信息系统安全等级保护测评报告3

2024年10月16日发(作者：)

[2015版]

系统建设管理

类别 测评项

a）应明确信息系统的边界

和安全保护等级；

b）应以书面的形式说明确

定信息系统为某个安全保

护等级的方法和理由；

系统定级

c）应组织相关部门和有关

安全技术专家对信息系统

定级结果的合理性和正确

性进行论证和审定；

结果记录

在定级报告中定义了系统边界和保护等级

符合

程度

5

在定级报告中描述了定级方法和理由

5

公安管理部门对安全保护等级给出了指导

意见

5

d）应确保信息系统的定级

公安管理部门对定级情况进行审定

结果经过相关部门的批准。

a）应根据系统的安全保护

等级选择基本安全措施，并

依据风险分析的结果补充

和调整安全措施；

厂商根据业务需求分析及等级保护要求对

安全策略进行调整

5

5

b）应指定和授权专门的部

门对信息系统的安全建设甲方已将系统的设计运营全部包于厂商，由

进行总体规划，制定近期和厂商负责系统的设计规划

远期的安全建设工作计划；

c）应根据信息系统的等级

划分情况，统一考虑安全保

障体系的总体安全策略、安厂商根据业务需求分析及等级保护要求制

全技术框架、安全管理策定了成套的设计方案

略、总体建设规划和详细设

计方案，并形成配套文件；

d）应组织相关部门和有关

安全技术专家对总体安全

策略、安全技术框架、安全

管理策略、总体建设规划、厂商内部组织工程师对设计方案进行论证

详细设计方案等相关配套实施

文件的合理性和正确性进

行论证和审定，并且经过批

准后，才能正式实施；

e）应根据等级测评、安全

评估的结果定期调整和修

订总体安全策略、安全技术

框架、安全管理策略、总体

建设规划、详细设计方案等

相关配套文件。

附录

5

5

安全方案

设计

5

系统暂未上线，还未对对安全方案进行调整

和修订

N/A

第85页

[2015版]

类别 测评项 结果记录

符合

程度

5

a）应确保安全产品采购和安全采购符合国家有关规定，所采购产品均

使用符合国家的有关规定； 有销售许可证

b）应确保密码产品采购和

使用符合国家密码主管部

门的要求；

c）应指定或授权专门的部

门负责产品的采购；

d）应预先对产品进行选型

测试，确定产品的候选范

围，并定期审定和更新候选

产品名单。

a）应确保开发环境与实际

运行环境物理分开，开发人

员和测试人员分离，测试数

据和测试结果受到控制；

b）应制定软件开发管理制

度，明确说明开发过程的控

制方法和人员行为准则；

自行软件

开发

c）应制定代码编写安全规

范，要求开发人员参照规范

编写代码；

d）应确保提供软件设计的

相关文档和使用指南，并由

专人负责保管；

e）应确保对程序资源库的

修改、更新、发布进行授权

和批准。

a）应根据开发需求检测软

件质量；

b）应在软件安装之前检测

软件包中可能存在的恶意

代码；

c）应要求开发单位提供软

件设计的相关文档和使用

指南；

d）应要求开发单位提供软

件源代码，并审查软件中可

能存在的后门。

a）应指定或授权专门的部

工程实施 门或人员负责工程实施过

程的管理；

附录

不涉及密码产品的采购

N/A

产品采购

和使用

由厂商采购部门负责设备的采购工作

5

由项目部负责设备选型测试，提交采购部门

采购

5

不涉及自行软件开发 N/A

不涉及自行软件开发

N/A

不涉及自行软件开发

N/A

不涉及自行软件开发

N/A

不涉及自行软件开发

软件开发工作厂商外包给其他公司，由厂商

负责软件的测试工作

由厂商负责软件的恶意代码监测

N/A

5

5

外包软件

开发

软件开发商向厂商提供设计文档和使用指

南

5

由厂商负责审查软件可能存在的后门

5

厂商负责系统搭建工程实施，甲方票务运营

部负责系统建设的监督管理

5

第86页

[2015版]

