等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判过程。
而网络安全等级保护测评标准,能够指导企业和测评机构按要求开展网络安全等级保护测评工作,能帮助企业降低信息系统风险,提高信息系统的安全防护能力。
就等级保护测评标准/依据而言,包括:
1.《网络安全法》
2.《信息系统安全等级保护测评要求》
3.《信息系统安全等级保护测评过程指南》
4.《信息系统安全等级保护实施指南》
5.《信息系统等级保护安全设计技术要求》
6.《信息系统安全等级保护定级指南》
7.《信息系统安全等级保护基本要求》
8.《计算机信息系统安全保护等级划分准则》
其中,企业可重点关注 《信息系统安全等级保护测评要求》,因为该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时也是参考使用这份标准。
企业在备案通过之后,就需要按照要求进行测评工作。青莲网络为各企业提供信息安全等级保护测评标准解读:
一、测评流程
总的来说,测评机构进行的等级测评分为三个阶段:方案编制阶段、现场测评阶段、分析与报告编制阶段。而对企业来说,其进行测评的流程应该是这样的:
①企业先到公安机关成功备案,并且申请做等级保护测评;
②企业找到合适的测评机构,对企业信息系统进行测评;
③企业根据测评机构在测评结束后给出的整改清单,把信息系统中不符合等保要求的项目变为符合,提高信息系统安全防护能力;
④整改结束后,测评机构重新对企业进行一次测评,如果测评通过,企业把测评报告和整改报告提交公安机关,就可以等待拿证;
⑤公安机关每年对企业等级保护落实情况进行监督检查,企业根据公安机关检查结果,查缺补漏。
二、测评内容
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评的测评单元又分为安全技术测评和安全管理测评两大类。
①安全技术测评:包括物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评。
②安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
三、测评通过标准
等保2.0时代,测评结论改为“优、良、中、差”。和等保1.0相比,等保2.0时代的要求更为严格,等级保护及格线已经由原先的60分提高到了70分。
其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。简单点来说,“差”是指系统中存在高危风险或得分低于70分,相当于等保1.0时代中的不符合。
| 测评结论 | 判别依据 |
| 优 | 被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险(即无高风险中风险项),且系统综合得分90分以上(含90分)。 |
| 良 | 被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险(即无高风险项),且系统综合得分80分以上(含80分)。 |
| 中 | 被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险(即无高风险项),且系统综合得分70分以上(含70分)。 |
| 差 | 被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。 |
