信息系统安全等级保护测评,依据国家、行业对信息系统等级保护测评工作的相关标准,评估被测系统是否达到该系统备案证明上规定的安全等级要求,并出具正式的等级测评报告,该报告可作为判定被测系统是否开展了等级保护测评工作的依据。
测评机构对被测系统的技术与管理进行评估,技术部分包括物理安全、网络安全、主机安全、应用安全和数据安全,管理部分包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
1、《GBT 20984-2007 信息安全技术信息安全风险评估规范》
2、《GBT 22239-2008 信息安全技术信息系统安全等级保护基本要求》
3、《GBT 22240-2008 信息安全技术信息系统安全等级保护定级指南》
4、《GBT 25058-2010 信息安全技术信息系统安全等级保护实施指南》
5、《GBT 28448-2012 信息安全技术信息系统安全等级保护测评要求》
6、《GBT 28449-2012 信息安全技术信息系统安全等级保护测评过程指南》
7、行业信息安全标准
8、用户自身业务安全需求
1.《外部业务委托书》
2.《信息系统基本情况调查表》
3.《信息系统安全技术方案》
4.《信息安全管理组织架构》
5.《信息安全管理制度》
6.《网络拓扑》等文档
《信息系统安全等级保护测评报告》