类别 测评项

b）应制定详细的工程实施

方案控制实施过程，并要求

工程实施单位能正式地执

行安全工程过程；

c）应制定工程实施方面的

管理制度，明确说明实施过

程的控制方法和人员行为

准则。

a）应委托公正的第三方测

试单位对系统进行安全性

测试，并出具安全性测试报

告；

b）在测试验收前应根据设

计方案或合同要求等制订

测试验收方案，在测试验收

过程中应详细记录测试验

收结果，并形成测试验收报

告；

c）应对系统测试验收的控

制方法和人员行为准则进

行书面规定；

d）应指定或授权专门的部

门负责系统测试验收的管

理，并按照管理规定的要求

完成系统测试验收工作；

e）应组织相关部门和相关

人员对系统测试验收报告

进行审定，并签字确认。

a）应制定详细的系统交付

清单，并根据交付清单对所

交接的设备、软件和文档等

进行清点；

结果记录

符合

程度

实施前由系统厂商出具工程实施方案，并按

方案控制实施

5

实施人员均为厂商工程师，自行控制实施方

法和人员行为

5

厂商内部对系统进行安全性测试，未委托第

三方测试单位对系统进行测试

3

尚未验收

N/A

测试验收

尚未验收

N/A

尚未验收，将由票务运营部负责验收工作

5

尚未验收

N/A

尚未交付 N/A

b）应对负责系统运行维护

的技术人员进行相应的技

系统交付

能培训；

c）应确保提供系统建设过

程中的文档和指导用户进

行系统运行维护的文档；

d）应对系统交付的控制方

法和人员行为准则进行书

面规定；

附录

尚未交付

N/A

尚未交付

N/A

尚未交付

N/A

第87页

[2015版]

类别 测评项

e）应指定或授权专门的部

门负责系统交付的管理工

作，并按照管理规定的要求

完成系统交付工作。

a）应指定专门的部门或人

员负责管理系统定级的相

关材料，并控制这些材料的

使用；

结果记录

符合

程度

尚未交付

N/A

票务运营部负责管理定级相关材料 5

系统备案 b）应将系统等级及相关材

料报系统主管部门备案；

c）应将系统等级及其他要

求的备案材料报相应公安

机关备案。

a）在系统运行过程中，应

至少每年对系统进行一次

等级测评，发现不符合相应

等级保护标准要求的及时

整改；

b）应在系统发生变更时及

时对系统进行等级测评，发

现级别发生变化的及时调

等级测评

整级别并进行安全改造，发

现不符合相应等级保护标

准要求的及时整改；

c）应选择具有国家相关技

术资质和安全资质的测评

单位进行等级测评；

d）应指定或授权专门的部

门或人员负责等级测评的

管理。

a）应确保安全服务商的选

择符合国家的有关规定；

b）应与选定的安全服务商

签订与安全相关的协议，明

确约定相关责任；

c）应确保选定的安全服务

商提供技术培训和服务承

诺，必要的与其签订服务合

同。

定级相关材料报票务运营主管领导备案

5

定级材料报市公安机关备案

5

首次测评 N/A

首次测评，未发生变更

N/A

公司为公安部授权的测评机构

5

票务运营部负责等级测评管理

通过招投标选择安全服务商，符合国家有关

规定

签订有协议、合同

5

5

安全服务

商选择

5

投标书中对技术培训和服务承诺作出了说

明

5

附录 第88页

[2015版]

