国家信息安全测评

国家信息安全测评

信息安全服务资质申请指南（安全工程类三级）

?版权2015—中国信息安全测评中心

2016年10月1 日

一、认定依据 (4)

二、级别划分 (4)

三、三级资质要求 (4)

3.1 基本资格要求 (5)

3.2 基本能力要求 (5)

3.3 质量管理要求 (6)

3.4安全工程过程能力要求 (6)

四、资质认定 (7)

4.1认定流程图 (7)

4.2申请阶段 (8)

4.3资格审查阶段 (8)

4.4能力测评阶段 (8)

4.4.1静态评估 (8)

4.4.2现场审核 (9)

4.4.3综合评定 (9)

4.4.4资质审定 (9)

4.5证书发放阶段 (9)

五、监督、维持和升级 (10)

六、处置 (10)

七、争议、投诉与申诉 (10)

八、获证组织档案 (11)

九、费用及周期 (11)

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。

中国信息安全测评中心的主要职能是：

1.对国内外信息安全产品和信息技术进行测评；

2.对国内信息系统和工程进行安全性评估；

3.对提供信息系统安全服务的组织和单位进行评估；

4.对信息安全专业人员的资质进行评估。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。

一、认定依据

信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。

信息安全工程服务资质级别的评定，是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求，在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息安全测评中心给予相应的资质级别。

二、级别划分

信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认，信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括：基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。

