(一)总体要求
按照《中华人民共和国计算机信息安全等级保护条例》、《信息安全等级保护管理办法》、
《信息系统安全等级保护基本要求》、《信息系统安全等级保护定级指南》、《信息系统安全等
级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家政策和规范要求,从技术
和管理方面,测评并核查发现目标信息系统在安全防护措施方面存在的漏洞和缺陷,提供综
合分析结论,为整改提供直接依据,获得公安机关颁发的《信息系统安全等级保护备案证明》,
出具测评报告。
1、协助做好定级备案工作
根据《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2008,组织专家评
议、提出合适的安全等级保护级别,起草编制《信息系统安全等级保护定级报告》、《信息系
统安全等级保护备案表》、《网络拓扑结构及说明》、《安全组织机构及管理制度清单》、《专家
评审意见》和《系统使用的安全产品清单及认证、销售许可证明》6 项文件,提交至公安网
安机构审核。
审核通过后,公安网安机构颁发由公安部统一监制的《信息系统安全等级保护备案证明》。
2、完成等级测评工作
测评机构按照《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008 和
公安部门审核确定的保护等级逐项进行合规性测评,检查被测信息系统的安全等级保护状况
是否达到相应等级的基本要求。根据对现场测评结果分析、汇总后形成《信息系统安全等级
保护测评报告》,说明信息系统存在的安全问题。
3、协助完成安全建设整改工作
按照《关于印发<陕西省信息安全等级保护安全建设整改工作指导意见>的通知》(陕等
保办[2011]2 号)的要求和等级测评结果,测评机构从技术与管理两个方面提出整改建议,
形成《建设整改建议书》,包括需求分析、整改建议、整改原则、整改方式等内容,协助渭
南天然气有限公司建立健全相关安全管理制度,提出安全建设技术方案的建议方案。
4、协助完成监督检查工作
公安机关、行业内部、单位内部以及第三方机构将定期不定期针对信息系统安全等级保
护工作进行检查、抽查。测评机构应协助渭南天然气有限公司准备、完善各类资料文档,配
合检查过程中的答疑及技术支持,配合做好其他现场检查的响应工作;协助渭南天然气有限
公司准备各方开展安全检查时所要求提供的相关资料,提供迎检支持。
资源评论
