等级保护测评-完全过程(非常全面)

等级保护测评过程

以三级为例编辑课件主题一1234等级保护测评方法论等保测评平安措施等级保护测评概述等级保护测评内容与方法编辑课件等保测评概述等级测评是测评机构依据国家信息平安等级保护制度规定，受有关单位委托，按照有关管理标准和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用平安技术测评和平安管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定平安等级要求的符合程度，基于符合程度给出是否满足所定平安等级的结论，针对平安不符合项提出平安整改建议。编辑课件组合分析1、等级测评是测评机构依据国家信息平安等级保护制度规定：?国家信息化领导小组关于加强信息平安保障工作的意见?、?保护平安建设整改工作的指导意见?、?信息平安等级保护管理方法?。2、受有关单位委托，按照有关管理标准和技术标准〔相关标准关系图参见图1、图2〕定级标准:?信息系统平安保护等级定级指南?、?计算机信息系统平安保护等级划分准那么?；建设标准：?信息系统平安等级保护根本要求?、?信息系统通用平安技术要求?、?信息系统等级保护平安设计技术要求?；测评标准：?信息系统平安等级保护测评要求?、?信息系统平安等级保护测评过程指南?、?信息系统平安等级保护实施指南?；管理标准：?信息系统平安管理要求?、?信息系统平安工程管理要求?。3、运用科学的手段和方法：采用6种方式，逐步深化的测试手段调研访谈〔业务、资产、平安技术和平安管理〕；查看资料〔管理制度、平安策略〕；现场观察〔物理环境、物理部署〕；查看配置〔主机、网络、平安设备〕；技术测试〔漏洞扫描〕；评价〔平安测评、符合性评价〕。编辑课件组合分析4、对处理特定应用的信息系统〔查阅定级指南，哪些应用系统定级〕作为定级对象的信息系统应具有如下根本特征：具有唯一确定的平安责任单位。作为定级对象的信息系统应能够唯一地确定其平安责任单位。如果一个单位的某个下级单位负责信息系统平安建设、运行维护等过程的全部平安责任，那么这个下级单位可以成为信息系统的平安责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的平安责任，那么该信息系统的平安责任单位应是这些下级单位共同所属的单位；具有信息系统的根本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如效劳器、终端、网络设备等作为定级对象；承载单一或相对独立的业务应用。定级对象承载“单一〞的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立〞的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。5、采用平安技术测评和平安管理测评方式：平安技术测评包括：物理平安、网络平安、主机平安、应用平安、数据平安；平安管理测评包括：平安管理制度、平安管理机构、人员平安管理、系统建设管理、系统运维管理。6、对保护状况进行检测评估，判定受测系统的技术和管理级别与所定平安等级要求的符合程度，基于符合程度给出是否满足所定平安等级的结论，针对平安不符合项提出平安整改建议。符合程度：综合分析具体指标符合性判断，给出抽象指标符合性判断结果，汇总所有抽象指标符合判断，给出平安等级满足与否的结论；平安等级结论：结合受测系统符合性程度，判断受测系统是否满足所定平安等级的结论；平安整改建议：提出平安整改建议，汇总、分析所有不符合项对应的改进建议，组合成可单独执行的整改建议。编辑课件主题二1234等级保护测评方法论等保测评平安措施等级保护测评概述等级保护测评内容与方法编辑课件等级保护完全实施过程信息系统定级平安总体规划平安设计与实施平安运行维护信息系统终止平安等级测评信息系统备案平安整改设计等级符合性检查应急预案及演练安全要求整改安全等级整改局部调整等级变更编辑课件信息系统全生命周期分为“信息系统定级、总体平安规划、平安设计与实施、平安运行维护、信息系统终止〞等五个阶段。