摘要：等級保護測評是指對信息系統(tǒng)的安全等級進行評定和驗證的過程，是國家對信息系統(tǒng)安全管理的重要手段。本文介紹了等級保護測評的目的、原則、對象、內(nèi)容和方法，以及等級保護測評的流程和要求，為信息系統(tǒng)的建設(shè)者、使用者和管理者提供了參考。

隨著信息化的發(fā)展，信息系統(tǒng)在國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展和公民權(quán)益方面發(fā)揮著越來越重要的作用。同時，信息系統(tǒng)也面臨著各種安全威脅和風險，如黑客攻擊、病毒感染、數(shù)據(jù)泄露、惡意篡改、人為破壞等。為了有效地防范和應(yīng)對這些威脅和風險，國家制定了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）和《信息安全技術(shù)基本要求》（以下簡稱《基本要求》），并建立了等級保護制度，要求對不同安全等級的信息系統(tǒng)進行相應(yīng)的安全管理措施。

那么，什么是等級保護制度呢？

根據(jù)《網(wǎng)絡(luò)安全法》第二十一條的規(guī)定，等級保護制度是指“根據(jù)信息系統(tǒng)承載的數(shù)據(jù)重要程度和可能遭受的危害程度，按照規(guī)定分級分類，實施不同等級的技術(shù)措施和管理措施，確保信息系統(tǒng)安全可控”的制度。簡單地說，就是根據(jù)信息系統(tǒng)的重要性和風險性，將其分為一至五級，從低到高遞增，并采取相應(yīng)的安全措施來保障其安全運行。

而什么是等級保護測評呢？根據(jù)《基本要求》第三章第十八條的規(guī)定，等級保護測評是指“對信息系統(tǒng)所屬安全等級進行評定，并對其是否滿足相應(yīng)安全等級所規(guī)定的技術(shù)要求進行驗證”的過程。簡單地說，就是通過專業(yè)的方法和手段，來判斷信息系統(tǒng)屬于哪個安全等級，并檢查其是否達到了該安全等級所要求的安全標準。

那么，如何進行等級保護測評呢？本文將從以下幾個方面來介紹：

一、等級保護測評的目的

等級保護測評的目的是為了實現(xiàn)以下幾個方面的效果：

• 提高信息系統(tǒng)的安全水平。通過等級保護測評，可以發(fā)現(xiàn)信息系統(tǒng)存在的安全問題和漏洞，提出改進和完善的建議，促進信息系統(tǒng)的安全防護能力和安全管理水平的提升。

• 規(guī)范信息系統(tǒng)的安全管理。通過等級保護測評，可以明確信息系統(tǒng)的安全責任主體和分工，建立和完善信息系統(tǒng)的安全制度和規(guī)范，形成有效的安全管理機制和流程。

• 保障信息系統(tǒng)的安全運行。通過等級保護測評，可以確保信息系統(tǒng)符合國家和行業(yè)的安全標準和要求，避免或減少因信息系統(tǒng)安全事故造成的損失和影響，維護國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展和公民權(quán)益。

二、等級保護測評的原則

等級保護測評應(yīng)遵循以下幾個原則：

• 科學(xué)性。等級保護測評應(yīng)基于科學(xué)的理論和方法，采用合理的技術(shù)手段和工具，客觀地分析和評價信息系統(tǒng)的安全狀況，避免主觀臆斷和片面偏見。

• 合理性。等級保護測評應(yīng)根據(jù)信息系統(tǒng)的實際情況和特點，合理地確定其安全等級和測評范圍，不偏高也不偏低，不過度也不缺失，符合實際需求和能力。

• 有效性。等級保護測評應(yīng)能夠有效地檢測出信息系統(tǒng)存在的安全問題和漏洞，提出切實可行的改進措施和建議，促進信息系統(tǒng)的安全水平和管理水平的提高。