信息安全服务资质分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别。

一级：基本执行级

三级：计划跟踪级

三级：充分定义级

四级：量化控制级

五级：持续改进级

三、三级资质要求

信息安全工程服务资质三级为充分定义级，要求满足基本资格的信息安全工程服务组织建立有效的质量管理体系以及标准化、文档化的安全工程过程标准体

系，依据对已批准发布的、文档化的标准过程进行适当裁减，来充分定义组织的过程，在实施工程过程中按照组织过程执行，并协调安全实施。

申请信息安全工程服务三级资质的组织需要在基本资格、基本能力、质量管理和安全工程过程能力等几个方面符合《信息安全服务资质具体要求（安全工程类三级）》的规定。

3.1 基本资格要求

基本资格要求是评定信息安全服务资质的起评条件。

申请信息安全工程服务三级资质的组织必须：

1.是具有独立法人地位的实体；

2.获得相关主管部门的批准；

3.遵守国家现行法律法规；

4.已获信息安全工程服务二级资质满一年以上；

5.达到其他补充要求。

3.2 基本能力要求

基本能力的要求包括：资产与规模要求，资源配置要求（包括人员构成与素质要求、设备、设施与环境要求），组织管理要求以及业绩要求。

申请信息安全服务三级资质的组织应该：

1.从事信息安全服务行业5年以上；

2.注册资本应在5000万元以上；

3.近3年的财务状况良好；

4.从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定，

拥有专职的注册信息安全专业人员（CISP）数量不少于从事安全工程服

务专业技术人员的10%，且不得少于12人（或10名CISP获证人员和

8名CISM获证人员）；

5.实践过一到两个完整的安全工程过程；

6.近3年完成信息安全服务工程项目总值应在3000万元以上。

7.近3年所做安全工程项目没有出现验收未通过的情况，且未发生过严重

的信息安全服务事故。

3.3 质量管理要求

申请信息安全工程服务三级资质的组织，在质量管理方面应该：

1.建立合理的组织架构来满足信息安全工程服务的实施和管理，有独立的

信息安全工程服务技术部门；

2.建立合理的管理架构来满足信息安全服务的管理，建立有效的技术管

理、质量管理和组织管理机制；

3.建立有效的质量管理体系，至少满足支持信息安全工程技术能力达到充

分定义级所需的相关管理能力要求；

4.建立有效的信息安全管理体系，能满足企业自身信息安全管理能力要

求。

3.4安全工程过程能力要求

安全工程过程能力方面的要求是信息安全工程服务资质的核心要求。

申请信息安全工程服务三级资质的组织应该：

1.在按照三级所要求的各个过程域理论基础上，充分定义组织的信息安全

工程服务过程，形成文档化标准过程；

2.依据对已批准发布的、文档化的标准过程进行适当裁减，来充分定义组

织的过程，并在实施工程过程中按照标准化的组织过程执行；

3.开展项目和组织活动的协调，包括组内、组间以及组外活动的协调。

四、资质认定

4.1认定流程图

4.2申请阶段

申请组织应首先到CNITSEC网站（https://www.sodocs.net/doc/1914202748.html, ）查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南（安全工程类三级）》、和《信息安全服务资质申请书（安全工程类三级）》，了解资质认定的流程及相关情况，确定本组织满足三级资质的基本资格要求和基本能力要求。

申请组织当决定申请三级信息安全工程服务资质后，根据《信息安全服务资质申请书（安全工程类三级）》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC，同时提交申请费。在向CNITSEC递交申请书前，须逐项检查所填报的材料的完整性和正确性。

4.3资格审查阶段

CNITSEC接到正式申请书及相关资料以及申请费后，根据所提交的资料进行资格审查，以确认申请单位是否满足资质的基本资格要求，提交资料是否完整。

资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容，CNITSEC将要求申请组织补充资料等。

当通过资格审查阶段后，CNITSEC将向申请组织发出受理通知书，正式受理该申请，并通知相关费用的缴纳事宜等。

4.4能力测评阶段

当申请组织通过资格审查并缴纳了相关费用后，资质申请进入能力测评阶段。

能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。

4.4.1静态评估

静态评估是对申请组织资料进行符合性审查，是对申请组织的信息安全工程服务能力做出基本判断，初步确定申请组织的信息安全工程服务能力水平状况，

为现场审核做准备。如果静态评估阶段发现有不符合要求的内容，CNITSEC将要求申请组织进一步补充资料，以便反映申请组织的客观情况。

4.4.2现场审核

现场审核是对申请组织从事信息安全工程服务的综合能力（包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面）进行核实和确认。

通过静态评估后，CNITSEC将与申请组织沟通现场审核事宜，安排审核组进行现场审核。

现场审核若发现需整改的不符合项，审核组将对申请组织提出限期整改的要求，并对整改效果进行验证。

4.4.3综合评定

在综合评定阶段，将依据静态评估和现场审核结果，对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定，出具综合评定报告。

对评定结果不符合的，CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后，CNITSEC将对整改结果进行验证，整改仍不符合的，将不能通过能力测评。逾期未整改的，视作整改不符合。

4.4.4资质审定

根据综合评定的报告，CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查，并最终做出是否通过的决定。

4.5证书发放阶段

资质审定通过后，CNITSEC将进行资质证书的制作、审批和发放，并在网站、报刊杂志等媒体上公布获证组织的相关信息。

申请组织领取三级资质证书时需将二级资质证书交回CNITSEC。

五、监督、维持和升级

获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。

证书在三年有效期内实行年确认制度，每三年进行一次维持换证。

获证后，每年在证书签发之日前30天内，获证组织要向CNITSEC提交年度调查表，并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的，将要求其限期整改，整改后仍不合格，CNITSEC将暂停或取消证书。

在证书有效期届满前90天内，由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审，以确定获证组织符合信息安全工程服务能力三级资质要求的持续性。

若获证组织相关资料变动时，须及时通知CNITSEC，并申请更改。

若获证组织实体发生变化，需要进行资质证书的转移，可到CNITSEC网站（https://www.sodocs.net/doc/1914202748.html, ）下载并填写《信息安全服务资质变更申请书》，并提出资质转移申请。

获证组织获证后，可根据自身能力的提升情况，向CNITSEC申请三级资质。

六、处置

获证组织存在违规行为时，CNITSEC有权视组织违规情节轻重予以以下处置：警告、限期整改、暂停证书、取消证书。

七、争议、投诉与申诉

对CNITSEC所作的评审、复查、处置等决定有异议时，可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查，CNITSEC在调查基础上做出结论。

