信息系统安全评测包括但不限于以下服务：渗透测试服务、漏洞扫描服务、移动APP应用安全测试服务、源代码安全审计服务、信息安全性测试等。按照国家标准、行业标准、技术规范或项目建设需求，验证项目建设需求中的安全要求是否实现，给出目标系统在安全防护、风险控制方面与需求或信息安全相关标准之间的差距，评估信息化项目的安全功能是否达到项目要求。

    渗透测试服务

u渗透测试的范围限制于经过以书面形式进行授权的主机，使用的手段也须经过的书面同意。承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击。

u渗透测试主要依据已经发现的安全漏洞，模拟入侵者的攻击方法对系统和网络进行非破坏性质的攻击性测试 。

u注：所有白客攻击测试将在的授权和监督下进行。

    漏洞扫描

u使用漏洞扫描工具，对应用系统、操作系统、数据库、安全设备、网络设备等进行扫描。

    移动APP应用安全测试服务

u移动APP应用安全测试是结合专业安全测试工具和安全专家经验对APP应用、后台服务以及业务接口进行非破坏性质的模拟黑客攻击，发现移动应用客户端和服务端中存在的技术层面、业务层面的安全问题，评估其存在的安全风险，并给出专业修复建议，指导开发人员进行问题修复，保障业务的安全稳定。

    源代码安全审计服务

u挖掘代码的安全缺陷以及规范性缺陷；

u排除应用系统的安全威胁与隐患；

u代码审计是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的人员，对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。目的在于充分的挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能面临的威胁与安全隐患。

    政策依据:

u《中华人民共和国网络安全法》

u《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008

u《信息技术安全技术信息安全管理体系要求》ISO/IEC27001：2013