密評管理辦法試行一、總則（一）目的為加強(qiáng)公司/組織信息安全管理，規(guī)范信息系統(tǒng)等級保護(hù)測評中的密評工作，確保公司/組織涉及的國家秘密信息安全，依據(jù)國家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，制定本辦法。（二）適用范圍本辦法適用于公司/組織內(nèi)所有涉及國家秘密信息的信息系統(tǒng)，包括但不限于辦公自動化系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)存儲系統(tǒng)等。（三）基本原則1.依法依規(guī)原則：密評工作嚴(yán)格遵循國家有關(guān)保密法律法規(guī)和信息安全等級保護(hù)制度要求。2.科學(xué)嚴(yán)謹(jǐn)原則：采用科學(xué)的測評方法和技術(shù)手段，確保測評結(jié)果真實(shí)、準(zhǔn)確、可靠。3.客觀公正原則：測評人員應(yīng)秉持客觀公正的態(tài)度，不受任何干擾，如實(shí)反映信息系統(tǒng)的密評情況。4.預(yù)防為主原則：通過密評及時(shí)發(fā)現(xiàn)和消除信息系統(tǒng)中的安全隱患，預(yù)防涉密信息泄露事件的發(fā)生。二、密評工作組織與職責(zé)（一）密評工作領(lǐng)導(dǎo)小組公司/組織成立密評工作領(lǐng)導(dǎo)小組，由公司/組織主要領(lǐng)導(dǎo)擔(dān)任組長，各相關(guān)部門負(fù)責(zé)人為成員。領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌協(xié)調(diào)密評工作，審議密評工作計(jì)劃、方案和報(bào)告，決策密評工作中的重大事項(xiàng)。（二）密評工作辦公室密評工作辦公室設(shè)在公司/組織的信息安全管理部門，負(fù)責(zé)密評工作的具體組織實(shí)施。其主要職責(zé)包括：1.制定密評工作計(jì)劃和方案，并組織實(shí)施。2.組織開展密評培訓(xùn)，提高相關(guān)人員的密評意識和技能。3.協(xié)調(diào)測評機(jī)構(gòu)與公司/組織內(nèi)部各部門之間的工作，確保密評工作順利進(jìn)行。4.收集、整理和分析密評相關(guān)資料，撰寫密評報(bào)告，向領(lǐng)導(dǎo)小組匯報(bào)工作進(jìn)展情況。5.督促落實(shí)密評問題整改，跟蹤整改效果。（三）測評機(jī)構(gòu)公司/組織委托具有國家認(rèn)可資質(zhì)的測評機(jī)構(gòu)開展密評工作。測評機(jī)構(gòu)應(yīng)按照本辦法及相關(guān)標(biāo)準(zhǔn)要求，組建專業(yè)的測評團(tuán)隊(duì)，制定詳細(xì)的測評方案，實(shí)施密評工作，并對測評結(jié)果負(fù)責(zé)。（四）公司/組織內(nèi)部各部門職責(zé)1.信息系統(tǒng)建設(shè)部門：負(fù)責(zé)提供信息系統(tǒng)的建設(shè)文檔、技術(shù)資料等相關(guān)材料，配合測評機(jī)構(gòu)開展密評工作，對密評中發(fā)現(xiàn)的涉及本部門的問題及時(shí)進(jìn)行整改。2.信息系統(tǒng)運(yùn)維部門：負(fù)責(zé)保障信息系統(tǒng)的正常運(yùn)行，協(xié)助測評機(jī)構(gòu)進(jìn)行現(xiàn)場檢查和測試，對密評中發(fā)現(xiàn)的運(yùn)維方面的問題進(jìn)行整改。3.保密管理部門：負(fù)責(zé)對密評工作進(jìn)行監(jiān)督指導(dǎo)，審查密評報(bào)告，確保密評工作符合保密要求。4.其他相關(guān)部門：按照各自職責(zé)，配合做好密評工作中涉及的相關(guān)事宜。三、密評工作流程（一）準(zhǔn)備階段1.