• 可靠性。等級保護測評應(yīng)能夠確保測評結(jié)果的真實性、準確性和一致性，避免因人為因素或技術(shù)因素造成的誤差或差異，提高測評結(jié)果的信度和效度。

三、等級保護測評的對象

等級保護測評的對象是指需要進行等級保護測評的信息系統(tǒng)。根據(jù)《網(wǎng)絡(luò)安全法》第二十一條第二款的規(guī)定，“國家重要信息基礎(chǔ)設(shè)施、國家機關(guān)及其工作人員使用或者管理、為履行法定職責而獲取或者處理公民個人信息、重要數(shù)據(jù)以及其他需要進行等級保護管理的網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序”都屬于等級保護測評的對象。

具體來說，等級保護測評的對象包括以下幾類：

• 國家重要信息基礎(chǔ)設(shè)施。指涉及國家安全、國防建設(shè)、政府管理、公共服務(wù)、社會民生等領(lǐng)域，如果遭受破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、公共利益、公民合法權(quán)益或者社會秩序的網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序。如電力、交通、水利、金融、公共衛(wèi)生、電子政務(wù)、社會保障、環(huán)境保護、新聞媒體等領(lǐng)域。

• 國家機關(guān)及其工作人員使用或者管理。指由國家機關(guān)及其工作人員使用或者管理，承載了國家秘密或者涉及國家

• 國家機關(guān)及其工作人員使用或者管理。指由國家機關(guān)及其工作人員使用或者管理，承載了國家秘密或者涉及國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展、公民權(quán)益等方面的信息系統(tǒng)。如國防、外交、公安、檢察、法院、監(jiān)察、稅務(wù)、海關(guān)、民政等部門。

• 為履行法定職責而獲取或者處理公民個人信息、重要數(shù)據(jù)。指由各類組織或者個人為履行法定職責而獲取或者處理，涉及公民個人信息或者重要數(shù)據(jù)的信息系統(tǒng)。如醫(yī)療衛(wèi)生、教育科研、社會保障、金融服務(wù)、電子商務(wù)、通信服務(wù)等領(lǐng)域。

• 其他需要進行等級保護管理的網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序。指由國務(wù)院網(wǎng)信部門會同有關(guān)部門確定，需要進行等級保護管理的其他網(wǎng)絡(luò)及其相關(guān)設(shè)施、數(shù)據(jù)、應(yīng)用程序。如互聯(lián)網(wǎng)服務(wù)提供商、云計算服務(wù)提供商、大數(shù)據(jù)服務(wù)提供商等。

四、等級保護測評的內(nèi)容

等級保護測評的內(nèi)容是指需要進行等級保護測評的信息系統(tǒng)的安全要素和安全屬性。根據(jù)《基本要求》第三章第十九條的規(guī)定，等級保護測評的內(nèi)容包括以下幾個方面：

• 安全等級評定。指根據(jù)信息系統(tǒng)承載的數(shù)據(jù)重要程度和可能遭受的危害程度，按照《基本要求》第二章第八條至第十二條的規(guī)定，確定信息系統(tǒng)所屬的安全等級，從一至五級遞增。

• 安全技術(shù)驗證。指根據(jù)信息系統(tǒng)所屬的安全等級，按照《基本要求》第四章至第八章的規(guī)定，對信息系統(tǒng)的安全技術(shù)要素進行驗證，包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全。

• 安全管理驗證。指根據(jù)信息系統(tǒng)所屬的安全等級，按照《基本要求》第九章至第十三章的規(guī)定，對信息系統(tǒng)的安全管理要素進行驗證，包括組織管理、人員管理、運行管理、維護管理和應(yīng)急管理。

五、等級保護測評的方法

等級保護測評的方法是指進行等級保護測評所采用的技術(shù)手段和工具。根據(jù)《基本要求》第三章第二十條至第二十二條的規(guī)定，等級保護測評的方法包括以下幾種：

