信息系統(tǒng)安全等級保護測評工作內(nèi)容全套

信息系統(tǒng)安全等級保護測評工作內(nèi)容二級信息系統(tǒng)安全等級保護測評工作內(nèi)容以單個二級系統(tǒng)計算，主要依據(jù)其服務(wù)器、交換機、路由器和網(wǎng)絡(luò)安全設(shè)備的數(shù)量并結(jié)合其它情況綜合確定。測評活動總共分為四個階段，測評準備活動、測評方案編制活動、現(xiàn)場測評活動、分析與報告編制活動。具體的測評項目見《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》1、測評準備活動階段：本階段主要包括：等級測評項目啟動、信息收集與分析、工具和表單準備等。涉及表單如下：單位基本情況、參與人員名單、物理環(huán)境情況、信息系統(tǒng)基本情況、信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況、信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況、外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況、網(wǎng)絡(luò)設(shè)備情況、安全設(shè)備情況、服務(wù)器設(shè)備情況、終端設(shè)備情況、系統(tǒng)軟件情況、應(yīng)用系統(tǒng)軟件情況、業(yè)務(wù)數(shù)據(jù)情況、數(shù)據(jù)備份情況、應(yīng)用系統(tǒng)軟件處理流程（多表）、業(yè)務(wù)數(shù)據(jù)流程（多表）、管理文檔情況、安全威脅情況等。2、測評方案編制活動階段：本階段主要包括：測評對象確定和測評指標確定、測評工具接入點確定、測評內(nèi)容確定、測評指導書開發(fā)、測評方案編制等。測評指導書包括：安全管理機構(gòu)操作指導書、安全管理制度操作指導書、人員安全管理操作指導書、系統(tǒng)建設(shè)管理操作指導書、系統(tǒng)運維管理操作指導書、物理安全操作指導書、網(wǎng)絡(luò)安全操作指導書、主機安全操作指導書、應(yīng)用安全操作指導書、工具測試操作指導書等。測評方案包括：被測系統(tǒng)描述、測評對象、測評指標、測評工具和接入點、測評內(nèi)容、測評指導書等。3、現(xiàn)場測評活動階段：本階段主要包括：測評實施準備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還等。測評項：安全技術(shù)測評包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復。其中物理安全包括10個控制點33個測評項要求，網(wǎng)絡(luò)安全包括6個控制點27個測評項要求，主機安全包括6個控制點23個測評項要求，應(yīng)用安全包括7個控制點34個測評項要求，數(shù)據(jù)安全及備份恢復包括3個控制點13個測評項要求。而對于網(wǎng)絡(luò)、主機、應(yīng)用安全，每個控制層面可能涉及到多個具體設(shè)備，每個所選定的設(shè)備均要進行測評。安全管理測評包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。其中安全管理制度包括3個控制點8個測評項要求，安全管理機構(gòu)包括5個控制點15個測評項要求，人員安全管理包括5個控制點21個測評項要求，系統(tǒng)建設(shè)管理包括9個控制點33個測評項要求，系統(tǒng)運維管理包括12個控制點和53個測評項要求。不計具體設(shè)備的數(shù)量，每個二級系統(tǒng)至少進行的測評項為260項。4、分析與報告編制活動階段：本階段主要包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成、測評報告編制等。測評報告包括：測評項目概述、被測信息系統(tǒng)情況、等級測評范圍與方法、單元測評、整體測評、測評結(jié)果匯總、風險分析和評價、等級測評結(jié)論、安全建設(shè)整改建議等。三級信息系統(tǒng)安全等級保護測評工作內(nèi)容以單個三級系統(tǒng)計算，主要依據(jù)其服務(wù)器、交換機、路由器和網(wǎng)絡(luò)安全設(shè)備的數(shù)量并結(jié)合其它情況綜合確定。測評活動總共分為四個階段，測評準備活動、測評方案編制活動、現(xiàn)場測評活動、分析與報告編制活動。具體的測評項目見附件《信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》1、測評準備活動階段：本階段主要包括：等級測評項目啟動、信息收集與分析、工具和表單準備等。涉及表單如下：單位基本情況、參與人員名單、物理環(huán)境情況、信息系統(tǒng)基本情況、信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況、信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況、外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況、網(wǎng)絡(luò)設(shè)備情況、安全設(shè)備情況、服務(wù)器設(shè)備情況、終端設(shè)備情況、系統(tǒng)軟件情況、應(yīng)用系統(tǒng)軟件情況、業(yè)務(wù)數(shù)據(jù)情況、數(shù)據(jù)備份情況、應(yīng)用系統(tǒng)軟件處理流程（多表）、業(yè)務(wù)數(shù)據(jù)流程（多表）、管理文檔情況、安全威脅情況等。2、測評方案編制活動階段：本階段主要包括：測評對象確定和測評指標確定、測評工具接入點確定、測評內(nèi)容確定、測評指導書開發(fā)、測評方案編制等。測評指導書包括：安全管理機構(gòu)操作指導書、安全管理制度操作指導書、人員安全管理操作指導書、系統(tǒng)建設(shè)管理操作指導書、系統(tǒng)運維管理操作指導書、物理安全操作指導書、網(wǎng)絡(luò)安全操作指導書、主機安全操作指導書、應(yīng)用安全操作指導書、工具測試操作指導書等。測評方案包括：被測系統(tǒng)描述、測評對象、測評指標、測評工具和接入點、測評內(nèi)容、測評指導書等。3、現(xiàn)場測評活動階段：本階段主要包括：測評實施準備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還等。測評項：安全技術(shù)測評包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復。其中物理安全包括10個控制點51個測評項要求，網(wǎng)絡(luò)安全包括7個控制點46個測評項要求，主機安全包括7個控制點36個測評項要求，應(yīng)用安全包括10個控制點49個測評項要求，數(shù)據(jù)安全及備份恢復包括3個控制點16個測評項要求。而對于網(wǎng)絡(luò)、主機、應(yīng)用安全，每個控制層面可能涉及到多個具體設(shè)備，每個所選定的設(shè)備均要進行測評。安全管理測評包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。其中安全管理制度包括3個控制點15個測評項要求，安全管理機構(gòu)包括5個控制點31個測評項要求，人員安全管理包括5個控制點28個測評項要求，系統(tǒng)建設(shè)管理包括10個控制點53個測評項要求，系統(tǒng)運維管理包括13個控制點和81個測評項要求。不計具體設(shè)備的數(shù)量，每個三級系統(tǒng)至少進行的測評項為406項。4、分析與報告編制活動階段：本階段主要包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成、測評報告編制等。測評報告包括：測評項目概述、被測信息系統(tǒng)情況、等級測評范圍與方法、單元測評、整體測評、測評結(jié)果匯總、風險分析和評價、等級測評結(jié)論、安全建設(shè)整改建議等。5、1）協(xié)助甲方進行系統(tǒng)安全方案設(shè)計或協(xié)助甲方審查系統(tǒng)安全方案設(shè)計的合理性與經(jīng)濟性；2）協(xié)助