隨著信息化的發(fā)展，網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、信息篡改等事件頻發(fā)，給國家安全、社會穩(wěn)定、公民權(quán)益造成了嚴(yán)重的威脅。為了有效地防范和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，提高網(wǎng)絡(luò)安全保障能力，我國制定了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），并于2017年6月1日正式實施�！毒W(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運營者的安全保護義務(wù)，要求網(wǎng)絡(luò)運營者按照國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)采取技術(shù)措施和其他必要措施，防止網(wǎng)絡(luò)受到干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

為了落實《網(wǎng)絡(luò)安全法》的要求，我國繼續(xù)實施《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》），并于2019年發(fā)布了修訂版�！痘�本要求》是我國信息系統(tǒng)安全等級保護制度（以下簡稱等級保護制度）的核心標(biāo)準(zhǔn)，是對信息系統(tǒng)進行安全等級劃分和安全保護實施的依據(jù)。等級保護制度是我國針對信息系統(tǒng)面臨的各種威脅和風(fēng)險，建立的一套完整的安全管理體系，旨在通過對信息系統(tǒng)進行分級分類、確定保護目標(biāo)、實施保護措施、進行測評檢查、監(jiān)督管理等一系列活動，確保信息系統(tǒng)的安全運行。

根據(jù)《基本要求》，信息系統(tǒng)根據(jù)其涉及國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益等因素，分為一級至五級五個安全保護等級，其中一級為最低，五級為最高。不同等級的信息系統(tǒng)應(yīng)當(dāng)采取相應(yīng)等級的技術(shù)措施和管理措施，滿足相應(yīng)等級的安全保護要求。

本文將重點介紹二級信息系統(tǒng)的等級保護測評（以下簡稱二級測評）的意義和作用，以及二級測評的流程和要求。

二級測評的意義和作用

二級測評是指對二級信息系統(tǒng)進行的等級保護測評。二級信息系統(tǒng)是指其損毀、數(shù)據(jù)泄露或者功能失效會對國家安全、社會秩序、公共利益以及公民、法人和其他組織造成一般性影響的信息系統(tǒng)。例如，一些涉及個人隱私或者商業(yè)秘密的網(wǎng)站、應(yīng)用程序、數(shù)據(jù)庫等，就屬于二級信息系統(tǒng)。

二級測評的意義和作用主要有以下幾點：

二級測評是《網(wǎng)絡(luò)安全法》的法律要求�！毒W(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家對涉及國家安全、社會公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全實施等級保護制度。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)按照國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，定期組織對關(guān)鍵信息基礎(chǔ)設(shè)施的安全狀況進行檢測，并將檢測結(jié)果報告有關(guān)主管部門。根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》，關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護等級不得低于三級，且應(yīng)當(dāng)至少每兩年進行一次等級測評，并將測評結(jié)果報告相關(guān)主管部門和網(wǎng)信部門。因此，對于涉及國家安全、社會公共利益的二級信息系統(tǒng)，進行二級測評是符合法律規(guī)定的義務(wù)，也是提高法律意識和社會責(zé)任感的體現(xiàn)。

二級測評是提升信息系統(tǒng)安全水平的有效手段。二級測評是在符合國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的前提下，由具有相應(yīng)資質(zhì)的測評機構(gòu)，采用專業(yè)的方法和工具，對信息系統(tǒng)的安全狀況進行全面、系統(tǒng)、客觀、獨立的檢測和評價，以確定信息系統(tǒng)是否滿足二級安全保護要求，是否存在安全漏洞或者風(fēng)險，是否需要采取改進措施。通過二級測評，可以及時發(fā)現(xiàn)和修復(fù)信息系統(tǒng)的安全缺陷，增強信息系統(tǒng)的安全防護能力，降低網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、信息篡改等安全事件的發(fā)生概率和影響程度。

二級測評是提高信息系統(tǒng)信譽度和市場競爭力的重要途徑。二級測評是對信息系統(tǒng)安全水平的權(quán)威認(rèn)證，是信息系統(tǒng)運營者和用戶之間建立信任關(guān)系的橋梁。通過二級測評，可以向社會公眾、合作伙伴、監(jiān)管機構(gòu)等展示信息系統(tǒng)運營者的安全責(zé)任和水平，增加信息系統(tǒng)的可信度和吸引力，提升信息系統(tǒng)的品牌形象和市場份額。特別是對于涉及個人隱私或者商業(yè)秘密的二級信息系統(tǒng)，通過二級測評，可以更好地保護用戶的合法權(quán)益，增強用戶的安全感和滿意度，促進用戶的忠誠度和活躍度。

綜上所述，二級測評對于二級信息系統(tǒng)來說，是一項必要而有益的工作，既有利于遵守法律法規(guī)，又有利于提高安全能力，還有利于增加市場優(yōu)勢。因此，二級信息系統(tǒng)運營者應(yīng)當(dāng)積極主動地開展二級測評工作，以促進信息系統(tǒng)的健康發(fā)展。