• 文件審查。指通過查閱信息系統(tǒng)相關(guān)的文件資料，如設(shè)計文檔、配置文檔、操作手冊、管理制度等，來了解和分析信息系統(tǒng)的結(jié)構(gòu)和功能，以及其安全技術(shù)和管理措施。

• 現(xiàn)場檢查。指通過實地觀察和檢驗信息系統(tǒng)相關(guān)的設(shè)施、設(shè)備、環(huán)境等，來驗證信息系統(tǒng)的物理安全狀況，以及其安全技術(shù)和管理措施的實施情況。

• 技術(shù)測試。指通過使用專業(yè)的軟件和硬件工具，對信息系統(tǒng)的網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等進行掃描、檢測、分析等操作，來發(fā)現(xiàn)和評估信息系統(tǒng)存在的安全問題和漏洞。

• 人員訪談。指通過與信息系統(tǒng)相關(guān)的人員進行溝通和交流，如建設(shè)者、使用者、管理者、維護者等，來了解和評價信息系統(tǒng)的安全意識和能力，以及其安全技術(shù)和管理措施的執(zhí)行情況。

六、等級保護測評的流程

等級保護測評的流程是指進行等級保護測評所遵循的步驟和順序。根據(jù)《基本要求》第三章第二十三條至第二十八條的規(guī)定，等級保護測評的流程包括以下幾個階段：

• 準備階段。指在進行等級保護測評之前，需要做好以下幾項工作：

– 確定測評主體。指根據(jù)信息系統(tǒng)所屬的安全等級，選擇合格的測評機構(gòu)或者自行組織測評團隊，負責進行等級保護測評。

– 確定測評對象。指根據(jù)信息系統(tǒng)的實際情況和特點，明確需要進行等級保護測評的信息系統(tǒng)的名稱、范圍、邊界、組成等。

– 制定測評方案。指根據(jù)信息系統(tǒng)所屬的安全等級和測評內(nèi)容，制定詳細的測評計劃、方法、工具、標準、時間、人員等。

– 簽訂測評合同。指在確定了測評主體、對象和方案后，雙方簽訂正式的測評合同，明確各自的權(quán)利和義務(wù)，以及相關(guān)的法律責任。

• 執(zhí)行階段。指按照測評方案，實施以下幾項工作：

– 安全等級評定。指根據(jù)《基本要求》第二章第八條至第十二條的規(guī)定，對信息系統(tǒng)承載的數(shù)據(jù)重要程度和可能遭受的危害程度進行分析和判斷，確定信息系統(tǒng)所屬的安全等級。

– 安全技術(shù)驗證。指根據(jù)《基本要求》第四章至第八章的規(guī)定，對信息系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全進行文件審查、現(xiàn)場檢查和技術(shù)測試，驗證信息系統(tǒng)是否滿足相應(yīng)安全等級所規(guī)定的技術(shù)要求。

– 安全管理驗證。指根據(jù)《基本要求》第九章至第十三章的規(guī)定，對信息系統(tǒng)的組織管理、人員管理、運行管理、維護管理和應(yīng)急管理進行文件審查、現(xiàn)場檢查和人員訪談，驗證信息系統(tǒng)是否滿足相應(yīng)安全等級所規(guī)定的管理要求。

• 結(jié)束階段。指在完成了上述工作后，進行以下幾項工作：

– 出具測評報告。指根據(jù)測評結(jié)果，編寫詳細的測評報告，包括以下內(nèi)容：

• 測評概況：介紹測評主體、對象、方案等基本信息。

• 測評結(jié)果：匯總并分析測評過程中發(fā)現(xiàn)的問題和漏洞，并給出相應(yīng)的風險 .

現(xiàn)在，為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求，天*下*數(shù)*據(jù)推出了等級保護測評解決方案，能為你的等保測評提供關(guān)鍵服務(wù)。http://m.51huadong.com/

本文鏈接：http://m.51huadong.com/cloundnews/11009189.html