摘要：等級(jí)保護(hù)測(cè)評(píng)是指對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行評(píng)定和驗(yàn)證的過(guò)程，是國(guó)家對(duì)信息系統(tǒng)安全管理的重要手段。本文介紹了等級(jí)保護(hù)測(cè)評(píng)的目的、原則、對(duì)象、內(nèi)容和方法，以及等級(jí)保護(hù)測(cè)評(píng)的流程和要求，為信息系統(tǒng)的建設(shè)者、使用者和管理者提供了參考。

隨著信息化的發(fā)展，信息系統(tǒng)在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展和公民權(quán)益方面發(fā)揮著越來(lái)越重要的作用。同時(shí)，信息系統(tǒng)也面臨著各種安全威脅和風(fēng)險(xiǎn)，如黑客攻擊、病毒感染、數(shù)據(jù)泄露、惡意篡改、人為破壞等。為了有效地防范和應(yīng)對(duì)這些威脅和風(fēng)險(xiǎn)，國(guó)家制定了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）和《信息安全技術(shù)基本要求》（以下簡(jiǎn)稱《基本要求》），并建立了等級(jí)保護(hù)制度，要求對(duì)不同安全等級(jí)的信息系統(tǒng)進(jìn)行相應(yīng)的安全管理措施。

那么，什么是等級(jí)保護(hù)制度呢？

根據(jù)《網(wǎng)絡(luò)安全法》第二十一條的規(guī)定，等級(jí)保護(hù)制度是指“根據(jù)信息系統(tǒng)承載的數(shù)據(jù)重要程度和可能遭受的危害程度，按照規(guī)定分級(jí)分類，實(shí)施不同等級(jí)的技術(shù)措施和管理措施，確保信息系統(tǒng)安全可控”的制度。簡(jiǎn)單地說(shuō)，就是根據(jù)信息系統(tǒng)的重要性和風(fēng)險(xiǎn)性，將其分為一至五級(jí)，從低到高遞增，并采取相應(yīng)的安全措施來(lái)保障其安全運(yùn)行。

而什么是等級(jí)保護(hù)測(cè)評(píng)呢？根據(jù)《基本要求》第三章第十八條的規(guī)定，等級(jí)保護(hù)測(cè)評(píng)是指“對(duì)信息系統(tǒng)所屬安全等級(jí)進(jìn)行評(píng)定，并對(duì)其是否滿足相應(yīng)安全等級(jí)所規(guī)定的技術(shù)要求進(jìn)行驗(yàn)證”的過(guò)程。簡(jiǎn)單地說(shuō)，就是通過(guò)專業(yè)的方法和手段，來(lái)判斷信息系統(tǒng)屬于哪個(gè)安全等級(jí)，并檢查其是否達(dá)到了該安全等級(jí)所要求的安全標(biāo)準(zhǔn)。

那么，如何進(jìn)行等級(jí)保護(hù)測(cè)評(píng)呢？本文將從以下幾個(gè)方面來(lái)介紹：

一、等級(jí)保護(hù)測(cè)評(píng)的目的

等級(jí)保護(hù)測(cè)評(píng)的目的是為了實(shí)現(xiàn)以下幾個(gè)方面的效果：

• 提高信息系統(tǒng)的安全水平。通過(guò)等級(jí)保護(hù)測(cè)評(píng)，可以發(fā)現(xiàn)信息系統(tǒng)存在的安全問(wèn)題和漏洞，提出改進(jìn)和完善的建議，促進(jìn)信息系統(tǒng)的安全防護(hù)能力和安全管理水平的提升。

• 規(guī)范信息系統(tǒng)的安全管理。通過(guò)等級(jí)保護(hù)測(cè)評(píng)，可以明確信息系統(tǒng)的安全責(zé)任主體和分工，建立和完善信息系統(tǒng)的安全制度和規(guī)范，形成有效的安全管理機(jī)制和流程。

• 保障信息系統(tǒng)的安全運(yùn)行。通過(guò)等級(jí)保護(hù)測(cè)評(píng)，可以確保信息系統(tǒng)符合國(guó)家和行業(yè)的安全標(biāo)準(zhǔn)和要求，避免或減少因信息系統(tǒng)安全事故造成的損失和影響，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展和公民權(quán)益。

二、等級(jí)保護(hù)測(cè)評(píng)的原則

等級(jí)保護(hù)測(cè)評(píng)應(yīng)遵循以下幾個(gè)原則：

• 科學(xué)性。等級(jí)保護(hù)測(cè)評(píng)應(yīng)基于科學(xué)的理論和方法，采用合理的技術(shù)手段和工具，客觀地分析和評(píng)價(jià)信息系統(tǒng)的安全狀況，避免主觀臆斷和片面偏見。

• 合理性。等級(jí)保護(hù)測(cè)評(píng)應(yīng)根據(jù)信息系統(tǒng)的實(shí)際情況和特點(diǎn)，合理地確定其安全等級(jí)和測(cè)評(píng)范圍，不偏高也不偏低，不過(guò)度也不缺失，符合實(shí)際需求和能力。

