专业代理三级等保备案评测

信息系统等级保护测评是在深刻理解并贯彻应用如下文件和标准的基础上进行的：

❑   GB 17859-1999计算机信息系统安全保护等级划分准则

❑   公通字[2004]66号文：关于印发《关于信息安全等级保护工作的实施意见》的通知

❑   公通字 [2007]43号文：《信息安全等级保护管理办法》

❑   公信安[2007]861号文：《关于开展全国重要信息系统安全等级保护定级工作的通知》

❑   GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南

❑   GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求

❑   GB/T 24856-2009信息安全技术 信息系统等级保护安全设计技术要求

❑   《信息安全技术 信息系统安全等级保护测评要求》报批稿

❑   《信息安全技术 信息系统安全等级保护测评过程指南》报批稿

二.        测评方案

二.1.   测评对象

本次测评共涉及XXXXXX信息系统一个三级系统。

测评对象主要包括：

1)  主机房；

2)   主要网络设备（核心路由器、核心交换机等）；

3)   主要安全设备（防火墙、IDS/IPS等）；

4)   主要的主机设备（Web服务器、应用服务器、数据库服务器等）；

5)   主要应用系统（业务相关的通用及**应用软件）；

6)   安全管理相关人员；

7)   安全管理相关文档（制度、表格、证据）。

具体测评对象的选择将依据被测系统的定级报告和备案表，及系统拓扑结构图，通过现场调研，由测评方和被测方沟通后确定。

二.2.   测评指标

根据被测系统的安全等级从基本要求中选择相应等级的通用指标，然后根据系统信息资产安全性等级选择信息资产安全性指标，根据系统服务安全等级选择系统服务指标，之后进行三类指标（S,A,G）的组合，形成测评指标。