第一篇：廣東省信息安全等級測評機構管理辦法

廣東省信息安全等級測評機構管理辦法

（試行）

第一條

為規范信息安全等級測評機構管理，提高信息安全保障能力和水平，保障和促進信息化建設，根據《廣東省計算機信息系統安全保護條例》和《信息安全等級保護管理辦法》等規定，制定本辦法。

第二條

本辦法所稱信息安全等級測評機構是指對信息系統的安全保護措施是否符合信息安全等級保護相關法律和標準進行評估的組織。

第三條

信息安全等級測評應當堅持實事求是、客觀公正的原則，保證測評活動的獨立性和測評結論的準確性。

第四條

第二級以上的計算機信息系統的安全測評應當選擇符合下列條件的計算機信息系統安全等級測評機構（簡稱測評機構）承擔：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外），具有相應經營范圍的營業執照，注冊資本100萬元以上；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）近3年完成的測評項目總值150萬元以上；

（四）具有計算機安全或相關專業資格證書的專業技術人員不少于20人，其中大學本科以上學歷的人員不少于15人；

（五）管理人員應當具有3年以上從事計算機信息系統安全技術領域企業管理工作經歷，技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱，從事安全測評工作不少于3年，無犯罪記錄；

（六）工作人員僅限于中國公民，法人及主要業務、技術人員無犯罪記錄；

（七）具有與所承擔項目適應的技術裝備；

（八）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構成威脅。

第五條

我省對測評機構實施備案制度。符合第四條規定的條件，承擔第二級以上的計算機信息系統測評工作的機構應當到公安機關公共信息網絡安全監察部門備案。

第六條

信息安全等級測評機構申請備案，應當向地級以上市公安機關公共信息網絡安全監察部門提交下列資料：

（一）備案申請書；

（二）營業執照復印件；

（三）管理人員和專業技術人員的身份證明、學歷證明、計算機安全培訓合格證書復印件和無犯罪證明；

（四）技術裝備情況及組織管理制度報告。第七條

地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的，報送省公安廳公共信息網絡安全監察部門審查；初審不合格的，退回申請并說明理由。

省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查，符合條件的，發給備案證書。不符合條件的，作出不予備案的決定并說明理由。

承擔省直和中央駐粵單位信息安全等級測評工作的機構，直接向省公安廳公共信息網絡安全監察部門提出申請，省公安廳公共信息網絡安全監察部門應當在30日內作出備案意見。

第八條

省公安廳公共信息網絡安全監察部門對已備案的信息安全等級測評機構進行公布。

第九條

備案證書分為正本和副本，正本和副本具有同等效力。

第十條

備案證書實行年檢制度。年檢時間為每年2月至3月，新領備案證書未滿半年的不需年檢。

第十二條

信息安全等級測評機構參加年檢，應當持下列材料向地級以上市公安機關公共信息網絡安全監察部門提出申請：

（一）備案證書年檢申請書；

（二）備案證書副本；

（三）其他材料。

第十三條

地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的，報送省公安廳公共信息網絡安全監察部門審查；初審不合格的，退回申請并說明理由。

省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查并作出年檢結論。

持國家工商行政管理總局或省工商行政管理局核發的營業執照的機構，直接向省公安廳公共信息網絡安全監察部門提出申請，省公安廳公共信息網絡安全監察部門應當在30日內作出年檢結論。

第十四條

年檢結論分為合格、取消兩種。

具備下列情形的，年審結論為合格：

（一）遵守國家有關法律法規和本省有關規定；

（二）上年度完成的測評項目總值不低于50萬元；

（三）符合備案條件。

有下列情形之一的，年檢結論為取消：

（一）違反國家有關法律法規和本省有關規定，情節嚴重；

（二）上年度完成的測評項目總值低于50萬元；

（三）情況發生變更，達不到備案條件。

年檢合格的，在備案證書副本和年檢申請書上注明，加蓋省公安廳公共信息網絡安全監察專用章。

年檢結論為取消的，備案證書作廢，信息安全等級測評機構應當自接到年檢結論之日起10日內交回備案證書。

未按時參加年檢的，年審結論視為取消。

因特殊原因未年檢的，應當書面說明理由，經批準，方可補辦相關手續。

第十五條

備案證書登記事項發生變更的，應在30日內到地級以上市公安機關公共信息網絡安全監察部門辦理變更手續。

第十六條

信息安全等級測評機構應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第十七條

公安機關公共信息網絡安全監察部門對信息安全等級測評機構進行監督、檢查和指導。第十八條

信息安全等級測評機構有下列行為之一的，由所在地公安機關公共信息網絡安全監察部門責令改正，并予以通報。對已辦理備案的，收回備案證書。觸犯有關法律、法規和規章的，依法追究法律責任。

