第一篇：有關等級保護現(xiàn)場測評時的一些體會

有關等級保護現(xiàn)場測評時的一些體會

現(xiàn)場測評是開展等保保護測評一項重要工作過程，目的是跟客戶當面溝通，現(xiàn)場檢查，獲取系統(tǒng)真實安全信息，查找安全問題。

很多同事，尤其是剛參加現(xiàn)場測評的，總感覺難度很大，碰到現(xiàn)場一些問題，不好處理，工作起來顧慮重重，畏手畏腳，總覺得咱是去做服務的，低人一等。

總結(jié)來說，現(xiàn)場測評時經(jīng)常遇到的問題主要有：

一、客戶不愿意配合，可能真是是對方很忙，沒時間；

二、對等保測評工作輕視，認為是走過程，沒啥用；怕被發(fā)現(xiàn)有問題被領導批評；

三、認為我們技術(shù)水平不行，弄不出個啥來；

四、擔心把我們系統(tǒng)號壞了，出啥問題了。

針對現(xiàn)場中可能遇到的上述這些問題，其中幾點我覺的可以從以下兩個個方面來應對。

一是，要抱著一種我們是去提供服務的心態(tài)去測評，是去幫助他們查找問題，解決問題，防范安全風險的。

二是，要處處為對方著想，站在對方得角度去想事情。不管是跟對方交流還是做事，你只要表現(xiàn)的是為他好為他想，我想，是沒有人不會不愿意的。

舉例，某被測評公司的人，公司駐場的同事都覺得很可惡，比較難對付，尤其是一個管事的叫xx的家伙，我去現(xiàn)場也多聽到其他公司駐場人員的不滿、訴說和抱怨，當時我因為當天工作上要找這個XX溝通，我通過電話事先聯(lián)系他，在電話中我就一直把他當做領導（實際是小兵一個），始終是說要跟他當面匯報工作，捧著他，我想沒有人不享受這種尊重和得意。

在匯報溝通過程中，當我了解到他們公司就兩個人在負責做信息系統(tǒng)方面的事，我就說“你們xx公司也太摳了，你們公司領導應該多配點人，像你們現(xiàn)在的工作，管真多，又是機房裝修，又是設備安裝，還要軟件開發(fā)部署測試，起碼不得招十個八個人才行，這啥都得你們倆干，還不把人累死？！”一番話，立刻引起對方的共鳴，說“哎呀，沒辦法，要求了，領導不給增加人，我們就是這辛苦命，要不為啥叫你們來駐場幫忙。”

當我聽到他說最近整天加班，快累死了，立馬就說，“那你這可得注意身體呀，注意休息，別累壞了。”并且我又順勢說，“工作上你別操心恁多，能讓其他人干的就讓其他人干，你們作為甲方，最主要的是把整個任務計劃好，分工好，督促檢查好?！甭牭乃B連點頭說是。整個溝通聊天過程，我始終為他考慮為他想，他自然很是開心，愉快，整個現(xiàn)場測評工作也就順順利利，開心開心搞定。

人心都是肉長的，人和人交往，咱們中國人最看中的就是交情，自古以來都是熟人好辦事，你關心他，為他想，話再說的好聽點，他自然就會領你的情，樂意跟你配合，合作。正所謂，你敬我一尺，我敬你一丈，就是這個道理。

再說個最近的例子，我們這次去某醫(yī)院做工具掃描測試，一聽說要用工具掃描他們的數(shù)據(jù)庫，信息中心管數(shù)據(jù)庫的家伙，是一百個不情愿呀，又是叫我們找領導類，又是叫我們寫申請并且還得領導簽字類，中間我們需要找個紙筆，都叫我去另外一個可遠的辦公室要去，末了還非要求必須得用A4紙，總之各種刁難呀，各位經(jīng)常去現(xiàn)場的，遇到類似客戶的同仁，都懂，有木有同感？

看這情形，我一方面直接跟他們科長溝通，提出工作要求、希望和想法，一方面積極跟這位大爺溝通。跟科長說的是“咱醫(yī)院想要測試快點，我們希望能直接接到機房內(nèi)核心交換上，這邊需要你親自發(fā)話安排呢”。一會電話就打過來，一通安排，這位爺就行動起來了，雖說還是不情愿，但還是去照做了。