確定測評對象：根據(jù)公司/組織信息系統(tǒng)的實(shí)際情況，確定需要進(jìn)行密評的信息系統(tǒng)清單。2.簽訂測評合同：與測評機(jī)構(gòu)簽訂密評服務(wù)合同，明確雙方的權(quán)利和義務(wù)。3.組建測評團(tuán)隊(duì)：測評機(jī)構(gòu)組建專業(yè)的測評團(tuán)隊(duì)，團(tuán)隊(duì)成員應(yīng)具備相應(yīng)的資質(zhì)和經(jīng)驗(yàn)。4.收集資料：測評機(jī)構(gòu)收集信息系統(tǒng)的相關(guān)資料，包括系統(tǒng)建設(shè)文檔、安全策略、用戶清單、數(shù)據(jù)分類分級等。5.制定測評方案：測評機(jī)構(gòu)根據(jù)收集的資料和相關(guān)標(biāo)準(zhǔn)要求，制定詳細(xì)的密評測評方案，明確測評內(nèi)容、方法、步驟和人員分工等。（二）實(shí)施階段1.現(xiàn)場測評：測評機(jī)構(gòu)按照測評方案，對信息系統(tǒng)進(jìn)行現(xiàn)場測評。測評內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等方面。測評方法主要包括文檔審查、工具檢測、現(xiàn)場訪談、實(shí)地觀察等。2.數(shù)據(jù)采集與分析：測評人員采集信息系統(tǒng)中的相關(guān)數(shù)據(jù)，并進(jìn)行分析，以發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。3.漏洞掃描與修復(fù)：利用專業(yè)的漏洞掃描工具對信息系統(tǒng)進(jìn)行掃描，發(fā)現(xiàn)安全漏洞后，及時(shí)通知公司/組織相關(guān)部門進(jìn)行修復(fù)。4.安全評估：根據(jù)測評結(jié)果，對信息系統(tǒng)的安全狀況進(jìn)行評估，確定其是否符合國家相關(guān)保密法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求。（三）報(bào)告階段1.撰寫測評報(bào)告：測評機(jī)構(gòu)根據(jù)測評結(jié)果，撰寫密評測評報(bào)告。報(bào)告應(yīng)包括測評概述、測評依據(jù)、測評方法、測評結(jié)果、安全建議等內(nèi)容。2.審核報(bào)告：公司/組織密評工作辦公室對測評報(bào)告進(jìn)行審核，確保報(bào)告內(nèi)容真實(shí)、準(zhǔn)確、完整。審核通過后，將報(bào)告提交給密評工作領(lǐng)導(dǎo)小組。3.匯報(bào)結(jié)果：密評工作領(lǐng)導(dǎo)小組聽取密評工作辦公室關(guān)于測評報(bào)告的匯報(bào)，審議測評結(jié)果和安全建議。（四）整改階段1.制定整改計(jì)劃：公司/組織相關(guān)部門根據(jù)測評報(bào)告中提出的問題和安全建議，制定詳細(xì)的整改計(jì)劃，明確整改措施、責(zé)任人和整改期限。2.實(shí)施整改：整改責(zé)任部門按照整改計(jì)劃組織實(shí)施整改工作，確保問題得到有效解決。3.整改復(fù)查：密評工作辦公室對整改情況進(jìn)行復(fù)查，驗(yàn)證整改效果。如整改未達(dá)到要求，督促責(zé)任部門繼續(xù)整改，直至符合要求。四、密評內(nèi)容與標(biāo)準(zhǔn)（一）物理安全1.機(jī)房環(huán)境：機(jī)房應(yīng)具備完善的防火、防盜、防雷、防潮、防蟲等設(shè)施，溫度、濕度應(yīng)符合相關(guān)標(biāo)準(zhǔn)要求。2.設(shè)備管理：對服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等關(guān)鍵信息設(shè)備應(yīng)進(jìn)行嚴(yán)格的登記、標(biāo)識和管理，定期進(jìn)行維護(hù)和檢查。