*、等级保护测评服务目的 根据中华人民**国《网络安全法》的第二十一条及等级保护政策要求,网络运营者履行等级保护制度要求,为保障******财务系统的安全性,提高对安全事件的应急处置能力,根据《关于印发<信息安全等级保护管理办法>的通知》(公通字[****]**号)文件要求,对******财务系统进行等级测评,并交付相应报告。 *、测评依据 《信息安全等级保护管理办法》(公通字〔****〕**号) 《信息安全技术 网络安全等级保护基本要求》(GB/T *****-****) 《信息安全技术 信息系统安全等级保护实施指南》(GB/T *****-****) 《信息系统安全等级保护体系框架》(GA/T ***-****) 《信息系统安全等级保护基本模型》(GA/T ***-****) 《信息系统安全等级保护基本配置》(GA/T ***-****) 《信息安全技术 网络安全等级保护测评要求》(GB/T *****-****) 《信息安全技术 网络安全等级保护测评过程指南》(GB/T *****-****) 《网络安全等级保护测评报告模版(****年版)》等 *、测评方法包括:*)访谈;*)检查;*)测试等。 *、测评内容 *)技术安全测评包括:安全物理环境;安全通信网络;安全区域边界;安全计算环境;安全管理中心等。 *)管理安全测评包括:安全管理制度;安全管理机构;安全管理人员;安全建设管理;安全运维管理等。 *、测评过程 根据国家标准《信息安全技术—信息系统安全等级保护测评过程指南》的规定,测评过程分为四个阶段:*)测评准备阶段:*)方案编制阶段*)现场测阶段*)分析与报告编制阶段。 *、等保测评文件输出 等级测评报告:测评机构将出具正式的被测信息系统等级测评报告,并通过*网安部门审核。 |