信設(shè)備資源管理系統(tǒng)3無(wú)5.通信設(shè)備網(wǎng)管系統(tǒng)3無(wú)6.調(diào)度自動(dòng)化系統(tǒng)無(wú)37.能量管理系統(tǒng)4無(wú)8.廣域相量測(cè)量系統(tǒng)3無(wú)9.電能量計(jì)量系統(tǒng)3無(wú)10.電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)3無(wú)11.調(diào)度交易計(jì)劃系統(tǒng)3無(wú)12.電網(wǎng)動(dòng)態(tài)預(yù)警系統(tǒng)3無(wú)13.其他投入運(yùn)行系統(tǒng)3無(wú)一、信息安全等級(jí)保護(hù)概述第7頁(yè)/共90頁(yè)初步確定信息系統(tǒng)等級(jí)1、確定定級(jí)對(duì)象2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體3、綜合評(píng)定對(duì)客體的侵害程度6、綜合評(píng)定對(duì)客體的侵害程度依據(jù)表1依據(jù)表2業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)7、系統(tǒng)服務(wù)安全等級(jí)4、業(yè)務(wù)信息安全等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)表1表2一、信息安全等級(jí)保護(hù)概述第8頁(yè)/共90頁(yè)

公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家保密工作部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家密碼管理部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；涉及其他職能部門(mén)管轄范圍的事項(xiàng)，由有關(guān)職能部門(mén)依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理；國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門(mén)間協(xié)調(diào)。

等級(jí)保護(hù)工作的職責(zé)分工一、信息安全等級(jí)保護(hù)概述第9頁(yè)/共90頁(yè)1、定級(jí)與審批；2、等級(jí)評(píng)審；3、備案；4、備案管理；5、系統(tǒng)建設(shè)；6、等級(jí)測(cè)評(píng)；7、自查自糾；8、監(jiān)督檢查。等級(jí)保護(hù)工作的主要流程局部調(diào)整信息系統(tǒng)定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止備案管理監(jiān)督檢查等級(jí)變更等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)一、信息安全等級(jí)保護(hù)概述第10頁(yè)/共90頁(yè)11等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）《信息安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2010）《信息安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）《信息安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）《信息安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2012）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T28449-2012）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）一、信息安全等級(jí)保護(hù)概述第11頁(yè)/共90頁(yè)是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來(lái)衡量，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力，達(dá)到一種基本的安全狀態(tài)；是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè)基本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過(guò)需求分析對(duì)基本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)；《等級(jí)保護(hù)基本要求》的定位一、信息安全等級(jí)保護(hù)概述第12頁(yè)/共90頁(yè)《基本要求》的組織方式某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)要求項(xiàng)控制點(diǎn)具體要求………………………………

技術(shù)和管理大類各有5個(gè)子類

分為技術(shù)要求和管理要求兩大類

根據(jù)等級(jí)提高，控制點(diǎn)逐級(jí)增多根據(jù)等級(jí)提高，要求項(xiàng)逐級(jí)增多最基礎(chǔ)的測(cè)評(píng)單元，測(cè)評(píng)作業(yè)指導(dǎo)書(shū)的編寫(xiě)依據(jù)一、信息安全等級(jí)保護(hù)概述第13頁(yè)/共90頁(yè)三類要求之間的關(guān)系通用安全保護(hù)類要求（G）業(yè)務(wù)信息安全類（S）系統(tǒng)服務(wù)保證類（A）安全要求一、信息安全等級(jí)保護(hù)概述第14頁(yè)/共90頁(yè)安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811技術(shù)要求合計(jì)3379136148管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270管理要求合計(jì)5296154170等級(jí)保護(hù)具體測(cè)評(píng)準(zhǔn)則—要求項(xiàng)數(shù)量的逐級(jí)增加一、信息安全等級(jí)保護(hù)概述第15頁(yè)/共90頁(yè)16依據(jù)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（征求意見(jiàn)稿）針對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等10個(gè)方面開(kāi)展測(cè)評(píng)。三級(jí)系統(tǒng)測(cè)評(píng)指標(biāo)數(shù)283個(gè)，二級(jí)系統(tǒng)測(cè)評(píng)指標(biāo)數(shù)186個(gè)。電力行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)與國(guó)標(biāo)對(duì)比管理信息系統(tǒng)工作要求與國(guó)家標(biāo)準(zhǔn)對(duì)照表要求類二級(jí)系統(tǒng)三級(jí)系統(tǒng)國(guó)家標(biāo)準(zhǔn)行標(biāo)需求國(guó)家標(biāo)準(zhǔn)行標(biāo)需求物理安全19303239網(wǎng)絡(luò)安全18333344主機(jī)系統(tǒng)安全19373253應(yīng)用安全19293140數(shù)據(jù)安全4588合計(jì)791341361841.物理重點(diǎn)增加機(jī)房物理位置、機(jī)房防火和機(jī)房供電要求。2.網(wǎng)絡(luò)重點(diǎn)增加內(nèi)外網(wǎng)隔離、終端接入和網(wǎng)絡(luò)設(shè)備安全防護(hù)的要求。3.主機(jī)操作系統(tǒng)重點(diǎn)增加身份認(rèn)證強(qiáng)度、訪問(wèn)控制細(xì)度和入侵攻擊防范的要求。主機(jī)數(shù)據(jù)庫(kù)重點(diǎn)增加身份認(rèn)證強(qiáng)度、訪問(wèn)控制細(xì)度和入侵攻擊防范的要求。4.應(yīng)用系統(tǒng)增加統(tǒng)一門(mén)戶認(rèn)證、匿名訪問(wèn)控制、默認(rèn)賬戶管理和軟件容錯(cuò)性要求。5.數(shù)據(jù)層面繼承國(guó)家標(biāo)準(zhǔn)防護(hù)要求。一、信息安全等級(jí)保護(hù)概述第16頁(yè)/共90頁(yè)等級(jí)保護(hù)重點(diǎn)要求項(xiàng)例舉-物理安全應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；（二級(jí)）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；（二級(jí)）水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；（二級(jí)）應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；（三級(jí)）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；（三級(jí)）應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；（三級(jí)）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；（三級(jí)）應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；（三級(jí)）應(yīng)建立備用供電系統(tǒng)；（三級(jí)）應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。（三級(jí)）一、信息安全等級(jí)保護(hù)概述第17頁(yè)/共90頁(yè)等級(jí)保護(hù)重點(diǎn)要求項(xiàng)例舉-網(wǎng)絡(luò)安全應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；（二級(jí)）審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；（二級(jí)）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；（二級(jí)）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；（三級(jí)）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；（三級(jí)）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；（三級(jí)）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警；（三級(jí)）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；（三級(jí)）應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。（三級(jí)）一、信息安全等級(jí)保護(hù)概述第18頁(yè)/共90頁(yè)等級(jí)保護(hù)重點(diǎn)要求項(xiàng)例舉-主機(jī)安全操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；（二級(jí)）應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；（二級(jí)）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；（二級(jí)）應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；（三級(jí)）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；（三級(jí)）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除；（三級(jí)）主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；（三級(jí)）應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；（三級(jí)）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。（三級(jí)）一、信息安全等級(jí)保護(hù)概述第19頁(yè)/共90頁(yè)等級(jí)保護(hù)重點(diǎn)要求項(xiàng)例舉-應(yīng)用安全應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；（二級(jí)）應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；（二級(jí)）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；（二級(jí)）應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除；（三級(jí)）應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù);（三級(jí)）應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；（三級(jí)）應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。（三級(jí)）一、信息安全等級(jí)保護(hù)概述第20頁(yè)/共90頁(yè)