在這當中我就跟他聊天說，“我們現(xiàn)在做測試掃描，是提前把咱們系統(tǒng)存在的安全問題找出來，及時解決掉，別等到你們醫(yī)院做評審的時候被發(fā)現(xiàn)，在這上被扣分，你那你的責任可就就大了?！币徽f這，這貨態(tài)度就慢慢變了，再往后就開始配合我們測試了，到后面，還幫著我們跟其他同事說，把數(shù)據(jù)庫地址都報告過來叫他們都掃描測試一下，看有啥問題，到時候真出問題了也不是咱的責任，一直都下班了還繼續(xù)耐心陪著我們在機房，等我們?nèi)堪岩獟呙璧姆掌餍畔⑷夸浫氲铰咴O備，并看著確認設備到點自動開始掃描后，才離開。

從上述我舉的現(xiàn)實工作中的例子，我們可以看出，跟我們配合的這些人大多都是普通的技術(shù)人員，我們只要多站在對方的角度去說，去做，以是去提供服務，幫助解決問題的態(tài)度去現(xiàn)場測評，去溝通，可以說沒有搞不定的。能有啥，記住，他也有領導，有上級，再說咱后面還有公司呢，公司既然能拿下這個項目，那個啥~~啥~~對吧~~~。所以我們根本不用擔心，不用有啥顧慮，做事畏手畏腳，感覺低人一等，他們、我們都是跟人家打工做事的，沒必要，真的。

（后記：一點個人拙見, 說給同仁們聽聽 ,權(quán)當拋磚引玉。我們一起來交流現(xiàn)場測評中碰到的難題和解決辦法, 我現(xiàn)在一直主張，干工作嘛，就要開開心心，咱是來憑自己能力、本事、工作、干活、掙錢、吃飯，干嘛要處處受氣，TM 都是人，是不！？）

第二篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網(wǎng)

1.等級保護概述

1.1為什么要實行等級保護？

信息系統(tǒng)與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經(jīng)濟價值的。對信息系統(tǒng)的基礎資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統(tǒng)進行分級、分區(qū)域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰(zhàn)略目標為經(jīng)過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內(nèi)容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉(zhuǎn)發(fā)《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規(guī)劃與設計、實施與運營、大型復雜電子政務系統(tǒng)等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發(fā)《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結(jié)構(gòu)－北京為例

等級保護的實施和落實離不開各級管理機構(gòu)的指導和監(jiān)督，這在等級保護的相關文件中已經(jīng)得到了規(guī)定，下面以北京市為例來說明管理機構(gòu)的組成和職責，具體如下圖所示：

1.4等級保護理論的技術(shù)演進

在等級保護理論被提出以后，經(jīng)過相關部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構(gòu)要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規(guī)范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統(tǒng)符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業(yè)務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結(jié)構(gòu)

對系統(tǒng)進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機構(gòu)、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規(guī)定

針對上述問題，在下面幾小節(jié)分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

需求：準確地進行大系統(tǒng)的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業(yè)

保護對象框架－電信行業(yè)

保護對象框架－銀行業(yè)

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

需求：統(tǒng)一規(guī)劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統(tǒng)提供互操作性及其服務的環(huán)境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

需求：建立長效機制，建立可持續(xù)運行、發(fā)展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網(wǎng)絡架構(gòu)模型

需求分析－6

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規(guī)定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網(wǎng)絡架構(gòu)

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結(jié)合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。

實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標

特質(zhì)：

等級化：突出重點，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求

整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運行

針對性：針對實際情況，符合業(yè)務特性和發(fā)展戰(zhàn)略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術(shù)體系

安全運行體系

3.4安全體系的實現(xiàn)

4.成功案例

某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系，取得了良好的效果。

第三篇：《信息安全等級保護測評機構(gòu)管理辦法》最新

信息安全等級保護測評機構(gòu)管理辦法

第一條 為加強信息安全等級保護測評機構(gòu)管理，規(guī)范等級測評行為，提高測評技術(shù)能力和服務水平，根據(jù)《信息安全等級保護管理辦法》等有關規(guī)定，制定本辦法。

第二條 等級測評工作，是指等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

等級測評機構(gòu)，是指依據(jù)國家信息安全等級保護制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測評等信息安全服務的機構(gòu)。

第三條 等級測評機構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。

第四條 等級測評機構(gòu)應以提供等級測評服務為主，可根據(jù)信息系統(tǒng)運營使用單位安全保障需求，提供信息安全咨詢、應急保障、安全運維、安全監(jiān)理等服務。