二級測評的流程和要求

根據(jù)《等級保護測評技術(shù)規(guī)范》（以下簡稱《技術(shù)規(guī)范》），二級測評的流程主要包括以下幾個步驟：

確定測評范圍。這一步驟是指明確需要進行二級測評的信息系統(tǒng)的邊界和組成，包括硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)、人員等要素。確定測評范圍的方法有多種，例如按照功能劃分、按照地域劃分、按照組織劃分等。確定測評范圍

確定測評范圍。這一步驟是指明確需要進行二級測評的信息系統(tǒng)的邊界和組成，包括硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)、人員等要素。確定測評范圍的方法有多種，例如按照功能劃分、按照地域劃分、按照組織劃分等。確定測評范圍的目的是為了確保測評的全面性和準(zhǔn)確性，避免遺漏或重復(fù)測評。

進行測評前準(zhǔn)備。這一步驟是指在正式開始測評之前，進行必要的準(zhǔn)備工作，包括與信息系統(tǒng)運營者溝通協(xié)調(diào)，簽訂測評合同，制定測評計劃，收集相關(guān)資料，搭建測評環(huán)境等。進行測評前準(zhǔn)備的目的是為了保證測評的順利進行，明確測評的目標(biāo)、范圍、方法、標(biāo)準(zhǔn)、時間、資源等要素。

執(zhí)行測評活動。這一步驟是指按照《技術(shù)規(guī)范》和測評計劃，對信息系統(tǒng)的安全管理和技術(shù)實施進行檢查和測試，包括文件審查、現(xiàn)場核查、滲透測試、漏洞掃描等。執(zhí)行測評活動的目的是為了檢驗信息系統(tǒng)是否符合二級安全保護要求，是否存在安全漏洞或者風(fēng)險，是否需要采取改進措施。

形成測評結(jié)果。這一步驟是指根據(jù)執(zhí)行測評活動的過程和數(shù)據(jù)，對信息系統(tǒng)的安全狀況進行分析和評價，形成測評報告和證書。形成測評結(jié)果的目的是為了客觀地反映信息系統(tǒng)的安全水平，提出改進建議和意見，為信息系統(tǒng)運營者提供參考依據(jù)。

提交測評結(jié)果。這一步驟是指將測評報告和證書提交給信息系統(tǒng)運營者，并根據(jù)需要將相關(guān)內(nèi)容報告給有關(guān)主管部門和網(wǎng)信部門。提交測評結(jié)果的目的是為了完成二級測評工作，履行法律義務(wù)，促進信息系統(tǒng)安全管理。

根據(jù)《技術(shù)規(guī)范》，二級測評的要求主要包括以下幾個方面：

安全管理要求。這一方面是指對信息系統(tǒng)運營者在組織管理、制度建設(shè)、人員管理、資產(chǎn)管理、風(fēng)險管理、應(yīng)急管理等方面實施的安全管理措施進行審查和核查，以確定是否符合二級安全保護要求。例如，是否建立了完善的網(wǎng)絡(luò)安全組織架構(gòu)和責(zé)任分配，是否制定了合理的網(wǎng)絡(luò)安全政策和規(guī)程，是否實施了有效的網(wǎng)絡(luò)安全培訓(xùn)和考核，是否建立了清晰的資產(chǎn)分類和標(biāo)識，是否開展了定期的風(fēng)險評估和控制，是否制定了應(yīng)對網(wǎng)絡(luò)安全事件的預(yù)案和流程等。

技術(shù)實施要求。這一方面是指對信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等方面實施的技術(shù)措施進行測試和掃描，以確定是否符合二級安全保護要求。例如，是否采取了防火墻、入侵檢測、加密傳輸?shù)染W(wǎng)絡(luò)安全措施，是否采取了防病毒、防木馬、系統(tǒng)更新等主機安全措施，是否采取了身份認(rèn)證、訪問控制、日志審計等應(yīng)用安全措施，是否采取了備份恢復(fù)、加密存儲、數(shù)據(jù)銷毀等數(shù)據(jù)安全措施等。

測評質(zhì)量要求。這一方面是指對測評機構(gòu)和測評人員在執(zhí)行測評活動過程中遵守的質(zhì)量管理要求，以保證測評的專業(yè)性和規(guī)范性。例如，是否具有相應(yīng)的資質(zhì)和能力，是否遵循測評的原則和方法，是否采用合適的工具和技術(shù)，是否保持測評的獨立性和客觀性，是否保護測評的機密性和完整性等。

等級保護測評就選天下數(shù)據(jù)，專業(yè)安全放心的等級保護評級機構(gòu)，等級保護測評師一對一服務(wù)。詳詢客服電話40-0-6-3 -8-88-0-8 官網(wǎng)：http://m.51huadong.com/2022/db.asp

本文鏈接：http://m.51huadong.com/cloundnews/11009381.html