获证组织应妥善处理因组织自身行为而发生的投诉，保留记录并采取措施防

止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。

八、获证组织档案

CNITSEC将对每个获证组织建立专项档案，所有资料将保存10年以上，升级，年度确认或者复核换证时，只需补交所要求的相应材料，CNITSEC实行记录累加制度。

九、费用及周期

信息安全服务资质认定收费划分为如下几个部分：

（一）受理费：27000元/9人日*3000元

（二）静态审核：27000元/9人日*3000元

（三）现场审核费：36000元/12人日*3000元

（四）综合评审：27000元/9人日*3000元

（五）专家资质审定：18000元/6人日*3000元

（六）年金：5000*3=15000元

（七）证书费：3000元

（八）总计：153000元

从受理到颁发证书的周期为三个月，中间由于申请方原因（如，资料补充需要的时间等）造成的时间不计算在内。

国家信息安全测评

国家信息安全测评 信息安全服务资质申请指南（安全工程类三级） ?版权2015—中国信息安全测评中心 2016年10月1 日

一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是： 1.对国内外信息安全产品和信息技术进行测评； 2.对国内信息系统和工程进行安全性评估； 3.对提供信息系统安全服务的组织和单位进行评估； 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。

信息安全测评服务简介

信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估，每半年评估一次，评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产，内容具体包括： (1)漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描， 发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。 (2)操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查，确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是

否是木马或病毒，研究相关行为，并进行查杀。 (6)渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测 试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括： 操作系统安全加固； 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固； 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固； 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固

信息安全管理体系审核员注册准则-中国信息安全认证中心

中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制：CCAA日期：2012年5月10日 批准：CCAA日期：2012年6月19日 实施：CCAA 日期：2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下： 地址：北京市朝阳区朝外大街甲10号中认大厦13层 邮编：100020 https://www.sodocs.net/doc/1914202748.html, email：pcc@https://www.sodocs.net/doc/1914202748.html, 版权 ?版权2012-中国认证认可协会

前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

信息安全等级测评师模拟试卷有答案

信息安全等级测评师模拟试题（三） 一、判断（10×1=10） 1、三级信息系统应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。（√） 2、口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信息，进而非法获得系统和资源访问权限。(√) 3、只要投资充足，技术措施完备，就能够保证百分之百的信息安全。（×） 4、特权用户设置口令时，应当使用enablepassword命令设定具有管理员权限的口令。（×） 5、Windows2000/xp系统提供了口令安全策略，以对帐户口令安全进行保护。(√) 6、脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√) 7、结构安全是网络安全检查的重点，网络结构的安全关系到整体的安全。（√） 8、一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 9、不同vlan内的用户可以直接进行通信。（×） 10、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.(×)

二、单项选择题（15×2=30） 1、我国在1999年发布的国家标准（）为信息安全等级保护奠定了基础。 A．GB17799B.GB15408 C.GB17859 D.GB14430 2、安全保障阶段中将信息安全体系归结为四个主要环节，下列______是正确的。 A.策略、保护、响应、恢复 B.加密、认证、保护、检测 C.策略、网络攻防、备份D保护、检测、响应、恢复 3、为了数据传输时不发生数据截获和信息泄密，采取了加密机制。这种做法体现了信息安全的______属性。 A.保密性 B.完整性 C.可靠性 D.可用性信 4、在使用复杂度不高的口令时，容易产生弱口令的安全脆弱性，被攻 击者利用，从而破解用户帐户，下列（）具有最好的口令复杂度。 A.Morrison B.Wm.＄*F2m5@ C. D.wangjing1977 5、息安全领域内最关键和最薄弱的环节是______。 A.技术 B.策略 C.管理制度 D.人 6、对于提高人员安全意识和安全操作技能来说，以下所列的安全管理最有效的是______。 A.安全检查B教育和培训C.责任追究D.制度约束 7、公安部网络违法案件举报网站的网址是______。 A.B.