第五條 國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。

省級信息安全等級保護工作協(xié)調(diào)（領導）小組辦公室（以下簡稱“省級等保辦”）負責受理本?。▍^(qū)、直轄市）申請單位提出的申請，并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。

第六條 申請成為等級測評機構(gòu)的單位（以下簡稱“申請單位”）應具備以下基本條件：

（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關系明晰，注冊資金100萬元以上；

（三）從事信息系統(tǒng)安全相關工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；

（五）具有信息系統(tǒng)安全相關工作經(jīng)驗的技術(shù)人員，不少于10人；

（六）具備必要的辦公環(huán)境、設備、設施，使用的技術(shù)裝備、設施應滿足測評工作需求；

（七）具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等規(guī)章制度；

（八）自覺接受等保辦的監(jiān)督、檢查和指導，對國家安全、社會秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務；

（十）應具備的其他條件。

第七條 申請時，申請單位應向等保辦提交以下材料：

（一）《信息安全等級保護測評機構(gòu)申請表》；

（二）從事信息系統(tǒng)安全相關工作情況；

（三）檢測評估工作所需軟硬件及其他服務保障設施配備情況；

（四）有關管理制度建設情況；

（五）申請單位及其測評人員基本情況；

（六）應提交的其他材料。

等保辦收到申請材料后，應在10個工作日內(nèi)組織初審，并出具初審結(jié)果告知書。

第八條 通過初審的申請單位，應及時參加指定評估機構(gòu)組織的測評人員培訓?？荚嚭细竦娜藛T，取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。

第九條 指定評估機構(gòu)應根據(jù)標準規(guī)范對申請單位開展能力評估，出具信息安全等級保護測評機構(gòu)能力評估報告，并及時將申請單位能力評估有關情況報送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的，頒發(fā)《信息安全等級保護測評機構(gòu)推薦證書》。

省級等保辦應及時將本地等級測評機構(gòu)推薦情況報國家等保辦，國家等保辦定期發(fā)布公告，在《中國信息安全等級保護網(wǎng)》發(fā)布《全國信息安全等級保護測評機構(gòu)推薦目錄》。

第十一條 下列事項發(fā)生變更時，等級測評機構(gòu)應在變更后5個工作日內(nèi)向等保辦報告。

（一）等級測評機構(gòu)名稱、地址、測評人員和主要負責人發(fā)生變更的；

（二）等級測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；

（三）其他重大事項發(fā)生變更的。

省級等保辦應及時將等級測評機構(gòu)變更情況報國家等保辦。

第十二條 信息安全等級保護測評機構(gòu)推薦證書有效期為三年。等級測評機構(gòu)應在推薦證書期滿前30日內(nèi)，向等保辦申請復審。復審通過的等級測評機構(gòu)應換發(fā)新證。復審未通過的，等保辦應督促其限期整改。

省級等保辦應及時將等級測評機構(gòu)期滿復審情況報國家等保辦。

第十三條 等級測評師上崗前，等級測評機構(gòu)應組織崗前培訓。培訓合格的，由等級測評機構(gòu)配發(fā)上崗證。未取得測評師證書和上崗證的，不得參與等級測評項目。

等級測評師離職前，等級測評機構(gòu)應與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級測評師應妥善保管等級測評師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。

第十五條 等級測評機構(gòu)應加強對本機構(gòu)等級測評師的監(jiān)督管理，定期組織開展安全保密教育和業(yè)務培訓。

第十六條 等級測評機構(gòu)應嚴格按照信息安全等級保護標準規(guī)范公正、獨立地開展等級測評工作，依據(jù)模板出具信息系統(tǒng)安全等級測評報告，確保測評質(zhì)量，全面、客觀地反映被測信息系統(tǒng)的安全保護狀況。

第十七條 等級測評機構(gòu)開展測評項目不受地域、行業(yè)限制。等級測評機構(gòu)應在測評項目合同簽訂以及項目完成后5個工作日內(nèi)，向受理信息系統(tǒng)備案的公安機關報告等級測評項目有關情況。

第十八條 測評項目實施過程中，等級測評機構(gòu)應接受等保辦的監(jiān)督、檢查和指導。測評項目完成后，等級測評機構(gòu)應請被測評信息系統(tǒng)運營使用單位對測評服務情況進行評價，評價情況由被測單位反饋等保辦。