等級(jí)保護(hù)重點(diǎn)要求項(xiàng)例舉-數(shù)據(jù)安全及備份恢復(fù)應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞；（二級(jí)）應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；（二級(jí)）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；（三級(jí)）應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；（三級(jí)）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；（三級(jí)）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；（三級(jí)）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。（三級(jí)）一、信息安全等級(jí)保護(hù)概述第21頁(yè)/共90頁(yè)等級(jí)保護(hù)重點(diǎn)要求項(xiàng)例舉-管理要求應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；（二級(jí)）人員離崗應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；（二級(jí)）應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；（二級(jí)）應(yīng)配備專職安全管理員，不可兼任；（三級(jí)）安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；（三級(jí)）應(yīng)制定代碼編寫(xiě)安全規(guī)范，要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼；（三級(jí)）在系統(tǒng)運(yùn)行過(guò)程中，應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；（三級(jí)）應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序，對(duì)備份過(guò)程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；（三級(jí)）應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等。（三級(jí)）一、信息安全等級(jí)保護(hù)概述第22頁(yè)/共90頁(yè)目錄231信息安全等級(jí)保護(hù)概述2信息安全等級(jí)測(cè)評(píng)概述3信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹4現(xiàn)場(chǎng)工作安排5附錄第23頁(yè)/共90頁(yè)24等級(jí)測(cè)評(píng)是指，測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活勱。等級(jí)測(cè)評(píng)的作用等級(jí)測(cè)評(píng)特點(diǎn)等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)過(guò)程內(nèi)部驅(qū)動(dòng)力了解目前的安全保護(hù)實(shí)際情況；明確安全需求，為后續(xù)的建設(shè)和整改工作提供參考/依據(jù)；切實(shí)提升企業(yè)/機(jī)構(gòu)的信息安全防護(hù)能力。外部驅(qū)動(dòng)力信息安全等級(jí)保護(hù)管理辦法（公通字【2007】43號(hào)）第十四條信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。二、信息安全等級(jí)測(cè)評(píng)概述第24頁(yè)/共90頁(yè)25等級(jí)測(cè)評(píng)的作用等級(jí)測(cè)評(píng)特點(diǎn)等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)過(guò)程執(zhí)行主體符合條件的測(cè)評(píng)機(jī)構(gòu)執(zhí)行的強(qiáng)制性管理辦法強(qiáng)制周期性執(zhí)行執(zhí)行對(duì)象已經(jīng)定級(jí)的信息系統(tǒng)特定等級(jí)測(cè)評(píng)項(xiàng)目面對(duì)的被測(cè)評(píng)系統(tǒng)是由一個(gè)或多個(gè)不同安全保護(hù)等級(jí)的定級(jí)對(duì)象構(gòu)成的信息系統(tǒng)測(cè)評(píng)依據(jù)符合《基本要求》測(cè)評(píng)內(nèi)容單元測(cè)評(píng)（技術(shù)和管理）和整體測(cè)評(píng)測(cè)評(píng)付出不同級(jí)別的測(cè)評(píng)力度不同測(cè)評(píng)方式訪談、檢查和測(cè)試服務(wù)對(duì)象主管部門(mén)，運(yùn)維、使用單位，信息安全監(jiān)管部門(mén)判定準(zhǔn)則滿足業(yè)務(wù)需求二、信息安全等級(jí)測(cè)評(píng)概述第25頁(yè)/共90頁(yè)26等級(jí)測(cè)評(píng)的作用等級(jí)測(cè)評(píng)特點(diǎn)等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)過(guò)程驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行工具測(cè)試影響系統(tǒng)正常運(yùn)行敏感信息泄漏在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，會(huì)使用一些技術(shù)測(cè)試工具進(jìn)行漏洞掃描測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成一定的影響，漏洞掃描測(cè)試和滲透測(cè)試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。等級(jí)測(cè)評(píng)實(shí)施過(guò)程中，被測(cè)系統(tǒng)可能面臨以下風(fēng)險(xiǎn):風(fēng)險(xiǎn)規(guī)避措施：通過(guò)在備機(jī)和測(cè)試環(huán)境下測(cè)評(píng)規(guī)避對(duì)生產(chǎn)環(huán)境的影響；操作前進(jìn)行測(cè)試和備份工作，并制定應(yīng)急處理方案；被測(cè)單位派遣技術(shù)人員全程配合及監(jiān)督測(cè)評(píng)人員行為，原則上上機(jī)操作由運(yùn)營(yíng)單位人員進(jìn)行風(fēng)險(xiǎn)規(guī)避措施：避開(kāi)業(yè)務(wù)高峰期進(jìn)行漏洞掃描、滲透測(cè)試和人工驗(yàn)證，必要時(shí)采取一定的試驗(yàn)。原則上對(duì)重要系統(tǒng)不采用漏洞掃描和工具自動(dòng)化檢測(cè)，采用人工審計(jì)檢查的方式，并選擇在備機(jī)上執(zhí)行測(cè)評(píng)風(fēng)險(xiǎn)規(guī)避措施：機(jī)構(gòu)派遣有資質(zhì)并且政治可靠的測(cè)評(píng)師進(jìn)行等級(jí)測(cè)評(píng)工作；與被測(cè)單位簽署保密協(xié)議；機(jī)構(gòu)制定質(zhì)量管理、保密管理、配置管理制度和計(jì)劃并執(zhí)行二、信息安全等級(jí)測(cè)評(píng)概述第26頁(yè)/共90頁(yè)27等級(jí)測(cè)評(píng)的作用等級(jí)測(cè)評(píng)特點(diǎn)等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)過(guò)程等級(jí)測(cè)評(píng)過(guò)程分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析及報(bào)告編制活動(dòng)。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過(guò)程。測(cè)評(píng)流程測(cè)評(píng)準(zhǔn)備活動(dòng)方案編制活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)分析及報(bào)告編制活動(dòng)溝通與洽談二、信息安全等級(jí)測(cè)評(píng)概述第27頁(yè)/共90頁(yè)28等級(jí)測(cè)評(píng)的作用等級(jí)測(cè)評(píng)特點(diǎn)等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)過(guò)程方案編制活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)分析及報(bào)告編制活動(dòng)本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開(kāi)展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。測(cè)評(píng)準(zhǔn)備活動(dòng)本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并根據(jù)需要重用或開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，形成測(cè)評(píng)方案。本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和