• 有效性。等級(jí)保護(hù)測(cè)評(píng)應(yīng)能夠有效地檢測(cè)出信息系統(tǒng)存在的安全問(wèn)題和漏洞，提出切實(shí)可行的改進(jìn)措施和建議，促進(jìn)信息系統(tǒng)的安全水平和管理水平的提高。

• 可靠性。等級(jí)保護(hù)測(cè)評(píng)應(yīng)能夠確保測(cè)評(píng)結(jié)果的真實(shí)性、準(zhǔn)確性和一致性，避免因人為因素或技術(shù)因素造成的誤差或差異，提高測(cè)評(píng)結(jié)果的信度和效度。

三、等級(jí)保護(hù)測(cè)評(píng)的對(duì)象

等級(jí)保護(hù)測(cè)評(píng)的對(duì)象是指需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)的信息系統(tǒng)。根據(jù)《網(wǎng)絡(luò)安全法》第二十一條第二款的規(guī)定，“國(guó)家重要信息基礎(chǔ)設(shè)施、國(guó)家機(jī)關(guān)及其工作人員使用或者管理、為履行法定職責(zé)而獲取或者處理公民個(gè)人信息、重要數(shù)據(jù)以及其他需要進(jìn)行等級(jí)保護(hù)管理的網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序”都屬于等級(jí)保護(hù)測(cè)評(píng)的對(duì)象。

具體來(lái)說(shuō)，等級(jí)保護(hù)測(cè)評(píng)的對(duì)象包括以下幾類：

• 國(guó)家重要信息基礎(chǔ)設(shè)施。指涉及國(guó)家安全、國(guó)防建設(shè)、政府管理、公共服務(wù)、社會(huì)民生等領(lǐng)域，如果遭受破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、公共利益、公民合法權(quán)益或者社會(huì)秩序的網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序。如電力、交通、水利、金融、公共衛(wèi)生、電子政務(wù)、社會(huì)保障、環(huán)境保護(hù)、新聞媒體等領(lǐng)域。

• 國(guó)家機(jī)關(guān)及其工作人員使用或者管理。指由國(guó)家機(jī)關(guān)及其工作人員使用或者管理，承載了國(guó)家秘密或者涉及國(guó)家

• 國(guó)家機(jī)關(guān)及其工作人員使用或者管理。指由國(guó)家機(jī)關(guān)及其工作人員使用或者管理，承載了國(guó)家秘密或者涉及國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展、公民權(quán)益等方面的信息系統(tǒng)。如國(guó)防、外交、公安、檢察、法院、監(jiān)察、稅務(wù)、海關(guān)、民政等部門。

• 為履行法定職責(zé)而獲取或者處理公民個(gè)人信息、重要數(shù)據(jù)。指由各類組織或者個(gè)人為履行法定職責(zé)而獲取或者處理，涉及公民個(gè)人信息或者重要數(shù)據(jù)的信息系統(tǒng)。如醫(yī)療衛(wèi)生、教育科研、社會(huì)保障、金融服務(wù)、電子商務(wù)、通信服務(wù)等領(lǐng)域。

• 其他需要進(jìn)行等級(jí)保護(hù)管理的網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序。指由國(guó)務(wù)院網(wǎng)信部門會(huì)同有關(guān)部門確定，需要進(jìn)行等級(jí)保護(hù)管理的其他網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序。如互聯(lián)網(wǎng)服務(wù)提供商、云計(jì)算服務(wù)提供商、大數(shù)據(jù)服務(wù)提供商等。

四、等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容

等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容是指需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)的信息系統(tǒng)的安全要素和安全屬性。根據(jù)《基本要求》第三章第十九條的規(guī)定，等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容包括以下幾個(gè)方面：

• 安全等級(jí)評(píng)定。指根據(jù)信息系統(tǒng)承載的數(shù)據(jù)重要程度和可能遭受的危害程度，按照《基本要求》第二章第八條至第十二條的規(guī)定，確定信息系統(tǒng)所屬的安全等級(jí)，從一至五級(jí)遞增。

• 安全技術(shù)驗(yàn)證。指根據(jù)信息系統(tǒng)所屬的安全等級(jí)，按照《基本要求》第四章至第八章的規(guī)定，對(duì)信息系統(tǒng)的安全技術(shù)要素進(jìn)行驗(yàn)證，包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全。

• 安全管理驗(yàn)證。指根據(jù)信息系統(tǒng)所屬的安全等級(jí)，按照《基本要求》第九章至第十三章的規(guī)定，對(duì)信息系統(tǒng)的安全管理要素進(jìn)行驗(yàn)證，包括組織管理、人員管理、運(yùn)行管理、維護(hù)管理和應(yīng)急管理。

五、等級(jí)保護(hù)測(cè)評(píng)的方法

等級(jí)保護(hù)測(cè)評(píng)的方法是指進(jìn)行等級(jí)保護(hù)測(cè)評(píng)所采用的技術(shù)手段和工具。根據(jù)《基本要求》第三章第二十條至第二十二條的規(guī)定，等級(jí)保護(hù)測(cè)評(píng)的方法包括以下幾種：

