二级信息系统安全等级保护测评工作内容

以单个二级系统计算，主要依据其服务器、交换机、路由器和网络安全设备的数量并结合其它情况综合确定。测评活动总共分为四个阶段，测评准备活动、测评方案编制活动、现场测评活动、分析与报告编制活动。具体的测评项目见《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护实施指南》

1、 测评准备活动阶段：

本阶段主要包括：等级测评项目启动、信息收集与分析、工具和表单准备等。

涉及表单如下：单位基本情况、参与人员名单、物理环境情况、信息系统基本情况、信息系统承载业务（服务）情况、信息系统网络结构（环境）情况、外联线路及设备端口（网络边界）情况、网络设备情况、安全设备情况、服务器设备情况、终端设备情况、系统软件情况、应用系统软件情况、业务数据情况、数据备份情况、应用系统软件处理流程（多表）、业务数据流程（多表）、管理文档情况、安全威胁情况等。

2、 测评方案编制活动阶段：

本阶段主要包括：测评对象确定和测评指标确定、测评工具接入点确定、测评内容确定、测评指导书开发、测评方案编制等。

测评指导书包括：安全管理机构操作指导书、安全管理制度操作指导书、人员安全管理操作指导书、系统建设管理操作指导书、系统运维管理操作指导书、物理安全操作指导书、网络安全操作指导书、主机安全操作指导书、应用安全操作指导书、工具测试操作指导书等。

测评方案包括：被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容、测评指导书等。

3、 现场测评活动阶段：

本阶段主要包括：测评实施准备、现场测评和结果记录、结果确认和资料归还等。

测评项：安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。其中物理安全包括10个控制点33个测评项要求，网络安全包括6个控制点27个测评项要求，主机安全包括6个控制点23个测评项要求，应用安全包括7个控制点34个测评项要求，数据安全及备份恢复包括3个控制点13个测评项要求。而对于网络、主机、应用安全，每个控制层面可能涉及到多个具体设备，每个所选定的设备均要进行测评。安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。其中安全管理制度包括3个控制点8个测评项要求，安全管理机构包括5个控制点15个测评项要求，人员安全管理包括5个控制点21个测评项要求，系统建设管理包括9个控制点33个测评项要求，系统运维管理包括12个控制点和53个测评项要求。不计具体设备的数量，每个二级系统至少进行的测评项为260项。

4、 分析与报告编制活动阶段：

本阶段主要包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制等。

测评报告包括：测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改建议等。

三级信息系统安全等级保护测评工作内容

以单个三级系统计算，主要依据其服务器、交换机、路由器和网络安全设备的数量并结合其它情况综合确定。测评活动总共分为四个阶段，测评准备活动、测评方案编制活动、现场测评活动、分析与报告编制活动。具体的测评项目见附件《信息安全技术 信息系统安全等级保护测评要求》和《信息安全技术 信息系统安全等级保护实施指南》

1、 测评准备活动阶段：

本阶段主要包括：等级测评项目启动、信息收集与分析、工具和表单准备等。

涉及表单如下：单位基本情况、参与人员名单、物理环境情况、信息系统基本情况、信息系统承载业务（服务）情况、信息系统网络结构（环境）情况、外联线路及设备端口（网络边界）情况、网络设备情况、安全设备情况、服务器设备情况、终端设备情况、系统软件情况、应用系统软件情况、业务数据情况、数据备份情况、应用系统软件处理流程（多表）、业务数据流程（多表）、管理文档情况、安全威胁情况等。

2、 测评方案编制活动阶段：

本阶段主要包括：测评对象确定和测评指标确定、测评工具接入点确定、测评内容确定、测评指导书开发、测评方案编制等。

测评指导书包括：安全管理机构操作指导书、安全管理制度操作指导书、人员安全管理操作指导书、系统建设管理操作指导书、系统运维管理操作指导书、物理安全操作指导书、网络安全操作指导书、主机安全操作指导书、应用安全操作指导书、工具测试操作指导书等。

测评方案包括：被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容、测评指导书等。

3、 现场测评活动阶段：

本阶段主要包括：测评实施准备、现场测评和结果记录、结果确认和资料归还等。

测评项：安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。其中物理安全包括10个控制点51个测评项要求，网络安全包括7个控制点46个测评项要求，主机安全包括7个控制点36个测评项要求，应用安全包括10个控制点49个测评项要求，数据安全及备份恢复包括3个控制点16个测评项要求。而对于网络、主机、应用安全，每个控制层面可能涉及到多个具体设备，每个所选定的设备均要进行测评。安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。其中安全管理制度包括3个控制点15个测评项要求，安全管理机构包括5个控制点31个测评项要求，人员安全管理包括5个控制点28个测评项要求，系统建设管理包括10个控制点53个测评项要求，系统运维管理包括13个控制点和81个测评项要求。不计具体设备的数量，每个三级系统至少进行的测评项为406项。

4、 分析与报告编制活动阶段：

本阶段主要包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制等。

测评报告包括：测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改建议等。

5、 1）协助甲方进行系统安全方案设计或协助甲方审查系统安全方案设计的合理性与 经济性；

2）协助甲方对安全产品的选型、协助甲方对系统整改工作的过程监督并配合监理单位纠正施工单位的不恰当做法，减少返工损失；

3）协助甲方对系统整改工作进行测试验收；

4）对不符合等保要求的整改项目进行复测；

5）出具最终测评报告，其中包含对系统现状的安全性分析及对今后工作的建议.

等级保护测评流程