3.人員出入管理：機(jī)房應(yīng)設(shè)置門禁系統(tǒng)，嚴(yán)格限制人員出入，對進(jìn)入機(jī)房的人員進(jìn)行身份驗(yàn)證和登記。（二）網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)架構(gòu)：信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)應(yīng)合理，具備冗余備份和安全防護(hù)措施，防止網(wǎng)絡(luò)攻擊和惡意入侵。2.網(wǎng)絡(luò)訪問控制：應(yīng)建立完善的網(wǎng)絡(luò)訪問控制策略，限制非法訪問，對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和審計(jì)。3.VPN管理：如使用VPN技術(shù)，應(yīng)確保其安全性，對VPN用戶進(jìn)行嚴(yán)格的身份認(rèn)證和授權(quán)管理。（三）主機(jī)安全1.操作系統(tǒng)安全：服務(wù)器操作系統(tǒng)應(yīng)及時(shí)更新補(bǔ)丁，設(shè)置安全的用戶賬號和密碼策略，啟用審計(jì)功能。2.數(shù)據(jù)庫安全：數(shù)據(jù)庫應(yīng)進(jìn)行安全配置，設(shè)置合理的用戶權(quán)限，對數(shù)據(jù)庫操作進(jìn)行審計(jì)，定期進(jìn)行備份。3.應(yīng)用程序安全：對信息系統(tǒng)中的應(yīng)用程序應(yīng)進(jìn)行安全檢測，防止存在安全漏洞，確保其運(yùn)行安全可靠。（四）應(yīng)用安全1.身份認(rèn)證與授權(quán)：應(yīng)用系統(tǒng)應(yīng)具備完善的身份認(rèn)證機(jī)制，對用戶進(jìn)行嚴(yán)格的身份驗(yàn)證和授權(quán)管理，防止非法訪問和越權(quán)操作。2.訪問控制：應(yīng)用系統(tǒng)應(yīng)根據(jù)用戶角色和權(quán)限，對功能模塊和數(shù)據(jù)進(jìn)行訪問控制，確保信息的保密性和完整性。3.數(shù)據(jù)傳輸安全：在應(yīng)用系統(tǒng)與用戶之間的數(shù)據(jù)傳輸過程中，應(yīng)采用加密技術(shù)，防止數(shù)據(jù)被竊取或篡改。（五）數(shù)據(jù)安全1.數(shù)據(jù)分類分級：對公司/組織內(nèi)的涉密數(shù)據(jù)進(jìn)行分類分級管理，明確不同級別數(shù)據(jù)的保護(hù)要求和措施。2.數(shù)據(jù)存儲安全：涉密數(shù)據(jù)應(yīng)存儲在安全的存儲設(shè)備上，采取加密存儲等措施，防止數(shù)據(jù)丟失或泄露。3.數(shù)據(jù)備份與恢復(fù)：建立完善的數(shù)據(jù)備份與恢復(fù)機(jī)制，定期對涉密數(shù)據(jù)進(jìn)行備份，并進(jìn)行異地存儲，確保在數(shù)據(jù)丟失或損壞時(shí)能夠及時(shí)恢復(fù)。（六）安全管理1.安全制度建設(shè)：公司/組織應(yīng)建立健全信息安全管理制度，包括安全策略制定、人員安全管理、安全培訓(xùn)教育、安全審計(jì)等制度。2.人員安全管理：對涉及涉密信息的人員進(jìn)行嚴(yán)格的背景審查和管理，簽訂保密協(xié)議，明確其安全責(zé)任和義務(wù)。3.安全培訓(xùn)教育：定期組織公司/組織員工進(jìn)行信息安全培訓(xùn)教育，提高員工的安全意識和技能。4.安全審計(jì)：建立信息安全審計(jì)機(jī)制，對信息系統(tǒng)的運(yùn)行情況進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)和處理安全事件。