5、技術(shù)部分實質(zhì)性內(nèi)容

5.1所投標的的產(chǎn)品品牌等信息

產(chǎn)品品牌規(guī)格型號服務(wù)內(nèi)容工程量備注

5個等保三級系統(tǒng)

網(wǎng)站及信息化業(yè)務(wù)

*T**7*和2個等保二級一年

系統(tǒng)等級保護測評

系統(tǒng)

5.2完全響應(yīng)并滿足招標文件全部實質(zhì)性要求

我司承諾：

對招標文件提出的要求和條件完全響應(yīng)并滿足招標文件全部實質(zhì)性要求，詳見技術(shù)

部分中技術(shù)指標。

供應(yīng)商全稱：**************

日期：2021年10月12日

6、其他要求

我公司承諾：

我司不存在招標文件要求的其他無效投標情形；圍標、串標和法律法規(guī)規(guī)定的其它

無效投標條款。

供應(yīng)商全稱：**************

日期：2021年10月12日

三、技術(shù)部分

1、技術(shù)指標

項目名稱：《網(wǎng)站及信息化業(yè)務(wù)系統(tǒng)等級保護測評》

項目編號：**************

（第1包）

序服務(wù)

磋商文件的服務(wù)需求響應(yīng)文件響應(yīng)情況偏離情況

號名稱

投標人需嚴格依據(jù)我司承諾嚴格依據(jù)

《GB/T22239-2019信息安全《GB/T22239-2019信息安全

技術(shù)網(wǎng)絡(luò)安全等級保護基本技術(shù)網(wǎng)絡(luò)安全等級保護基本

1要求》為采購人的5個等保三要求》為采購人的5個等保三無偏離

級系統(tǒng)和2人等保二級系統(tǒng)開級系統(tǒng)和2個等保二級系統(tǒng)開

展開展基于等保2.0的等保測展開展基于等保2.0的等保測

評工作。評工作。

投標人需依據(jù)《GB/T28449-我司承諾依據(jù)《GB/T28449-

2018信息安全技術(shù)網(wǎng)絡(luò)安全2018信息安全技術(shù)網(wǎng)絡(luò)安全

等級保護測評過程指南》開等級保護測評過程指南》開

2無偏離

展現(xiàn)場測評工作，測評方法展現(xiàn)場測評工作，測評方法

包括但不限于訪談、核查、包括但不限于訪談、核查、

站

網(wǎng)工具測試等內(nèi)容。工具測試等內(nèi)容。

信

及投標人需從安全物理環(huán)境、我司承諾從安全物理環(huán)境、

化

息安全通信網(wǎng)絡(luò)、安全區(qū)域邊安全通信網(wǎng)絡(luò)、安全區(qū)域邊

務(wù)

業(yè)界，安全計算環(huán)境、安全管界、安全計算環(huán)境、安全管

統(tǒng)

系理中心、安全管理制度、安理中心、安全管理制度、安

3無偏離

級

等全管理機構(gòu)、安全管理人全管理機構(gòu)、安全管理人

護

保員、安全建設(shè)管理、安全運員、安全建設(shè)管理、安全運

評

測維管理等10個安全層面開展維管理等10個安全層面開展

測評工作。測評工作。

安全物理環(huán)境測評需通過訪安全物理環(huán)境測評，我司承

談、文檔審查和實地察看的諾通過訪談、文檔審查和實

方式測評信息系統(tǒng)的物理安地察看的方式測評信息系統(tǒng)

全保障情況。測試過程中投的物理安全保障情況。測試

4標人必須使用高低頻電磁輻過程中我司承諾使用高低頻無偏離

射計、絕緣電阻測試儀、粉電磁輻射計、絕緣電阻測試

塵顆粒物計數(shù)器等檢測設(shè)備儀、粉塵顆粒物計數(shù)器等檢

開展工作，并在報告中體現(xiàn)測設(shè)備開展工作，并在報告

具體物理數(shù)值。中體現(xiàn)具體物理數(shù)值。

安全通信網(wǎng)絡(luò)測評需通過核安全通信網(wǎng)絡(luò)測評，我司承

5查和驗證測試的方式驗證通諾通過核查和驗證測試的方無偏離

信網(wǎng)絡(luò)安全性，主要驗證對式驗證通信網(wǎng)絡(luò)安全性，主

象為廣域網(wǎng)、城域網(wǎng)和局域要驗證對象為廣域網(wǎng)、城域

網(wǎng)等；涉及的安全控制點包網(wǎng)和局域網(wǎng)等；涉及的安全

括網(wǎng)絡(luò)架構(gòu)、通信傳輸和可控制點包括網(wǎng)絡(luò)架構(gòu)、通信

信驗證。傳輸和可信驗證。

安全區(qū)域邊界測評，我司承

安全區(qū)域邊界測評需通過核

諾通過核查和驗證測試的方

查和驗證測試的方式驗證網(wǎng)