信息系统定级定级备案是信息平安等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核〞的原那么进行。在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责〞的原那么开展工作，并接受信息平安监管部门对开展等级保护工作的监管。总体平安规划总体平安规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统平安需求，设计合理的、满足等级保护要求的总体平安方案，并制定出平安实施方案，以指导后续的信息系统平安建设工程实施。对于已运营〔运行〕的信息系统，需求分析应当首先分析判断信息系统的平安保护现状与等级保护要求之间的差距。平安设计与实施平安设计与实施阶段的目标是按照信息系统平安总体方案的要求，结合信息系统平安建设工程方案，分期分步落实平安措施平安运行维护平安运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括平安运行与维护机构和平安运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，平安状态监控和平安事件处置，平安审计和平安检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制平安运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南信息系统终止信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的平安是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的平安编辑课件等保测评工作流程等级测评的工作流程，依据?信息系统平安等级保护测评过程指南?，具体内容参见：等保测评工作流程图编辑课件准备阶段编辑课件方案编制阶段编辑课件现场测评阶段编辑课件报告编制阶段编辑课件等保实施方案平安管理调研现场实地调研现状调研报告渗透测试报告信息资产调研表人工审计报告扫描报告根底培训PPT平安技术调研信息平安愿景制定信息平安总体框架设计管理体系技术体系运维体系工程准备等保差距报告风险评估报告技能和意识培训工程准备现状调研风险与差距分析体系规划与建立交流、知识转移、培训、宣传工程验收工程验收控制风险分析等保差距分析高危问题整改规划报告体系文件……….等保测评编辑课件主题三1234等级保护测评方法论等保测评平安措施等级保护测评概述等级保护测评内容与方法编辑课件等级保护综合测评物理平安网络平安主机系统平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理信息系统综合测评技术要求管理要求编辑课件等级保护测评类型等保根本要求的三种技术类型〔S/A/G〕S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息平安类要求;--物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等；A:保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的效劳保证类要求;--电力供给、资源控制、软件容错等G:通用平安保护类要求。--技术类中的平安审计、管理制度等GAS编辑课件等级保护测评指标测评指标技术/管理安全类安全子类数量S类(2级)S类(3级)A类(2级)A类(3级)G类(2级)G类(3级)F类(2级)F类(3级)要求项控制点二级三级二级三级技术类物理安全111182941810182347网络安全110053167672440主机安全231131203632034应用安全45221626762137数据安全221100033348管理类安全管理制度007100232712安全管理机构0091928581127人员安全管理00111654541620系统建设管理00284113189184159系统运维管理0027514254125469105合