（一）偽造、冒用信息安全等級測評機構備案證書的；

（二）轉讓、轉借信息安全等級測評機構備案證書的；

（三）出具虛假、失實的信息安全等級測評結論的；

（四）泄露測評活動中掌握的國家秘密、商業秘密和個人隱私的；

（五）違反法律、法規、規章等規定的其他行為。

第十九條

本辦法自印發之日起施行。

第二篇：《信息安全等級保護測評機構管理辦法》最新

信息安全等級保護測評機構管理辦法

第一條 為加強信息安全等級保護測評機構管理，規范等級測評行為，提高測評技術能力和服務水平，根據《信息安全等級保護管理辦法》等有關規定，制定本辦法。

第二條 等級測評工作，是指等級測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

等級測評機構，是指依據國家信息安全等級保護制度規定，具備本辦法規定的基本條件，經審核推薦，從事等級測評等信息安全服務的機構。

第三條 等級測評機構推薦管理工作遵循統籌規劃、合理布局、安全規范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。

第四條 等級測評機構應以提供等級測評服務為主，可根據信息系統運營使用單位安全保障需求，提供信息安全咨詢、應急保障、安全運維、安全監理等服務。

第五條 國家信息安全等級保護工作協調小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請，并對其推薦的等級測評機構進行監督管理。

省級信息安全等級保護工作協調（領導）小組辦公室（以下簡稱“省級等保辦”）負責受理本?。▍^、直轄市）申請單位提出的申請，并對其推薦的等級測評機構進行監督管理。

第六條 申請成為等級測評機構的單位（以下簡稱“申請單位”）應具備以下基本條件：

（一）在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位；

（二）產權關系明晰，注冊資金100萬元以上；

（三）從事信息系統安全相關工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（五）具有信息系統安全相關工作經驗的技術人員，不少于10人；

（六）具備必要的辦公環境、設備、設施，使用的技術裝備、設施應滿足測評工作需求；

（七）具有完備的安全保密管理、項目管理、質量管理、人員管理和培訓教育等規章制度；

（八）自覺接受等保辦的監督、檢查和指導，對國家安全、社會秩序、公共利益不構成威脅；

（九）不涉及信息安全產品開發、銷售或信息系統安全集成等業務；

（十）應具備的其他條件。

第七條 申請時，申請單位應向等保辦提交以下材料：

（一）《信息安全等級保護測評機構申請表》；

（二）從事信息系統安全相關工作情況；

（三）檢測評估工作所需軟硬件及其他服務保障設施配備情況；

（四）有關管理制度建設情況；

（五）申請單位及其測評人員基本情況；

（六）應提交的其他材料。

等保辦收到申請材料后，應在10個工作日內組織初審，并出具初審結果告知書。

第八條 通過初審的申請單位，應及時參加指定評估機構組織的測評人員培訓?？荚嚭细竦娜藛T，取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。

第九條 指定評估機構應根據標準規范對申請單位開展能力評估，出具信息安全等級保護測評機構能力評估報告，并及時將申請單位能力評估有關情況報送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的，頒發《信息安全等級保護測評機構推薦證書》。

省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦，國家等保辦定期發布公告，在《中國信息安全等級保護網》發布《全國信息安全等級保護測評機構推薦目錄》。

第十一條 下列事項發生變更時，等級測評機構應在變更后5個工作日內向等保辦報告。

（一）等級測評機構名稱、地址、測評人員和主要負責人發生變更的；

（二）等級測評機構法人、股權結構發生變更的；

（三）其他重大事項發生變更的。

省級等保辦應及時將等級測評機構變更情況報國家等保辦。

第十二條 信息安全等級保護測評機構推薦證書有效期為三年。等級測評機構應在推薦證書期滿前30日內，向等保辦申請復審。復審通過的等級測評機構應換發新證。復審未通過的，等保辦應督促其限期整改。