中国信息安全产品测评认证中心

中国信息安全产品测评认证中心 国家信息安全成果产业化（四川）基地培训中心 关于开展“注册信息安全专业人员（CISP）”注册资质培训的公告 国信安认[2006]25号 为进一步提高信息安全从业人员的技术水平和职业化道德、提高国家信息安全管理水平，加强我国信息安全专业人才的培养，支持四川信息安全企业申请信息系统安全服务资质，中国信息安全产品测评认证中心授权国家信息安全成果产业化（四川）基地培训中心计划于2007年1月进行“注册信息安全专业人员（CISP）”培训，具体事项通知如下： 一、课程设置：

二、培训管理和证书 “注册信息安全专业人员”注册资质证书是经中国信息安全产品测评认证中心实施并颁布的国家专业资质注册证书，同时负责“注册信息安全专业人员”的培训和注册管理工作。 培训教师管理：“注册信息安全专业人员”培训教师是由本中心认可的，且具有丰富信息安全理论和实践经验的资深专家担任。 培训资料管理：“注册信息安全专业人员”培训资料由中国信息安全产品测评认证中心统一编制、管理和发放。 资质证书管理：凡通过“注册信息安全专业人员”培训和考试者，本中心依据“注册信息安全专业人员”资质评估准则进行审核并合格者，获得“注册信息安全专业人员”专业资质证书。 证后维持管理：由中国信息安全产品测评认证中心负责和管理“注册信息安全专业人员”证后维持和服务工作。 三、培训师资： 由CISP认证的发起者和制定者，并具有多年信息安全领域实践的专家全程授课。 四、培训对象 包括在国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员。 五、培训费用

信息安全等级测评师测试题

信息安全等级测评师测试题

信息安全等级测评师测试 一、单选题（14分） 1、下列不属于网络安全测试范畴的是（ C ） A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是（ D ）。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析，并生成报表。 D. 为了节约存储空间，审计记录可以随意删除、修改或覆盖。 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应 为下列哪一个。（ A ） A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。（ A ） A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。（ ABCD ） A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过＿＿控制来阻塞邮件附件中的病毒。( Ａ ) Ａ．数据控制Ｂ．连接控制Ｃ．ACL控制Ｄ．协议控制 二、多选题（36分） 1、不同设VLAN之间要进行通信，可以通过＿＿。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有＿＿。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。（ ABCD ） A．源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。（ＣＤ） A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据＿＿＿＿来限制应用数据流的最大流量。（ ACD ） A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是＿＿＿＿＿。（ BD ） A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。（ CD ） A．用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时，应采用协议的方式以防被窃听。 （ＡＣ） A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括（ABC ）。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统

信息安全测评工具

信息安全等级保护测评工具选用指引 一、必须配置测试工具 （一）漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 （二）木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 （一）漏洞扫描探测工具。 应用安全漏洞扫描工具。 （二）软件代码安全分析类。 软件代码安全分析工具。 （三）安全攻击仿真工具 （四）网络协议分析工具 （五）系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 （六）网络拓扑生成工具 （七）物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 （八）渗透测试工具集 （九）安全配置检查工具集 （十）等级保护测评管理工具 综合工具： 漏洞扫描器：极光、Nessus、SSS等； 安全基线检测工具（配置审计等）：能够检查信息系统中的主机操作系统、数据库、网络设备等； 渗透测试相关工具：踩点、扫描、入侵涉及到的工具等； 主机：sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具（涉密）； 网络：Nipper（网络设备配置分析）、SolarWinds、Omnipeek、laptop（无线检测工具）； 应用：AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。

信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark（原名Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。 工作流程 （1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 （2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 （6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。 （7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。 Wireshark特性： ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能： ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全 2集成等业务； （十）应具备的其他条件。 第七条申请时，申请单位应向等保办提交以下材料：（一）《信息安全等级保护测评机构申请表》； （二）从事信息系统安全相关工作情况； （三）检测评估工作所需软硬件及其他服务保障设施配备情况； （四）有关管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）应提交的其他材料。 等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