计6673236389编辑课件等保测评方法访谈访谈是指测评人员通过与信息系统有关人员〔个人/群体〕进行交流、讨论等活动，获取相关证据以说明信息系统平安保护措施是否有效落实的一种方法。在访谈范围上，应根本覆盖所有的平安相关人员类型，在数量上可以抽样。检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统平安保护措施是否有效实施的一种方法。在检查范围上，应根本覆盖所有的对象种类〔设备、文档、机制等〕，数量上可以抽样。测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统平安保护措施是否得以有效实施的一种方法。在测试范围上，应根本覆盖不同类型的机制，在数量上可以抽样。编辑课件物理根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级79第二级919第三级1032第四级1039物理位置的选择

（2项）物理访问控制

（4项）防盗窃和防破坏

（6项）防雷击

（3项）防火

（3项）防水和防潮

（4项）防静电

（2项）温湿度控制

（1项）电力供应

（4项）电磁防护

（3项）以第三级为例物理平安编辑课件物理平安测评内容和方法

物理位置选择

物理访问控制调研访谈：机房具有防震、防雨和防风能力，并提供机房设计和验收证明；现场查看：查看机房是否建在高层或地下室。

防盗和防破坏

防雷击

防火

防水和防潮

防静电

温湿度控制电力供给

电磁防护物理平安调研访谈：专人值守、进出记录、申请和审批记录、物理隔离、门禁系统；现场查看：进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。调研访谈：设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统；现场查看：设备固定和标识、监控报警系统平安材料、测试和验收报告。调研访谈：安装避雷装置、专业地线、防雷感应器；现场查看：机房防雷设计/验收文档、接地设计/验收文档，交流地线和防雷设备调研访谈：自动报警灭火设备、耐火材料、物理防火隔离；现场查看：自动消防运行、报警、维护记录，机房防火设计/验收文档。调研访谈：机房内有无上下水，防水和防漏措施；现场查看：机房防水和防潮设计/验收文档，地下积水的转移与渗透的措施。调研访谈：接地防静电措施，采用防静电地板；现场查看：防静电措施文档，防静电地板验收文档。调研访谈：温、湿度自动调节设施，专人负责；现场查看：温湿度控制设计/验收文档，温湿度记录、运行记录和维护记录。调研访谈：部署稳压器和过电压防护设备，UPS和市电冗余；现场查看：电源设备的检查和维护记录，备用供电系统运行记录，市电切换记录。调研访谈：平安接地，关键设备和磁介质实施电磁屏蔽；现场查看：查看平安接地、电源线和通讯线隔离，电磁屏蔽容器。编辑课件物理平安测评根本要求和实现方法根本防护能力高层、地下室根本出入控制分区域管理在机房中的活动电子门禁存放位置、标识标记监控报警系统建筑防雷、机房接地设备防雷灭火设备、自动报警自动消防系统区域隔离措施关键设备和地板防静电防静电地板稳定电压、短期供给冗余/并行线路备用供电系统线缆隔离、设备和介质屏蔽接地防干扰电磁屏蔽防水设备、防水应急预案或措施根本要求实现方法/案例空调系统、自动调节接地线温湿度自动调节设施上下水管门窗防水线缆隔离布线机房部署中层物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防静电电力供给电磁防护防水和防潮温湿度控制编辑课件网络平安根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级39第二级618第三级733第四级732结构安全（7项）访问控制（8项）安全审计（4项）边界完整性检查（2项）入侵防范（2项）恶意代码防范（2项）网络设备防护（8项）以第三级为例网络平安编辑课件网络平安测评内容和方法结构平安

访问控制调研访谈：网络冗余、带宽情况、平安路径、子网和网段分配原那么、重要网段隔离；测评判断：网络设计或验收文档，路由控制策略，网络设计或验收文档，网络隔离手段。平安审计

边界完整性检查

入侵检测

恶意代码防护

网络设备防护网络平安调研访谈：网络边界控制策略，测评判断：会话对数据流进行控制，应用层协议控制，自动终止网络连接的配置等。调研访谈：开启平安审计功能、审计内容、审计报表、审计记录保护；测评判断：审计全面监测、查看审计报表、审计记录处理方式。调研访谈：外网接入内网行为监控、内网私自联到外网行为监控，并进行阻断处理；测评判断：查看外网接入内网行为和内网私自联到外网行为进行监控的配置。调研访谈：网络入侵防范措施、防范规那么库升级方式、网络入侵防范的设备；测评判断：检查网络入侵防范设备，查看检测的攻击行为和平安警告方式。调研访谈：网络恶意代码防范措施、恶意代码库的更新策略；测评判断：网络设计或验收文档，网络边界对恶意代码采取的措施和防恶意代码产品更新。调研访谈：两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等；测评判断：用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。编辑课件网络平安测评根本要求和实现方法根本要求实现方法/案例关键设备冗余空间子网/网段控制核心网络带宽主要设备冗余空间整体网络带宽重要网段部署路由控制访问控制设备〔用户、网段〕拨号访问限制应用层协议过滤会话终止端口控制最大流量数及最大连接数防止地址欺骗结构平安访问控制平安审计边界完整性检查入侵防范恶意代码防范网络设备防护审计报表审计记录的保护定位及阻断内部的非法联出非授权设备私自外联检测常见攻击记录、报警网络边界处防范根本的登录鉴别组合鉴别技术特权用户的权限别离边界恶意代码检测代码库升级重要客户端的审计日志记录编辑课件主机平安根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级46第二级619第三级732第四级936身份鉴别（6项）访问控制（7项）安全审计（6项）剩余信息保护（2项）入侵防范（3项）恶意代码防范（3项）系统资源控制（5项）以第三级为例主机平安编辑课件主机平安测评内容和方法

