等保管理测评与技术测评区别

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 结果记录 符合情况 Y N

等保测评

测评基本内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图：

测评过程

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备测评方法 编号 1 方案编制现场测评报告编制 测试方法 人员访谈 测试方法说明 与被测信息系统相关管理人员进行交流、讨论等活动，获取相关证据，了解相关信息。 检查被测信息系统是否具有GB/T 22239-2008中规定的的制度、策略、操作规程等文档，检查是否有完整的制度执行情况2 文档审查 记录

注意：等保测评初级管理只考等级保护政策和相关标准应用、安全管理和物理评测。具体见下表：

1 等级保护政策和相关标准应用

2 安全管理和物理测评

2.1 安全管理

2.1.1 安全管理制度

2.1.2 安全管理机构

2.1.3 人员安全管理

2.1.4 系统建设管理

2.1.5 系统运维管理

2.2 物理测评

2.2.1 物理位置的选择

a)机房和办公场地应选具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2.2.2 物理访问控制

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)进入机房的来访人员应经过申请和审批流程，以限制和监控其活动范围；

c)对机房分区进行管理，区域之间设置物理隔离装置，在重要区域前设置交付或过

渡区域；

d)重要区域应配置门禁系统，控制、鉴别和记录进入的人员。

2.2.3 防盗窃和防破坏

a)应将主要设备放在机房内；

b)应将主要设备或主要部件进行固定，并设置明显的不易除去的标志；

c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)应对介质分类标识，存储在介质库或档案室中；

e)应利用光、电等技术设置机房放到报警系统；

f)应对机房设置监控报警系统。

2.2.4 防雷击

a)机房建筑应设置

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

湖南省电子产品检测分析所考勤

信息系统安全等级测评方案

编制： 日期：

审核： 日期：

批准： 日期：

1. 概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的

附件

技术管理巡查 综合考核测评表1

评分项目及内容 总工及其职责设置 评分标准 未设总工或总工不是项目领导班子成员酌情扣分，扣完为止。 技术管理人员配备需满足项目满分 考评 5 技术管理人员配备 管理需求，配备不足，酌情扣1-5分，扣完为止。 技术策划应包括：项目基本情况；主要技术特点与难点及应对措施；技术管理机构和技术管理人员配备计划；项目技术5 技术策划 管理制度建设计划；主要施工技术方案；变更设计；典型工程实施计划；测量与试验检测实施方案；技术与工艺创新方案；技术人员培训与交流计划；其他需要策划的内容。 图纸会审内容应包括：核对图纸数量是否齐全，施工说明是否清楚准确；核算工程数量，10 图纸会审 检查其中错漏碰缺；核算工程主要结构的受力条件及主要设计数据；核算建筑物在施工过程中的稳定性和可能发生的变形以及对施工安全、变形观测10 - 5 -

评分项目及内容 评分标准 的要求；核算设计对施工条件、施工方法和船机设备性能的考虑及要求，需要设计优化或计划进行重大变更设计的，项目部要提前策划，多方沟通，并通过图纸会审文件的形式加以确认。 主要分项工程应有专项施工技术方案；主要施工技术方案在制定过程中要进行充分的方案比选，保证施工技术方

第一章 人事测评概论································

⊙人事测评的含义：人事测评作为一门独立学科，是指在人事管理领域中对人与事之间的适应关系进行定量和定性相结合的测量和评价，其目的在于为人力资源管理提供科学可靠的参考依据。 ⊙人事测评在不同标准下的基本范畴：以目的和用途为标准划分为以下不同种类的人事测评：

选拔性测评。是一种以选拔优秀人员为目的的人事测评，是人力资源管理活动中经常要进行的一种测评。特点是区分功能严格，刚性最强，特别强调客观性，测评具有选择性，可以直观地看出高低差别。 诊断性测评。此类测评的主要目的是了解员工现状和确定进一步的开发方向。特点是内容或精细或广泛，过程是寻根问底式的，测评结果不公开，测评系统性强。

配置性测评。此类测评的主要目的是合理配置人事资源，现代企业的劳动人事管理要求以“人”为中心，使人力资源进入最佳发挥状态。配置性测评有针对性、客观性、严格性、准备性等特点。

鉴定性测评。此类测评又称为考核性测评，是用来鉴定与验证某些人员是否具备特定的技能、素质或具备程度大小的人事测评。鉴定性测评经常穿插在选拔性测评与配置性测评之中。特点是特别注重测评的结果、被试者的现有差异和较高的信度和

信息安全新测评技术

云端访问安全代理服务

云端访问安全代理服务是部署在企业内部或云端的安全策略执行点，位于云端服务消费者与云端服务供应商之间，负责在云端资源被访问时套用企业安全策略。在许多案例中，初期所采用的云端服务都处于IT掌控之外，而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握及管控。 适应性访问管控

适应性访问管控一种情境感知的访问管控，目的是为了在访问时达到信任与风险之间的平衡，结合了提升信任度与动态降低风险等技巧。情境感知（Context awareness）是指访问的决策反映了当下的状况，而动态降低风险则是指原本可能被封锁的访问可以安全的开放。采用适应性访问管理架构可让企业提供不限设备、不限地点的访问，并允许社交账号访问一系列风险程度不一的企业资产。 全面沙盒分析（内容引爆）与入侵指标（IOC）确认

无可避免地，某些攻击将越过传统的封锁与安全防护机制，在这种情况下，最重要的就是要尽可能在最短时间内迅速察觉入侵，将黑客可能造成的损害或泄露的敏感信息降至最低。许多信息安全平台现在都具备在虚拟机（VM）当中运行（亦即“引爆”）执行档案和内容的功能，并且能够观察VM当中的一些入侵指标。这一功能已迅速融入一些较强大的平台当中，

信息安全新测评技术

云端访问安全代理服务

云端访问安全代理服务是部署在企业内部或云端的安全策略执行点，位于云端服务消费者与云端服务供应商之间，负责在云端资源被访问时套用企业安全策略。在许多案例中，初期所采用的云端服务都处于IT掌控之外，而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握及管控。 适应性访问管控

适应性访问管控一种情境感知的访问管控，目的是为了在访问时达到信任与风险之间的平衡，结合了提升信任度与动态降低风险等技巧。情境感知（Context awareness）是指访问的决策反映了当下的状况，而动态降低风险则是指原本可能被封锁的访问可以安全的开放。采用适应性访问管理架构可让企业提供不限设备、不限地点的访问，并允许社交账号访问一系列风险程度不一的企业资产。 全面沙盒分析（内容引爆）与入侵指标（IOC）确认

无可避免地，某些攻击将越过传统的封锁与安全防护机制，在这种情况下，最重要的就是要尽可能在最短时间内迅速察觉入侵，将黑客可能造成的损害或泄露的敏感信息降至最低。许多信息安全平台现在都具备在虚拟机（VM）当中运行（亦即“引爆”）执行档案和内容的功能，并且能够观察VM当中的一些入侵指标。这一功能已迅速融入一些较强大的平台当中，