(安全生产)国家信息安全测评认证

编号： 国家信息安全测评认证 信息系统安全服务资质认证申请书 (一级) 申请单位（公章）： 填表日期： 中国信息安全产品测评认证中心

目录 填表须知 (3) 申请表 (4) 一，申请单位基本情况 (5) 二，企业组织结构 (6) 三，企业近三年资产运营情况 (7) 四，企业主要负责人情况 (9) 五，企业技术能力基本情况 (13) 六，企业的信息系统安全工程过程能力 (18) 七，企业的项目和组织过程能力 (41) 八，企业安全服务项目汇总 (58) 九，企业安全培训软硬件情况 (60) 十，企业获奖、资格授权情况 (62) 十一，企业在安全服务方面的发展规划 (63) 十二，企业其他说明情况 (64) 十三，其他附件 (65) 申请单位声明 (66)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容： 1．中国信息安全产品测评认证中心对下列对象进行测评认证： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息系统安全服务资质认证指南》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。4．申请单位须提交《信息系统安全服务资质认证申请书》（含附件及证明材料）纸板一式叁份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。5．不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。 6．不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情况》此项内容。 7．如有疑问，请与中国信息安全产品测评认证中心联系。 中国信息安全产品测评认证中心 地址：北京市西三环北路27号北科大厦9层 邮编：100091 电话：86－10－68428899 传真：86－10－68462942 网址：https://www.sodocs.net/doc/1914202748.html, 电子邮箱：cnitsec@https://www.sodocs.net/doc/1914202748.html,

中国信息安全测评中心授权培训机构管理办法

中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月

第一章 总 则 第一条随着国家信息化建设的高速发展，对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养，增强全民信息安全意识”的精神，加强对授权培训机构的管理，规范授权培训机构的职能，中国信息安全测评中心（以下简称CNITSEC）根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方，中国信息产业商会信息安全产业分会为授权运营管理机构（以下简称授权运营方），授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下： 1、CNITSEC及授权培训机构均为独立的法人单位，但两两之间不具有行政隶属及产权归属关系，各自对自己的行为承担法律责任； 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构，按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉，根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利； 4、授权培训机构应严格遵守相关管理规定，开展双方协议规定的培训业务，按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书，明确

双方的责任与义务，依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义，根据授权协议中授权内容从事以下培训业务： 1、注册信息安全员（Certified Information Security Member 简称CISM）培训； 2、注册信息安全专业人员（Certified Information Security Professional，简称CISP）培训，根据工作领域和实际岗位工作的需要，CISP培训分为四类： ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训； ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训； ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训； ●注册信息安全开发人员（Certified Information Security Developer 简称CISD）培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定： 1、日常工作管理 （1）按CNITSEC统一规定的教材、教学大纲开展培训业务，并执行授权运营方制定的统一培训标准；

信息安全等级测评师培训教程初级学习笔记

. 第一章网络安全测评 1.1 网络全局 1.1.1 结构安全 a）应保证主要网络设备的业务处理能力有冗余空间，满足业务高峰期需要 b）应保证网络各个部分的带宽满足业务高峰期需要； c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； d）应绘制与当前运行情况相符的网络拓扑结构图； e）应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网和网段，并按照方便管理和控制的原则为各子网、网段分配地址段 f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段 g）应按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生拥堵时优先保护重要主机。 1.1.2 边界完整性检查 a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定位，并对其进行有效阻断；技术手段：网络接入控制，关闭网络设备未使用的端口、IP/MAC地址绑定等 管理措施：进入机房全程陪同、红外视频监控等 b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定位，并对其进行有效阻断； 1.1.3 入侵防范 a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警 优质范文． . 1.1.4 恶意代码防范 a）应在网络边界处对恶意代码进行检测和清除；