GB/T25058-2010的有關(guān)要求，通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告文本。二、信息安全等級(jí)測(cè)評(píng)概述第28頁(yè)/共90頁(yè)目錄291信息安全等級(jí)保護(hù)概述3信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹2信息安全等級(jí)測(cè)評(píng)概述4現(xiàn)場(chǎng)工作時(shí)間安排5附錄第29頁(yè)/共90頁(yè)30三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹工作流程主要任務(wù)輸出文檔雙方的職責(zé)測(cè)評(píng)準(zhǔn)備活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開(kāi)展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。測(cè)評(píng)準(zhǔn)備活動(dòng)包括項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備三項(xiàng)主要任務(wù)。這三項(xiàng)任務(wù)的基本工作流程如圖所示：等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)工作流程信息收集和分析工具和表單準(zhǔn)備測(cè)評(píng)準(zhǔn)備活動(dòng)第30頁(yè)/共90頁(yè)31工作流程主要任務(wù)輸出文檔雙方的職責(zé)項(xiàng)目啟動(dòng)信息收集和分析工具和表單準(zhǔn)備在項(xiàng)目啟動(dòng)任務(wù)中，測(cè)評(píng)機(jī)構(gòu)組建等級(jí)測(cè)評(píng)項(xiàng)目組，獲取測(cè)評(píng)委托單位及被測(cè)系統(tǒng)的基本情況，從基本資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。任務(wù)描述根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書(shū)和系統(tǒng)規(guī)模，測(cè)評(píng)機(jī)構(gòu)組建測(cè)評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書(shū)。項(xiàng)目計(jì)劃書(shū)應(yīng)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。測(cè)評(píng)機(jī)構(gòu)要求測(cè)評(píng)委托單位提供基本資料，包括：被測(cè)系統(tǒng)總體描述文件，詳細(xì)描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，安全總體方案，自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有），測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹測(cè)評(píng)準(zhǔn)備活動(dòng)第31頁(yè)/共90頁(yè)32工作流程主要任務(wù)輸出文檔雙方的職責(zé)項(xiàng)目啟動(dòng)信息收集和分析工具和表單準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)通過(guò)查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，為編寫(xiě)測(cè)評(píng)方案和開(kāi)展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。任務(wù)描述測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的各種資料，包括測(cè)評(píng)委托單位的各種方針文件、規(guī)章制度及相關(guān)過(guò)程管理記錄、被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。測(cè)評(píng)機(jī)構(gòu)將調(diào)查表格提交給測(cè)評(píng)委托單位，督促被測(cè)系統(tǒng)相關(guān)人員準(zhǔn)確填寫(xiě)調(diào)查表格。測(cè)評(píng)機(jī)構(gòu)收回填寫(xiě)完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟悉被測(cè)系統(tǒng)的實(shí)際情況。分析的內(nèi)容包括被測(cè)系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級(jí)、用戶范圍、用戶類型、被測(cè)系統(tǒng)所處的運(yùn)行環(huán)境及面臨的威脅等。這些信息可以重用自查或上次等級(jí)測(cè)評(píng)報(bào)告中的可信結(jié)果。如果調(diào)查表格填寫(xiě)不準(zhǔn)確或不完善或存在相互矛盾的地方較多，測(cè)評(píng)機(jī)構(gòu)應(yīng)安排現(xiàn)場(chǎng)調(diào)查，與被測(cè)系統(tǒng)相關(guān)人員進(jìn)行面對(duì)面的溝通和了解。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹測(cè)評(píng)準(zhǔn)備活動(dòng)第32頁(yè)/共90頁(yè)33工作流程主要任務(wù)輸出文檔雙方的職責(zé)項(xiàng)目啟動(dòng)信息收集和分析工具和表單準(zhǔn)備測(cè)評(píng)項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)之前，應(yīng)熟悉與被測(cè)系統(tǒng)相關(guān)的各種組件、調(diào)試測(cè)評(píng)工具、準(zhǔn)備各種表單等。任務(wù)描述測(cè)評(píng)人員調(diào)試本次測(cè)評(píng)過(guò)程中將用到的測(cè)評(píng)工具，包括漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。測(cè)評(píng)人員模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境。準(zhǔn)備和打印表單，主要包括：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹測(cè)評(píng)準(zhǔn)備活動(dòng)第33頁(yè)/共90頁(yè)34工作流程主要任務(wù)輸出文檔雙方的職責(zé)主要任務(wù)輸入輸出/產(chǎn)品項(xiàng)目啟動(dòng)委托測(cè)評(píng)協(xié)議書(shū)信息收集和分析工具表單準(zhǔn)備項(xiàng)目計(jì)劃書(shū)被測(cè)系統(tǒng)描述文件、定級(jí)報(bào)告、驗(yàn)收?qǐng)?bào)告、安全需求分析報(bào)告、安全總體方案、自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有）、信息系統(tǒng)基本情況調(diào)查表、項(xiàng)目計(jì)劃書(shū)填好的信息系統(tǒng)基本情況調(diào)查表格各種與被測(cè)系統(tǒng)相關(guān)的技術(shù)資料選用的測(cè)評(píng)工具清單打印的各類表單：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹測(cè)評(píng)準(zhǔn)備活動(dòng)第34頁(yè)/共90頁(yè)35工作流程主要任務(wù)輸出文檔雙方的職責(zé)任務(wù)輸出文檔文檔內(nèi)容項(xiàng)目啟動(dòng)項(xiàng)目計(jì)劃書(shū)項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等 信息收集和分析填好的調(diào)查表格被測(cè)系統(tǒng)的安全保護(hù)等級(jí)、業(yè)務(wù)情況、數(shù)據(jù)情況、軟硬件情況、管理模式和相關(guān)部門(mén)及角色等。工具和表單準(zhǔn)備選用的測(cè)評(píng)工具清單打印的各類表單：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單。 現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)、交接的文檔名稱、會(huì)議記錄項(xiàng)目、會(huì)議簽到項(xiàng)目。 三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹測(cè)評(píng)準(zhǔn)備活動(dòng)第35頁(yè)/共90頁(yè)36工作流程主要任務(wù)輸出文檔雙方的職責(zé)組建等級(jí)測(cè)評(píng)項(xiàng)目組。指出測(cè)評(píng)委托單位應(yīng)提供的基本資料。準(zhǔn)備被測(cè)系統(tǒng)基本情況調(diào)查表格，并提交給測(cè)評(píng)委托單位。向測(cè)評(píng)委托單位介紹安全測(cè)評(píng)工作流程和方法。向測(cè)評(píng)委托單位說(shuō)明測(cè)評(píng)工作可能帶來(lái)的風(fēng)險(xiǎn)和規(guī)避方法。了解測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展，以及被測(cè)系統(tǒng)的基本情況。初步分析系統(tǒng)的安全情況。準(zhǔn)備測(cè)評(píng)工具和文檔。向測(cè)評(píng)機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況。準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)需要的資料。為測(cè)評(píng)人員的信息收集提供支持和協(xié)調(diào)。準(zhǔn)確填寫(xiě)調(diào)查表格。根據(jù)被測(cè)系統(tǒng)的具體情況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等，為測(cè)評(píng)時(shí)間安排提供適宜的建議。制定應(yīng)急預(yù)案。測(cè)評(píng)機(jī)構(gòu)職責(zé)測(cè)評(píng)委托單位職責(zé)三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹測(cè)評(píng)準(zhǔn)備活動(dòng)第36頁(yè)/共90頁(yè)37工作流程主要任務(wù)輸出文檔雙方的職責(zé)方案編制活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并根據(jù)需要重用或開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，形成測(cè)評(píng)方案。方案編制活動(dòng)包括測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)及測(cè)評(píng)方案編制六項(xiàng)主要任務(wù)。這六項(xiàng)任務(wù)的基本工作流程如圖所示：測(cè)評(píng)對(duì)象確定工作流程測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第37頁(yè)/共90頁(yè)38工作流程主要任務(wù)輸出文檔雙方的職責(zé)測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。任務(wù)描述識(shí)別并描述被測(cè)系統(tǒng)的整體結(jié)構(gòu)根據(jù)調(diào)查表格獲得的被測(cè)系統(tǒng)基本情況，識(shí)別出被測(cè)系統(tǒng)的整體結(jié)構(gòu)并加以描述。描述內(nèi)容應(yīng)包括被測(cè)系統(tǒng)的標(biāo)識(shí)（名稱），物理環(huán)境，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和外部邊界連接情況等，并給出網(wǎng)絡(luò)拓?fù)鋱D。識(shí)別并描述被測(cè)系統(tǒng)的邊界根據(jù)填好的調(diào)查表格，識(shí)別出被測(cè)系統(tǒng)邊界并加以描述。描述內(nèi)容應(yīng)包括被測(cè)系統(tǒng)與其他網(wǎng)絡(luò)進(jìn)行外部連接的邊界連接方式，如采用光纖、無(wú)線和專線等；描述各邊界主要設(shè)備，如防火墻、路由器或服務(wù)器等。如果在被測(cè)系統(tǒng)邊界連接處有共用設(shè)備，一般可以把該設(shè)備劃到等級(jí)較高的那個(gè)信息系統(tǒng)中。識(shí)別并描述被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域一般信息系統(tǒng)都會(huì)根據(jù)業(yè)務(wù)類型及其重要程度將信息系統(tǒng)劃分為不同的區(qū)域。對(duì)于沒(méi)有進(jìn)行區(qū)域劃分的系統(tǒng)，應(yīng)首先根據(jù)被測(cè)系統(tǒng)實(shí)際情況進(jìn)行大致劃分并加以描述。描述內(nèi)容主要包括區(qū)域劃分、每個(gè)區(qū)域內(nèi)的主要業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、區(qū)域的邊界以及它們之間的連接情況等。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第38頁(yè)/共90頁(yè)工作流程主要任務(wù)輸出文檔雙方的職責(zé)測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制任務(wù)描述識(shí)別并描述被測(cè)系統(tǒng)的重要節(jié)點(diǎn)描述系統(tǒng)節(jié)點(diǎn)時(shí)可以以區(qū)域?yàn)榫€索，具體描述各個(gè)區(qū)域內(nèi)包括的計(jì)算機(jī)硬件設(shè)備（包括服務(wù)器設(shè)備、客戶端設(shè)備、打印機(jī)及存儲(chǔ)器等外圍設(shè)備）、網(wǎng)絡(luò)硬件設(shè)備（包括交換機(jī)、路由器、各種適配器等）等，并說(shuō)明各個(gè)節(jié)點(diǎn)之間的主要連接情況和節(jié)點(diǎn)上安裝的應(yīng)用系統(tǒng)軟件情況等。描述被測(cè)系統(tǒng)對(duì)上述描述內(nèi)容進(jìn)行整理，確定被測(cè)系統(tǒng)并加以描述。描述被測(cè)系統(tǒng)時(shí)，一般以被測(cè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，采用總分式的描述方法，先說(shuō)明整體結(jié)構(gòu)，然后描述外部邊界連接情況和邊界主要設(shè)備，最后介紹被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域組成、主要業(yè)務(wù)功能及相關(guān)的設(shè)備節(jié)點(diǎn)等。確定測(cè)評(píng)對(duì)象分析各個(gè)作為定級(jí)對(duì)象的信息系統(tǒng)，包括信息系統(tǒng)的重要程度及其相關(guān)設(shè)備、組件，在此基礎(chǔ)上，確定出各測(cè)評(píng)對(duì)象。描述測(cè)評(píng)對(duì)象描述測(cè)評(píng)對(duì)象時(shí)，一般針對(duì)每個(gè)定級(jí)對(duì)象分門(mén)別類加以描述，包括機(jī)房、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備及其操作系統(tǒng)、安全設(shè)備及其操作系統(tǒng)、訪談人員及其安全管理文檔等。在對(duì)每類測(cè)評(píng)對(duì)象進(jìn)行描述時(shí)則一般采用列表的方式，包括測(cè)評(píng)對(duì)象所屬區(qū)域、設(shè)備名稱、用途、設(shè)備信息等內(nèi)容。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第39頁(yè)/共90頁(yè)40工作流程主要任務(wù)輸出文檔雙方的職責(zé)根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)。任務(wù)描述根據(jù)被測(cè)系統(tǒng)調(diào)查表格，得出被測(cè)系統(tǒng)的定級(jí)結(jié)果，包括業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，從而得出被測(cè)系統(tǒng)應(yīng)采取的安全保護(hù)措施ASG組合情況。從GB/T22239-2008中選擇相應(yīng)等級(jí)的安全要求作為測(cè)評(píng)指標(biāo)，包括對(duì)ASG三類安全要求的選擇。舉例來(lái)說(shuō)，假設(shè)某信息系統(tǒng)的定級(jí)結(jié)果為：安全保護(hù)等級(jí)為3級(jí)，業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí)，系統(tǒng)服務(wù)安全保護(hù)等級(jí)為3級(jí)；則該系統(tǒng)的測(cè)評(píng)指標(biāo)將包括GB/T22239-2008“技術(shù)要求”中的3級(jí)通用安全保護(hù)類要求（G3），2級(jí)業(yè)務(wù)信息安全類要求（S2），3級(jí)系統(tǒng)服務(wù)保證類要求（A3），以及第3級(jí)“管理要求”中的所有要求。對(duì)于由多個(gè)不同等級(jí)的信息系統(tǒng)組成的被測(cè)系統(tǒng)，應(yīng)分別確定各個(gè)定級(jí)對(duì)象的測(cè)評(píng)指標(biāo)。如果多個(gè)定級(jí)對(duì)象共用物理環(huán)境或管理體系，而且測(cè)評(píng)指標(biāo)不能分開(kāi)，則不能分開(kāi)的這些測(cè)評(píng)指標(biāo)應(yīng)采用就高原則。測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第40頁(yè)/共90頁(yè)41工作流程主要任務(wù)輸出文檔雙方的職責(zé)任務(wù)描述分別針對(duì)每個(gè)定級(jí)對(duì)象加以描述，包括系統(tǒng)的定級(jí)結(jié)果、指標(biāo)選擇兩部分。其中，指標(biāo)選擇可以列表的形式給出。例如，一個(gè)安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)均為三級(jí)、業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí)的定級(jí)對(duì)象，測(cè)評(píng)指標(biāo)可以列出如右表所示：測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第41頁(yè)/共90頁(yè)42工作流程主要任務(wù)輸出文檔雙方的職責(zé)在等級(jí)測(cè)評(píng)中，對(duì)二級(jí)和二級(jí)以上的信息系統(tǒng)應(yīng)進(jìn)行工具測(cè)試，工具測(cè)試可能用到漏洞掃描器、滲透測(cè)試工具集、協(xié)議分析儀等測(cè)試工具。任務(wù)描述確定需要進(jìn)行工具測(cè)試的測(cè)評(píng)對(duì)象。選擇測(cè)試路徑。一般來(lái)說(shuō)，測(cè)試工具的接入采取從外到內(nèi)，從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點(diǎn)接入，即：測(cè)試工具從被測(cè)系統(tǒng)邊界外接入、在被測(cè)系統(tǒng)內(nèi)部與測(cè)評(píng)對(duì)象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。根據(jù)測(cè)試路徑，確定測(cè)試工具的接入點(diǎn)。測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，采用圖示的方式描述測(cè)試工具的接入點(diǎn)、測(cè)試目的、測(cè)試途徑和測(cè)試對(duì)象等相關(guān)內(nèi)容。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第42頁(yè)/共90頁(yè)43工作流程主要任務(wù)輸出文檔雙方的職責(zé)本部分確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。任務(wù)描述測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制確定單元測(cè)評(píng)內(nèi)容依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》，將前面已經(jīng)得到的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象結(jié)合起來(lái)，然后再將測(cè)評(píng)對(duì)象與具體的測(cè)評(píng)方法結(jié)合起來(lái)，這也是編制測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)的第一步。