第十九條 等級測評機構(gòu)應定期向等保辦報送測評工作開展情況。根據(jù)測評實踐，每年底編制并報送信息系統(tǒng)安全狀況分析報告。第二十條 等級測評機構(gòu)實行等級化管理。根據(jù)信息系統(tǒng)測評數(shù)量、機構(gòu)規(guī)模、測評技術(shù)能力和服務質(zhì)量等指標，對等級測評機構(gòu)劃分為五個星級，最低為一星級，最高為五星級。等級測評機構(gòu)星級評定標準由國家等保辦另行制定。

第二十一條 等級測評機構(gòu)應于每年底向等保辦提交星級評定所需材料。

等保辦負責組織所推薦等級測評機構(gòu)的星級評定審核工作，并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定，國家等保辦定期發(fā)布星級評定結(jié)果。

第二十二條 取得信息安全等級保護測評機構(gòu)推薦證書未滿一年的，不參加星級評定。

第二十三條 等保辦負責對所推薦等級測評機構(gòu)的日常監(jiān)督檢查、測評項目抽查和年審工作，及時掌握等級測評機構(gòu)工作情況。

第二十四條 等保辦應于每年底對所推薦的等級測評機構(gòu)進行年審。等級測評機構(gòu)自推薦之日起未滿6個月的，當年可免予年審。年審時，等級測評機構(gòu)應提交以下材料：

（一）《信息安全等級保護測評機構(gòu)年審表》；

（二）信息安全等級保護測評機構(gòu)推薦證書副本；

（三）測評工作總結(jié)；

（四）其他所需材料。

第二十五條

國家等保辦負責組織開展等級測評機構(gòu)能力驗證和抽查工作。

第二十六條 等級測評機構(gòu)有下列情形之一的，等保辦應責令其限期整改；情形嚴重的，予以通報。

（一）未按照有關標準規(guī)范開展測評或未按規(guī)定出具信息系統(tǒng)安全等級測評報告的；

（二）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全的；

（三）非授權(quán)占有、使用，未妥善保管等級測評相關資料及數(shù)據(jù)文件的；

（四）分包或轉(zhuǎn)包等級測評項目，以及擾亂測評市場秩序的；

（五）限定被測評單位購買、使用指定信息安全產(chǎn)品的；

（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動的；

（七）未按本辦法規(guī)定向等保辦提交材料、報告情況或弄虛作假的；

（八）其他違反等級測評有關規(guī)定的行為。

第二十七條 等級測評機構(gòu)有下列情形之一的，等保辦應取消其信息安全等級保護測評機構(gòu)推薦證書，并向社會公告。

（一）因單位股權(quán)、人員等情況發(fā)生變動，不符合等級測評機構(gòu)基本條件的；

（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；

（三）故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；

（四）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假未如實出具等級測評報告的；

（五）一年內(nèi)未開展信息系統(tǒng)測評工作或自愿退出《全國信息安全等級保護測評機構(gòu)推薦目錄》的；

（六）連續(xù)兩年年審不合格或限期整改后仍未通過復審的；

（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴重的。第二十八條 等級測評師有下列行為之一的，等保辦應責令等級測評機構(gòu)督促其限期改正；情節(jié)嚴重的，責令等級測評機構(gòu)暫停其參與測評工作；情形特別嚴重的，應注銷其等級測評師證書，并對其所在等級測評機構(gòu)進行通報。

（一）未經(jīng)允許擅自使用或泄露、出售等級測評工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級測評報告的；

（二）違反本辦法第十四條規(guī)定，未妥善保管等級測評師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；

（三）測評行為失誤或不當，影響信息系統(tǒng)安全或造成運營使用單位利益損失的；

（四）其他違反等級測評有關規(guī)定的行為。第二十九條 等級測評機構(gòu)及其等級測評師違反本辦法的相關規(guī)定，給被測評信息系統(tǒng)運營使用單位造成嚴重危害和損失的，由相關部門依照有關法律、法規(guī)予以處理。

