服务概述

辅助测评服务包含等保辅助测评与密评辅助测评两大核心模块，旨在协助客户完成信息系统安全等级保护与商用密码应用安全性的合规测评工作，确保符合国家相关标准规范，降低合规风险。

一、等保辅助测评

1. 定级与备案阶段

资产全景梳理

协助客户完成全量信息系统资产清点，形成结构化清单：

• 硬件资产：服务器（物理机/虚拟机）、网络设备（交换机/防火墙/路由器）、终端设备等，需标注型号、部署位置及所属业务域；
• 数据资产：核心业务数据（如用户信息、交易记录）、管理数据（如配置文件、日志），明确数据分级（公开/内部/敏感/机密）及流转路径；
• 软件资产：操作系统、数据库、中间件及业务应用系统，记录版本号及安全补丁状态。

备案材料标准化制备

结合《信息系统安全等级保护定级指南》，指导客户准备以下材料：

• 《信息系统安全等级保护定级报告》：重点完善"业务描述""安全需求分析""定级理由"三部分，确保与GB/T 22240中等级判定标准对应；
• 《网络安全等级保护备案表》：准确填报系统名称、IP地址段、服务范围等核心信息，附系统拓扑图（需标注安全区域划分及边界设备）；
• 配套材料：整理现有安全管理制度（如人员管理、应急响应预案）、系统建设相关资质文件（如采购合同、安全测评报告），按属地公安部门要求汇编成册。

2. 建设整改阶段

• 方案制定：提供技术整改建议，确保符合《网络安全等级保护基本要求》（GB/T 22239）对应等级的安全要求；
• 技术验证：协助客户验证整改措施有效性，例如通过渗透测试验证防火墙策略配置是否阻断恶意流量。

3. 测评配合阶段

提前整理并标准化以下文档，减少现场测评耗时：

• 技术文档：系统网络拓扑图（含安全设备部署位置）、安全设备配置清单（如防火墙ACL规则、VPN加密算法）、漏洞扫描报告及修复记录；
• 管理文档：安全管理制度汇编（更新至最新版本）、人员培训记录、应急演练报告；
• 合规证明：已采购安全产品的检测报告（如防火墙的《网络安全产品安全认证证书》）、第三方安全评估报告（如渗透测试报告）。

二、密评辅助测评

1. 前期调研：构建密码应用基线画像

信息系统全景调研

• 系统架构梳理：协助客户绘制系统拓扑图，标注核心组件：服务器、网络设备、终端设备及第三方系统接口；记录系统层级关系，明确各层级数据交互协议；
• 业务流程与数据流转分析：梳理关键业务流程（如用户注册→登录→交易→数据归档），标注每个环节的参与角色（管理员/普通用户/系统接口）及操作权限；绘制数据流转图，明确敏感数据的产生节点、传输路径、存储位置及生命周期。

现有密码应用现状核查

• 密码技术应用清点：统计当前使用的密码算法及应用场景（身份鉴别/数据加密/签名验签），核查是否符合《商用密码算法使用要求》（GM/T 0008）；
• 密码产品合规性检查：核查已使用密码产品是否获得《商用密码产品认证证书》，是否在有效期内。

2. 方案编制与备案

• 方案编制：根据调研内容，形成系统密码应用方案，明确密码算法选择、密钥管理机制、密码产品部署等内容；
• 备案提交：待方案测评通过后，协助客户将备案材料梳理提交至北京市密码管理局进行备案，收取回执。

3. 构建密码管理体系

制度框架设计

核心制度清单：

• 基础性制度：《商用密码管理总则》（明确组织架构、职责分工、总体要求）；
• 专项制度：
  • 《密码产品管理制度》（采购、入库、运维、报废流程）；
  • 《密钥管理制度》（生成、分发、存储、更新、销毁操作规范）；
  • 《密码应用操作规范》（按场景制定，如"用户登录密码操作指引""数据加密流程"）；
  • 《应急管理制度》（密钥泄露、密码设备故障的应急响应流程）；
  • 《审计管理制度》（日志采集、分析、留存要求）。

制度衔接要求：

• 确保与客户现有IT管理制度（如网络安全管理、数据安全管理）兼容，避免条款冲突；
• 明确与密码应用方案的对应关系（如制度中"密钥每90天更新"需与方案中KMS配置一致）。