省級等保辦應及時將等級測評機構期滿復審情況報國家等保辦。

第十三條 等級測評師上崗前，等級測評機構應組織崗前培訓。培訓合格的，由等級測評機構配發上崗證。未取得測評師證書和上崗證的，不得參與等級測評項目。

等級測評師離職前，等級測評機構應與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級測評師應妥善保管等級測評師證書、上崗證，不得涂改、出借、出租和轉讓。

第十五條 等級測評機構應加強對本機構等級測評師的監督管理，定期組織開展安全保密教育和業務培訓。

第十六條 等級測評機構應嚴格按照信息安全等級保護標準規范公正、獨立地開展等級測評工作，依據模板出具信息系統安全等級測評報告，確保測評質量，全面、客觀地反映被測信息系統的安全保護狀況。

第十七條 等級測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內，向受理信息系統備案的公安機關報告等級測評項目有關情況。

第十八條 測評項目實施過程中，等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后，等級測評機構應請被測評信息系統運營使用單位對測評服務情況進行評價，評價情況由被測單位反饋等保辦。

第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐，每年底編制并報送信息系統安全狀況分析報告。第二十條 等級測評機構實行等級化管理。根據信息系統測評數量、機構規模、測評技術能力和服務質量等指標，對等級測評機構劃分為五個星級，最低為一星級，最高為五星級。等級測評機構星級評定標準由國家等保辦另行制定。

第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。

等保辦負責組織所推薦等級測評機構的星級評定審核工作，并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定，國家等保辦定期發布星級評定結果。

第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的，不參加星級評定。

第二十三條 等保辦負責對所推薦等級測評機構的日常監督檢查、測評項目抽查和年審工作，及時掌握等級測評機構工作情況。

第二十四條 等保辦應于每年底對所推薦的等級測評機構進行年審。等級測評機構自推薦之日起未滿6個月的，當年可免予年審。年審時，等級測評機構應提交以下材料：

（一）《信息安全等級保護測評機構年審表》；

（二）信息安全等級保護測評機構推薦證書副本；

（三）測評工作總結；

（四）其他所需材料。

第二十五條

國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。

第二十六條 等級測評機構有下列情形之一的，等保辦應責令其限期整改；情形嚴重的，予以通報。

（一）未按照有關標準規范開展測評或未按規定出具信息系統安全等級測評報告的；

（二）影響被測評信息系統正常運行，危害被測評信息系統安全的；

（三）非授權占有、使用，未妥善保管等級測評相關資料及數據文件的；

（四）分包或轉包等級測評項目，以及擾亂測評市場秩序的；

（五）限定被測評單位購買、使用指定信息安全產品的；

（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動的；

（七）未按本辦法規定向等保辦提交材料、報告情況或弄虛作假的；

（八）其他違反等級測評有關規定的行為。

第二十七條 等級測評機構有下列情形之一的，等保辦應取消其信息安全等級保護測評機構推薦證書，并向社會公告。

（一）因單位股權、人員等情況發生變動，不符合等級測評機構基本條件的；

（二）有信息安全產品開發、銷售或信息系統安全集成行為的；

（三）故意泄露被測評單位工作秘密、重要信息系統數據信息的；

（四）故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假未如實出具等級測評報告的；

（五）一年內未開展信息系統測評工作或自愿退出《全國信息安全等級保護測評機構推薦目錄》的；

（六）連續兩年年審不合格或限期整改后仍未通過復審的；

（七）違反本辦法第二十六條規定，情節特別嚴重的。第二十八條 等級測評師有下列行為之一的，等保辦應責令等級測評機構督促其限期改正；情節嚴重的，責令等級測評機構暫停其參與測評工作；情形特別嚴重的，應注銷其等級測評師證書，并對其所在等級測評機構進行通報。

（一）未經允許擅自使用或泄露、出售等級測評工作中收集的數據信息、資料或信息系統安全等級測評報告的；

（二）違反本辦法第十四條規定，未妥善保管等級測評師證書、上崗證，有涂改、出借、出租和轉讓等行為的；

（三）測評行為失誤或不當，影響信息系統安全或造成運營使用單位利益損失的；

（四）其他違反等級測評有關規定的行為。第二十九條 等級測評機構及其等級測評師違反本辦法的相關規定，給被測評信息系統運營使用單位造成嚴重危害和損失的，由相關部門依照有關法律、法規予以處理。