身份鉴别

访问控制平安审计

剩余信息保护

入侵检测

恶意代码防范

资源控制主机平安调研访谈：平安策略、最小分配原那么、权限别离、删除多余账户、敏感标识、控制敏感资源；测评判断：检查效劳器操作系统的平安策略、查看特权用户的权限是否进行别离。调研访谈：保证数据存储空间、重新分配前完全清楚数据；测评判断：检查操作系统和数据库系统维护操作手册，包括：存储空间被释放和重新分配原那么。调研访谈：入侵防范措施和平安报警、重要程序的完整性进行检测、系统补丁及时更新；测评判断：检查入侵防范系统、检测到完整性受到破坏后恢复的措施、补丁升级记录。调研访谈：安装防恶意代码软件、防恶意代码软件统一管理；测评判断：检查实时检测与恶意代码的软件产品并进行及时更新、主机和网络恶意代码软件不同调研访谈：限制终端登录、登录超时锁定、对效劳器进行监控、限制用户对资源的访问等；测评判断：检查效劳器操作系统限制终端登录、超时锁定、效劳器监控等调研访谈：两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等；测评判断：用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。调研访谈：开启平安审计功能、审计内容、审计报表、审计记录保护；测评判断：审计全面监测、查看审计报表、审计记录处理方式。编辑课件主机平安测评根本要求和实现方法根本要求实现方法/案例访问控制平安审计剩余信息保护入侵防范恶意代码防范资源控制审计报表审计记录的保护空间释放恶意代码防范产品对用户会话数及终端登录的限制监视重要效劳器最小效劳水平的检测及报警防恶意代码软件、代码库统一管理身份鉴别根本的身份鉴别组合鉴别技术平安策略特权用户的权限别离管理用户的权限别离敏感标记的设置及操作效劳器根本运行情况审计重要客户端的审计空间释放及信息去除最小安装原那么升级效劳器重要效劳器：检测、记录、报警重要程序完整性编辑课件应用平安根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级47第二级719第三级931第四级1136身份鉴别（5项）访问控制（6项）安全审计（4项）剩余信息保护(2项)通信完整性(1项)通信保密性(2项)抗抵赖(2项)软件容错(2项)以第三级为例应用平安编辑课件应用平安测评内容和方法

身份鉴别

访问控制平安审计

剩余信息保护

通讯完整性

通讯保密性

抗抵赖应用平安调研访谈：应采用密码技术保证通信过程中数据的完整性；测评判断：检查设计或验收文档，是否有用密码技术来保证通信过程中数据的完整性的描述。调研访谈：利用密码技术进行会话初始化验证、对整个报文或会话过程进行加密；测评判断：系统数据在通信过程中采取扫描保密措施，查看具体措施。调研访谈：数据原发者或接收者提供数据原发证据的功能；测评判断：系统是否具有抗抵赖的措施，查看具体措施。

软件容错调研访谈：数据有效性检验功能、当故障发生时自动保护当前所有状态；测评判断：查看应用系统是否对人机接口输入或通信接口输入的数据进行有效性检验。

资源控制调研访谈：两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等；测评判断：用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。调研访谈：平安策略、最小分配原那么、权限别离、删除多余账户、敏感标识、控制敏感资源；测评判断：检查效劳器操作系统的平安策略、查看特权用户的权限是否进行别离。调研访谈：开启平安审计功能、审计内容、审计报表、审计记录保护；测评判断：审计全面监测、查看审计报表、审计记录处理方式。调研访谈：保证数据存储空间、重新分配前完全清楚数据；测评判断：检查操作系统和数据库系统维护操作手册，包括：存储空间被释放和重新分配原那么。调研访谈：限制终端登录、登录超时锁定、对效劳器进行监控、限制用户对资源的访问等；测评判断：检查效劳器操作系统限制终端登录、超时锁定、效劳器监控等。编辑课件应用平安测评根本要求和实现方法根本要求实现方法/案例访问控制平安审计剩余信息保护通讯完整性通讯保密性资源控制审计报表审计记录的保护空间释放对用户会话数及系统最大并发会话数的限制身份鉴别根本的身份鉴别组合鉴别技术平安策略最小授权原那么敏感标记的设置及操作空间释放及信息去除运行情况审计〔用户级〕审计记录的保护校验码技术初始化验证密码技术整个报文及会话过程加密抗抵赖数据原发证据和接收证据用户认证、数字签名、操作日志资源分配限制、资源分配优先级最小效劳水平的检测及报警软件容错数据有效性检验、局部运行保护自动保护功能编辑课件数据平安根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级22第二级34第三级38第四级311数据完整性（2项）数据保密性（2项）备份与恢复（8项）以第三级为例数据平安编辑课件数据平安测评内容和方法

