XX省XX厅等级保护测评及密码评估服务需求说明.pdfVIP

XX省XX厅等级保护测评及密码评估服务需求说明

一、总体要求

依据国家网络安全等级保护及密码应用安全性评估相关标准及技术规范要求，结合

XX省XX厅网络信息安全整体需求及各信息系统具体特点，对XX省XX厅相关信息系统

开展网络安全等级保护测评及商用密码应用安全性评估，出具等级测评报告及密评报告。

二、测评范围

本次测评涉及5个三级系统的等级测评及密码评估，具体系统见下表:

序号系统名称测评要求

1投资促进在线应用

2外贸综合应用

等保三级及密评

3综合业务系统

三级

4商贸流通应用

5门户网站系统

三、依据标准

网络安全等级保护测评应依据的国家及行业标准包括：

1GB/T22239-2019

、《信息安全技术网络安全等级保护基本要求》

2GB/T28448-2019

、《信息安全技术网络安全等级保护测评要求》

3GB/T28449-2018

、《信息安全技术网络安全等级保护测评过程指南》

4T∕ISEΛΛ001-2023

、《信网络安全等级保护测评高风险判定指引》密码应用

安全性评估应依据的国家及行业标准包括：

1GB/T39786-2023

、《信息安全技术信息系统密码应用基本要求》

2GM/T0115—2023

、《信息系统密码应用测评要求》

3GM/T0116-2023

、《信息系统密码应用测评过程指南》

4、《信息系统密码应用高风险判定指引》

5、《商用密码应用安全性评估量化评估规则》

四、网络安全等级保护测评

4.1测评内容

本次等级保护测评内容应覆盖安全物理环境、安全通信网络、安全区域边界、安全

计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理

和安全运维管理等10个层面，具体包括：

1）

安全物理环境测评内容应包括：物理位置选择、物理访问控制、防盗窃和防破坏、

防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

2）安全通信网络测评内容应包括：网络架构、通信传输、可信验证。

3）

安全区域边界测评内容应包括：边界防护、访问控制、入侵防范、恶意代码防范、

安全审计、可信验证。

4）安全计算环境测评内容应包括：身份鉴别、访问控制、安全审计、入侵防范、恶

意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。

5）安全管理中心测评内容应包括：系统管理、审计管理。

6）

安全管理制度测评内容应包括：安全策略、管理制度、制度和发布、评审和修订。

7）

安全管理机构测评内容应包括：岗位设置、人员配备、授权和审批、沟通和合作、

审核和检查。

8）安全管理人员测评内容应包括：人员录用、人员离岗、安全意识教育和培训、外

部人员访问管理。

9）安全建设管理测评内容应包括：定级和备案、安全方案设计、产品采购和使用、

自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商

选择。

10）安全运维管理测评内容应包括：环境管理、资产管理、介质管理、设备维护管

理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、

变更管理、备份与恢复管理、安