第三十條 任何單位和個人如發(fā)現(xiàn)等級測評機構(gòu)、等級測評師有違法、違規(guī)行為的，可向國家等保辦舉報、投訴。

第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發(fā)布之日起實施。

第四篇：臨沂中醫(yī)醫(yī)院信息安全等級保護測評項目

臨沂市中醫(yī)醫(yī)院信息安全等級保護測評項目

集中競價采購須知

為了公開、公平、公正地集中競價采購，本著合理、競爭、經(jīng)濟的原則，我院擬對本次采購活動參照招標形式進行集中競價，相關事項如下：

第一部分

項目要求

一、項目背景

為了提高信息系統(tǒng)的安全保護水平，按照國家法律法規(guī)和有關部門相關要求，聘請第三方專業(yè)機構(gòu)，在全面了解臨沂市中醫(yī)院現(xiàn)有信息化現(xiàn)況的基礎上，開展信息系統(tǒng)安全等級保護測評工作。通過本次工作，發(fā)現(xiàn)信息系統(tǒng)中存在的安全風險，分析信息系統(tǒng)安全現(xiàn)狀與相關政策文件、技術(shù)標準內(nèi)容要求的符合性情況，完善工作制度，提出安全建設加固建議。切實加強信息安全防范水平，提高系統(tǒng)抵御風險的能力。

二、項目目標、內(nèi)容

按照國家等級保護相關標準和要求，對其HIS、電子病歷系統(tǒng)（三級）、PACS和網(wǎng)站（二級）安全等級保護測評工作，找出系統(tǒng)現(xiàn)狀與相關標準要求之間的差距，遵循適度原則，提出切實可行的整改建議，完成等級保護測評報告，并提供后續(xù)檢測服務。

三、項目實施參照法律法規(guī)及標準 ? 《網(wǎng)絡安全法》

? 公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）； ? 公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》（公通字 [2007]43號）。

? 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）

? 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）? 《信息安全技術(shù)

信息系統(tǒng)安全等級保護實施指南》 ? 《信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求》 ? 《信息安全技術(shù)

信息系統(tǒng)安全等級保護測評過程指南》 ? 《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859-1999）? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）? 《信息安全技術(shù) 網(wǎng)絡基礎安全技術(shù)要求》（GB/T 20270-2006）

? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T 20272-2006）? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）? 《信息安全技術(shù) 服務器技術(shù)要求》（GB/T 21028-2007）

? 《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T 671-2006）? 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）? GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評估準則

四、項目內(nèi)容

1.等級測評

通過詳細的系統(tǒng)調(diào)研，開展對其HIS、LIS系統(tǒng)（三級）、PACS和網(wǎng)站（二級）的等級保護測評工作，找出安全現(xiàn)狀與標準要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設方案，指導整改工作。最終完成等級保護測評報告。

測評的內(nèi)容包括但不限于以下內(nèi)容：

? 安全技術(shù)測評：包括物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個方面的安全測評；

? 安全管理測評：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全測評。

（1）、物理安全

根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機房和現(xiàn)場安全測評記錄，針對機房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應”和“電磁防護”等物理安全方面所采取的措施進行，判斷出與其相對應的各測評項的測評結(jié)果。中標人出具加蓋CNAS章的機房檢測報告。（2）、網(wǎng)絡安全

根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡安全測評記錄，針對網(wǎng)絡方面在“結(jié)構(gòu)安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡設備防護”等網(wǎng)絡安全方面所采取的措施進行檢查，判斷出與其相對應的各測評項的測評結(jié)果。

（3）、主機安全

主機安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)服務器的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“入侵防護”、“惡意代碼防護”、“資源控制”。（4）、應用安全

應用安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)的測評，測評內(nèi)容包括“身份鑒

別”、“訪問控制”、“安全審計”、“剩余信息保護”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。（5）、數(shù)據(jù)安全及備份恢復

臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復現(xiàn)場測評包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復”幾個方面的測評。（6）、安全管理制度

根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。（7）、安全管理機構(gòu)

根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理機構(gòu)方面的“崗位設置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。（8）、人員安全管理

根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓”以及“外部人員訪問管理”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。（9）、系統(tǒng)建設管理

根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設管理方面的“系統(tǒng)定級”、“安全方案設計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務商選擇”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。（10）、系統(tǒng)運維管理

根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設備管理”、“網(wǎng)絡安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”以及“應急預案管理”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

通過現(xiàn)場測評，逐項找出系統(tǒng)現(xiàn)狀與國家相關標準要求之間的差距，進行逐項待整改完畢后，進行結(jié)果確認，完成信息安全等級保護測評，出具測評報告，2.安全管理體系咨詢

協(xié)助建立符合等級保護要求的信息安全管理體系，包含信息安全方針、信息安全策略、運行管理制度和運維管理制度。并參照國際標準體系ISO 27001和ISO 分析、整體分析，給出差距分析報告，并給出整改建議方案。并將測評報告報當?shù)毓矙C關備案。