数据完整性

数据保密性调研访谈：应能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏，并进行必要措施；检查判断：检测传输和存储破坏的措施和恢复措施。平安备份数据平安调研访谈：采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性；检查判断：鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输保密性调研访谈：本地数据备份和恢复，备份介质场外存放，通信线路和数据处理系统的硬件冗余；检查判断：查设计或验收文档，对本地数据备份和恢复功能及策略的描述，查主要网络设备、主要通信线路和主要数据处理系统是否采用硬件冗余、软件配置等编辑课件应用平安测评根本要求和实现方法根本要求实现方法/案例访问控制备份和恢复数据完整性鉴别数据传输的完整性各类数据传输及存储检测和恢复鉴别数据存储的保密性各类数据的传输及存储重要数据的备份硬件冗余异地备份网络冗余、硬件冗余本地完全备份每天1次备份介质场外存放编辑课件平安管理制度根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级23第二级37第三级311第四级314管理制度（4项）制定和发布（5项）评审和修订（2项）以第三级为例平安管理制度编辑课件平安管理制度测评内容和方法

管理制度

制定和发布调研访谈：制定总体方针和平安策略、建立操作规程；查文件：查部门、岗位职责文件，信息平安方针、平安策略文件；查各类平安管理制度文件；形成平安管理制度体系

评审和修订平安管理制度调研访谈：专人负责制定平安管理制度，统一格式和版本，并进行论证和审定，通过有效形式进行发布，注明发布范围；查文件：查指定部门和人员的工作职责，信息平安管理制度的文件模板或格式规定，论证和审定记录和文件发布、登记记录。调研访谈：平安管理制度评审主持部门，定期对制度文件的合理性和适用性进行审定；查文件：查对平安管理制度体系进行评审的管理文件，修订的平安管理制度修订或评审记录。编辑课件平安管理机构根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级44第二级59第三级520第四级520岗位设置（4项）人员配备（3项）授权和审批（4项）沟通和合作（5项）审核和检查（4项）以第三级为例平安管理机构编辑课件平安管理机构测评内容和方法

岗位设置

人员配备调研访谈：信息平安管理工作的职能部门，设立岗位和职责，建立信息平安领导小组；查文件：查部门、岗位职责文件，领导小组岗位职责文件，平安管理机构各部门和岗位职责、分工、技能要求文件

授权和审批平安管理机构调研访谈：平安管理岗位人员的配备情况；查文件：查平安管理各岗位人员信息表，关键岗位管理人员配备2人或2人以上共同管理。调研访谈：对重要活动进行审批，审批部门是何部门，批准人是何人，审批范围包括哪些，定期审查审批；查文件：查各部门和岗位的职责文档，逐级审批制度及审批记录，查审查审批制度。

沟通和合作调研访谈：内部沟通机制，兄弟单位合作沟通机制，供给商合作沟通机制，聘请平安专家；查文件：查内部沟通、合作机制程序或规程，查外联单位联系列表，查平安参谋名单、证明文件，相关文档或记录。

审核和检查调研访谈：定期平安检查的程序、实施情况及检查周期，对信息系统全面平安检查；查文件：平安检查的程序文件和记录，全面平安检查记录，平安检查表，平安检查报告和结果通告记录，全面平安检查报告等。编辑课件人员平安管理根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级47第二级511第三级516第四级518人员录用（4项）人员离岗（3项）人员考核（3项）安全意识教育和培训（4项）外部人员访问管理（2项）以第三级为例人员平安管理编辑课件人员平安管理测评内容和方法

人员录用

人员离岗调研访谈：专门的部门或人员负责人员的录用工作，人员录用条件和审查内容；查文件：查部门/人员工作职责文件，人员录用要求管理文档，相关审查及考核记录，查保密协议；查保密协议签署记录。

人员考核人员平安管理调研访谈：离岗人员控制方法，调离手续，关键岗位人员调离时承诺相关保密协议；查文件：查人员离岗的管理文档，对离岗人员的平安处理记录，调离手续记录，查保密承诺文档，调离人员记录。调研访谈：各个岗位人员进行平安技能及平安知识的考核，关键岗位审查考核特殊要求；查文件：查定期人员审查/考核规程文件，关键岗位的定期审查和考核规程文件，考核文档和记录，人员平安审查记录。平安意识教育和培训调研访谈：制定培训方案及实施情况，对违反平安策略和规定的人员进行惩戒；查文件：查平安意识教育和培训规程文件，平安责任和惩戒措施管理文档，平安教育和培训方案文档，教育和培训记录。