具體做法就是把各層面上的測(cè)評(píng)指標(biāo)結(jié)合到具體測(cè)評(píng)對(duì)象上，并說(shuō)明具體的測(cè)評(píng)方法，如此構(gòu)成一個(gè)個(gè)可以具體實(shí)施測(cè)評(píng)的單元。參照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》，結(jié)合已選定的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象，概要說(shuō)明現(xiàn)場(chǎng)單元測(cè)評(píng)實(shí)施的工作內(nèi)容；涉及到工具測(cè)試部分，應(yīng)根據(jù)確定的測(cè)試工具接入點(diǎn)，編制相應(yīng)的測(cè)試內(nèi)容。

在測(cè)評(píng)方案中，現(xiàn)場(chǎng)單元測(cè)評(píng)實(shí)施內(nèi)容通常以表格的形式給出，表格包括測(cè)評(píng)指標(biāo)、測(cè)評(píng)內(nèi)容描述等內(nèi)容?，F(xiàn)場(chǎng)測(cè)評(píng)實(shí)施內(nèi)容是項(xiàng)目組每個(gè)成員開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)的基礎(chǔ)。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第43頁(yè)/共90頁(yè)44工作流程主要任務(wù)輸出文檔雙方的職責(zé)測(cè)評(píng)指導(dǎo)書(shū)是具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)的文件，是現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等的詳細(xì)描述，是保證測(cè)評(píng)活動(dòng)可以重現(xiàn)的根本。因此，測(cè)評(píng)指導(dǎo)書(shū)應(yīng)當(dāng)盡可能詳盡、充分。任務(wù)描述描述單個(gè)測(cè)評(píng)對(duì)象，包括測(cè)評(píng)對(duì)象的名稱、IP地址、用途、管理人員等信息。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》《測(cè)評(píng)要求》的單元測(cè)評(píng)實(shí)施確定測(cè)評(píng)活動(dòng)，包括測(cè)評(píng)項(xiàng)、測(cè)評(píng)方法、操作步驟和預(yù)期結(jié)果等四部分。測(cè)評(píng)項(xiàng)是指GB/T22239-2008《基本要求》中對(duì)該測(cè)評(píng)對(duì)象在該用例中的要求，在《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》中對(duì)應(yīng)每個(gè)測(cè)評(píng)單元中的“測(cè)評(píng)指標(biāo)”的具體要求項(xiàng)。測(cè)評(píng)方法是指訪談、檢查和測(cè)試三種方法，具體到測(cè)評(píng)對(duì)象上可細(xì)化為文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等多種方法，每個(gè)測(cè)評(píng)項(xiàng)可能對(duì)應(yīng)多個(gè)測(cè)評(píng)方法。操作步驟是指在現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中應(yīng)執(zhí)行的命令或步驟，是按照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》中的每個(gè)“測(cè)評(píng)實(shí)施”項(xiàng)目開(kāi)發(fā)的操作步驟，涉及到工具測(cè)試時(shí)，應(yīng)描述工具測(cè)試路徑及接入點(diǎn)等；預(yù)期結(jié)果是指按照操作步驟在正常的情況下應(yīng)得到的結(jié)果和獲取的證據(jù)。測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第44頁(yè)/共90頁(yè)45工作流程主要任務(wù)輸出文檔雙方的職責(zé)測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制測(cè)評(píng)方案是等級(jí)測(cè)評(píng)工作實(shí)施的基礎(chǔ)，指導(dǎo)等級(jí)測(cè)評(píng)工作的現(xiàn)場(chǎng)實(shí)施活動(dòng)。測(cè)評(píng)方案應(yīng)包括但不局限于以下內(nèi)容：項(xiàng)目概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)工具的接入點(diǎn)以及單元測(cè)評(píng)實(shí)施等。任務(wù)描述根據(jù)委托測(cè)評(píng)協(xié)議書(shū)和填好的調(diào)研表格，提取項(xiàng)目來(lái)源、測(cè)評(píng)委托單位整體信息化建設(shè)情況及被測(cè)系統(tǒng)與單位其他系統(tǒng)之間的連接情況等。根據(jù)等級(jí)保護(hù)過(guò)程中的等級(jí)測(cè)評(píng)實(shí)施要求，將測(cè)評(píng)活動(dòng)所依據(jù)的標(biāo)準(zhǔn)羅列出來(lái)。依據(jù)委托測(cè)評(píng)協(xié)議書(shū)和被測(cè)系統(tǒng)情況，估算現(xiàn)場(chǎng)測(cè)評(píng)工作量。工作量可以根據(jù)配置檢查的節(jié)點(diǎn)數(shù)量和工具測(cè)試的接入點(diǎn)及測(cè)試內(nèi)容等情況進(jìn)行估算。根據(jù)測(cè)評(píng)項(xiàng)目組成員安排，編制工作安排情況。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第45頁(yè)/共90頁(yè)工作流程主要任務(wù)輸出文檔雙方的職責(zé)任務(wù)描述根據(jù)以往測(cè)評(píng)經(jīng)驗(yàn)以及被測(cè)系統(tǒng)規(guī)模，編制具體測(cè)評(píng)計(jì)劃，包括現(xiàn)場(chǎng)工作人員的分工和時(shí)間安排。在進(jìn)行時(shí)間計(jì)劃安排時(shí)，應(yīng)盡量避開(kāi)被測(cè)系統(tǒng)的業(yè)務(wù)高峰期，避免給被測(cè)系統(tǒng)帶來(lái)影響。同時(shí)，在測(cè)評(píng)計(jì)劃中應(yīng)將具體測(cè)評(píng)所需條件以及測(cè)評(píng)需要的配合人員也一并給出，便于測(cè)評(píng)實(shí)施之前雙方溝通協(xié)調(diào)、合理安排。匯總上述內(nèi)容及方案編制活動(dòng)的其他任務(wù)獲取的內(nèi)容形成測(cè)評(píng)方案文稿。評(píng)審和提交測(cè)評(píng)方案。測(cè)評(píng)方案初稿應(yīng)通過(guò)測(cè)評(píng)項(xiàng)目組全體成員評(píng)審，修改完成后形成提交稿。然后，測(cè)評(píng)機(jī)構(gòu)將測(cè)評(píng)方案提交給測(cè)評(píng)委托單位簽字認(rèn)可。測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第46頁(yè)/共90頁(yè)47工作流程主要任務(wù)輸出文檔雙方的職責(zé)測(cè)評(píng)對(duì)象確定填好的調(diào)查表格主要任務(wù)輸入輸出確定出的測(cè)評(píng)對(duì)象列表測(cè)評(píng)指標(biāo)確定填好的調(diào)查表格、《基本要求》確定出的測(cè)評(píng)指標(biāo)主要任務(wù)輸入輸出測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制填好的調(diào)查表格，確定出的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)試工具接入點(diǎn)單元測(cè)評(píng)內(nèi)容填好的調(diào)查表格，《測(cè)評(píng)要求》確定出的測(cè)試工具接入點(diǎn)及測(cè)試路徑單元測(cè)評(píng)內(nèi)容測(cè)評(píng)指導(dǎo)書(shū)委托測(cè)評(píng)協(xié)議書(shū)，填好的調(diào)研表格，確定出的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)試工具接入點(diǎn)，單元測(cè)評(píng)內(nèi)容測(cè)評(píng)文案文本三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第47頁(yè)/共90頁(yè)48工作流程主要任務(wù)輸出文檔雙方的職責(zé)任務(wù)輸出文檔文檔內(nèi)容測(cè)評(píng)對(duì)象確定測(cè)評(píng)方案的測(cè)評(píng)對(duì)象部分被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)、測(cè)評(píng)對(duì)象等 測(cè)評(píng)指標(biāo)確定測(cè)評(píng)方案的測(cè)評(píng)指標(biāo)部分被測(cè)系統(tǒng)定級(jí)結(jié)果、測(cè)評(píng)指標(biāo)測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)方案的測(cè)評(píng)工具接入點(diǎn)部分 測(cè)評(píng)工具接入點(diǎn)及測(cè)試方法 測(cè)評(píng)內(nèi)容確定測(cè)評(píng)方案的單元測(cè)評(píng)實(shí)施部分單元測(cè)評(píng)實(shí)施內(nèi)容測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)各測(cè)評(píng)對(duì)象的測(cè)評(píng)內(nèi)容及方法測(cè)評(píng)方案編制測(cè)評(píng)文案文本項(xiàng)目概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)試工具接入點(diǎn)、單元測(cè)評(píng)實(shí)施內(nèi)容等

