信息安全等級保護測評服務

1，服務經(jīng)驗豐富：累計為超過,5000個不同行業(yè)系統(tǒng)提供過等保咨詢、整改與維護服務。 2，強大的專家團隊：團隊從業(yè)經(jīng)驗均超過五年以上，均持有各類權(quán)威技術(shù)認證。 3，公司資質(zhì)雄厚：擁有風險評估、安全運維等各項專業(yè)安全服務資質(zhì)。 4，服務質(zhì)量保障：采用科學的項目管理模式，確保服務的及時性、準確性及項目質(zhì)量。

服務內(nèi)容

1、測評目的

通過對單位被測系統(tǒng)物理環(huán)境、網(wǎng)絡設備、服務器群以及應用軟件系統(tǒng)實施等級保護測評，明確該系統(tǒng)的安全建設現(xiàn)狀，找出存在的安全風險，分析安全建設差距，提出安全整改建議，并以此為基礎，進一步制定安全建設整改方案，完善保護措施，使該系統(tǒng)滿足我國關于等級保護相應級別的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高單位的安全意識，增強網(wǎng)絡的抗攻擊的能力，保證被測系統(tǒng)正常運轉(zhuǎn)。

2、參照標準

測評機構(gòu)應依據(jù)國家等級保護相關標準開展工作，依據(jù)標準包括但不限于如下國家標準：

• 《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）
• 《信息系統(tǒng)安全保護等級定級指南》（GB/T 22240-2008）
• 《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010 ）
• 《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）
• 《信息系統(tǒng)安全等級保護測評要求》（GB/T 28448-2012）
• 《信息系統(tǒng)安全等級保護測評過程指南》（GB/T 28449-2012）
• 《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）
• 《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》（GAT 390-2002）
• 《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T 20269-2006）
• 《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）
• 《信息系統(tǒng)等級保護安全設計技術(shù)要求》（GB/T 25070-2010 ）
• 《信息安全技術(shù)信息安全風險評估規(guī)范》（GB/T 20984-2007）

3、等級測評過程

等級保護分為六個可操作性步驟：定級、備案、初次測評、建設整改、二次測評、監(jiān)督檢查，具體工作過程中可能存在交叉現(xiàn)象，以下為具體的工作步驟和工作內(nèi)容。

3.1信息系統(tǒng)定級

首先梳理單位的現(xiàn)有系統(tǒng)，確定各系統(tǒng)的服務對象、系統(tǒng)邊界、設備設施組成情況，根據(jù)系統(tǒng)遭受破壞后的影響范圍和損害程度，按照《信息安全等級保護備案實施細則》（公信安[2007]1360 號）文件要求，完成各系統(tǒng)的定級工作，定級遵循“自主定級、專家評審、主管部門審批、公安機關審核”的原則，首先自己確定系統(tǒng)的數(shù)量和等級，對于不太確定的系統(tǒng)級別，可聘請河北省等級保護專家小組人員進行專家評審，如果單位有主管部門，確定級別后報上級主管單位批準，最終的定級情況上報公安機關進行審核和備案。

3.2備案

對于第二級以上信息系統(tǒng)，需要填寫《定級報告》和《備案材料》，并將材料在等級確定后 30 日內(nèi)，由其運營、使用單位到單位所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應當在投入運行后 30 日內(nèi)， 由其運營、使用單位到單位所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

3.3初次測評

信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應選擇符合相應法規(guī)規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。

對被測系統(tǒng)，參照《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008） 從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和安全管理等層面進行差距分析，依據(jù)《信息系統(tǒng)等級保護安全設計技術(shù)要求》（GB/T 25070-2010 ），對系統(tǒng)進行初次安全評估。通過對系統(tǒng)現(xiàn)狀的分析和梳理，發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全措施與等級保護基本要求的差距，提出安全整改建議，以指導后續(xù)安全整改工作。測評內(nèi)容：

物理環(huán)境測評：包括位置、訪問控制、防盜竊防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電磁防護等內(nèi)容。

網(wǎng)絡系統(tǒng)測評：包括網(wǎng)絡架構(gòu)、網(wǎng)絡訪問控制、網(wǎng)絡安全審計、邊界完整性檢查、網(wǎng)絡入侵防范、網(wǎng)絡惡意代碼防范、網(wǎng)絡設備防護等內(nèi)容。

主機與數(shù)據(jù)庫測評：身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等內(nèi)容。

應用系統(tǒng)測評：包括應用系統(tǒng)身份鑒別、應用系統(tǒng)訪問控制、應用系統(tǒng)安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等內(nèi)容。

數(shù)據(jù)及備份恢復測評：包括數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等內(nèi)容。安全管理測評：涵蓋管理制度、管理機構(gòu)、人員管理、系統(tǒng)建設管理、系統(tǒng)運維管理等方面。