式驗證網(wǎng)絡(luò)區(qū)域邊界的安全

絡(luò)區(qū)域邊界的安全性，主要

性，主要對象為系統(tǒng)邊界和

對象為系統(tǒng)邊界和區(qū)域邊界

6區(qū)域邊界等；涉及的安全控無偏離

等；涉及的安全控制點包括

制點包括邊界防護、訪問控

邊界防護、訪問控制、入侵

制、入侵防范、惡意代碼防

防范、惡意代碼防范、安全

范、安全審計和可信驗證

審計和可信驗證等。

等。

安全計算環(huán)境測評需通過核安全計算環(huán)境測評，我司承

查和驗證測試的方式驗證計諾通過核查和驗證測試的方

算環(huán)境安全性，主要對象為式驗證計算環(huán)境安全性，主

邊界內(nèi)容部的所有對象。包要對象為邊界內(nèi)容部的所有

括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服對象。包括網(wǎng)絡(luò)設(shè)備、安全

務(wù)器設(shè)備、終端設(shè)備、應(yīng)用設(shè)備、服務(wù)器設(shè)備、終端設(shè)

系統(tǒng)、數(shù)據(jù)對象和其他設(shè)備備、應(yīng)用系統(tǒng)、數(shù)據(jù)對象和

7無偏禺

等；涉及的控制點包括身份其他設(shè)備等；涉及的控制點

鑒別、訪問控制、安全審包括身份鑒別、訪問控制、

計、入侵防范、惡意代碼防安全審計、入侵防范、惡意

范、可信驗證、數(shù)據(jù)完整代碼防范、可信驗證、數(shù)據(jù)

性、數(shù)據(jù)保密性、數(shù)據(jù)備份完整性、數(shù)據(jù)保密性、數(shù)據(jù)

恢復(fù)、剩余信息保護、個人備份恢賃、剩余信息保護、

信息保護等。個人信息保護等。

安全管理中心測評，我司承

安全管理中心測評需通過核

諾通過核查和驗證測試的方

查和驗證測試的方式驗證安

式驗證安全管理中心的安全

全管理中心的安全性，主要

性，主要對象為集中管控平

對象為集中管控平臺、集中

8臺、集中運維平臺、日志審無偏離

運維平臺、日志審計系統(tǒng)

計系統(tǒng)等。涉及的安全控制

等。涉及的安全控制點包括

點包括系統(tǒng)管理、審計管

系統(tǒng)管理、審計管理、安全

理、安全管理和集中管控

管理和集中管控等。

等。

安全管理制度測評將通過訪安全管理制度測評，我司承

談和檢查的方式測評信息系諾通過訪談和檢查的方式測

統(tǒng)的安全管理制度建立情評信息系統(tǒng)的安全管理制度

9況。主要涉及對象為：信息建立情況。主要涉及對象無偏離

安全管理體系、日常安全管為：信息安全管理體系、日

理制度、重要操作規(guī)程及相常安全管理制度、重要操作

關(guān)執(zhí)行記錄等。規(guī)程及相關(guān)執(zhí)行記錄等。

安全管理機構(gòu)測評，我司承

安全管理機構(gòu)測評將通過訪

諾通過訪談和檢查的方式測

談和檢查的方式測評信息系

評信息系統(tǒng)的安全管理機構(gòu)

