隨著信息化的發(fā)展，網(wǎng)絡安全問題日益突出，網(wǎng)絡攻擊、數(shù)據(jù)泄露、信息篡改等事件頻發(fā)，給國家安全、社會穩(wěn)定、公民權益造成了嚴重的威脅。為了有效地防范和應對網(wǎng)絡安全風險，提高網(wǎng)絡安全保障能力，我國制定了《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》），并于2017年6月1日正式實施。《網(wǎng)絡安全法》規(guī)定了網(wǎng)絡運營者的安全保護義務，要求網(wǎng)絡運營者按照國家標準和行業(yè)標準采取技術措施和其他必要措施，防止網(wǎng)絡受到干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

為了落實《網(wǎng)絡安全法》的要求，我國繼續(xù)實施《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》），并于2019年發(fā)布了修訂版。《基本要求》是我國信息系統(tǒng)安全等級保護制度（以下簡稱等級保護制度）的核心標準，是對信息系統(tǒng)進行安全等級劃分和安全保護實施的依據(jù)。等級保護制度是我國針對信息系統(tǒng)面臨的各種威脅和風險，建立的一套完整的安全管理體系，旨在通過對信息系統(tǒng)進行分級分類、確定保護目標、實施保護措施、進行測評檢查、監(jiān)督管理等一系列活動，確保信息系統(tǒng)的安全運行。

根據(jù)《基本要求》，信息系統(tǒng)根據(jù)其涉及國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益等因素，分為一級至五級五個安全保護等級，其中一級為最低，五級為最高。不同等級的信息系統(tǒng)應當采取相應等級的技術措施和管理措施，滿足相應等級的安全保護要求。

本文將重點介紹二級信息系統(tǒng)的等級保護測評（以下簡稱二級測評）的意義和作用，以及二級測評的流程和要求。

二級測評的意義和作用

二級測評是指對二級信息系統(tǒng)進行的等級保護測評。二級信息系統(tǒng)是指其損毀、數(shù)據(jù)泄露或者功能失效會對國家安全、社會秩序、公共利益以及公民、法人和其他組織造成一般性影響的信息系統(tǒng)。例如，一些涉及個人隱私或者商業(yè)秘密的網(wǎng)站、應用程序、數(shù)據(jù)庫等，就屬于二級信息系統(tǒng)。

二級測評的意義和作用主要有以下幾點：

二級測評是《網(wǎng)絡安全法》的法律要求�！毒W(wǎng)絡安全法》第二十一條規(guī)定，國家對涉及國家安全、社會公共利益的關鍵信息基礎設施的網(wǎng)絡安全實施等級保護制度。關鍵信息基礎設施的運營者應當按照國家標準和行業(yè)標準，定期組織對關鍵信息基礎設施的安全狀況進行檢測，并將檢測結果報告有關主管部門。根據(jù)《關鍵信息基礎設施安全保護條例（征求意見稿）》，關鍵信息基礎設施的安全保護等級不得低于三級，且應當至少每兩年進行一次等級測評，并將測評結果報告相關主管部門和網(wǎng)信部門。因此，對于涉及國家安全、社會公共利益的二級信息系統(tǒng)，進行二級測評是符合法律規(guī)定的義務，也是提高法律意識和社會責任感的體現(xiàn)。

二級測評是提升信息系統(tǒng)安全水平的有效手段。二級測評是在符合國家標準和行業(yè)標準的前提下，由具有相應資質的測評機構，采用專業(yè)的方法和工具，對信息系統(tǒng)的安全狀況進行全面、系統(tǒng)、客觀、獨立的檢測和評價，以確定信息系統(tǒng)是否滿足二級安全保護要求，是否存在安全漏洞或者風險，是否需要采取改進措施。通過二級測評，可以及時發(fā)現(xiàn)和修復信息系統(tǒng)的安全缺陷，增強信息系統(tǒng)的安全防護能力，降低網(wǎng)絡攻擊、數(shù)據(jù)泄露、信息篡改等安全事件的發(fā)生概率和影響程度。

二級測評是提高信息系統(tǒng)信譽度和市場競爭力的重要途徑。二級測評是對信息系統(tǒng)安全水平的權威認證，是信息系統(tǒng)運營者和用戶之間建立信任關系的橋梁。通過二級測評，可以向社會公眾、合作伙伴、監(jiān)管機構等展示信息系統(tǒng)運營者的安全責任和水平，增加信息系統(tǒng)的可信度和吸引力，提升信息系統(tǒng)的品牌形象和市場份額。特別是對于涉及個人隱私或者商業(yè)秘密的二級信息系統(tǒng)，通過二級測評，可以更好地保護用戶的合法權益，增強用戶的安全感和滿意度，促進用戶的忠誠度和活躍度。