五、密評結(jié)果處理（一）測評結(jié)果判定1.符合要求：信息系統(tǒng)的安全狀況符合國家相關(guān)保密法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求，密評結(jié)果為符合要求。2.基本符合要求：信息系統(tǒng)存在一些一般性的安全問題，但不影響其正常運(yùn)行和涉密信息安全，密評結(jié)果為基本符合要求。公司/組織應(yīng)在規(guī)定期限內(nèi)完成整改。3.不符合要求：信息系統(tǒng)存在嚴(yán)重的安全隱患，可能導(dǎo)致涉密信息泄露，密評結(jié)果為不符合要求。公司/組織應(yīng)立即采取措施進(jìn)行整改，整改完成后重新進(jìn)行密評。（二）整改要求1.整改措施：對于密評結(jié)果為基本符合要求或不符合要求的信息系統(tǒng)，公司/組織相關(guān)部門應(yīng)根據(jù)測評報(bào)告中提出的問題和安全建議，制定詳細(xì)的整改措施，明確整改責(zé)任人和整改期限。2.整改期限：整改期限應(yīng)根據(jù)問題的嚴(yán)重程度和整改難度合理確定，一般不超過[X]個(gè)工作日。對于重大安全問題，應(yīng)立即進(jìn)行整改，并及時(shí)向密評工作領(lǐng)導(dǎo)小組匯報(bào)整改情況。3.整改復(fù)查：整改完成后，密評工作辦公室應(yīng)組織對整改情況進(jìn)行復(fù)查。復(fù)查合格后，信息系統(tǒng)的密評結(jié)果為符合要求；如復(fù)查仍不合格，應(yīng)繼續(xù)整改，直至符合要求。（三）結(jié)果通報(bào)1.內(nèi)部通報(bào)：密評工作辦公室定期將密評結(jié)果在公司/組織內(nèi)部進(jìn)行通報(bào)，使全體員工了解信息系統(tǒng)的安全狀況，提高安全意識。2.向上級匯報(bào)：對于涉及重要國家秘密信息的信息系統(tǒng)密評結(jié)果，應(yīng)及時(shí)向上級主管部門匯報(bào)，接受上級部門的監(jiān)督和指導(dǎo)。六、監(jiān)督與檢查（一）內(nèi)部監(jiān)督1.定期檢查：公司/組織密評工作辦公室定期對信息系統(tǒng)的密評工作進(jìn)行檢查，包括測評機(jī)構(gòu)的工作質(zhì)量、公司/組織內(nèi)部各部門的整改落實(shí)情況等。2.不定期抽查：不定期對信息系統(tǒng)的安全狀況進(jìn)行抽查，及時(shí)發(fā)現(xiàn)和處理潛在的安全問題。（二）外部監(jiān)督1.接受上級部門監(jiān)督：積極接受上級主管部門對公司/組織密評工作的監(jiān)督檢查，按照要求提供相關(guān)資料和匯報(bào)工作情況。2.配合相關(guān)部門檢查：配合國家保密行政管理部門、公安機(jī)關(guān)等相關(guān)部門對公司/組織信息系統(tǒng)的保密檢查和安全檢查，對檢查中發(fā)現(xiàn)的問題及時(shí)進(jìn)行整改。七、培訓(xùn)與宣傳（一）培訓(xùn)計(jì)劃1.制定年度密評培訓(xùn)計(jì)劃，明確培訓(xùn)內(nèi)容、培訓(xùn)對象、培訓(xùn)時(shí)間和培訓(xùn)方式等。2.培訓(xùn)內(nèi)容應(yīng)包括國家相關(guān)保密法律法規(guī)、信息安全等級保護(hù)制度、密評工作流程和方法、信息系統(tǒng)安全技術(shù)等方面。（二）培訓(xùn)實(shí)施1.根據(jù)培訓(xùn)計(jì)劃，組織開展密評培訓(xùn)工作。培訓(xùn)方式可采用集中授課、在線學(xué)習(xí)、實(shí)地操作等多種形式。2.定期對培訓(xùn)效果進(jìn)行評估，通過考試、實(shí)際操作等方式檢驗(yàn)培訓(xùn)對象對培訓(xùn)內(nèi)容的掌握程度，針對評估結(jié)果及時(shí)調(diào)整培訓(xùn)內(nèi)