b）应维护恶意代码库的升级和检测系统的更新 1.2 路由器 1.2.1 访问控制 a）应在网络边界处部署访问控制设备，启用访问控制功能； 能够起访问控制功能的设备有：网闸、防火墙、路由器和三层路由交换机等 b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c）应对进出网络的信息内容进行过滤，实现对应用层HTTP, FTP, TELNET, SMTP, POP3等协议命令级的控制 d）应在会话处于非活跃一定时间或会话结束后终止网络连接； e）应限制网络最大流量数及网络连接数； 路由器可根据IP地址、端口、协议来限制应用数据流的最大流量； 根据IP地址来限制网络连接数 路由器的带宽策略一般采用分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽 f）重要网段应采取技术手段防止地址欺骗 地址欺骗中的地址可以使MAC地址，也可以使IP地址。目前发生比较多的是ARP地址欺骗，ARP地址欺骗是MAC地址欺骗的一种。ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。 ARP欺骗分为2种，一种是对网络设备ARP表的欺骗，另一种是对内网PC的网关欺骗。 解决方法：1在网络设备中把所有PC的IP-MAC输入到一个静态表中，这叫IP-MAC绑定； 2.在内网所有PC上设置网关的静态ARP信息，这叫PC IP-MAC绑定。 一般要求2个工作都要做，称为IP-MAC双向绑定 g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户 h）应限制具有拨号访问权限的用户数量 优质范文． . 1.2.2 安全审计网络设备运行状况、网络流量、用户行为等进行日志记录；a）应对网络系统中的事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相b）审计记录

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

国家信息安全测评认证

国家信息安全测评认证 Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998

编号： 国家信息安全测评认证 产品认证申请书 申请单位（公章）： 产品名称(版本/型号)： 填表日期： 中国信息安全产品测评认证中心

告用户 用户在正式填写本申请书前，须认真阅读并理解以下内容： 1.中国信息安全产品测评认证中心对下列对象进行测评认证： ●信息安全产品 ●信息系统 ●信息安全服务 2.信息安全产品认证分为： ●型号认证 ●产品认证 3.型号认证的方式为：用户选样测试后本中心再抽样测试，都通过测试并符合有 关标准后，即获得型号认证。 4.产品认证的方式为：用户选样测试后，本中心再抽样测试，都通过测试并符合 有关标准后，本中心再根据ISO/IEC9000系列有关标准和国家信息安全工程与服务评估规范等对用户的质量保障体系和安全保障能力进行评估、审核，通过评审后方能获得产品认证。 5.通过型号认证和产品认证的项目，获得认证书并准予使用国家信息安全认证标 志，并列入《政府和企业信息安全产品采购指南》。 6.上述内容和有关用户获得认证的实际情况，本中心将以各种有效方式周期性向 国内外公告。

目录 目录 (3) 填表要求 (4) 申请单位基本情况 (5) 申请认证类别和产品状况 (6) 产品功能说明书 (8) 产品设计方案 (10) 使用手册 (12) 产品自测情况说明 (14) 脆弱性分析 (20) 执行标准情况 (22) 主要原材料，外协外购件明细表 (23) 申请认证产品的生产厂商检验室主要检测设备表 (24) 质量手册的简要说明 (25) 质量体系和安全保障能力文档 (26) 申请认证产品的生产厂商检验室人员情况表 (27) 主要技术人员情况表 (28) 送(抽)样产品明细表 (29) 委托书 (30) 申请单位声明 (31)

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

中国信息安全测评中心授权培训机构申请书

中国信息安全测评中心 授权培训机构申请书 申请单位（公章）： 填表日期： ?版权2020—中国信息安全测评中心 2020年2月

中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容：授权培训机构申请单位（以下简称：申请单位）在正式填写本申请书前，须认真阅读以下内容： 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》， 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写，所有填报项目(含表格)页面不足 时，可另加附页。 3.填写本表时要求字迹清晰，请用签字笔正楷填写或计算机输入。 4.提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方， 必须加盖公章，同时提交一份对应的电子文档（电子文档刻盘与纸板申请书一起邮寄）。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：北京市海淀区上地西路8号院1号楼 邮编：100085 电话：（010）82341571或82341576 传真：82341100 网址：https://www.sodocs.net/doc/1914202748.html, 电子邮箱：zhangxy@https://www.sodocs.net/doc/1914202748.html,