統(tǒng)的安全管理機構(gòu)建立情

建立情況。主要涉及對象

10況。主要涉及對象為：安全無偏離

為：安全管理機構(gòu)設(shè)立文

管理機構(gòu)設(shè)立文檔、信息安

檔、信息安全小組名單、崗

全小組名單、崗位說明書、

位說明書、等文檔及執(zhí)行記

等文檔及執(zhí)行記錄。

錄。

安全管理人員測評將通過訪安全管理人員測評，我司承

談和檢查的方式測評信息系諾通過訪談和檢查的方式測

統(tǒng)的人員安全管理方面情評信息系統(tǒng)的人員安全管理

11況。主要涉及對象為：人事方面情況。主要涉及對象無偏離

管理制度、外部人員訪問要為：人事管理制度、外部人

求等安全管理制度及執(zhí)行記員訪問要求等安全管理制度

錄。及執(zhí)行記錄。

系統(tǒng)建設(shè)管理測評將通過訪系統(tǒng)建設(shè)管理測評，我司承

談和檢查的方式測評信息系諾通過訪談和檢查的方式測

統(tǒng)的系統(tǒng)建設(shè)管理方面情評信息系統(tǒng)的系統(tǒng)建設(shè)管理

況。主要涉及對象為：系統(tǒng)方面情況。主要涉及對象

建設(shè)過程中涉及的相關(guān)文為：系統(tǒng)建設(shè)過程中涉及的

12無偏禺

檔，如：系統(tǒng)定級報告、安相關(guān)文檔，如：系統(tǒng)定級報

全設(shè)計方案、測試驗收報告告、安全設(shè)計方案、測試驗

等文檔及軟件開發(fā)、工程實收報告等文檔及軟件開發(fā)、

施等方面的安全管理制度及工程實施等方面的安全管理

執(zhí)行記錄。制度及執(zhí)行記錄。

系統(tǒng)近維管理測評將通過訪系統(tǒng)運維管理測評，我司承

談和檢查的方式測評信息系諾通過訪談和檢查的方式測

統(tǒng)的系統(tǒng)運維管理方面情評信息系統(tǒng)的系統(tǒng)運維管理

13無偏離

況。主要涉及對象為：系統(tǒng)方面情況。主要涉及對象

運維過程中涉及的安全管理為：系統(tǒng)運維過程中涉及的

制度及執(zhí)行記錄。安全管理制度及執(zhí)行記錄。

投標人需制定嚴格的風險控我司承諾制定嚴格的風險控

制方案，確保工具測試環(huán)節(jié)制方案，確保工具測試環(huán)節(jié)

14無偏離

不會對采購人信息系統(tǒng)造成不會對采購人信息系統(tǒng)造成

損害。損害。

結(jié)合本次等保測評結(jié)果，提我司承諾結(jié)合本次等保測評

出等級保護技術(shù)體系和管理結(jié)果，提出等級保護技術(shù)體

15體系建議方案，協(xié)助采購人系和管理體系建議方案，協(xié)無偏禺

對發(fā)現(xiàn)的高中危風險進行安助采購人對發(fā)現(xiàn)的高中危風

全整改。險進行安全整改。

投標人需在測評工作結(jié)束我司承諾在測評工作結(jié)束

16后，依據(jù)《網(wǎng)絡(luò)安全等級保后，依據(jù)《網(wǎng)絡(luò)安全等級保無偏離

護測評報告2021版》為采購護測評報告2021版》為采購

人出具符合等保2.0測評要求人出具符合等保2.0測評要求

的測評報告，一式兩份。的測評報告，一式兩份。

投標人需協(xié)助采購人完成相我司承諾協(xié)助采購人完成相

關(guān)系統(tǒng)在公安機關(guān)的定級備關(guān)系統(tǒng)在公安機關(guān)的定級備

17無偏離

案工作，并提出合理工作方案工作，并提出合理工作方

案，具備可執(zhí)行性。案，具備可執(zhí)行性。

投標人需協(xié)助采購人完成我司承諾協(xié)助采購人完成

18無偏離

《定級報告》編寫。《定級報告》編寫。

投標人需協(xié)助采購人完成我司承諾協(xié)助采購人完成

19無偏離

《備案表》編寫?！秱浒副怼肪帉?。

投標人需依據(jù)《網(wǎng)絡(luò)安全等我司承諾依據(jù)《網(wǎng)絡(luò)安全等

級保護測評機構(gòu)管理辦法》級保護測評機構(gòu)管理辦法》

（公信安[2018]765號）配置（公信安安018]765號）配置

現(xiàn)場測評師，且現(xiàn)場測評師現(xiàn)場測評師，且現(xiàn)場測評師

不少于4名，分別為1名高級不少于4名，分別為1名高級

20測評師、1名中級測評師和2測評師、1名中級測評師和2無偏離

名初級測評師。（須提供參名初級測評師。（己提供參

與人員名單、身份證掃描與人員名單、身份證掃描

件、等級測評師證書掃描件、等級測評師證書掃描

件、近6個月社保證明等材料件、近6個月社保證明等材料

并加蓋投標人公章。）并加蓋公章。）

投標人需依據(jù)《中華人民共我司承諾依據(jù)《中華人民共

和國密碼法》第二十七條要和國密碼法》第二十七條要

求，聯(lián)合采購人開展聯(lián)網(wǎng)收求，聯(lián)合采購人開展聯(lián)網(wǎng)收

21無偏離

費省中心系統(tǒng)商用密碼應(yīng)用費省中心系統(tǒng)商用密碼應(yīng)用

安全性自查工作，出具《商安全性自查工作，出具《商

用密碼安全性自查報告》。用密碼安全性自查報告》。

測評結(jié)束后，投標人需為采測評結(jié)束后，我司承諾為采

購人提供為期一年的售后服購人提供為期一年的售后服

務(wù)，服務(wù)內(nèi)容包括但不限于務(wù)，服務(wù)內(nèi)容包括但不限于

漏洞掃描服務(wù)（5個三級系統(tǒng)漏洞掃描服務(wù)（5個三級系統(tǒng)