第三十條 任何單位和個人如發現等級測評機構、等級測評師有違法、違規行為的，可向國家等保辦舉報、投訴。

第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發布之日起實施。

第三篇：信息安全等級測評機構能力要求(試行)

信息安全等級保護測評體系建設與測評工作規范性文件

信息安全等級測評機構能力

要求

（試行）

Competence for operation of bodies performing testing and evaluation of classified protection of information system security

200×-××-×× 發布 200×-××-×× 實施

公安部信息安全等級保護評估中心

信息安全等級測評機構能力要求

目錄 2 3 4 5 6 7 8 9 范圍......................................................................3 名詞解釋..................................................................3 基本條件..................................................................3 組織管理能力..............................................................4 測評實施能力..............................................................5 設施和設備安全與保障能力...................................................7 質量管理能力..............................................................8 規范性保證能力............................................................8 風險控制能力.............................................................10 可持續性發展能力.........................................................10 11 測評機構能力約束性要求...................................................11 信息安全等級測評機構能力要求

前言

公安部頒布《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號），決定加快等級保護測評體系建設工作。信息安全等級測評機構的建設是測評體系建設的重要內容，為確保有效指導測評機構的能力建設，規范其測評活動，滿足信息安全等級保護工作要求，特制定本規范。

《信息安全等級測評機構能力要求》（以下簡稱《能力要求》）是等級保護測評體系建設指導性文件之一。本規范吸取國際、國內測評與檢查機構能力評定的相關內容，結合信息安全等級測評工作的特點，對測評機構的組織管理能力、測評實施能力、設施和設備安全與保障能力、質量管理能力、規范性保證能力等提出基本能力要求，為規范等級測評機構的建設和管理，及其能力評估工作的開展提供依據。

信息安全等級測評機構能力要求

信息安全等級測評機構能力要求 范圍

本規范規定了測評機構的能力要求。

本規范適用于測評機構的建設和管理以及對測評機構能力進行評估等活動。名詞解釋

2.1 等級測評

等級測評是指測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。2.2 等級測評機構

等級測評機構，是指具備測評機構基本條件，經能力評估和審核，由省級以上信息安全等級保護工作協調（領導）小組辦公室推薦，從事等級測評工作的機構。基本條件

依據《信息安全等級保護測評工作管理規范》（試行），信息安全等級測評機構（以下簡稱測評機構）應當具備以下基本條件：

a)在中華人民共和國境內注冊成立（港澳臺地區除外）；

b)由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）； c)產權關系明晰，注冊資金100萬元以上；

d)從事信息系統檢測評估相關工作兩年以上，無違法記錄；

e)工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

f)具有滿足等級測評工作的專業技術人員和管理人員，測評技術人員不少于10人； g)具備必要的辦公環境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；

h)具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度； i)對國家安全、社會秩序、公共利益不構成威脅;j)應當具備的其他條件。信息安全等級測評機構能力要求 組織管理能力

4.1 測評機構管理者應掌握等級保護政策文件，熟悉相關的標準規范。

4.2 測評機構應按一定方式組織并設立相關部門，明確其職責、權限和相互關系，保證各項工作的有序開展。

4.3 測評機構應具有勝任等級測評工作的專業技術人員和管理人員，大學本科（含）以上學歷所占比例不低于60%。其中測評技術人員不少于10人。

4.4 測評機構應設置滿足等級測評工作需要的崗位，如測評技術員、測評項目組長、技術主管、質量主管、保密安全員和檔案管理員等（不論稱謂如何），并配備足夠的、相對穩定并具備相應能力的工作人員。

