安全資訊

1. 資產(chǎn)清單：系統所使用的服務(wù)器、網(wǎng)絡(luò )設備、安全設備的廠(chǎng)商、類(lèi)型、版本號、所使用的操作系統，數據庫等，及資產(chǎn)的責任人等；

2. 網(wǎng)絡(luò )拓撲圖：要求與網(wǎng)絡(luò )現狀一致。

3. 配合人員：網(wǎng)絡(luò )管理員、服務(wù)器管理員、數據庫管理員、應用管理員等。

4. 企業(yè)相關(guān)的安全管理制度：如整體安全策略，近遠期安全發(fā)展目標，人員管理制度等，（一般要求提供所有制度）

1、前期準備工作：

人員：等級保護行業(yè)相關(guān)專(zhuān)家3~5人，企業(yè)方負責等級保護項目的項目經(jīng)理，網(wǎng)絡(luò )管理員、運維管理員，應用管理員等。會(huì )議過(guò)程中，專(zhuān)家可能會(huì )對信息系統的基本狀況進(jìn)行詢(xún)問(wèn)。如：網(wǎng)絡(luò )結構，業(yè)務(wù)主體，服務(wù)對象，數據備份情況，安全運維情況等。

時(shí)間：與專(zhuān)家協(xié)調好的會(huì )議時(shí)間。

地點(diǎn)：與專(zhuān)家約定好的會(huì )議地點(diǎn)，一般在企業(yè)會(huì )議室。

需要準備的文檔：定級報告、備案表各三份；定級過(guò)程闡述文檔；電子版專(zhuān)家評審意見(jiàn)。需注意專(zhuān)家評審意見(jiàn)中信息系統的名稱(chēng)，專(zhuān)家一旦簽字，信息系統的名稱(chēng)將無(wú)法更改（如有軟件著(zhù)作權，則名稱(chēng)最好與軟件著(zhù)作權名稱(chēng)一致）。

2、專(zhuān)家評審流程：

專(zhuān)家簽到 → 確定專(zhuān)家組組長(cháng) → 定級闡述 → 專(zhuān)家就定級相關(guān)問(wèn)題進(jìn)行提問(wèn) → 專(zhuān)家對定級結果進(jìn)行討論→ 修改專(zhuān)家評審意見(jiàn) → 簽字 → 定級評審會(huì )議結束。

3、文檔輸出（電子版+紙質(zhì)蓋章版）

《XXX系統定級報告》、《XXX系統備案表》

相當于等級保護的差距測評（可選，不強制），對信息系統預先進(jìn)行的一次模擬測評，目的是發(fā)現信息系統安全現狀與國家等級保護對應等級安全防護能力之前的差距。

出具差距分析報告及整改意見(jiàn)報告。

1、現場(chǎng)訪(fǎng)談

測評工程是在測評過(guò)程中需要網(wǎng)絡(luò )管理員、服務(wù)器管理員、數據庫管理員、應用管理員等人員進(jìn)行現場(chǎng)配合，主要的工作方式為：測評工程師說(shuō)明需要檢查哪些相關(guān)安全策略，客戶(hù)的工程師進(jìn)行操作查詢(xún)，測評工程師負責記錄。

人員：網(wǎng)絡(luò )管理員、服務(wù)器管理員、數據庫管理員、應用管理員等。

文檔：公司所有有關(guān)的安全管理制度、規范、手冊等。

2、滲透測試及漏洞掃描

等級保護二級信息系統需進(jìn)行漏洞掃描，三級信息系統需進(jìn)行滲透測試，根據其結果進(jìn)行整改。其中高危、中危漏洞必須修復。整改完成需再次滲透測試驗證，確認漏洞修復有效。

3、整改建議

結合企業(yè)自身情況進(jìn)行整改。其中高、中危漏洞必須修復后才能進(jìn)行測評。

4、文檔輸出

《等級保護差距測評報告》

  此部分根據等級保護差距測評和加固建議，出具具體的安全加固及整改建議方案，并根據方案進(jìn)行整改，包括：系統補丁升級、網(wǎng)絡(luò )及安全產(chǎn)品配置整改、增加相應的安全產(chǎn)品、各種環(huán)境整改、制度評估及整改等。

由擁有國家等級測評資質(zhì)測評機構對企業(yè)的信息系統進(jìn)行等級測評，并出具等級測評報告。

1、信息安全等級保護測評的四個(gè)階段

2、信息安全等級保護測評的基本內容

3、文檔輸出

《XXX系統安全等級測評報告》