2個二級）、常備2名中級資2個二級）、常備2名中級資

22質(zhì)以I：等保測評師提供重保質(zhì)以上等保測評師提供重保無偏離

期間駐場服務(wù)、網(wǎng)絡(luò)安全事期間駐場服務(wù)、網(wǎng)絡(luò)安全事

件應(yīng)急響應(yīng)服務(wù)和根據(jù)采購件應(yīng)急響應(yīng)服務(wù)和根據(jù)采購

人實際需求進行現(xiàn)場技術(shù)支人實際需求進行現(xiàn)場技術(shù)支

持服務(wù)（應(yīng)2小時內(nèi)到達現(xiàn)場持服務(wù)（應(yīng)2小時內(nèi)到達現(xiàn)場

響應(yīng)服務(wù)）等。響應(yīng)服務(wù)）等。

供應(yīng)商全稱：**************

日期：2021年10月12日

（二）、服務(wù)方案

1.項目總述

1.1項目背景

**************（以下簡稱：省交通信息中心）網(wǎng)絡(luò)安全等級保護建設(shè)的總體目標

是為了落實國家有關(guān)部門信息安全等級保護要求，健全信息安全防護體系，統(tǒng)一公司信

息安全防護標準和策略，按照信息系統(tǒng)不同安全等級，通過合理分配資源，規(guī)范信息系

統(tǒng)安全建設(shè)與防護，對網(wǎng)絡(luò)系統(tǒng)分等級實施全面保護，以提高省交通信息中心網(wǎng)絡(luò)安全

的整體防護水平。

本項目將按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（GB/T22239-2019）》等

相關(guān)技術(shù)標準，對省交通信息中心開展網(wǎng)絡(luò)安全等級保護測評及相關(guān)評估工作，同時配

合省交通信息中心做好技術(shù)支持及相關(guān)服務(wù)工作。

1.2項目目標

通過本項目的實施，了解各被測系統(tǒng)對《信息安全技術(shù)信息系統(tǒng)安全等級保護基

本要求》的符合情況，并完成對不符合項的整改，同時，提出管理和技術(shù)等方面加固后

存在殘留風險的進一步整改建議，最終出具相應(yīng)的差距分析報告、整改方案、加固指導(dǎo)

建議、測評報告、信息系統(tǒng)安全建議等，落實等級保護的各項要求，提高省交通信息中

心安全管理水平和安全防范能力，以滿足公安機關(guān)以及行業(yè)主管部門所提出對信息系統(tǒng)

的等級保護要求。

1.3標準依據(jù)

>GB/T22239-2019《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》

>GB-T28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》

>GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》

>GB-T28449-2018《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》

>GB/T25058-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南》

>《信息安全等級保護管理辦法》（公通字[20J7]43號）

1.4實施范

本項目將分別對省交通信息中心的重要網(wǎng)絡(luò)系統(tǒng)開展等級保護技術(shù)服務(wù)工作:

序號服務(wù)名稱數(shù)量

1等保三級系統(tǒng)測評5

2等保二級系統(tǒng)測評2

合計7

注：下文中對以上系統(tǒng)簡稱“被測系統(tǒng)”。

2.項目實施內(nèi)容

根據(jù)省交通信息中心對等級保護相關(guān)工作提出的要求及安排，本次信息安全等級保

護技術(shù)服務(wù)項目的內(nèi)容包括：被測系統(tǒng)定級備案工作、等級測評工作和后續(xù)服務(wù)工作三

個部分。

具體實施內(nèi)容見下文C

2.1.定級備案工作內(nèi)容

2.1.1定級工作內(nèi)容

2.1.1.1,確定定級對象

2.1.1.1.1.定級對象的基本特征

作為定級對象的網(wǎng)絡(luò)應(yīng)具有如下基本特征:

a）具有確定的主要安全責任主體;

b）承載相對獨立的'也務(wù)應(yīng)用;

c）包含相互關(guān)聯(lián)的多個資源。

注1：主要安全責任主體包括但不限于企業(yè)、機關(guān)和事業(yè)單位等法人，以及不具備

法人資格的社會團體等其他組織;

注2：應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級對象。

2.1.1.1.2.基礎(chǔ)信息網(wǎng)絡(luò)

對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服

務(wù)地域和安全責任主體等因素將其劃分為不同的定級對象。

跨省業(yè)務(wù)專網(wǎng)可作為一個整體對象定級，也可以分區(qū)域劃分為若干個定級對象。

2.1.1.1.3.工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)主要包括現(xiàn)場采集/執(zhí)行、現(xiàn)場控制、過程控制和生產(chǎn)管理等特征要

