A.2　等級測評力度

A.2　等級測評力度

為了檢驗不同級別的等級保護對象是否具有相應等級的安全保護能力，是否滿足相應等級的保護要求，需要實施與其安全保護等級相適應的測評，付出相應的工作投入，達到應有的測評力度。測評的廣度和深度落實到訪談、核查和測試三種不同的測評方法上，能體現出測評實施過程中訪談、核查和測試的投入程度的不同。第一級到第四級等級保護對象的測評力度反映在訪談、核查和測試等三種基本測評方法的測評廣度和深度上，落實在不同單項測評中具體的測評實施上。

表A.1從測評對象數量和種類以及測評深度等方面詳細分析了不同測評方法的測評力度在不同級別的等級保護對象安全測評中的具體體現。

從表A.1可以看到，對不同級別的等級保護對象進行等級測評時，選擇的測評對象的種類和數量是不同的，隨著等級保護對象安全保護等級的增高，抽查的測評對象的種類和數量也隨之增加。

對不同級別的等級保護對象進行等級測評時，實際抽查測評對象的種類和數量，應當達到表A.1的要求，以滿足相應等級的測評力度要求。在確定測評對象時，需遵循以下原則：

——重要性，應抽查對被測定級對象來說重要的服務器、數據庫和網絡設備等；

——安全性，應抽查對外暴露的網絡邊界；

——共享性，應抽查共享設備和數據交換平臺/設備；

——全面性，抽查應盡量覆蓋系統各種設備類型、操作系統類型、數據庫系統類型和應用系統類型；

——符合性，選擇的設備、軟件系統等應能符合相應等級的測評強度要求。