20000制定相應流程，促進臨沂市中醫(yī)院信息安全管理工作。

3.安全監(jiān)測

提供門戶網(wǎng)站7*24小時網(wǎng)站安全監(jiān)測，對網(wǎng)站頁面掛馬、篡改等事件實時監(jiān)測，發(fā)現(xiàn)問題及時通報相關人員，并安排人員及時處理。

4.應急支援

服務期內(nèi)提供不限次數(shù)的應急支援服務，針對發(fā)生的事件協(xié)助分析事件原因，查找問題，并提供安全加固建議。

5.安全培訓

組織技術(shù)培訓，對臨沂市中醫(yī)院的技術(shù)人員進行等級保護、安全技術(shù)和項目部署要求等內(nèi)容培訓。技術(shù)培訓應從實際應用出發(fā)，涵蓋網(wǎng)絡安全的如下方面： 基礎設施運行安全培訓、網(wǎng)絡安全縱深防御體系培訓、操作系統(tǒng)安全加固技術(shù)培訓、應用系統(tǒng)滲透測試檢測與加固培訓、數(shù)據(jù)庫安全管理培訓、27001安全管理體系培訓等。

6.信息安全風險評估

按照GB-T20984-2007信息安全風險評估規(guī)范標準和要求，對信息系統(tǒng)進行風險評估，明確信息系統(tǒng)安全風險，提出合理的、滿足等級保護要求的總體建設和管理規(guī)劃，并制定安全實施計劃，以指導后續(xù)的信息系統(tǒng)安全建設工程實施。

五、成果交付

該項目提交的文檔至少包括如下文件：

1、《臨沂市中醫(yī)院XX信息系統(tǒng)安全等級保護測評方案》

2、《臨沂市中醫(yī)院XX系統(tǒng)信息安全等級保護測評報告》

3、《臨沂市中醫(yī)院XX信息安全管理制度匯編》

4、《信息安全風險評估報告》

5、《信息安全整改方案》

第二部分

投標方資質(zhì)要求

1、《企業(yè)法人營業(yè)執(zhí)照》副本復印件（蓋章）。

2、法定代表人身份證明書或法人授權(quán)委托書、身份證復印件。

3、投標公司具有信息系統(tǒng)安全等級保護測評的國家相關資質(zhì)，有專業(yè)技術(shù)檢測項目組，其中有高級測評師及中級測評師，參與技術(shù)檢測的人員均為中國公民，無違法犯罪記錄并簽訂安全保密協(xié)議。

4、同類項目近幾年的業(yè)績情況及客戶名單。

第三部分標書、報價方式

1、標書分正本1份，副本2份，并在標書標書袋上標明“正本”、“副本”字樣。均固定裝訂成一冊，不能活頁裝訂或散裝，蓋單位公章和法定代表人印簽后遞交醫(yī)院招標辦。

第四部分報送時間、地點

標書報送時間截止2018年1月30日16時。（每日8：00～17：00，周六、周日除外）

標書報送地點：臨沂市中醫(yī)醫(yī)院門診七樓招標辦。

第五篇：信息安全等級保護測評工作管理規(guī)范(試

信息安全等級保護測評工作管理規(guī)范

（試行）

第一條 為加強信息安全等級保護測評機構(gòu)建設和管理，規(guī)范等級測評活動，保障信息安全等級保護測評工作（以下簡稱“等級測評工作”）的順利開展，根據(jù)《信息安全等級保護管理辦法》等有關規(guī)定，制訂本規(guī)范。

第二條 本規(guī)范適用于等級測評機構(gòu)和人員及其測評活動的管理。

第三條 等級測評工作，是指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

等級測評機構(gòu)，是指具備本規(guī)范的基本條件，經(jīng)能力評估和審核，由省級以上信息安全等級保護工作協(xié)調(diào)（領導）小組辦公室（以下簡稱為“等保辦”）推薦，從事等級測評工作的機構(gòu)。

第四條 省級以上等保辦負責等級測評機構(gòu)的審核和推薦工作。

公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構(gòu)的能力評估和培訓工作。

第五條 等級測評機構(gòu)應當具備以下基本條件：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除

外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

（三）產(chǎn)權(quán)關系明晰，注冊資金100萬元以上；

（四）從事信息系統(tǒng)檢測評估相關工作兩年以上，無違法記錄；

（五）工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；

（六）具有滿足等級測評工作的專業(yè)技術(shù)人員和管理人員，測評技術(shù)人員不少于10人；

（七）具備必要的辦公環(huán)境、設備、設施，使用的技術(shù)裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產(chǎn)品的要求；

