篇一 :等级保护测评

等级保护测评

等级保护测评

关键词:等级保护;测评;信息安全;管理

研究和探讨如何有效地管理等级保护测评机构,以确保测评机构

管理和技术能力得到不断提升,保证测评机构在等级测评上的独立

性、公正性和合规性,并对促进等级测评的顺利开展提出改善方向

和意见。

信息安全等级保护作为国家信息安全工作的一项基本制度、基本

国策,已经在全国实行多年,各信息系统运营使用单位都深刻认识

到等级保护制度的重要性。在我国信息安全等级保护制度中,等级

保护分五个工作环节——定级、备案、建设整改、等级测评和监督

检查。其中,等级测评是等级测评机构依据国家信息安全等级保护

制度规定,受有关单位委托,按照有关管理规范和技术标准,对非

涉及国家秘密信息系统安全等级保护状况进行的检测评估活动,是

信息安全等级保护工作的重要环节。

随着等级保护工作的不断推进,等级测评机构的体系建设也在不

断深入,全国等级测评机构的数量在不断增加,测评机构的品质和

能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将

不断出现。因此,加强对等级测评机构的合理、有效监管,对提升

测评行业质量,保证测评数据公正、客观,以及保障重点行业的重

要信息系统安全等至关重要。

1 国家层面对测评机构的监管模式

等级保护测评

测评工作作为等级保护制度中最重要工作环节,具有明显的专业

性和技术性恃点,其政策导向性强。因此,仅有相关测评技术标准

是不够的,测评机构的体系化、规范化管理也是关键。

20xx年7月公安部开始信息安全等级保护测评体系建设试点工作,

其目的是探索信息安全等级保护测评体系建设和管理的模式和经

验,保证全国重要信息系统等级保护安全建设工作的顺利开展。试

点工作主要在浙江、重庆、河南、广东等省市展开。其主要内容是

根据《信息安全等级保护管理办法》和有关技术标准完成五个方面

的工作:一是检验并完善等级测评机构应具备的条件;二是检验并

…… …… 余下全文

篇二 :信息安全等级保护测评项目报告表下载

附件7:

信息安全等级保护测评项目报告表

填表人:                                                           填表时间:

…… …… 余下全文

篇三 :有关等级保护现场测评时的一些体会

有关等级保护现场测评时的一些体会

现场测评是开展等保保护测评一项重要工作过程,目的是跟客户当面沟通,现场检查,获取系统真实安全信息,查找安全问题。

很多同事,尤其是刚参加现场测评的,总感觉难度很大,碰到现场一些问题,不好处理,工作起来顾虑重重,畏手畏脚,总觉得咱是去做服务的,低人一等。

总结来说,现场测评时经常遇到的问题主要有:

一、 客户不愿意配合,可能真是是对方很忙,没时间;

二、 对等保测评工作轻视,认为是走过程,没啥用;怕被发现

有问题被领导批评;

三、 认为我们技术水平不行,弄不出个啥来;

四、 担心把我们系统号坏了,出啥问题了。

针对现场中可能遇到的上述这些问题,其中几点我觉的可以从以下两个个方面来应对。

一是,要抱着一种我们是去提供服务的心态去测评,是去帮助他们查找问题,解决问题,防范安全风险的。

二是,要处处为对方着想,站在对方得角度去想事情。不管是跟对方交流还是做事,你只要表现的是为他好为他想,我想,是没有人不会不愿意的。

举例,某被测评公司的人,公司驻场的同事都觉得很可恶,比较难对付,尤其是一个管事的叫xx的家伙,我去现场也多听到其他公

司驻场人员的不满、诉说和抱怨,当时我因为当天工作上要找这个XX沟通,我通过电话事先联系他,在电话中我就一直把他当做领导(实际是小兵一个),始终是说要跟他当面汇报工作,捧着他,我想没有人不享受这种尊重和得意。

在汇报沟通过程中,当我了解到他们公司就两个人在负责做信息系统方面的事,我就说“你们xx公司也太抠了,你们公司领导应该多配点人,像你们现在的工作,管真多,又是机房装修,又是设备安装,还要软件开发部署测试,起码不得招十个八个人才行,这啥都得你们俩干,还不把人累死?!”一番话,立刻引起对方的共鸣,说“哎呀,没办法,要求了,领导不给增加人,我们就是这辛苦命,要不为啥叫你们来驻场帮忙。”

当我听到他说最近整天加班,快累死了,立马就说,“那你这可得注意身体呀,注意休息,别累坏了。”并且我又顺势说,“工作上你别操心恁多,能让其他人干的就让其他人干,你们作为甲方,最主要的是把整个任务计划好,分工好,督促检查好。”听的他连连点头说是。整个沟通聊天过程,我始终为他考虑为他想,他自然很是开心,愉快,整个现场测评工作也就顺顺利利,开心开心搞定。

…… …… 余下全文

篇四 :信息安全等级保护初级测评师模拟试题二

1 信息安全等级测评师测试

一、单选题(14分)

1、下列不属于网络安全测试范畴的是( C )

A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护

2、下列关于安全审计的内容说法中错误的是( D )。

A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。

B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。

C. 应能根据记录数据进行分析,并生成报表。

D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。

3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个。( A )

A. exec-timeout 10 0 B. exec-timeout 0 10

B. C. idle-timeout 10 0 D. idle-timeout 0 10

4、用于发现攻击目标。( A )

A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描

5、防火墙提供的接入模式中包括。( ABCD )

A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式

6、路由器工作在 。( C )

A. 应用层 B. 链接层 C. 网络层 D. 传输层

7、防火墙通过__控制来阻塞邮件附件中的病毒。( A )

A.数据控制 B.连接控制 C.ACL控制 D.协议控制

二、多选题(36分)

1、不同设VLAN之间要进行通信,可以通过__。( A B )

A交换机 B路由器 C网闸 D入侵检测 E入侵防御系统

2、能够起到访问控制功能的设备有__。( ABD )

…… …… 余下全文

篇五 :信息系统安全等级保护定级报告模板

《信息系统安全等级保护定级报告》模版

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)

(一)业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定

…… …… 余下全文

篇六 :《信息系统安全等级保护定级报告》模版

附件:《信息系统安全等级保护定级报告》模版

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)

(一)业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定

…… …… 余下全文

篇七 :《信息系统安全等级保护定级报告》模版

附件1:《信息系统安全等级保护定级报告》模版

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)

(一)业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定

…… …… 余下全文

篇八 :信息系统安全等级保护定级报告》模版

附件1:《信息系统安全等级保护定级报告》模版

《信息系统安全等级保护定级报告》

http://www.mps.gov.cn/n16/n1966474/n1966510/2156114.html四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)

(一)业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

…… …… 余下全文