4.5 測評機構應制定完善的規章制度，包括但不限于以下內容： a)保密管理制度

制度中應明確保密對象的范圍、人員保密職責、各項保密措施與要求，以及違反保密制度的罰則等內容。b)項目管理制度

測評機構應依據《信息系統安全等級保護定級指南》等技術標準制定符合自身特點的測評項目管理程序，主要應包括測評工作的組織形式、工作職責，測評各階段的工作內容和管理要求等。

c)質量管理制度（包含設備管理和文件檔案管理等）

應以保證質量為前提對測評機構的設備、文件檔案等提出各項要求。設備管理制度應包括對于儀器設備的購置、使用和維護的質量管理要求。文件檔案管理制度應包括機構人員在文件檔案管理中的相關職責、文件檔案借閱、保管直至銷毀的各項規定等。d)人員管理制度

應包括人員錄用、考核、日常管理以及離職等方面的內容和要求。e)培訓教育制度

應包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等的內容和要求。

f)申訴、投訴及爭議處理制度

應明確包括測評機構各崗位人員在申、投訴和爭議處理活動中相應的職責，建立從受理、確認到處置、答復等環節的完整程序。

信息安全等級測評機構能力要求 測評實施能力

5.1 人員能力

5.1.1 測評機構從事等級測評工作的專業技術人員（以下簡稱測評人員）應具有把握國家政策，理解和掌握相關技術標準，熟悉等級測評的方法、流程和工作規范等方面的知識及能力，并有依據測評結果做出專業判斷以及出具等級測評報告等任務的能力。

5.1.2 測評人員應參加由公安部信息安全等級保護評估中心舉辦的專門培訓、考試并取得中心頒發的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持證上崗。

5.1.3 初級、中級和高級等級測評師具體能力要求如下： a)初級等級測評師

? 了解信息安全等級保護的相關政策、標準； ? 熟悉信息安全基礎知識；

? 熟悉信息安全產品分類，了解其功能、特點和操作方法；

? 掌握等級測評方法，能夠根據測評指導書客觀、準確、完整地獲取各項測評證據；

? 掌握測評工具的操作方法，能夠合理設計測試用例獲取所需測試數據； ? 能夠按照報告編制要求整理測評數據。b)中級等級測評師

? 熟悉信息安全等級保護相關政策、法規； ? 熟悉信息安全等級保護相關政策、法規；

? 正確理解信息安全等級保護標準體系和主要標準內容，能夠跟蹤國內、國際信息安全相關標準的發展；

? 掌握信息安全基礎知識，熟悉信息安全測評方法，具有信息安全技術研究的基礎和實踐經驗；

? 具有較豐富的項目管理經驗, 熟悉測評項目的工作流程和質量管理的方法，具有較強的組織協調和溝通能力；

? 能夠獨立開發測評指導書，熟悉測評指導書的開發、版本控制和評審流程； ? 能夠根據信息系統的特點，編制測評方案，確定測評對象、測評指標和測評信息安全等級測評機構能力要求

方法；

? 具有綜合分析和判斷的能力，能夠依據測評報告模板要求編制測評報告，能夠整體把握測評報告結論的客觀性和準確性。具備較強的文字表達能力； ? 了解等級保護各個工作環節的相關要求。能夠針對測評中發現的問題，提出合理化的整改建議。c)高級等級測評師

? 熟悉和跟蹤國內、外信息安全的相關政策、法規及標準的發展； ? 對信息安全等級保護標準體系及主要標準有較為深入的理解； ? 具有信息安全理論研究的基礎、實踐經驗和研究創新能力；

? 具有豐富的質量體系管理和項目管理經驗,具有較強的組織協調和管理能力；

? 熟悉等級保護工作的全過程，熟悉定級、等級測評、建設整改各個工作環節的要求。

5.1.4 測評技術員、測評項目組長和技術主管崗位人員應分別取得初、中、高級等級測評師證書，其比例應滿足等級測評工作需要。

5.1.5測評機構應指定一名技術主管,全面負責等級測評方面的技術工作。5.2 測評能力

5.2.1 測評機構應通過提供案例、過程記錄等資料，證明其具有從事信息系統檢測評估相關工作兩年以上的工作經驗。

5.2.2 測評機構應保證在其能力范圍內從事測評工作，并有足夠的資源來滿足測評工作要求，具體體現在以下方面：

a)安全技術測評實施能力，包括物理安全測評、網絡安全測評、主機系統安全測評、應用安全和數據安全測評等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷；

b)安全管理測評實施能力，包括安全管理機構測評、安全管理制度測評、人員安全管理測評、系統建設管理測評、系統運維管理測評等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷；

c)安全測試與分析能力，指根據實際測評要求，開發與測試相關的工作指導書，借助專用測評設備和工具，實現主流協議分析、漏洞發現與驗證等方面的能力； d)整體測評實施能力，指根據測評報告的單元測評的結果記錄部分、結果匯總部