系统运维管理

类别 测评项

a）应指定专门的部门或人

员定期对机房供配电、空

调、温湿度控制等设施进行

维护管理；

b）应指定部门负责机房安

全，并配备机房安全管理人

员，对机房的出入、服务器

的开机或关机等工作进行

管理；

结果记录

机房由信息化部服务商建设，开园期间厂商

驻场定期对机房配电、空调、温湿度等进行

维护

符合

程度

5

信息化部负责机房的安全，配有门禁系统控

制人员出入

5

c）应建立机房安全管理制

度，对有关机房物理访问，

由信息化部控制机房的人员出入和物品带

环境管理

物品带进、带出机房和机房

进带出，暂时缺少机房管理制度

环境安全等方面的管理作

出规定；

d）应加强对办公环境的保

密性管理，规范办公环境人

员行为，包括工作人员调离

办公室应立即交还该办公

室钥匙、不在办公区接待来

访人员、工作人员离开座位

应确保终端计算机退出登

录状态和桌面上没有包含

敏感信息的纸档文件等。

a）应编制并保存与信息系

统相关的资产清单，包括资

产责任部门、重要程度和所

处位置等内容；

b）应建立资产安全管理制

度，规定信息系统资产管理

资产管理 的责任人员或责任部门，并

规范资产管理和使用的行

为；

c）应根据资产的重要程度

对资产进行标识管理，根据

资产的价值选择相应的管

理措施；

3

指挥中心办公环境有严格的限制，不允许外

来人员随意出入

5

系统运营全部外包于厂商，由厂商自行负

责，已编制资产清单

5

系统相关资产均由厂商相关人员负责

5

已对资产进行标识管理，设备顶部均粘贴标

签

5

附录 第89页

[2015版]

类别 测评项

d）应对信息分类与标识方

法作出规定，并对信息的使

用、传输和存储等进行规范

化管理。

a）应建立介质安全管理制

度，对介质的存放环境、使

用、维护和销毁等方面作出

规定；

b）应确保介质存放在安全

的环境中，对各类介质进行

控制和保护，并实行存储环

境专人管理；

c）应对介质在物理传输过

程中的人员选择、打包、交

付等情况进行控制，对介质

归档和查询等进行登记记

录，并根据存档介质的目录

清单定期盘点；

结果记录

符合

程度

厂商按照自定义规则进行标识管理

5

未涉及移动介质 N/A

未涉及移动介质

N/A

未涉及移动介质

N/A

d）应对存储介质的使用过

程、送出维修以及销毁等进

介质管理

行严格的管理，对带出工作

环境的存储介质进行内容

加密和监控管理，对送出维

修或销毁的介质应首先清

除介质中的敏感数据，对保

密性较高的存储介质未经

批准不得自行销毁；

未涉及移动介质

N/A

e）应根据数据备份的需要

对某些介质实行异地存储，

未涉及移动介质

存储地的环境要求和管理

方法应与本地相同；

f）应对重要介质中的数据和

软件采取加密存储，并根据

所承载数据和软件的重要

程度对介质进行分类和标

识管理。

a）应对信息系统相关的各

种设备（包括备份和冗余设

设备管理 备）、线路等指定专门的部

门或人员定期进行维护管

理；

附录

N/A

未涉及移动介质

N/A

由厂商对设备、线路等进行管理 5

第90页

[2015版]

类别 测评项 结果记录

符合

程度

b）应建立基于申报、审批

和专人负责的设备安全管

理制度，对信息系统的各种厂商单位有规范的采购制度，能够对设备选

软硬件设备的选型、采购、型、采购过程进行规范管理

发放和领用等过程进行规

范化管理；

c）应建立配套设施、软硬

件维护方面的管理制度，对

其维护进行有效的管理，包

括明确维护人员的责任、涉

外维修和服务的审批、维修

过程的监督控制等；

d）应对终端计算机、工作

站、便携机、系统和网络等

设备的操作和使用进行规

范化管理，按操作规程实现

主要设备（包括备份和冗余

设备）的启动/停止、加电/

断电等操作；

e）应确保信息处理设备必

须经过审批才能带离机房

或办公地点。

a）应对通信线路、主机、

网络设备和应用软件的运

行状况、网络流量、用户行

为等进行监测和报警，形成

记录并妥善保存；

监控管理

和安全管

理中心

5

设备维修由设备厂商负责，厂商对维修过程

进行监督

5

开园期间设备的管理均有厂商工程师负责

维护，无需操作规程

N/A

由信息化部控制机房物品的带进带出

5

厂商有监控软件，能够对硬件、软件、端口、

网络等进行监控，并通过邮件报警

5

b）应组织相关人员定期对

监测和报警记录进行分析、

由厂商工程师对监测记录进行分析，发现可

评审，发现可疑行为，形成

疑行为及时处置

分析报告，并采取必要的应

对措施；

c）应建立安全管理中心，

对设备状态、恶意代码、补

丁升级、安全审计等安全相

关事项进行集中管理。

未建立安全管理中心集中管理，厂商工程师

通过不通的方式对设备状态、恶意代码、补

丁升级、安全审计等事项进行管理

5

3

网络安全

管理

a）应指定专人对网络进行

管理，负责运行日志、网络

监控记录的日常维护和报

警信息分析和处理工作；

厂家工程师对网络运行日志、网络监控记录

和报警信息等进行分析处理

5

附录 第91页

[2015版]