素。其中，現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應(yīng)作為一個整體對象定級，各要

素不單獨定級；生產(chǎn)管理要素可單獨定級。

對于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責任主體、控制對象和生產(chǎn)廠商等因

素劃分為多個定級對象。

2.1.1.1.4.云計算平臺

在云計算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計算平臺單獨作為定級對象定級，云租戶側(cè)

的等級保護對象也應(yīng)作為單獨的定級對象定級。

對于大型云計算平臺，應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級

對象。

2.1.1.1.5.物聯(lián)網(wǎng)

物聯(lián)網(wǎng)主要包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等特征要素，應(yīng)將以上要素作為一個整

體對象定級，各要素不單獨定級。

2.1.1.1.6.采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)

采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)主要包括移動終端、移動應(yīng)用、無線網(wǎng)絡(luò)等特征要素，應(yīng)

與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為一個整體對象定級。

2.1.1.1.7.大數(shù)據(jù)

大數(shù)據(jù)應(yīng)作為單獨定級對象進行定級；安全責任主體相同的大數(shù)據(jù)、大數(shù)據(jù)平臺和

應(yīng)用可作為一個整體對象定級C

2.1.1.2.初步確定等級

2.1.1.2.1.定級方法概述

定級對象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和

對客體的侵害程度可能不同，因此，安全保護等級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全

兩方面確定。從業(yè)務(wù)信息安全角度反映的定級對象安全保護等級稱業(yè)務(wù)信息安全保護等

級；從系統(tǒng)服務(wù)安全角度反映的定級對象安全保護等級稱系統(tǒng)服務(wù)安全保護等級。

定級方法如下：

a）確定受到破壞時所侵害的客體

1）確定業(yè)務(wù)信息受到破壞時所侵害的客體；

2）確定系統(tǒng)服務(wù)受到侵害時所侵害的客體。

b）確定對客體的侵害程度

1）根據(jù)不同的受侵害客體，分別評定業(yè)務(wù)信息安全被破壞對客體的侵害程度；

2）根據(jù)不同的受侵害客體，分別評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度。

c）確定安全保護等級

1）確定業(yè)務(wù)信息安全保護等級；

2）確定系統(tǒng)服務(wù)安全保護等級；

3）將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者初步確定為定級對

象的安全保護等級。

2.1.1.2.2.確定受侵害的客體

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、

法人和其他組織的合法權(quán)益。

確定受侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序

或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。

2.1.1.2.3.確定對客體的侵害程度

（1）侵害的客觀方面

在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信

息安全的破壞和對網(wǎng)絡(luò)服務(wù)的破壞，其中信息安全是指確保網(wǎng)絡(luò)內(nèi)信息的保密性、完整

性和可用性等，系統(tǒng)服務(wù)安全是指確保定級對象可以及時、有效地提供服務(wù)，以完成預(yù)

定的業(yè)務(wù)目標。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵

害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。

業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：

——影響行使工作職能；

——導(dǎo)致業(yè)務(wù)能力下降；

一一引起法律糾紛；

一一導(dǎo)致財產(chǎn)損失：

----造成社會不良影響；

——對其他組織和個人造成損失；

——其他影響。

（2）綜合判定侵害程度

侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害

客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方

法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從

定級對象服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破

壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。

在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照以下不同的判別基準：

一一如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總

體利益作為判斷侵害程度的基準；

——如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的

總體利益作為判

斷侵害程度的基準。

業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危

害程度進行綜合評定得出v由于各行業(yè)定級對象所處理的信息種類和系統(tǒng)服務(wù)特點各不

相同，業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式

均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定

方法，并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。

2.1.1.2.4.確定安全保護等級

根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2業(yè)

務(wù)信息安全保護等級矩陣表，即可得到業(yè)務(wù)信息安全保護等級。

對相應(yīng)客體的侵害程度

業(yè)務(wù)信息安全被破壞時所侵害的客體

一般損害嚴重損害特別嚴重損善

公民、法人和其他組織的合法權(quán)益第一級第二級第二級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表3系

統(tǒng)服務(wù)安全保護等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護等級。

對相應(yīng)客體的侵害程度

系統(tǒng)服務(wù)安全被破壞時所侵害的客體

一般損害亞重損害特別嚴重損害

公民、法人和其他組織的合法權(quán)益第一級第二級第二級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

定級對象的安全保護等級由業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較

高考決定。

2.1.1.2.5.特定定級對象定級說明

對于基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)，應(yīng)根據(jù)其承載或?qū)⒁?/p>

