二级等保测评招标技术规范书.docxVIP

二级等保测评招标技术规范书

一、测评范围

本项目测评对象为[甲方单位名称]二级等保备案信息系统（以下简称“被测系统”），具体范围包括但不限于以下内容：

1.系统基础信息

被测系统名称：[填写具体系统名称]；系统类型：[业务系统/数据中心/物联网系统等，需具体说明]；系统服务对象：[内部员工/公众/特定用户群体等]；系统承载业务：[如核心业务处理、数据存储与交换、用户身份认证等，需详细描述业务流程及关键环节]；系统部署架构：[物理机/虚拟机/云平台部署，需说明拓扑结构、网络边界、内外网划分、关键节点位置（如DMZ区、核心业务区、数据存储区）]。

2.设备与资产清单

-网络设备：核心交换机、接入交换机、路由器、负载均衡设备（型号、数量、部署位置）；

-安全设备：防火墙、入侵检测/防御系统（IDS/IPS）、抗DDoS设备、堡垒机、漏洞扫描设备（型号、厂商、策略配置状态）；

-主机设备：应用服务器、数据库服务器、文件服务器（操作系统版本、虚拟化平台类型、IP地址、所属业务模块）；

-应用系统：业务应用（开发语言、架构类型、接口类型及开放情况）、数据库（类型及版本、数据存储规模、敏感数据类型）；

-终端设备：接入系统的客户端（PC、移动终端等，需说明接入方式及安全管控措施）。

3.数据安全范围

被测系统处理、存储的重要数据类型包括但不限于：[用户个人信息（姓名、身份证号、联系方式等）、业务交易数据、财务数据、内部管理数据]，数据存储介质（本地磁盘、数据库、云存储）、传输路径（内网、互联网、VPN）及交互接口（API、文件传输协议）需全部纳入测评。

二、测评依据

本次测评严格遵循国家及行业现行有效的法律法规、技术标准及管理要求，具体包括：

1.法律法规

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络安全等级保护条例》（征求意见稿）。

2.国家标准

-《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）（第二级）；

-《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）（第二级）；

-《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）；

-《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2018）。

3.行业规范

[根据甲方所属行业补充，如金融行业《金融业信息系统等级保护测评指南》、医疗行业《卫生行业信息安全等级保护工作的指导意见》等]。

三、测评内容与方法

本次测评覆盖二级等保要求的技术要求（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复）和管理要求（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）全部11个层面，具体内容及方法如下：

（一）技术要求测评

1.物理安全

-物理位置选择：测评机房是否避开强电磁干扰区域，与其他公共区域（如楼梯间、卫生间）的隔离措施是否有效；通过现场勘查机房位置及周边环境，核查建筑设计图纸。

-物理访问控制：测评机房门禁系统（如指纹/IC卡）的使用情况，是否登记外来人员访问记录；通过检查门禁日志、访谈机房管理员、抽查近1个月访问记录。

-防盗窃和防破坏：测评服务器、网络设备是否固定安装，机房是否安装视频监控（覆盖所有设备区，存储时间≥30天）；通过现场检查设备固定方式、调阅监控录像存储周期。

-防雷击：测评机房是否安装防雷装置（如SPD浪涌保护器），接地电阻是否≤4Ω；通过核查防雷检测报告、使用接地电阻测试仪现场测量。

-防火：测评机房是否配置自动灭火系统（如气体灭火）、手动灭火器（类型是否匹配电气火灾），消防通道是否畅通；通过现场检查消防设备、测试火灾报警联动功能。

-防水和防潮：测评机房是否设置防水挡板、排水设施，温湿度是否符合要求（温度18℃-28℃，湿度30%-70%）；通过检查机房地面防水措施、调阅温湿度监控日志。

-电力供应：测评是否采用双路供电或UPS（续航时间≥30分钟），备用发电机是否定期测试；通过核查电力供应合同、测试UPS充放电功能、检查发电机维护记录。

2.网络安全

-结构安全：测评网络架构是否分层（核心层、汇聚层、接入层），边界是否明确（如业务区与互联网区、办公区与生产区）；通过绘制实际网络拓扑图与设计文档比对，验证逻辑隔离措施（如VLAN划分、安全域设置）。

-访问控制：测评防火墙/交换机是否配置访问控制策略（基于