分级保护测评和等级保护测评

等级保护与分级保护的区别

等级保护与分级保护

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息

等级保护与分级保护的区别

等级保护与分级保护

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息

等级保护测评政策及总体要求

深入理解信息安全等级保护制度——概述及政策/标准体系

等级保护测评政策及总体要求

等级保护概述 等级保护的地位和作用–是信息安全工作的基本制度、基本国策、是国家意志的体现。–是开展信息安全工作的基本方法。–是促进信息化、维护国家信息安全的根本保障。

等级保护测评政策及总体要求

等级保护概述 信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。

等级保护测评政策及总体要求

政策体系 1994年，《中华人民共和国计算机信息系统安全保护条例》 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 关于印发信息安全等级保护工作的实施意见通知(公通字[2004]66号) 关于印发信息安全等级保护管理办法通知(公通字[2007]43号)

等级保护测评政策及总体要求

政策体系 信息安全等级保护备案实施细则(公信安[2007]1360号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)

公安机关信息安全等级保护检查工作规范(公信安[2008]736号) 关于开展信息系统等级保护安全建设整改工作的指导意见(公信安[2009]1429号)

等级保护测评政策

等级保护测评政策及总体要求

深入理解信息安全等级保护制度——概述及政策/标准体系

等级保护测评政策及总体要求

等级保护概述 等级保护的地位和作用–是信息安全工作的基本制度、基本国策、是国家意志的体现。–是开展信息安全工作的基本方法。–是促进信息化、维护国家信息安全的根本保障。

等级保护测评政策及总体要求

等级保护概述 信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。

等级保护测评政策及总体要求

政策体系 1994年，《中华人民共和国计算机信息系统安全保护条例》 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 关于印发信息安全等级保护工作的实施意见通知(公通字[2004]66号) 关于印发信息安全等级保护管理办法通知(公通字[2007]43号)

等级保护测评政策及总体要求

政策体系 信息安全等级保护备案实施细则(公信安[2007]1360号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)

公安机关信息安全等级保护检查工作规范(公信安[2008]736号) 关于开展信息系统等级保护安全建设整改工作的指导意见(公信安[2009]1429号)

等级保护测评政策

信息安全等级保护试题集

一、法律法规

一、单选题

1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门

2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关

B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门

3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)

A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级 B．第二级 C．第三级 D．第四级

5．一般来说，二级信息系统，适用于（D）

A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统

信息安全等级测评师模拟考试

考试形式：闭卷 考试时间：120分钟

一、单选题（每题1.5分，共30分）

1.以下关于等级保护的地位和作用的说法中不正确的是（ C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。

D.是促进信息化、维护国家信息安全的根本保障。

2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。

D.加固改造 缺什么补什么 也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（ A ）

A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不

附件1：

信息安全等级保护测评机构

申 请 表

名称： 地址： 日期：

国家信息安全等级保护工作协调小组办公室制

填表说明：（封皮背面）

1、申请表应由申请单位法定代表人签字；委托代表人签字的，应出具有效的委托书。

2、如所填内容超出表格时，可添加附页。

3、测评机构申请单位测评人员基本情况表一人一表。 4、申请表一式二份。同时提供word格式电子版光盘。

测评机构申请单位基本情况表

业 务 范 围 及 主 营 业 务

(近年来从事信息系统安全相关工作的业绩，需要列举已完成项目的范例)

从 事 信 息 系 统 安 全 相 关 工 作 情 况

(等级测评所需的测试实验环境、测评工作平台、专门工具、测试与评估设备及其它服务保障 设施情况；设备类别清单)

设 备 设 施 配 备 情 况

(为加强内部规范管理，适应等级测评业务安全保密要求而采取的人员管理、安全保密管理、 设备使用管理、测评质量控制管理等方面的措施和制度建设情况)

安 全 保 密 管 理 等 制 度 情 况

(技术人才数量、层次、培训、承担重大课题、项目情况)

测 评 技 术 力

信息安全等级保护二级测评控制点

一、技术类测评要求

等级保护二级技术类测评控制点(S2A2G2) 类别 物理位置的选择 序号 测评内容 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人 员进入机房的审批记录。 访谈，检查。 物理安全负责人，机房维护人员， 资产管理员，机房设施，设备管理 制度文档，通信 线路布线文档，报 警设施的安装测试/验收报告。 访谈，检查。 物理安全负责人，机房维护人员， 结果记录 符合情况 Y N O 机房和办公场地应选择在具有防震、防风和防雨等能力1. 的建筑内。 2. 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 物理访问控制 3. 物理安全 防盗窃和防破坏 4. 应将主要设备放置在机房内。 应将设备或主要部件进行固定，并设置明显的不易除去5. 的标记。 6. 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 7.

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 物理4. 物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地，机房场地设计/验收文档。 结果记录 符合情况 Y N

温州交运集团

询价采购文件

项目编号：WZJYCG20161124

项目名称：信息系统安全等级保护测评项目 采购单位： 温州市交通运输集团有限公司

2016年11月

目录

第一章 采购公告 ........................................... 2 第二章 采购要求 ........................................... 2 第三章 报价文件格式 ....................................... 6 第四章 报价文件编制要求及评审办法 .......................... 7 第五章 合同主要条款 ....................................... 8

第1页/共8页

第一章 采购公告

我集团公司根据等级保护的要求，拟对两个信息系统进行等级测评，现以询价采购的方式确定合作单位，欢迎广大合格的供应商前来参与。

一、项目名称：信息系统安全等级保护测评项目 二、项目编号：WZJYCG20161124 三、采购方式：询价采购 四、采购内容及数量： 序号 1 采购内容 信息系统安全等级保护测评（详见采购文