• 文件審查。指通過(guò)查閱信息系統(tǒng)相關(guān)的文件資料，如設(shè)計(jì)文檔、配置文檔、操作手冊(cè)、管理制度等，來(lái)了解和分析信息系統(tǒng)的結(jié)構(gòu)和功能，以及其安全技術(shù)和管理措施。

• 現(xiàn)場(chǎng)檢查。指通過(guò)實(shí)地觀察和檢驗(yàn)信息系統(tǒng)相關(guān)的設(shè)施、設(shè)備、環(huán)境等，來(lái)驗(yàn)證信息系統(tǒng)的物理安全狀況，以及其安全技術(shù)和管理措施的實(shí)施情況。

• 技術(shù)測(cè)試。指通過(guò)使用專業(yè)的軟件和硬件工具，對(duì)信息系統(tǒng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等進(jìn)行掃描、檢測(cè)、分析等操作，來(lái)發(fā)現(xiàn)和評(píng)估信息系統(tǒng)存在的安全問(wèn)題和漏洞。

• 人員訪談。指通過(guò)與信息系統(tǒng)相關(guān)的人員進(jìn)行溝通和交流，如建設(shè)者、使用者、管理者、維護(hù)者等，來(lái)了解和評(píng)價(jià)信息系統(tǒng)的安全意識(shí)和能力，以及其安全技術(shù)和管理措施的執(zhí)行情況。

六、等級(jí)保護(hù)測(cè)評(píng)的流程

等級(jí)保護(hù)測(cè)評(píng)的流程是指進(jìn)行等級(jí)保護(hù)測(cè)評(píng)所遵循的步驟和順序。根據(jù)《基本要求》第三章第二十三條至第二十八條的規(guī)定，等級(jí)保護(hù)測(cè)評(píng)的流程包括以下幾個(gè)階段：

• 準(zhǔn)備階段。指在進(jìn)行等級(jí)保護(hù)測(cè)評(píng)之前，需要做好以下幾項(xiàng)工作：

– 確定測(cè)評(píng)主體。指根據(jù)信息系統(tǒng)所屬的安全等級(jí)，選擇合格的測(cè)評(píng)機(jī)構(gòu)或者自行組織測(cè)評(píng)團(tuán)隊(duì)，負(fù)責(zé)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。

– 確定測(cè)評(píng)對(duì)象。指根據(jù)信息系統(tǒng)的實(shí)際情況和特點(diǎn)，明確需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)的信息系統(tǒng)的名稱、范圍、邊界、組成等。

– 制定測(cè)評(píng)方案。指根據(jù)信息系統(tǒng)所屬的安全等級(jí)和測(cè)評(píng)內(nèi)容，制定詳細(xì)的測(cè)評(píng)計(jì)劃、方法、工具、標(biāo)準(zhǔn)、時(shí)間、人員等。

– 簽訂測(cè)評(píng)合同。指在確定了測(cè)評(píng)主體、對(duì)象和方案后，雙方簽訂正式的測(cè)評(píng)合同，明確各自的權(quán)利和義務(wù)，以及相關(guān)的法律責(zé)任。

• 執(zhí)行階段。指按照測(cè)評(píng)方案，實(shí)施以下幾項(xiàng)工作：

– 安全等級(jí)評(píng)定。指根據(jù)《基本要求》第二章第八條至第十二條的規(guī)定，對(duì)信息系統(tǒng)承載的數(shù)據(jù)重要程度和可能遭受的危害程度進(jìn)行分析和判斷，確定信息系統(tǒng)所屬的安全等級(jí)。

– 安全技術(shù)驗(yàn)證。指根據(jù)《基本要求》第四章至第八章的規(guī)定，對(duì)信息系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全進(jìn)行文件審查、現(xiàn)場(chǎng)檢查和技術(shù)測(cè)試，驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全等級(jí)所規(guī)定的技術(shù)要求。

– 安全管理驗(yàn)證。指根據(jù)《基本要求》第九章至第十三章的規(guī)定，對(duì)信息系統(tǒng)的組織管理、人員管理、運(yùn)行管理、維護(hù)管理和應(yīng)急管理進(jìn)行文件審查、現(xiàn)場(chǎng)檢查和人員訪談，驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全等級(jí)所規(guī)定的管理要求。

• 結(jié)束階段。指在完成了上述工作后，進(jìn)行以下幾項(xiàng)工作：

– 出具測(cè)評(píng)報(bào)告。指根據(jù)測(cè)評(píng)結(jié)果，編寫詳細(xì)的測(cè)評(píng)報(bào)告，包括以下內(nèi)容：

• 測(cè)評(píng)概況：介紹測(cè)評(píng)主體、對(duì)象、方案等基本信息。

• 測(cè)評(píng)結(jié)果：匯總并分析測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題和漏洞，并給出相應(yīng)的風(fēng)險(xiǎn) .

現(xiàn)在，為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求，天*下*數(shù)*據(jù)推出了等級(jí)保護(hù)測(cè)評(píng)解決方案，能為你的等保測(cè)評(píng)提供關(guān)鍵服務(wù)。http://m.51huadong.com/

本文鏈接：http://m.51huadong.com/cloundnews/11009189.html