網絡安全等級保護測評

網絡安全等級保護測評（簡稱“等級測評”）是指測評機構依據國家網絡安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

通過進行網絡安全等級保護測評活動，能夠對信息系統安全防護體系能力進行分析與確認；發現存在的安全隱患；幫助運營使用單位認識不足，及時改進；有效提升其網絡安全防護水平；遵循國家等級保護有關規定的要求，對信息系統安全建設進行符合性測評。

網絡安全等級保護測評內容覆蓋組織的重要信息資產，分為:

• 技術層面:主要是測評和分析在網絡和主機上存在的安全技術風險，包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等五項要求；

• 管理層面:包括從安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等保障措施，以及其他運行管理規范等角度，分析業務運作和管理方面存在的安全缺陷。

網絡安全等級保護測評步驟:

• 測評準備活動

  由于信息系統安全測評受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響，因此，在測評實施前，應充分做好測評前的各項準備工作。測評實施準備工作主要包括如下內容：明確測評目標、確定測評范圍、組建測評團隊、召開測評實施工作啟動會議、系統調研、確定系統測評標準、確定測評工具、制定測評方案、測評工作協調、文檔管理和測評風險規避等 11 項準備工作。同時，信息系統安全測評涉及組織內部有關重要信息，被評估組織應慎重選擇評估單位、評估人員的資質和資格，并遵從國家或行業相關管理要求。

• 方案編制活動

  本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

• 現場測評活動

  現場測評是測評工作的重要階段。風險評估中的風險識別階段，對應現場測評，通過對組織和信息系統中資產、威脅、脆弱性等要素的識別，是進行信息系統安全風險分析的前提。現場測評活動通過與測評委托單位進行溝通和協調，為現場測評的順利開展打下良好基礎，然后依據測評方案實施現場測評工作，將測評方案和測評工具等具體落實到現場測評活動中。現場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。

  現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務。

• 分析與報告編制活動

  本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和GB/T28448—2012的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。