三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第48頁(yè)/共90頁(yè)49工作流程主要任務(wù)輸出文檔雙方的職責(zé)

詳細(xì)分析被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。

初步判斷被測(cè)系統(tǒng)的安全薄弱點(diǎn)。

分析確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，確定測(cè)評(píng)內(nèi)容及方法。

編制測(cè)評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審，并提交被測(cè)機(jī)構(gòu)簽字確認(rèn)。對(duì)測(cè)評(píng)方案進(jìn)行認(rèn)可，并簽字確認(rèn)。測(cè)評(píng)機(jī)構(gòu)職責(zé)測(cè)評(píng)委托單位職責(zé)三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹方案編制活動(dòng)第49頁(yè)/共90頁(yè)50工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)包括現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還三項(xiàng)主要任務(wù)。這三項(xiàng)任務(wù)的基本工作流程如圖所示：現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備工作流程現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第50頁(yè)/共90頁(yè)51工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還本任務(wù)啟動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)，是保證測(cè)評(píng)機(jī)構(gòu)能夠順利實(shí)施測(cè)評(píng)的前提。任務(wù)描述測(cè)評(píng)委托單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)。召開(kāi)測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，測(cè)評(píng)機(jī)構(gòu)介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和方案中的內(nèi)容，說(shuō)明測(cè)評(píng)過(guò)程中具體的實(shí)施工作內(nèi)容，測(cè)評(píng)時(shí)間安排等，以便于后面的測(cè)評(píng)工作開(kāi)展。測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括測(cè)評(píng)委托單位的配合人員和需要提供的測(cè)評(píng)條件等，確認(rèn)被測(cè)系統(tǒng)已備份過(guò)系統(tǒng)及數(shù)據(jù)。測(cè)評(píng)人員根據(jù)會(huì)議溝通結(jié)果，對(duì)測(cè)評(píng)結(jié)果記錄表單和測(cè)評(píng)程序進(jìn)行必要的更新。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第51頁(yè)/共90頁(yè)52工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還現(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看五個(gè)方面。訪談測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。具體可參照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》中的各級(jí)要求。輸入：測(cè)評(píng)指導(dǎo)書(shū)，技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄表格。輸出/產(chǎn)品：技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第52頁(yè)/共90頁(yè)53工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還文檔審查檢查GB/T22239-2008中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。檢查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、電子記錄、高等級(jí)系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。對(duì)上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。輸入：安全方針文件，安全管理制度，安全管理的執(zhí)行過(guò)程文檔，系統(tǒng)設(shè)計(jì)方案，網(wǎng)絡(luò)設(shè)備的技術(shù)資料，系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明，系統(tǒng)的各種運(yùn)行記錄文檔，機(jī)房建設(shè)相關(guān)資料，機(jī)房出入記錄等過(guò)程記錄文檔，測(cè)評(píng)指導(dǎo)書(shū)，管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄表格。輸出/產(chǎn)品：管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第53頁(yè)/共90頁(yè)54工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還配置檢查根據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等）。如果系統(tǒng)在輸入無(wú)效命令時(shí)不能完成其功能，將要對(duì)其進(jìn)行錯(cuò)誤測(cè)試。針對(duì)網(wǎng)絡(luò)連接，應(yīng)對(duì)連接規(guī)則進(jìn)行驗(yàn)證。輸入：測(cè)評(píng)指導(dǎo)書(shū)，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第54頁(yè)/共90頁(yè)55工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還工具測(cè)試根據(jù)測(cè)評(píng)指導(dǎo)書(shū)，利用技術(shù)工具對(duì)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透性測(cè)試、性能測(cè)試、入侵檢測(cè)和協(xié)議分析等。備份測(cè)試結(jié)果。輸入：測(cè)評(píng)指導(dǎo)書(shū)，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄，備份的測(cè)試結(jié)果文件。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第55頁(yè)/共90頁(yè)56工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還實(shí)地察看根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，測(cè)評(píng)人員到系統(tǒng)運(yùn)行現(xiàn)場(chǎng)通過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。輸入：測(cè)評(píng)指導(dǎo)書(shū)，技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄表格。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第56頁(yè)/共90頁(yè)57工作流程主要任務(wù)輸出文檔雙方的職責(zé)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還任務(wù)描述測(cè)評(píng)人員在現(xiàn)場(chǎng)測(cè)評(píng)完成之后，應(yīng)首先匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄，對(duì)漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng)。召開(kāi)測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì)，測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行現(xiàn)場(chǎng)確認(rèn)。測(cè)評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過(guò)程中借閱的所有文檔資料，并由測(cè)評(píng)委托單位文檔資料提供者簽字確認(rèn)。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第57頁(yè)/共90頁(yè)58工作流程主要任務(wù)輸出文檔雙方的職責(zé)主要任務(wù)輸入輸出/產(chǎn)品現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)，測(cè)評(píng)方案，測(cè)評(píng)指導(dǎo)書(shū)現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還會(huì)議記錄，更新后的測(cè)評(píng)計(jì)劃和測(cè)評(píng)程序，確認(rèn)的現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，測(cè)評(píng)結(jié)果記錄表格測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄等測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄等現(xiàn)場(chǎng)測(cè)評(píng)中發(fā)現(xiàn)的主要問(wèn)題匯總，證據(jù)和證據(jù)源記錄，測(cè)評(píng)委托單位對(duì)測(cè)評(píng)結(jié)果記錄的書(shū)面認(rèn)可三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第58頁(yè)/共90頁(yè)59工作流程主要任務(wù)輸出文檔雙方的職責(zé)任務(wù)輸出文檔文檔內(nèi)容現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備會(huì)議記錄、確認(rèn)的測(cè)評(píng)授權(quán)書(shū)、更新后的測(cè)評(píng)計(jì)劃和測(cè)評(píng)程序 工作計(jì)劃和內(nèi)容安排，雙方人員的協(xié)調(diào)，測(cè)評(píng)委托單位應(yīng)提供的配合 訪談技術(shù)安全和管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音 訪談?dòng)涗浳臋n審查管理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄 管理制度和管理執(zhí)行過(guò)程文檔的記錄

