等级保护测评

信息系统定级

1、许昌公共资源交易系统，三级。

2、全国公共资源交易平台（河南省·许昌市）门户网站，二级。

测评依据

包括但不限于以下内容：

1.《中华人民共和国网络安全法》

2.《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

3.《信息安全等级保护管理办法》(公通字[2007]43 号)

4.《信息系统安全等级保护实施指南》(信安字[2007]10 号)

5.《信息系统安全等级保护定级指南》（GB/T 22240-2008）

6.《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号）

测评内容及要求

一、测评内容

1.安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。

（1）物理安全：物理安全测评应评测信息系统的物理安全保障情况。主要涉及对象为机房。在内容上，物理安全层面测评实施过程应涉及物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应等方面。

（2）网络安全：网络安全测评应通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上，网络安全层面测评过程应涉及网络结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等方面。

（3）主机系统安全：主机安全测评应通过访谈、检查和测试的方式评测信息系统的主机安全保障情况。在内容上，主机系统安全层面测评实施过程应涉及身份鉴别、访问控制、安全审计、安全防范、恶意代码防范和资源控制等方面。

（4）应用安全：应用安全测评应通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上，应用系统安全层面测评实施过程应涉及身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、资源控制等方面。

（5）数据安全：数据安全测评应通过访谈和检查的方式评测信息系统的数据安全保障情况。在内容上，数据安全层面测评实施过程应涉及数据完整性、数据保密性和数据安全备份和恢复等方面。重点检查业务信息系统的数据在采集、传输、处理和存储过程中的安全。

2.安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

（1）安全管理机构：安全管理机构测评应通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上，安全管理机构测评实施过程应涉及岗位设置、人员配备、授权和审批、沟通与合作和审核与检查等方面。

（2）安全管理制度：安全管理制度测评应通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上，安全管理制度测评实施过程应涉及管理制度、制定与发布、评审和修订等方面。

（3）人员安全管理：人员安全管理测评应通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上，人员安全管理测评实施过程应涉及人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。

（4）系统建设管理：系统建设管理测评应通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。 在内容上，系统建设管理测评实施过程应涉及系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等方面。

（5）系统运维管理：系统运维管理测评应通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。 在内容上，系统运维管理测评实施过程应涉及环境管理、资产管理、介质管理、设备管理、系统安全管理、网络安全管理、恶意代码防护管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理等方面。

二、测评要求

按照国家及行业信息安全等级保护 2.0 的管理规范和技术标准进行安全等级测评，对信息系统的现状详细了解和掌握，发现可能存在的问题，协助交易中心完成信息系统安全保护等级备案工作，并交付系统信息安全等级测评报告、系统信息安全等级整改报告及公安机关出具的信息系统安全等级保护备案证明。

交付成果

包括但不限于以下内容：

1.测评过程文档,包括调研表、过程文档、技术测评记录、会议纪要等。

2.《项目实施计划》

3.《信息系统安全架构设计方案》

4.《信息系统等级测评整改建议》

5.《信息系统等级保护安全整改方案》

6.《信息系统安全等级测评报告》

安全整改

编制并提交相关的信息系统安全整改建议方案，并全程协助完成整改工作

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统测评工作的基础上，对信息系统总体信息安全管理和技术方面现状进行全面的分析，制订信息安全等级保护安全建设整改方案，方案内容包含但不限于以下内容：

信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算，整改后可能存在的其他问题。 

复测

各信息系统安全整改完成后，为信息系统做复测一次，并交付信息系统安全等级测评报告。

备案

完成《信息系统安全等级保护备案表》的整理，取得公安机关出具的信息系统安全等级保护备案证明。