承載的等級保護對象的重要程度確定其安全保護等級，原則上應(yīng)不低于其承載的等級保

護對象的安全保護等級。

對于大數(shù)據(jù)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素，根據(jù)數(shù)據(jù)資源（完整性、保

密性、可用性）遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組

織的合法權(quán)益的侵害程度等因素確定其安全保護等級。原則上，大數(shù)據(jù)安全保護等級不

低于第三級。

對于確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護等級不低于第三級。

2.1.1.3.定級材料編制

通過上述工作幫助省交通信息中心最終完成各個信息系統(tǒng)《信息系統(tǒng)信息安全等級

保護定級報告》、《信息系統(tǒng)信息安全等級保護備案表》定級報告和備案表初稿C

輸出：XXX系統(tǒng)的《信息系統(tǒng)信息安全等級保護定級報告》、《信息系統(tǒng)信息安全等

級保護備案表》（初稿）。

2.1.1.4.組織專家評審

定級對象的運營、使用單位應(yīng)組織信息安全專家和業(yè)務(wù)專家等，對初步定級結(jié)果的

合理性進行評審，出具專家評審意見。協(xié)助省交通信息中心組織信息系統(tǒng)定級專家評審

會，在公安機關(guān)認可的專家?guī)熘醒埲恍袠I(yè)內(nèi)專家進行系統(tǒng)定級評審，協(xié)助省交通信

息中心準備定級評審會材料、規(guī)范評審流程。

2.1.1.5.主管部門審核

定級對象的運營、使用單位應(yīng)將初步定級結(jié)果上報行業(yè)主管部門或上級主管部門進行審核。

2.1.2,備案工作內(nèi)容

2.1.2.1.起草備案材料

根據(jù)定級系統(tǒng)以及改建、擴建信息系統(tǒng)情況，協(xié)助省交通信息中心起草等保備案材

料，根據(jù)單位地址所在地提交備案材料至公安機關(guān)網(wǎng)安部門，并取得《信息系統(tǒng)信息安

全等級保護備案證明》。

2.1.2.2.公安機關(guān)備案審查

定級對象的運營、使用單位應(yīng)按照相關(guān)管理規(guī)定，將初步定級結(jié)果提交公安機關(guān)進

行備案審查，審查不通過，其運營使用單位應(yīng)組織重新定級；審查通過后最終確定定級

對象的安全保護等級，并發(fā)放《網(wǎng)絡(luò)安全等級保護備案證明》。

2.2.等保測評工作內(nèi)容

2.2.1.測評實施內(nèi)容

等級保護測評實施工作是把測評指標和測評方式等結(jié)合到被測系統(tǒng)的具體測評對

象上，就構(gòu)成了一個個可以具體測評實施的工作單元。依據(jù)最新版《信息安全技術(shù)網(wǎng)絡(luò)

