​青海省商用密码应用安全性评估、信息安全风险评估、信息系统安全等级保护测评、信息系统安全等级保护备案咨询

青海省网络安全等级保护测评、商用密码应用安全性评估、信息安全风险评估、信息系统安全等级保护测评、信息系统安全等级保护备案咨询

主要服务咨询项目为软件产品测试咨询、电子产品检测咨询、软件第三方验收测试咨询、科技项目验收测试咨询、软件安全检查、代码审计、安全测试、信息系统第三方检测咨询、集成电路检测咨询、芯片检测咨询、IC检测咨询、信息化项目技术绩效评估(网站或系统绩效评估）咨询、政务信息化项目效能评估咨询、信息系统安全等级保护备案咨询、信息系统安全等保报告咨询、网络安全等保测评咨询、信息系统安全等级保护测评咨询、信息安全风险评估咨询、密码测评咨询、商用密码测评咨询、商用密码应用安全性评估咨询、商用密码应用安全测评咨询、密码应用安全性评估报告咨询、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网)咨询、广东省守合同重企业、民用无人驾驶航空器经营证、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业资质、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。

c) 测评方收回填写完成的调查表格，并分析调查结果，了解和熟悉被测信息系统的实际情况。分析的内容包括被测信息系统的基本信息、行业特征、密码管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、被测信息系统网络安全保护等级、用户范围、用户类型、被测信息系统所处的运行环境及面临的威胁等。以上信息可以采信自查结果、上次网络安全保护等级测评报告或商用密码应用安全性评估报告中的可信结果。 d) 如果调查表格中有填写不准确、不完善或存在相互矛盾的情况，密评人员应与填表人进行沟通和确认。必要时，测评方应安排现场调查，现场与被测信息系统相关人员进行沟通和确认，以确保调查信息的正确性和完整性。 ——输出：完成的调查表格，各种与被测信息系统相关的技术资料。 5.2.3 工具和表单准备 测评项目组成员在进行现场测评之前，应熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。 ——输入：完成的调查表格，各种与被测信息系统相关的技术资料。 任务描述： a) 调试本次测评过程中将用到的测评工具。 b) 如果具备条件，建议密评人员模拟被测信息系统搭建测评环境，进行前期准备和验证，为方案编制活动、现场测评活动提供必要的条件。 c) 准备并打印表单，主要包括：现场测评授权书、风险告知书、文档交接单、会议记录表单、会议签到表单等。 ——输出：选用的测评工具清单，打印的各类表单，如现场测评授权书、风险告知书、文档交接单、会议记录表单、会议签到表单等。 5.3 测评准备活动的输出文档 测评准备活动的输出文档及其内容如表1所示： 表1 测评准备活动的输出文档及其内容 任务 输出文档 文档内容 项目启动 项目计划书 项目概述、工作依据、技术思路、工作内容和项目组织等 信息收集和分析 完成的调查表格，各种与被测信息系统相关的技术资料 被测信息系统的网络安全保护等级、业务情况、软硬件情况、密码应用情况、密码管理情况和相关部门及角色等 工具和表单准备 选用的测评工具清单，打印的各类表单，如现场测评授权书、风险告知书、文档交接单、会议记录表单、会议签到表单等 测评工具、现场测评授权、测评可能带来的风险、交接的文档名称、会议记录表单、会议签到表单等 6 方案编制活动 6.1 方案编制活动的工作流程 

方案编制活动的目标是整理及分析测评准备活动中获取的被测信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。 方案编制活动包括测评对象确定、测评指标确定、测评检查点确定、测评内容确定及密评方案编制五项主要任务。 6.2 方案编制活动的主要任务 6.2.1 测评对象确定 根据已经了解到的被测信息系统信息，分析整个被测信息系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定本次测评的测评对象。 ——输入：完成的调查表格，各种与被测信息系统相关的技术资料。 任务描述： a) 识别被测信息系统的基本情况 根据从调查表格获得的被测信息系统情况，识别出被测信息系统的物理环境、网络拓扑结构和外部边界连接情况、业务应用系统，以及与其相关的重要的计算机硬件设备、网络安全设备、密码产品和使用的密码服务等，并识别与上述内容相关的密码应用情况。 b) 描述被测信息系统 对识别出的被测信息系统的基本情况进行整理，并对被测信息系统进行描述。描述被测信息系统时，一般以被测信息系统的网络拓扑结构为基础，采用总分式的描述方法，先说明整体结构，然后描述外部边界连接情况和边界主要设备，最后介绍被测信息系统的网络区域组成、主要业务功能及相关的设备节点，同时务必描述在这些方面所识别的密码应用情况。 c) 确定测评对象 根据被测信息系统的重要程度及其相关设备和组件等情况，明确核心资产在被测信息系统内的流转，从而确定与密码相关的测评对象。 被测单位需要确定被测信息系统需要保护的核心资产，以及相应的威胁模型和安全策略。核心资产可以是业务应用、业务数据或者业务应用的某些设备、组件。核心资产及其他需要保护的配套数据（如审计信息、配置信息、访问控制列表等）、敏感安全参数（主要指密钥）的威胁模型和安全策略等均由被测单位根据密码应用方案、网络安全等级保护定级报告等确定，并由测评方进行核查和确认。 d) 资产和威胁评估 资产的价值根据资产的重要性和关键程度确定。资产价值分为高、中、低三个等级。价值越高的资产遭到威胁时将导致越高的风险。资产价值高低的界定，可由被测单位根据密码应用方案、网络安全等级保护定级报告等继承和确定，并由测评方进行核查和确认。 对于各类资产和其他敏感信息，测评方与被测单位需要分析其可能面临的威胁及威胁发生的频率。威胁发生的频率分为高、中、低三个等级，威胁发生频率越高意味着资产的安全越有可能受到威胁。可能面临的威胁以及威胁发生的频率，可由被测单位根据密码应用方案、网络安全等级保护定级报告等继承和确定，并由测评方进行核查和确认。 e) 描述测评对象 测评对象包括机房、业务应用软件、主机和服务器、数据库、网络安全设备、密码产品、密码服务、系统相关人员（包括系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等）及安全管理制度类文档和记录表单类文档等。在对每类测评对象进行描述时一般采用列表的方式，如对硬件设备进行描述时，应包括测评对象所属区域、设备名称、用途、设备信息等内容。——输出：密评方案的测评对象部分。