外部人员访问管理调研访谈：对外部人员访问重要区域管理措施、规程或制度等情况；查文件：查外部人员访问管理规程文档和访问重要区域批准文档，外部人员访问重要区域的登记记录。编辑课件系统建设管理根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级920第二级928第三级1145第四级1148系统定级（4项）安全方案设计（5项）产品采购（4项）自行软件开发（5项）外包软件开发（4项）工程实施（3项）测试验收（5项）系统交付（5项）系统备案（3项）等级测评（4项）服务商选择（3项）以第三级为例系统建设管理编辑课件系统建设管理测评内容和方法

系统定级平安方案设计调研访谈：系统定级过程、方法和理由，定级结果论证和审定，定级结果批准等；查文件：查系统定级文档，文档说明定级方法和理由，论证和审定意见，批准盖章等。

产品采购和使用

自行软件开发

外部软件开发

工程实施

测试验收

系统交付

系统备案

等级测评系统建设管理调研访谈：专人负责平安建设规划，平安设计方案，专家论证和审定，定期修订配套文件；查文件：平安措施文档、风险分析表，总体规划文件和工作方案，专家论证文档，文档修订记录。调研访谈：平安、密码产品使用，指定部门负责采购，审定和更新候选产品名单；查文件：采购文件中涉及产品指标和候选范围，密码产品使用规定，产品选型测试记录等。调研访谈：开发环境与测试环境分开，编码平安标准，专人保管设计文档和使用指南，授权审批；查文件：查软件开发管理制度，明确软件开发生命周期管理，编码标准，设计文档等管理。调研访谈：检测软件质量，恶意代码检测，开发商提供设计文档、使用指南和源代码等；查文件：外包软件验收测试报告，恶意代码检测报告，设计文件和使用指南，源代码审查记录等。调研访谈：专人负责管理实施过程，制定实施方案，制定工程实施方面的平安管理制度；查文件：工程实施方的责任、任务和质量要求，工程实施方案，阶段性报告，工程实施管理制度。调研访谈：第三方平安测试，制定测试验收方案和报告，专人负责验收工作，测试验收报告审定；查文件：第三方测试文档，测试验收方案，测试验收管理文档，测试验收记录和测试验收报告。调研访谈：根据交付清单对设备、文档、软件等进行清点，新系统培训，专人负责系统交接工作；查文件：详细系统交付清单，新系统培训记录，系统运维文档，系统交付管理文档等。调研访谈：专门部门管理和使用定级材料，报主管部门和公安机关进行备案；查文件：系统定级相关材料，主管部门和公安机关备案的记录或备案文档。调研访谈：等保测评管理文件，系统变更后的等级测评，如何选择测评机构，专人负责等保测评；查文件：测评报告、建议报告和整改方案，测评机构资质。平安效劳商选择调研访谈：平安效劳器选择，签订效劳协议，效劳商提供技术培训和效劳培训；查文件：效劳招标文件，签订的效劳合同和保密协议等文档，效劳合同中包含效劳内容和期限等。编辑课件系统运维管理根本要求中控制点与要求项各级分布：安全等级控制点要求项第一级918第二级1241第三级1362第四级1370系统运维管理环境管理（4项）资产管理（4项）介质管理（6项）设备管理（5项）监控管理和安全管理中心（3项）网络安全管理（8项）系统安全管理（7项）恶意代码防范管理（4项）密码管理（1项）变更管理（4项）备份与恢复管理（5项）安全事件处置（6项）应急预案管理（5项）以第三级为例编辑课件系统运维管理测评内容和方法

环境管理调研访谈：指定部门或人员对机房维护、机房平安，建立机房制度，办公环境保密性管理；查文件：机房维护管理制度和维护记录，查机房管理制度，物理访问、环境平安等，办公环境管理文档。系统运维管理

资产管理调研访谈：建立资产登记管理及资产清单，依据重要资产进行分类和标识管理；查文件：查资产清单，资产平安管理制度，依据资产重要程度的管理措施，信息分类