配置檢查技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄 檢查內(nèi)容的記錄工具測(cè)試技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄，備份的測(cè)試結(jié)果文件 漏洞掃描、滲透性測(cè)試、性能測(cè)試、入侵檢測(cè)和協(xié)議分析等內(nèi)容的技術(shù)測(cè)試結(jié)果 實(shí)地察看技術(shù)安全測(cè)評(píng)的物理安全和管理安全測(cè)評(píng)結(jié)果記錄 檢查內(nèi)容的記錄

測(cè)評(píng)結(jié)果確認(rèn)現(xiàn)場(chǎng)核查中發(fā)現(xiàn)的問(wèn)題匯總、證據(jù)和證據(jù)源記錄、測(cè)評(píng)委托單位的書(shū)面認(rèn)可文件

測(cè)評(píng)活動(dòng)中發(fā)現(xiàn)的問(wèn)題、問(wèn)題的證據(jù)和證據(jù)源、每項(xiàng)檢查活動(dòng)中測(cè)評(píng)委托單位配合人員的書(shū)面認(rèn)可

三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第59頁(yè)/共90頁(yè)60工作流程主要任務(wù)輸出文檔雙方的職責(zé)利用訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地察看的方法測(cè)評(píng)被測(cè)系統(tǒng)的保護(hù)措施情況，并獲取相關(guān)證據(jù)。測(cè)評(píng)前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測(cè)設(shè)備狀態(tài)完好。協(xié)調(diào)被測(cè)系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測(cè)評(píng)工作的開(kāi)展。簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)。相關(guān)人員回答測(cè)評(píng)人員的問(wèn)詢，對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作。相關(guān)人員確認(rèn)測(cè)試前協(xié)助測(cè)評(píng)人員實(shí)施工具測(cè)試并提供有效建議，降低安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響。相關(guān)人員協(xié)助測(cè)評(píng)人員完成業(yè)務(wù)相關(guān)內(nèi)容的問(wèn)詢、驗(yàn)證和測(cè)試。相關(guān)人員對(duì)測(cè)評(píng)結(jié)果進(jìn)行確認(rèn)。相關(guān)人員確認(rèn)測(cè)試后被測(cè)設(shè)備狀態(tài)完好。測(cè)評(píng)機(jī)構(gòu)職責(zé)測(cè)評(píng)委托單位職責(zé)三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)第60頁(yè)/共90頁(yè)61工作流程主要任務(wù)輸出文檔雙方的職責(zé)分析和報(bào)告編制活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》的有關(guān)要求，通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告文本。分析與報(bào)告編制活動(dòng)包括單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制六項(xiàng)主要任務(wù)。這六項(xiàng)任務(wù)的基本工作流程如圖所示：?jiǎn)雾?xiàng)測(cè)評(píng)結(jié)果判定工作流程單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第61頁(yè)/共90頁(yè)62工作流程主要任務(wù)輸出文檔雙方的職責(zé)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制本任務(wù)主要是針對(duì)測(cè)評(píng)指標(biāo)中的單個(gè)測(cè)評(píng)項(xiàng)，結(jié)合具體測(cè)評(píng)對(duì)象，客觀、準(zhǔn)確地分析測(cè)評(píng)證據(jù)，形成初步單項(xiàng)測(cè)評(píng)結(jié)果，單項(xiàng)測(cè)評(píng)結(jié)果是形成等級(jí)測(cè)評(píng)結(jié)論的基礎(chǔ)。任務(wù)描述針對(duì)每個(gè)測(cè)評(píng)項(xiàng)，分析該測(cè)評(píng)項(xiàng)所對(duì)抗的威脅在被測(cè)系統(tǒng)中是否存在，如果不存在，則該測(cè)評(píng)項(xiàng)應(yīng)標(biāo)為不適用項(xiàng)。對(duì)于適用項(xiàng)，則按照等級(jí)保護(hù)相關(guān)要求進(jìn)行測(cè)評(píng)。分析單個(gè)測(cè)評(píng)項(xiàng)是否有多方面的要求內(nèi)容，針對(duì)每一方面的要求內(nèi)容，從一個(gè)或多個(gè)測(cè)評(píng)證據(jù)中選擇出“優(yōu)勢(shì)證據(jù)”，并將“優(yōu)勢(shì)證據(jù)”與要求內(nèi)容的預(yù)期測(cè)評(píng)結(jié)果相比較。如果測(cè)評(píng)證據(jù)表明所有要求內(nèi)容與預(yù)期測(cè)評(píng)結(jié)果一致，則判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為符合；如果測(cè)評(píng)證據(jù)表明所有要求內(nèi)容與預(yù)期測(cè)評(píng)結(jié)果不一致，判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為不符合；否則判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為部分符合。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第62頁(yè)/共90頁(yè)63工作流程主要任務(wù)輸出文檔雙方的職責(zé)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制本任務(wù)主要是將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列出。任務(wù)描述按層面分別匯總不同測(cè)評(píng)對(duì)象對(duì)應(yīng)測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果情況，包括測(cè)評(píng)多少項(xiàng)，符合要求的多少項(xiàng)等內(nèi)容，一般以表格形式列出。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第63頁(yè)/共90頁(yè)64工作流程主要任務(wù)輸出文檔雙方的職責(zé)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果，并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。任務(wù)描述針對(duì)測(cè)評(píng)對(duì)象“部分符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該測(cè)評(píng)項(xiàng)相關(guān)的其他測(cè)評(píng)項(xiàng)能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，以及該測(cè)評(píng)項(xiàng)的不足是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。針對(duì)測(cè)評(píng)對(duì)象“部分符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該測(cè)評(píng)項(xiàng)相關(guān)的其他層面的測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，以及該測(cè)評(píng)項(xiàng)的不足是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。針對(duì)測(cè)評(píng)對(duì)象“部分符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該測(cè)評(píng)項(xiàng)相關(guān)的其他區(qū)域的測(cè)評(píng)對(duì)象能否和它發(fā)生關(guān)聯(lián)關(guān)系，發(fā)生什么樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，以及該測(cè)評(píng)項(xiàng)的不足是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果從安全角度分析被測(cè)系統(tǒng)整體結(jié)構(gòu)的安全性，從系統(tǒng)角度分析被測(cè)系統(tǒng)整體安全防范的合理性。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第64頁(yè)/共90頁(yè)65工作流程主要任務(wù)輸出文檔雙方的職責(zé)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制測(cè)評(píng)人員依據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問(wèn)題可能對(duì)被測(cè)系統(tǒng)安全造成的影響。結(jié)合單元測(cè)評(píng)的結(jié)果匯總和整體測(cè)評(píng)結(jié)果，將物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全等層面中各個(gè)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果再次匯總分析，統(tǒng)計(jì)符合情況。一般可以表格的形式描述。判斷測(cè)評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題被威脅利用的可能性，可能性的取值范圍為高、中和低。判斷測(cè)評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題被威脅利用后，對(duì)被測(cè)系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范圍為高、中和低。對(duì)被測(cè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行賦值，風(fēng)險(xiǎn)值的取值范圍為高、中和低。結(jié)合被測(cè)系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。任務(wù)描述三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第65頁(yè)/共90頁(yè)66工作流程主要任務(wù)輸出文檔雙方的職責(zé)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制測(cè)評(píng)人員在測(cè)評(píng)結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距，并形成等級(jí)測(cè)評(píng)結(jié)論。任務(wù)描述根據(jù)測(cè)評(píng)結(jié)果匯總表格，如果部分符合和不符合項(xiàng)的統(tǒng)計(jì)結(jié)果不全為0，則該信息系統(tǒng)未達(dá)到相應(yīng)等級(jí)的基本安全保護(hù)能力；如果部分符合和不符合項(xiàng)的統(tǒng)計(jì)結(jié)果全為0，則該信息系統(tǒng)達(dá)到了相應(yīng)等級(jí)的基本安全保護(hù)能力。三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第66頁(yè)/共90頁(yè)工作流程主要任務(wù)輸出文檔雙方的職責(zé)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制測(cè)評(píng)報(bào)告應(yīng)包括但不局限于以下內(nèi)容：概述、被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)象說(shuō)明、測(cè)評(píng)指標(biāo)說(shuō)明、測(cè)評(píng)內(nèi)容和方法說(shuō)明、單元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改建議等。其中，概述部分描述被測(cè)系統(tǒng)的總體情況、本次測(cè)評(píng)的主要測(cè)評(píng)目的和依據(jù)；被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)內(nèi)容和方法等部分內(nèi)容編制時(shí)可以參考測(cè)評(píng)方案相關(guān)部分內(nèi)容，有改動(dòng)的地方應(yīng)根據(jù)實(shí)際測(cè)評(píng)情況進(jìn)行修改。任務(wù)描述測(cè)評(píng)人員整理前面幾項(xiàng)任務(wù)的輸出/產(chǎn)品，編制測(cè)評(píng)報(bào)告相應(yīng)部分。針對(duì)測(cè)評(píng)委托單位每個(gè)系統(tǒng)應(yīng)形成一份測(cè)評(píng)報(bào)告，如果一個(gè)測(cè)評(píng)委托單位內(nèi)有多個(gè)被測(cè)系統(tǒng)，報(bào)告中應(yīng)分別描述每一個(gè)被測(cè)系統(tǒng)的等級(jí)測(cè)評(píng)情況。針對(duì)被測(cè)系統(tǒng)存在的安全隱患，從系統(tǒng)安全角度提出相應(yīng)的改進(jìn)建議，編制測(cè)評(píng)報(bào)告的安全建設(shè)整改建議部分。列表給出現(xiàn)場(chǎng)測(cè)評(píng)的文檔清單和單項(xiàng)測(cè)評(píng)記錄，以及對(duì)各個(gè)測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果判定情況，編制測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果記錄和問(wèn)題分析部分。測(cè)評(píng)報(bào)告編制完成后，測(cè)評(píng)機(jī)構(gòu)應(yīng)根據(jù)測(cè)評(píng)協(xié)議書(shū)、測(cè)評(píng)委托單位提交的相關(guān)文檔、測(cè)評(píng)原始記錄和其他輔助信息，對(duì)測(cè)評(píng)報(bào)告進(jìn)行評(píng)審。評(píng)審?fù)ㄟ^(guò)后，由項(xiàng)目負(fù)責(zé)人簽字確認(rèn)并提交給測(cè)評(píng)委托單位。67三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第67頁(yè)/共90頁(yè)68工作流程主要任務(wù)輸出文檔雙方的職責(zé)主要任務(wù)輸入輸出/產(chǎn)品單項(xiàng)測(cè)評(píng)結(jié)果判定測(cè)評(píng)結(jié)果記彔，測(cè)評(píng)指導(dǎo)書(shū)單項(xiàng)測(cè)評(píng)結(jié)果單元測(cè)評(píng)結(jié)果判定單項(xiàng)測(cè)評(píng)結(jié)果單元測(cè)評(píng)結(jié)果整體測(cè)評(píng)單元測(cè)評(píng)結(jié)果整體測(cè)評(píng)結(jié)果風(fēng)險(xiǎn)分析整體測(cè)評(píng)結(jié)果風(fēng)險(xiǎn)分析結(jié)果等級(jí)測(cè)評(píng)結(jié)論形成單元測(cè)評(píng)結(jié)果整體測(cè)評(píng)結(jié)果等級(jí)測(cè)評(píng)結(jié)論測(cè)評(píng)報(bào)告編制測(cè)評(píng)方案/測(cè)評(píng)結(jié)果記彔、單項(xiàng)測(cè)評(píng)結(jié)果、單元測(cè)評(píng)結(jié)果、整體測(cè)評(píng)結(jié)果、風(fēng)險(xiǎn)分析結(jié)果測(cè)評(píng)報(bào)告文本三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第68頁(yè)/共90頁(yè)69工作流程主要任務(wù)輸出文檔雙方的職責(zé)任務(wù)輸出文檔文檔內(nèi)容單項(xiàng)測(cè)評(píng)結(jié)果判定等級(jí)測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果記錄部分 分析被測(cè)系統(tǒng)的安全現(xiàn)狀（各個(gè)層面的基本安全狀況）與標(biāo)準(zhǔn)中相應(yīng)等級(jí)的基本要求的符合情況，給出單項(xiàng)測(cè)評(píng)結(jié)果。 單項(xiàng)測(cè)評(píng)結(jié)果匯總分析等級(jí)測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果匯總部分 匯總統(tǒng)計(jì)單項(xiàng)測(cè)評(píng)結(jié)果，給出針對(duì)每個(gè)對(duì)象的單元測(cè)評(píng)結(jié)果。 整體測(cè)評(píng)等級(jí)測(cè)評(píng)報(bào)告的整體測(cè)評(píng)部分 分析被測(cè)系統(tǒng)整體安全狀況及對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的修訂情況。