类别 测评项

b）应建立网络安全管理制

度，对网络安全配置、日志

保存时间、安全策略、升级

与打补丁、口令更新周期等

方面作出规定；

c）应根据厂家提供的软件

升级版本对网络设备进行

更新，并在更新前对现有的

重要文件进行备份；

d）应定期对网络系统进行

漏洞扫描，对发现的网络系

统安全漏洞进行及时的修

补；

e）应实现设备的最小服务

配置，并对配置文件进行定

期离线备份；

f）应保证所有与外部系统的

连接均得到授权和批准；

g）应依据安全策略允许或

者拒绝便携式和移动式设

备的网络接入；

h）应定期检查违反规定拨

号上网或其他违反网络安

全策略的行为。

a）应根据业务需求和系统

安全分析确定系统的访问

控制策略；

b）应定期进行漏洞扫描，

对发现的系统安全漏洞及

时进行修补；

结果记录

符合

程度

通过业务应用需求分析和安全分析，已确定

了网络配置，日志保存等相关策略

5

新采购设备，开园期间无需对网络设备进行

更新

N/A

由厂商工程师定期进行漏洞扫描

5

根据业务需求仅配置开通业务所需的策略，

配置文件离线备份

由厂商对与外部系统连接进行控制，甲方进

行监督

交换机空余端口均未配置，无法自动接入

5

5

5

无拨号上网

N/A

由厂商根据甲方业务及管理需求设定访问

控制策略

5

由厂商工程师定期进行漏洞扫描

5

系统安全

管理

c）应安装系统的最新补丁

程序，在安装系统补丁前，

如需安装补丁先由厂商工程师在测试环境

首先在测试环境中测试通

进行测试，确定无问题后才在生产环境打补

过，并对重要文件进行备份

丁

后，方可实施系统补丁程序

的安装；

d）应建立系统安全管理制

厂商根据需求分析和安全要求已确定系统

度，对系统安全策略、安全

安全策略、安全配置、日志管理方面的维护

配置、日志管理和日常操作

策略

流程等方面作出具体规定；

5

5

附录 第92页

[2015版]

类别 测评项 结果记录

符合

程度

e）应指定专人对系统进行

管理，划分系统管理员角

色，明确各个角色的权限、由厂商驻场工程师对系统进行管理

责任和风险，权限设定应当

遵循最小授权原则；

f）应依据操作手册对系统进

行维护，详细记录操作日

志，包括重要的日常操作、开园期间由厂商工程师对设备进行维护，严

运行维护记录、参数的设置禁其他人员的未授权维护

和修改等内容，严禁进行未

经授权的操作；

g）应定期对运行日志和审

计数据进行分析，以便及时

发现异常行为。

a）应提高所有用户的防病

毒意识，及时告知防病毒软

件版本，在读取移动存储设

备上的数据以及网络上接

收文件或邮件之前，先进行

病毒检查，对外来计算机或

存储设备接入网络系统之

前也应进行病毒检查；

b）应指定专人对网络和主

机进行恶意代码检测并保

存检测记录；

由厂商定期对系统运行日志和审计数据进

行分析

5

5

5

厂商负责防病毒管理，并定期进行巡查 5

由厂商工程师负责对网络和主机恶意代码

进行检测

5

恶意代码

c）应对防恶意代码软件的

防范管理

授权使用、恶意代码库升

级、定期汇报等作出明确规

定；

d）应定期检查信息系统内

各种产品的恶意代码库的

升级情况并进行记录，对主

机防病毒产品、防病毒网关

和邮件防病毒网关上截获

的危险病毒或恶意代码进

行及时分析处理，并形成书

面的报表和总结汇报。

a）应建立密码使用管理制

密码管理 度，使用符合国家密码管理

规定的密码技术和产品。

由厂商负责防病毒软件的安装使用管理，并

定期进行巡查，升级病毒库

5

开园期间由厂商负责杀毒软件的定期升级

维护

5

没有密码产品 N/A

附录 第93页

[2015版]