信息安全等級測評機構能力要求

分和問題分析部分，從安全控制間、層面間和區域間出發考慮，給出整體測評的具體結果的能力。

e)風險分析能力，指依據等級保護的相關規范和標準，采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測評系統安全造成的影響的能力； 5.2.3 測評機構應有完備的測評工作流程，有計劃、按步驟地開展測評工作，并保證測評活動的每個環節都得到有效的控制。

a)測評準備階段，收集被測系統的相關資料信息，填寫規范的系統調查表，全面掌握被測評系統的詳細情況，為測評工作的開展打下基礎；

b)方案編制階段，正確合理地確定測評對象、測評指標及測評內容等，并依據現行有效的技術標準、規范開發測評方案、測評指導書、測評結果記錄表格等。測評方案應通過技術評審并有相關記錄，測評指導書應進行版本有效性維護，且滿足以下要求：

? 符合相關的等級測評標準；

? 提供足夠詳細的信息以確保測評數據獲取過程的規范性和可操作性。c)現場測評階段，嚴格執行測評方案和測評指導書中的內容和要求，并依據操作規程熟練地使用測評設備和工具，規范、準確、完整的填寫測評結果記錄，獲取足夠證據，客觀、真實、科學地反映出系統的安全保護狀況，測評過程應予以監督并記錄；

d)報告編制階段，找出整個信息系統安全保護現狀與相應等級的保護要求之間的差距，分析差距可能導致被測評系統面臨的風險，給出等級測評結論，形成測評報告，測評報告應依據公安部統一制訂的《信息系統安全等級測評報告模版（試行）》的格式和內容要求編寫，測評報告應通過評審并有相關記錄。設施和設備安全與保障能力

6.1 測評機構應具備必要的辦公環境、設備、設施和管理系統，使用的技術裝備、設施原則上應當符合以下條件：

a)產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；

b)產品的核心技術、關鍵部件具有我國自主知識產權； 信息安全等級測評機構能力要求

c)產品研制、生產單位及其主要業務、技術人員無犯罪記錄；

d)產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能； e)對國家安全、社會秩序、公共利益不構成危害。

f)信息安全產品應獲得公安部計算機信息安全產品銷售許可證。

6.2 測評機構應配備滿足等級測評工作需要的測評設備和工具，如漏洞掃描器、協議分析儀、滲透測試工具等。測評設備和工具應通過權威機構的檢測并可提供檢測報告（見附錄《信息安全等級測評設備和工具指引》）。

6.3 測評機構應具備符合相關要求的機房以及必要的軟、硬件設備，用于滿足信息系統仿真、技術培訓和模擬測試的需要。

6.4 測評機構應確保測評設備和工具運行狀態良好，并通過校準或比對等手段保證其提供準確的測評數據。

6.5 測評設備和工具均應有正確的標識。質量管理能力

7.1 管理體系建設

7.1.1 測評機構應建立、實施和維護符合等級測評工作需要的文件化的管理體系，并確保測評機構各級人員能夠理解和執行。

7.1.2測評機構應當制定相應的質量目標，不斷提升自身的測評質量和管理水平。7.1.3測評機構應指定一名質量主管，明確其質量保證的職責。質量主管不應受可能有損工作質量的影響或利益沖突，并有權直接與測評機構最高管理層溝通。7.2 管理體系維護

7.2.1測評機構應保證管理體系的有效運行，發現問題及時反饋并采取糾正措施，確保其有效性。

7.2.2

測評機構應當嚴格遵守申訴、投訴及爭議處理制度，并應記錄采取的措施。規范性保證能力

8.1 公正性保證能力

8.1.1 測評機構及其測評人員應當嚴格執行有關管理規范和技術標準，開展客觀、公正、安全的測評服務。

信息安全等級測評機構能力要求

8.1.2 測評機構的人員應不受可能影響其測評結果的來自于商業、財務和其他方面的壓力。

8.2 可信與保密性保證能力

8.2.1測評機構的單位法人及主要工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄。

8.2.2 測評機構應通過提供單位性質、股權結構、出資情況、法人及股東身份等信息的文件材料，證明其機構合規、產權關系明晰，資金注冊達到要求（100萬元）。8.2.3 測評機構應建立并保存工作人員的人員檔案，包括人員基本信息、社會背景、工作經歷、培訓記錄、專業資格、獎懲情況等，保障人員的穩定和可靠。8.2.4 測評機構使用的測試設備和工具應具備全面的功能列表，且不存在功能列表之外的隱蔽功能。