（八）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構(gòu)成威脅;

（十）應當具備的其他條件。

第六條 測評機構(gòu)及其測評人員應當嚴格執(zhí)行有關管理規(guī)范和技術(shù)標準，開展客觀、公正、安全的測評服務。

測評機構(gòu)可以從事等級測評活動以及信息系統(tǒng)安全等級保護定級、安全建設整改、信息安全等級保護宣傳教育等工作的技術(shù)支持。不得從事下列活動：

（一）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；

（二）泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密；

（三）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

（四）未按規(guī)定格式出具等級測評報告；

（五）非授權(quán)占有、使用等級測評相關資料及數(shù)據(jù)文件；

（六）分包或轉(zhuǎn)包等級測評項目；

（七）信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；

（八）限定被測評單位購買、使用其指定的信息安全產(chǎn)品；

（九）其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

第七條 申請成為等級測評機構(gòu)的單位（以下簡稱“申請單位”）應當向省級以上等保辦申請。

國家信息安全等級保護工作協(xié)調(diào)小組辦公室負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請。省級等保辦負責受理本?。▍^(qū)、直轄市）申請單位提出的申請。

申請單位申請時，等保辦應當告知測評機構(gòu)的條件、從事的業(yè)務范圍以及禁止行為等內(nèi)容，使申請單位清楚了解測評機構(gòu)的責任和義務。

第八條 知悉有關規(guī)定并愿意成為測評機構(gòu)的申請單位，可以向省級以上等保辦提出書面申請，如實填寫《信息安全等級保護測評機構(gòu)申請表》。

申請單位的人員應當如實填寫人員基本情況表，并承諾對信息的真實性和有效性負責。

省級以上等保辦對申請單位進行初審，初審通過的，應當告知申請單位到評估中心進行測評能力評估。

第九條 評估中心按照有關標準規(guī)范，在30個工作日內(nèi)完成對申請單位的材料審查和現(xiàn)場核查工作。

測評人員參加由評估中心舉辦的專門培訓、考試并取得評估中心頒發(fā)的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。

評估中心綜合評估申請單位的測評能力，測評能力評估合格的，出具評估報告。

第十條 省級以上等保辦組織專家對測評能力評估合格的申請單位及其測評人員進行審核。

第十一條 通過審核的，由省級以上等保辦向申請單位頒發(fā)信息安全等級保護測評機構(gòu)推薦證書，并向社會公布測評機構(gòu)推薦目錄。

省級等保辦將測評機構(gòu)推薦目錄報國家信息安全等級保護工作協(xié)調(diào)小組辦公室，國家信息安全等級保護工作協(xié)調(diào)小組辦公室匯總公布《全國信息安全等級保護測評機構(gòu)推薦目錄》。

第十二條 測評機構(gòu)應按照公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級測評報告模版（試行）》格式出具測評報告，根據(jù)信息系統(tǒng)規(guī)模和所投入的成本，合理收取測評服務費用。

第十三條 省級以上等保辦每年對所推薦的測評機構(gòu)進行檢查。檢查時，測評機構(gòu)應提交《信息安全等級保護測評機構(gòu)檢查表》。

第十四條 測評機構(gòu)名稱、法人等事項發(fā)生變化的，或者其等級測評師變動的，測評機構(gòu)應在30日內(nèi)到受理申請的省級以上等保辦辦理變更手續(xù)。

第十五條 測評機構(gòu)應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。

第十六條 測評機構(gòu)或者其測評人員違反本規(guī)范第六條規(guī)定之一或檢查未通過的，由省級以上等保辦責令其限期改正；逾期不改正的，給予警告，直至取消測評機構(gòu)的推薦證書或等級測評師證書，并向社會公告；造成嚴重損害的，由相關部門依照有關法律、法規(guī)予以處理。

第十七條 測評機構(gòu)或者測評人員違反本規(guī)范的規(guī)定，給被測評單位造成損失的，應當依法承擔法律責任。

第十八條 本規(guī)范由國家信息安全等級保護工作協(xié)調(diào)小組辦公室負責解釋。

第十九條 本規(guī)范中省級以上含省級。

第二十條 本規(guī)范自發(fā)布之日起施行。