安全等級保護基本要求》(GB/T22239-2019),從技術(shù)上的安全物理環(huán)境、安全區(qū)域邊

界、安全通信網(wǎng)絡(luò)、安全計算環(huán)境和安全管理中心五個層面和管理上的安全管理機構(gòu)、

安全管理制度、安全管理人員、安全建設(shè)管理和安全運維管理等五個方面分別描述單元

測評實施的主要內(nèi)容。

2.2.1.1.安全物理環(huán)境

安全物理環(huán)境測評將通過訪談、文檔審查和實地察看的方式測評信息系統(tǒng)的物理安

全保障情況。測試過程中我公司將使用高低頻電磁輻射計、絕緣電阻測試儀、粉塵顆粒

物計數(shù)器等檢測設(shè)備開展工作。主要涉及對象為相關(guān)系統(tǒng)所在機房。

配合人員及配合事項：機房管理員配合訪談并陪同實地查看機房防火、防水、防破

壞等方面的情況；提供機房驗收報告等文檔。

在內(nèi)容上，安全物理環(huán)境層面測評實施過程涉及10個測評指標，具體如下表所示：

安全物理環(huán)境測評實施內(nèi)容表

序號測評指標測評內(nèi)容描述

訪談物理安全負責人機房出入是否安排專人負責，控制、鑒別和

記錄進入的人員，核杳有關(guān)進入機房的來訪人員的申請和審批流

1物理訪問控制

程。核查是否劃分區(qū)域并設(shè)置物理隔離裝置，機房出入口是否配

置電子門禁系統(tǒng)。

序號測評指標測評內(nèi)容描述

詢問機房和辦公場地的選擇是否在具有防震、防風和防雨等能力

2物理位置的選擇

的建筑內(nèi)。查看機房場地是否避免設(shè)在建筑物的高層或地下室。

核查系統(tǒng)是否將主要設(shè)備放置在機房內(nèi)，將設(shè)備或主要部件進行

固定，并設(shè)置明顯的不易除云的標記。核查系統(tǒng)是否將通信線纜

3防盜竊和防破壞

鋪設(shè)在隱蔽處，或鋪設(shè)在地下或管道中。核查系統(tǒng)是否使用機房

防盜報警系統(tǒng)。

核查機房建筑是否設(shè)置了避雷裝置、防雷保安器（防止感是否

4防雷擊

雷），以及交流電源地線。

核杳機房是否設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動

5防火報警，并自動滅火。核查機房是否采用耐火等級的建筑材料，并

將重要設(shè)備與其他設(shè)備隔離開。

詢問是否對水管增加必要的保護措施并防止雨水的滲透。詢問是

否存在穿過機房屋頂和活動地板下。詢問是否采取措施防止機房

6防水和防潮

內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透，并安裝對水敏感的檢測

和報警裝置。

查看系統(tǒng)關(guān)鍵設(shè)備是否采用必要的接地防靜電措施,并采比防靜

7防靜電

電地板。

8溫濕度控制查看機房是否設(shè)置了溫、濕度自動調(diào)節(jié)設(shè)施。

查看機房是否在供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備。查看

9電力供應(yīng)是否設(shè)置了冗余或并行的電力電纜線路為計算機系統(tǒng)供電。核杳

系統(tǒng)是否配備了備用供電系統(tǒng)。

查看核心系統(tǒng)是否采用接地方式防止外界電磁干擾和設(shè)備寄生

10電磁防護耦合干擾；是否將電源線和通信線纜隔離鋪設(shè)，避免互相干擾；

是否對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。

2.2.1.2.安全通信網(wǎng)絡(luò)

安全通用要求中的安全通信網(wǎng)絡(luò)部分是針對通信網(wǎng)絡(luò)提出的安全控制要求C主要對

象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等；涉及的安全控制點包括網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗

證。安全通信網(wǎng)絡(luò)測評將通過核查和驗證測試的方式開展，具體如下表所示：

安全通信網(wǎng)絡(luò)測評實施內(nèi)容表

序號測評指標測評內(nèi)容描述

應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)

絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)

域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；應(yīng)避

1網(wǎng)絡(luò)架構(gòu)

免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域

之間應(yīng)采取可靠的技術(shù)隔離手段；應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)

備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性;應(yīng)采

2通信傳輸

用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。

3可信驗證可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置

序號測評指標測評內(nèi)容描述

參數(shù)和通信應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行

環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報

警，并將驗證結(jié)果形成審計記錄送至安全管理中心。

2.2.1.3.安全區(qū)域邊界

安全通用要求中的安全區(qū)域邊界部分是針對網(wǎng)絡(luò)邊界提出的安全控制要求C主要對

象為系統(tǒng)邊界和區(qū)域邊界等；涉及的安全控制點包括邊界防護、訪問控制、入侵防范、

惡意代碼防范、安全審計和可信驗證。安全區(qū)域邊界測評將通過核查和驗證測試的方式

開展，具體如下表所示：

安全區(qū)域邊界測評實施內(nèi)容表

序

測評指標測評單元描述

號

應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通

信；應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制；應(yīng)

1邊界防護

能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制；應(yīng)限制無

線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情

況下除允許通信外受控接口拒絕所有通信；應(yīng)刪除多余或無效的訪問控

制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；應(yīng)對源

2訪問控制地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)

據(jù)包進出；應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪

問的能力；應(yīng)對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問

控制。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)

在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)采

3入侵防范取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對■網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊

行為的分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目

標、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護

惡意代碼和垃

4機制的升級和更新；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，

圾郵件防范

并維護垃圾郵件防護機制的升級和更新。

應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對

重要的用戶行為和重要安全事件進行審計；審計記錄應(yīng)包括事件的日期

和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息、；應(yīng)

5安全審計

對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋

等；應(yīng)能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行

為審計和數(shù)據(jù)分析。

可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和

6可信驗證邊界防護應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行

動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果

序

測評指標測評單元描述

號

形成審計記錄送至安全管理中心。

2.2.1.4.安全計算環(huán)境

安全通用要求中的安全計算環(huán)境部分是針對邊界內(nèi)部提出的安全控制要求C主要對

象為邊界內(nèi)容部的所有對象。包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)各、應(yīng)用

系統(tǒng)、數(shù)據(jù)對象和其他設(shè)備等；涉及的控制點包括身份鑒別、訪問控制、安全審計、入

侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信

息保護、個人信息保護等。安全計算環(huán)境測評將通過核查和驗證測試的方式開展，具體

如下表所示：

安全計算環(huán)境測評實施內(nèi)容表

序號測評指標測評單元描述

應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信

息具有復(fù)雜度要求并定期更換；應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用

結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施；當

1身份鑒別

進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊

聽；應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)