3.4建設整改

單位按照《信息安全等級保護管理辦法》（公通字[2007]43 號）、《關于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》（公信安[2009]1429 號）等有關管理規(guī)范和技術(shù)標準，制定安全管理制度、落實安全責任，建議安全技術(shù)設施， 落實安全技術(shù)措施。

通過安全建設整改，確保信息系統(tǒng)通過相應級別的安全測評。

3.5二次測評

此階段是等級測評完整實施階段，通過對整改后的系統(tǒng)進行分析和梳理，再次實施等級測評，記錄訪談檢查結(jié)果，進行綜合分析，梳理安全風險，測評結(jié)束后，按照《信息系統(tǒng)安全等級測評報告模版（2015 年版）》編寫等級測評報告。

3.6監(jiān)督檢查

測評過程中，河北省相應級別的公安網(wǎng)監(jiān)部門要全程督導項目實施，測評完畢后，《測評報告》要提交給公安部門存檔備查。同時受理備案的公安機關會對第三級、第四級信息系統(tǒng)運營、使用單位的信息安全等級保護工作情況進行檢查和保護。

4、測評對象

測評對象包括以下幾類：

1．主機房（包括其環(huán)境、設備和設施等）和部分輔機房，應將放置了服務于信息系統(tǒng)的局部（包括整體）或?qū)π畔⑾到y(tǒng)的局部（包括整體）安全性起重要作用的設備、設施的輔機房選取作為測評對象；

2．辦公場地；

3．整個系統(tǒng)的網(wǎng)絡拓撲結(jié)構(gòu)；

4．安全設備，包括防火墻、入侵檢測設備和防病毒網(wǎng)關等；

5．邊界網(wǎng)絡設備（可能會包含安全設備），包括路由器、防火墻、認證網(wǎng)關和邊界接入設備（如樓層交換機）等；

6．對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡互聯(lián)設備，如核心交換機、匯聚層交換機、路由器等；

7 存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；

8.承載被測系統(tǒng)主要業(yè)務或數(shù)據(jù)的服務器（包括其操作系統(tǒng)和數(shù)據(jù)庫）；

9 管理終端和主要業(yè)務應用系統(tǒng)終端；

10．能夠完成被測系統(tǒng)不同業(yè)務使命的業(yè)務應用系統(tǒng)；

11．業(yè)務備份系統(tǒng)；

12．信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業(yè)務負責人；

13．涉及到信息系統(tǒng)安全的所有管理制度和記錄。

5、測評原則

測評實施應滿足以下原則：

（1）保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害招標人的行為，否則招標人有權(quán)追究投標人的責任。

（2）規(guī)范性原則：投標人的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制。

（3）可控性原則：測評服務的進度要跟上進度表的安排，保證招標人對于測評工作的可控性。

（4）整體性原則：測評的范圍和內(nèi)容應當整體全面，包括國家等級保護相關要求涉及的各個層面。

    （5）最小影響原則：測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡，并在可控范圍內(nèi)；測評工作不能對現(xiàn)有信息系統(tǒng)的的正常運行、業(yè)務的正常開展產(chǎn)生任何影響，保證現(xiàn)有系統(tǒng) 24 小時的不間斷、穩(wěn)定、安全運行。

（6）非高峰期原則：漏洞掃描及滲透測試時間，應盡量安排在夜間或法定節(jié)假日期間，制定切實可行的測試實施細則；對意外導致的宕機等，應提供應急保障方案，切實保證關鍵系統(tǒng)能正常工作。投標人應嚴格依照上述原則和國家等級保護相關標準開展項目實施工作。

6、交付物

工作計劃、流程、內(nèi)容、及成果交付，嚴格遵循相關文件，根據(jù)實際情況， 開展信息系統(tǒng)的等級測評，測評報告內(nèi)容及格式嚴格遵照《信息系統(tǒng)安全等級測評報告模版》（2015 年版）撰寫。

項目實施驗收前應提交真實可靠、客觀公正的評估文檔，文檔應包括但不限于以下內(nèi)容：

1)測評方案；

2)安全建設整改建議；

3)等級測評報告；

4)公安相關部門出具的信息系統(tǒng)安全等級保護備案證明。

京津冀地區(qū)

1、國網(wǎng)冀北電力有限公司廊坊供電公司

2、國電華北電力有限公司廊坊熱電廠

3、河北燕達醫(yī)院

4、邯鄲市眼科醫(yī)院

5、廊坊經(jīng)濟技術(shù)開發(fā)區(qū)管理委員會

6、廊坊市公安局經(jīng)濟技術(shù)開發(fā)區(qū)分局

...