風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)報(bào)告的風(fēng)險(xiǎn)分析和評(píng)價(jià)部分 分析被測(cè)系統(tǒng)存在的風(fēng)險(xiǎn)情況。 等級(jí)測(cè)評(píng)結(jié)論形成等級(jí)測(cè)評(píng)報(bào)告的等級(jí)測(cè)評(píng)結(jié)論部分 對(duì)測(cè)評(píng)結(jié)果進(jìn)行分析，形成等級(jí)測(cè)評(píng)結(jié)論。 測(cè)評(píng)報(bào)告編制等級(jí)測(cè)評(píng)報(bào)告單項(xiàng)測(cè)評(píng)記錄和結(jié)果，單項(xiàng)測(cè)評(píng)結(jié)果匯總，整體測(cè)評(píng)過(guò)程及結(jié)果，風(fēng)險(xiǎn)分析過(guò)程及結(jié)果，等級(jí)測(cè)評(píng)結(jié)論，安全建設(shè)整改建議等。 三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第69頁(yè)/共90頁(yè)70工作流程主要任務(wù)輸出文檔雙方的職責(zé)分析并判定單項(xiàng)測(cè)評(píng)結(jié)果和整體測(cè)評(píng)結(jié)果。分析評(píng)價(jià)被測(cè)系統(tǒng)存在的風(fēng)險(xiǎn)情況。根據(jù)測(cè)評(píng)結(jié)果形成等級(jí)測(cè)評(píng)結(jié)論。編制等級(jí)測(cè)評(píng)報(bào)告，說(shuō)明系統(tǒng)存在的安全隱患和缺陷，并給出改進(jìn)建議。評(píng)審等級(jí)測(cè)評(píng)報(bào)告，并將評(píng)審過(guò)的等級(jí)測(cè)評(píng)報(bào)告按照分發(fā)范圍進(jìn)行分發(fā)。將生成的過(guò)程文檔歸檔保存，并將測(cè)評(píng)過(guò)程中生成的電子文檔清除。簽收測(cè)評(píng)報(bào)告。測(cè)評(píng)機(jī)構(gòu)職責(zé)測(cè)評(píng)委托單位職責(zé)三、信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹分析和報(bào)告編制活動(dòng)第70頁(yè)/共90頁(yè)目錄711信息安全等級(jí)保護(hù)概述3信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹2信息安全等級(jí)測(cè)評(píng)概述4現(xiàn)場(chǎng)工作時(shí)間安排5附錄第71頁(yè)/共90頁(yè)時(shí)間安排項(xiàng)目階段工作周期工作任務(wù)輸出成果籌劃準(zhǔn)備階段0.5周前期調(diào)研資料收集項(xiàng)目籌備《XXXXX系統(tǒng)安全等級(jí)保護(hù)安全測(cè)評(píng)實(shí)施方案》《XXXXX系統(tǒng)安全等級(jí)保護(hù)安全測(cè)評(píng)調(diào)研表格》項(xiàng)目啟動(dòng)階段0.5天項(xiàng)目啟動(dòng)溝通協(xié)調(diào)現(xiàn)場(chǎng)工作準(zhǔn)備《XXXXX系統(tǒng)安全等級(jí)保護(hù)安全測(cè)評(píng)項(xiàng)目現(xiàn)場(chǎng)工作計(jì)劃》、《XXXXX系統(tǒng)安全等級(jí)保護(hù)安全測(cè)評(píng)項(xiàng)目啟動(dòng)會(huì)PPT》、《XXXXX系統(tǒng)安全等級(jí)保護(hù)安全測(cè)評(píng)現(xiàn)場(chǎng)作業(yè)指導(dǎo)書(shū)》現(xiàn)場(chǎng)測(cè)評(píng)階段1~2周現(xiàn)場(chǎng)數(shù)據(jù)采集訪談與檢測(cè)測(cè)評(píng)結(jié)果記錄《XXXXX系統(tǒng)等級(jí)保護(hù)安全測(cè)評(píng)現(xiàn)場(chǎng)數(shù)據(jù)記錄》三、現(xiàn)場(chǎng)工作安排第72頁(yè)/共90頁(yè)時(shí)間安排項(xiàng)目階段工作周期工作任務(wù)輸出成果結(jié)論分析與報(bào)告編制階段2周現(xiàn)場(chǎng)采集數(shù)據(jù)結(jié)果分析測(cè)評(píng)結(jié)果確認(rèn)風(fēng)險(xiǎn)計(jì)算安全建議溝通《XXXXX系統(tǒng)等級(jí)保護(hù)安全單項(xiàng)測(cè)評(píng)結(jié)果》、《XXXXX系統(tǒng)等級(jí)保護(hù)安全單元測(cè)評(píng)結(jié)果》、《XXXXX系統(tǒng)等級(jí)保護(hù)安全整體測(cè)評(píng)結(jié)果》報(bào)告編寫(xiě)報(bào)告修訂與審核《XXXXX系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》《XXXXX系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)整改建議》報(bào)告提交項(xiàng)目驗(yàn)收階段1天驗(yàn)收材料準(zhǔn)備項(xiàng)目總體驗(yàn)收《現(xiàn)場(chǎng)總結(jié)報(bào)告》、《項(xiàng)目驗(yàn)收工作報(bào)告》三、現(xiàn)場(chǎng)工作安排第73頁(yè)/共90頁(yè)工作配合:資料：網(wǎng)絡(luò)拓?fù)鋱D、資產(chǎn)清單（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)等）、設(shè)備臺(tái)賬現(xiàn)有安全措施以及安全設(shè)備的配置文檔、網(wǎng)絡(luò)配置文檔、系統(tǒng)配置文檔被測(cè)評(píng)業(yè)務(wù)系統(tǒng)設(shè)計(jì)手冊(cè)（系統(tǒng)包括安全設(shè)計(jì)）、使用手冊(cè)、業(yè)務(wù)流程信息安全總體策略、方針和戰(zhàn)略規(guī)劃，各種信息安全管理制度、規(guī)定、記錄表單等人員配合信息安全管理人員，信息安全主管部門(mén)領(lǐng)導(dǎo)和員工網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)管理員相關(guān)業(yè)務(wù)系統(tǒng)開(kāi)發(fā)人員和用戶等，業(yè)務(wù)相關(guān)部門(mén)人員環(huán)境相對(duì)獨(dú)立的辦公場(chǎng)地網(wǎng)絡(luò)測(cè)試接入點(diǎn)三、現(xiàn)場(chǎng)工作安排第74頁(yè)/共90頁(yè)目錄751信息安全等級(jí)保護(hù)概述3信息安全等級(jí)測(cè)評(píng)內(nèi)容介紹2信息安全等級(jí)測(cè)評(píng)概述4現(xiàn)場(chǎng)工作時(shí)間安排5附錄第75頁(yè)/共90頁(yè)76國(guó)網(wǎng)電力科學(xué)研究院是國(guó)家電網(wǎng)公司直屬科研單位，我國(guó)電力行業(yè)最大的研究開(kāi)發(fā)中心和產(chǎn)業(yè)化基地，專業(yè)涵蓋電力、電網(wǎng)、水利、軌道交通、石油化工等領(lǐng)域，是國(guó)家重點(diǎn)高新技術(shù)企業(yè)，連續(xù)十屆進(jìn)入中國(guó)軟件企業(yè)百?gòu)?qiáng)、連續(xù)六屆成為中國(guó)十大創(chuàng)新軟件企業(yè)，擁有國(guó)家信息安全服務(wù)一級(jí)、風(fēng)險(xiǎn)評(píng)估一級(jí)、等級(jí)保護(hù)測(cè)評(píng)、ISO9001、ISO27001等資質(zhì)?，F(xiàn)有資產(chǎn)總額338億元，中國(guó)工程院院士2名，員工21000余人，其中信通分公司600余人、信息安全研究與服務(wù)團(tuán)隊(duì)70余人。國(guó)網(wǎng)電力科學(xué)研究院?jiǎn)挝缓?jiǎn)介資質(zhì)榮譽(yù)科研成果附件一、單位概況第76頁(yè)/共90頁(yè)資質(zhì)及榮譽(yù)創(chuàng)新軟件企業(yè)國(guó)家電力自動(dòng)化工程技術(shù)研究中心國(guó)家火炬計(jì)劃重點(diǎn)高新技術(shù)企業(yè)電力系統(tǒng)自動(dòng)化國(guó)家工程研究中心電力行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)中心第三實(shí)驗(yàn)室國(guó)家認(rèn)定企業(yè)技術(shù)中心單位簡(jiǎn)介資質(zhì)榮譽(yù)科研成果77附件一、單位概況第77頁(yè)/共90頁(yè)科研成果656項(xiàng)科研成果通過(guò)省、部級(jí)技術(shù)鑒定；62項(xiàng)科研成果獲國(guó)家級(jí)科技獎(jiǎng)勵(lì)，其中國(guó)家科技進(jìn)步一等獎(jiǎng)5項(xiàng)，472項(xiàng)科研成果獲省、部級(jí)科技獎(jiǎng)勵(lì)；獲專利授權(quán)577項(xiàng)，登記軟件產(chǎn)品155項(xiàng)，取得計(jì)算機(jī)軟件著作權(quán)284項(xiàng)；主持制定國(guó)家標(biāo)準(zhǔn)129項(xiàng)，行業(yè)標(biāo)準(zhǔn)89項(xiàng)；形成系統(tǒng)完備、裝備精良、開(kāi)放高效的試驗(yàn)研究體系。科技進(jìn)步獎(jiǎng)全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案的研究及實(shí)施，國(guó)家二等獎(jiǎng)電力系統(tǒng)暫態(tài)穩(wěn)定EEAC理論與算法，國(guó)家一等獎(jiǎng)繼電保護(hù)“工頻變化量原理和判據(jù)”，國(guó)家一等獎(jiǎng)優(yōu)秀專利與軟件產(chǎn)品單向連接網(wǎng)絡(luò)安全隔離裝置，ZL200420025888.6南瑞ST-3000安全傳輸系統(tǒng)軟件基于靜態(tài)和暫態(tài)安全穩(wěn)定模式的大電網(wǎng)在線預(yù)防控制方法，ZL200710135089.2南瑞NC2000計(jì)算機(jī)監(jiān)控軟件重點(diǎn)實(shí)驗(yàn)室電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)第三測(cè)評(píng)實(shí)驗(yàn)室電力系統(tǒng)安全穩(wěn)定分析與控制實(shí)驗(yàn)室自動(dòng)化設(shè)備電磁兼容實(shí)驗(yàn)室單位簡(jiǎn)介資質(zhì)榮譽(yù)科研成果78附件一、單位概況第78頁(yè)/共90頁(yè)