對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

應(yīng)對登錄的用戶分配賬戶和權(quán)限；應(yīng)重命名或刪除默認賬戶，修改默認賬

戶的默認口令；應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的

存在；應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；應(yīng)由

2訪問控制授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；

訪問控制的粒度應(yīng)達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；

應(yīng)對重要主體和客體設(shè)置安全標記，并控制主體對有安全標記信息資源的

訪問。

應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要

安全事件進行審計；審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、

3安全審計事件是否成功及其他與審計相關(guān)的信息；應(yīng)對審計記錄進行保護，定期備

份，避免受到未預(yù)期的刪除、修改或覆蓋等；應(yīng)對審計進程進行保護，防

止未經(jīng)授權(quán)的中斷；

應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；應(yīng)關(guān)閉不需要的

系統(tǒng)服務(wù)、默認共享和高危端口：應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范

圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；應(yīng)提供數(shù)據(jù)有效性檢驗功

4入侵防范能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要

求；應(yīng)能發(fā)現(xiàn)可能存在的己知漏洞，并在經(jīng)過充分測試評估后，及時修補

漏洞；應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件

時提供報警。

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別

5惡意代碼防范

入侵和病毒行為，并將其有效阻斷。

序號測評指標測評單元描述

可基:可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)

用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗

6可信驗證

證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄

送至安全管理中心。

應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但

不限F鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視

7數(shù)據(jù)完整性頻數(shù)據(jù)和重要個人信息等；應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存

儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)

據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別

數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等；

8數(shù)據(jù)保密性

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別

數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。

應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能；應(yīng)提供異地實時備份功能，

9數(shù)據(jù)備份恢復(fù)利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地；應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)

的熱冗余，保證系統(tǒng)的高可用性。

應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；應(yīng)保

10剩余信息保護

證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。

應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息；應(yīng)禁止未授權(quán)訪問和非法使用

11個人信息保護

用戶個人信息。

2.2.1.5.安全管理匚口心

安全通用要求中的安全管理中心部分是針對整個系統(tǒng)提出的安全控制

要求。通過技術(shù)手段實現(xiàn)集中管理。涉及的安全控制點包括系統(tǒng)管理、審計

管理、安全管理和集中管控。安全管理中心測評將通過核查和驗證測試的方

式開展，具體如下表所示：

安全管理中心測評實施內(nèi)容表

序號測評指標測評單元描述

應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面

進行系統(tǒng)管理操作，并對這些操作進行審計；應(yīng)通過系統(tǒng)管理員對系統(tǒng)

1系統(tǒng)管理

的資源和運行進行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、

系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

應(yīng)對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面

進行安全審計操作，并對這些操作進行審計：應(yīng)通過審計管理員對審計

2審計管理

記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理，包括根據(jù)安全審計策略對

審計記錄進行存儲、管理和查詢等。

應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面

3安全管理

進行安全管理操作，并對這些操作進行審計；應(yīng)通過安全管理員對系統(tǒng)

序號測評指標測評單元描述

中的安全策略進行配置，包括安全參數(shù)的設(shè)置，主體、客體進行統(tǒng)一安

全標記，對主體進行授權(quán)，配置可信驗證策略等。

應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進

行管控；應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或

安全組件進行管理；應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的

4集中管控運行狀況進行集中監(jiān)測；應(yīng)對分放在各個設(shè)備上的審計數(shù)據(jù)進行收集

匯總和集中分析，井保證審計記錄的留存時間符合法律法規(guī)要求；應(yīng)對

安全策略、惡意代碼、補「升級等安全相關(guān)事項進行集中管理；應(yīng)能對

網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。

2.2.1.6.安全管理制度

安全管理制度測評將通過訪談和檢查的方式測評信息系統(tǒng)的安全管理制度建立情

況。主要涉及對象為：信息安全管理體系、日常安全管理制度、重要操作規(guī)程及相關(guān)執(zhí)

行記錄等。

配合人員及配合事項：對系統(tǒng)管理制度及記錄熟悉的人員（如安全主管、安全員）

配合訪談并提供信息安全管理體系手冊及文件清單、操作規(guī)程及記錄、制度制定和發(fā)布

要求管理文檔、評審記錄、安全管理制度收發(fā)登記記錄、安全管理制度對應(yīng)負責人或負

責部門的清單等文檔。

在內(nèi)容上，安全管理制度層面測評實施過程涉及3個測評指標，具體如下表所示:

安全管理制度測評實施內(nèi)容表

序

測評指標測評內(nèi)容描述

號

應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機構(gòu)安全工作的總體

1