綜上所述，二級測評對于二級信息系統(tǒng)來說，是一項必要而有益的工作，既有利于遵守法律法規(guī)，又有利于提高安全能力，還有利于增加市場優(yōu)勢。因此，二級信息系統(tǒng)運營者應當積極主動地開展二級測評工作，以促進信息系統(tǒng)的健康發(fā)展。

二級測評的流程和要求

根據(jù)《等級保護測評技術規(guī)范》（以下簡稱《技術規(guī)范》），二級測評的流程主要包括以下幾個步驟：

確定測評范圍。這一步驟是指明確需要進行二級測評的信息系統(tǒng)的邊界和組成，包括硬件、軟件、網(wǎng)絡、數(shù)據(jù)、人員等要素。確定測評范圍的方法有多種，例如按照功能劃分、按照地域劃分、按照組織劃分等。確定測評范圍

確定測評范圍。這一步驟是指明確需要進行二級測評的信息系統(tǒng)的邊界和組成，包括硬件、軟件、網(wǎng)絡、數(shù)據(jù)、人員等要素。確定測評范圍的方法有多種，例如按照功能劃分、按照地域劃分、按照組織劃分等。確定測評范圍的目的是為了確保測評的全面性和準確性，避免遺漏或重復測評。

進行測評前準備。這一步驟是指在正式開始測評之前，進行必要的準備工作，包括與信息系統(tǒng)運營者溝通協(xié)調，簽訂測評合同，制定測評計劃，收集相關資料，搭建測評環(huán)境等。進行測評前準備的目的是為了保證測評的順利進行，明確測評的目標、范圍、方法、標準、時間、資源等要素。

執(zhí)行測評活動。這一步驟是指按照《技術規(guī)范》和測評計劃，對信息系統(tǒng)的安全管理和技術實施進行檢查和測試，包括文件審查、現(xiàn)場核查、滲透測試、漏洞掃描等。執(zhí)行測評活動的目的是為了檢驗信息系統(tǒng)是否符合二級安全保護要求，是否存在安全漏洞或者風險，是否需要采取改進措施。

形成測評結果。這一步驟是指根據(jù)執(zhí)行測評活動的過程和數(shù)據(jù)，對信息系統(tǒng)的安全狀況進行分析和評價，形成測評報告和證書。形成測評結果的目的是為了客觀地反映信息系統(tǒng)的安全水平，提出改進建議和意見，為信息系統(tǒng)運營者提供參考依據(jù)。

提交測評結果。這一步驟是指將測評報告和證書提交給信息系統(tǒng)運營者，并根據(jù)需要將相關內容報告給有關主管部門和網(wǎng)信部門。提交測評結果的目的是為了完成二級測評工作，履行法律義務，促進信息系統(tǒng)安全管理。

根據(jù)《技術規(guī)范》，二級測評的要求主要包括以下幾個方面：

安全管理要求。這一方面是指對信息系統(tǒng)運營者在組織管理、制度建設、人員管理、資產管理、風險管理、應急管理等方面實施的安全管理措施進行審查和核查，以確定是否符合二級安全保護要求。例如，是否建立了完善的網(wǎng)絡安全組織架構和責任分配，是否制定了合理的網(wǎng)絡安全政策和規(guī)程，是否實施了有效的網(wǎng)絡安全培訓和考核，是否建立了清晰的資產分類和標識，是否開展了定期的風險評估和控制，是否制定了應對網(wǎng)絡安全事件的預案和流程等。

技術實施要求。這一方面是指對信息系統(tǒng)在物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等方面實施的技術措施進行測試和掃描，以確定是否符合二級安全保護要求。例如，是否采取了防火墻、入侵檢測、加密傳輸?shù)染W(wǎng)絡安全措施，是否采取了防病毒、防木馬、系統(tǒng)更新等主機安全措施，是否采取了身份認證、訪問控制、日志審計等應用安全措施，是否采取了備份恢復、加密存儲、數(shù)據(jù)銷毀等數(shù)據(jù)安全措施等。

測評質量要求。這一方面是指對測評機構和測評人員在執(zhí)行測評活動過程中遵守的質量管理要求，以保證測評的專業(yè)性和規(guī)范性。例如，是否具有相應的資質和能力，是否遵循測評的原則和方法，是否采用合適的工具和技術，是否保持測評的獨立性和客觀性，是否保護測評的機密性和完整性等。

等級保護測評就選天下數(shù)據(jù)，專業(yè)安全放心的等級保護評級機構，等級保護測評師一對一服務。詳詢客服電話40-0-6-3 -8-88-0-8 官網(wǎng)：http://m.51huadong.com/2022/db.asp

本文鏈接：http://m.51huadong.com/cloundnews/11009381.html