信息安全应急处理服务资质认证申请书-中国信息安全认证中心

申请编号： 信息安全服务资质认证 申请书 申请组织（盖章）： 申请日期： 中国网络安全审查技术与认证中心

填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表（自评价表应包括公共管理自评价表一份）。 3、一、二级申请组织需提交申请书和自评价表（自评价表应包括公共管理、对应服务类别的自评价表各一份）。 4、申请书应使用A4型纸打印装订，首页及申请组织声明处加盖组织公章，并使用黑色钢笔或签字笔在相应位置签名（法人）。 5、申请书中所要求提交的证明材料，自评价表及自评价证据以电子版方式提供，不接受纸版材料。

信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类（不具有外资背景）B类（具有外资背景） 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复（资源服务类）一级二级三级 灾难备份与恢复（技术服务类）一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 （工业控制所属行业：能源交通通信水利城建其他）1.3保持的类别和级别（级别变更或增加类别时填写） 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复（资源服务类）一级二级三级 灾难备份与恢复（技术服务类）一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 （工业控制所属行业：能源交通通信水利城建其他）2.组织基本信息（所有申请类型和级别都需填写） 申请组织全称（中文）：。 申请组织全称（英文）：。

信息安全等级测评实施细则(稿)

信息安全等级保护等级测评实施细则 第一章总则 第一条【目的】为加强信息安全等级测评机构建设和管理，规范等级测评活动，保障信息安全等级保护制度的贯彻落实，根据《信息安全等级保护管理办法》等有关规范制订本实施细则。 第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。 第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。 第四条【测评机构定义】测评机构是经有关部门能力认可，经有关部门推荐，在一定范围内从事信息系统安全等级测评等工作的专业技术机构。 第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模版出具测评报告。 第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定，保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。 第七条【管理体制】测评机构应当接受各级信息安全等级保护协调（领导）小组和公安网安部门的监督管理，并接受有关部门的业务管理和技术指导。

第二章测评机构 第八条【总体要求】测评机构分为地区性、行业性测评机构，按照属地管理和行业管理相结合的原则进行建设和管理。 第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作，指导行业等级测评机构的建设和管理工作，并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。 各省（区、市）等级保护协调（领导）小组办公室负责本地等级测评机构的建设管理工作。 第十条【基本条件】申请成为等级测评机构的单位（以下简称申请单位）应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上； （五）单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于80%。其中测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施及完备的安全管理制度； （八）对国家安全、社会秩序、公共利益不构成威胁;

国家信息安全测评

国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月

目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)

1. 目的和意义 工业控制系统产品（以下简称工控产品）安全测评的目的是促进高质量、安全和可控的工控产品的开发，具体目的和意义包括： 1）对工控产品依据相关标准规范进行测评； 2）判定工控产品是否满足安全要求； 3）有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性，维护国家和用户的安全利益； 4）促进国内工控产品市场优胜劣汰机制的建立和完善，规范市场。 2. 业务范围 工控产品分为控制类产品（即工业控制设备）和安全类产品（工业安全设备）。 1）控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品。 2）安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1）标准测试 依据第三方标准规范（如国家标准、测评中心测试规范等），测评工控产品的功能、性能、安全等指标，通过后颁发“工业控制系统安全技术测评证书”。 2）选型测试 根据委托方提出的测评要求对工控产品进行测试，形成选型测试报告，为委托方在产品选型采购时提供技术依据。 选型测试内容包括：功能测试、性能测试、安全测试等，具体测试项目和指标由

委托方与中心共同确认。 3）定制测试 依据委托方要求对工控产品进行测试，形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准： 1）GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》； 2）《工业防火墙安全测评准则》 3）《工业安全网关安全测评准则》 4）《工业异常监测系统安全测评准则》 5）《工业漏洞扫描产品安全测评准则》 6）…… 4.2 证据需求 根据业务内容的要求，申请方需提交的证据包括： 1）测评申请书 2）测评所需文档 3）被测产品 4.3 业务流程 测评流程分为以下四个阶段：申请阶段、预测评阶段、测评阶段和报告与证书发放阶段（如下图所示）。

信息安全风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产，任对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个面；逐步形成了风险评估、自评估、认证认可的工作思路。