國(guó)網(wǎng)電科院信息安全專業(yè)始于2002年，目前已成為行業(yè)內(nèi)權(quán)威的信息安全咨詢服務(wù)提供商，

是電力行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)中心第三實(shí)驗(yàn)室依托單位，負(fù)責(zé)實(shí)驗(yàn)室建設(shè)、運(yùn)行和業(yè)務(wù)開(kāi)展等工作。目前擁有國(guó)家信息安全服務(wù)一級(jí)、風(fēng)險(xiǎn)評(píng)估一級(jí)、應(yīng)急處理二級(jí)、CNAS實(shí)驗(yàn)室認(rèn)可、CMA計(jì)量認(rèn)證等權(quán)威資質(zhì)。

團(tuán)隊(duì)中有70余人次取得CISSP、CISP、等級(jí)保護(hù)測(cè)評(píng)師、CCIE、ISMS和高級(jí)項(xiàng)目經(jīng)理等權(quán)威資格認(rèn)證。主要從事信息安全咨詢規(guī)劃、等級(jí)保護(hù)、安全評(píng)估、頂層設(shè)計(jì)、安全運(yùn)營(yíng)、應(yīng)急處置等相關(guān)服務(wù)活動(dòng)?？傮w情況機(jī)構(gòu)資質(zhì)專業(yè)團(tuán)隊(duì)實(shí)驗(yàn)環(huán)境管理體系核心技術(shù)附件二、實(shí)驗(yàn)室概況79第79頁(yè)/共90頁(yè)總體情況機(jī)構(gòu)資質(zhì)專業(yè)團(tuán)隊(duì)實(shí)驗(yàn)環(huán)境管理體系核心技術(shù)經(jīng)過(guò)十余年持續(xù)投入，實(shí)驗(yàn)室機(jī)構(gòu)資質(zhì)建設(shè)取得一定成果，已通過(guò)多項(xiàng)國(guó)家及行業(yè)的權(quán)威資質(zhì)認(rèn)證：國(guó)家能源局電力行業(yè)信息安全等級(jí)保護(hù)第三測(cè)評(píng)實(shí)驗(yàn)室；國(guó)家信息安全服務(wù)（安全工程類）一級(jí)資質(zhì)認(rèn)證；國(guó)家風(fēng)險(xiǎn)評(píng)估一級(jí)資質(zhì)認(rèn)證（最高）；國(guó)家應(yīng)急處理二級(jí)資質(zhì)認(rèn)證；國(guó)家安全集成二級(jí)資質(zhì)認(rèn)證；國(guó)家實(shí)驗(yàn)室認(rèn)可委CNAS認(rèn)可和中國(guó)計(jì)量認(rèn)證；中國(guó)密碼協(xié)會(huì)會(huì)員單位；國(guó)家電網(wǎng)公司安全評(píng)估服務(wù)