第1页信息系统安全等级测评工具【服务版】产品规格说明书(PSI)ProductSpecificationInstructions公安部第三研究所2020年01月24日版权所有侵权必究文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech第I页[文档信息]文档名称产品规格说明书(PSI)文档管理编号CRBJ-PMD-PSI-1001-GFCSP-Tech保密级别文档版本号制作人制作日期复审人复审日期扩散范围扩散批准人[版本变更记录]时间版本说明修改人[文档送呈]单位目的总办汇报产品规格情况,供技术支持、售前使用研发部存档及支持目录1产品背景及概述............................................................................11.1产品背景................................................................................11.2产品概述................................................................................32产品目标及策略............................................................................42.1产品目标................................................................................42.2产品策略................................................................................43产品执行标准................................................................................54产品说明.......................................................................................65结论..............................................................................................8第1页1产品背景及概述1.1产品背景随着信息技术的迅猛发展和广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题,多次指示公安部会同有关部委制定有效措施,切实加强管理,提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。2019年8月,国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2019]27号)明确指出信息安全保障工作要“实行信息安全等级保护”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展,公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2019年联合下发了《关于信息安全等级保护工作的实施意见》,明确指出要在三年内在全国范围内推广等级保护制度。为了规范和指导各地的等级保护工作,公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心(以下简称评估中心)制定了一系列等级保护相关标准和文件。目前,国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿,《信息系统安全等级保护测评准则》已经完第2页成征求意见稿。2019年8月,公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”,向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了《信息安全等级保护试点工作实施方案》,涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。同时,为了加强信息安全等级保护工作的组织领导,国家成立了由公安部副部长张新枫任组长,公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组,协调小组办公室设在公安部公共信息网络安全监察局。试点工作的经验表明,等级测评活动是确保信息安全等级保护工作的关键环节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查,了解系统的安全现状与国家要求之间的差距,明确安全整改的目标与方向。市场调查表明,目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面,无法准确、全面的提供信息系统安全等级保护的整体测评结论。由于信息安全等级保护制度已...