类别 测评项

a）应确认系统中要发生的

变更，并制定变更方案；

b）应建立变更管理制度，

系统发生变更前，向主管领

导申请，变更和变更方案经

过评审、审批后方可实施变

更，并在实施后将变更情况

向相关人员通告；

结果记录

系统版本已封装，赞不需要变更

符合

程度

N/A

系统版本已封装，赞不需要变更

N/A

变更管理

c）应建立变更控制的申报

和审批文件化程序，对变更

影响进行分析并文档化，记

录变更实施过程，并妥善保

存所有文档和记录；

d）应建立中止变更并从失

败变更中恢复的文件化程

序，明确过程控制方法和人

员职责，必要时对恢复过程

进行演练。

a）应识别需要定期备份的

重要业务信息、系统数据及

软件系统等；

b）应建立备份与恢复管理

相关的安全管理制度，对备

份信息的备份方式、备份频

度、存储介质和保存期等进

行规范；

系统版本已封装，赞不需要变更

N/A

系统版本已封装，赞不需要变更

N/A

备份数据包含应用虚拟机，数据库，系统日

志等

5

应用虚拟机，数据库每天备份，在线系统每

小时与主数据库同步一次

5

备份与恢

复管理

c）应根据数据的重要性和

数据对系统运行的影响，制

定数据的备份策略和恢复

策略，备份策略须指明备份

数据的放置场所、文件命名

规则、介质替换频率和将数

据离站运输的方法；

d）应建立控制数据备份和

恢复过程的程序，对备份过

程进行记录，所有文件和记

录应妥善保存；

应用虚拟机，数据库每天备份，在线系统每

小时与主数据库同步一次

5

配有备份服务器对备份文件进行保存

5

附录 第94页

[2015版]

类别 测评项

e）应定期执行恢复程序，

检查和测试备份介质的有

效性，确保可以在恢复程序

规定的时间内完成备份的

恢复。

a）应报告所发现的安全弱

点和可疑事件，但任何情况

下用户均不应尝试验证弱

点；

b）应制定安全事件报告和

处置管理制度，明确安全事

件的类型，规定安全事件的

现场处理、事件报告和后期

恢复的管理职责；

c）应根据国家相关管理部

门对计算机安全事件等级

划分方法和安全事件对本

系统产生的影响，对本系统

计算机安全事件进行等级

划分；

结果记录

符合

程度

由厂商工程师定期对备份进行恢复测试

5

系统未正式上线，暂未发生安全事件 5

厂商有值班体系，发生安全事件逐级上报

5

未对安全事件划分等级管理

0

安全事件

处置

d）应制定安全事件报告和

响应处理程序，确定事件的通过厂商值班体系，能够发生安全事件逐级

报告流程，响应和处置的范上报

围、程度，以及处理方法等；

e）应在安全事件报告和响

应处理过程中，分析和鉴定

事件产生的原因，收集证

据，记录处理过程，总结经

验教训，制定防止再次发生

的补救措施，过程形成的所

有文件和记录均应妥善保

存；

f）对造成系统中断和造成信

息泄密的安全事件应采用

不同的处理程序和报告程

序。

5

暂未发生过安全事件

N/A

暂未发生或安全事件

N/A

附录 第95页

[2015版]

类别 测评项 结果记录

符合

程度

a）应在统一的应急预案框

架下制定不同事件的应急

预案，应急预案框架应包括

暂未制定应急预案

启动应急预案的条件、应急

处理流程、系统恢复流程、

事后教育和培训等内容；

b）应从人力、设备、技术

和财务等方面确保应急预

案的执行有足够的资源保

障；

c）应对系统相关的人员进

行应急预案培训，应急预案

的培训应至少每年举办一

次；

d）应定期对应急预案进行

演练，根据不同的应急恢复

内容，确定演练的周期；

e）应规定应急预案需要定

期审查和根据实际情况更

新的内容，并按照执行。

厂商能够从人力、设备、技术等方面提供足

够的资源保障

0

5

应急预案

管理

暂未制定应急预案，未进行应急预案培训

0

暂未制定应急预案，未进行应急预案演练

0

暂未制定应急预案

0

附录 第96页