8.2.5測評機構應重視安全保密工作，指派安全保密工作的責任人。

8.2.6 測評機構應根據國家有關保密規定制定保密管理制度，并定期對工作人員進行保密教育，測評機構和測評人員應當保守在測評活動中知悉的國家秘密、商業秘密、敏感信息和個人隱私等。

8.2.7

測評機構應明確崗位保密要求，與全體人員簽訂《保密責任書》，規定其應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

8.2.8 測評機構應采取技術和管理措施來確保等級測評相關信息的安全、保密和可控，這些信息包括但不限于： a)被測評單位提供的資料；

b)等級測評活動生成的數據和記錄； c)依據上述信息做出的分析與專業判斷。

8.2.9 測評機構應借助有效的技術手段，確保等級測評相關信息的整個數據生命周期的安全和保密。8.3 測評方法與程序的規范性

測評機構應保證與等級測評工作有關的所有工作程序、指導書、標準規范、工作表格、核查記錄表等現行有效并便于測評人員獲得。8.4 測評記錄的規范性

a)測評記錄應當清晰規范，并獲得被測評方的書面確認； 信息安全等級測評機構能力要求

b)測評機構應具有安全保管記錄的能力，所有的測評記錄應保存三年以上。8.5 測評報告的規范性

a)測評機構應按照公安部統一制訂的《信息系統安全等級測評報告模版（試行）》格式出具測評報告；

b)測評報告應包括所有測評結果、根據這些結果做出的專業判斷以及理解和解釋這些結果所需要的所有信息，以上信息均應正確、準確、清晰地表述；

c)測評報告由測評項目組長作為第一編制人，技術主管（或質量主管）負責審核，機構管理者或其授權人員簽發或批準；

d)能力評估合格的測評機構應依據《信息安全等級保護測評工作管理規范》第六條，對出具的等級測評報告統一加蓋等級測評機構能力合格專用標識并登記歸檔。風險控制能力

9.1 測評機構應充分估計測評可能給被測系統帶來的風險，風險包括但不限于以下方面：

a)測評機構由于自身能力或資源不足造成的風險；

b)測試驗證活動可能對被測系統正常運行造成影響的風險； c)測試設備和工具接入可能對被測系統正常運行造成影響的風險；

d)測評過程中可能發生的被測系統重要信息（如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔等）泄漏的風險等。

9.2 測評機構應通過多種措施對上述被測系統可能面臨的風險加以規避和控制?？沙掷m性發展能力

10.1 測評機構應根據自身情況制定戰略規劃，通過不斷的投入保證測評機構的持續建設和發展。

10.2 測評機構應定期對管理體系進行評審并持續改進，不斷提高管理要求。設定中、遠期目標（如獲得相應管理體系資質認可），通過目標的實現，逐步提升質量管理能力。10.3 測評機構應建立文件化的培訓制度，以確保其工作人員在專業技術和管理方面持續滿足等級測評工作的需要。

10.4 測評機構應投入專門的力量來從事測評實踐總結和測評技術研究工作，測評機構間應進行經驗交流和技術研討，保持與測評技術發展的同步性。

信息安全等級測評機構能力要求 測評機構能力約束性要求

測評機構不得從事下列活動：

a)影響被測評信息系統正常運行，危害被測評信息系統安全； b)泄露知悉的被測評單位及被測信息系統的國家秘密和工作秘密；

c)故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

d)未按規定格式出具等級測評報告；

e)非授權占有、使用等級測評相關資料及數據文件； f)分包或轉包等級測評項目；

g)信息安全產品（專用測評設備和工具以外）開發、銷售和信息系統安全集成； h)限定被測評單位購買、使用其指定的信息安全產品；

i)其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

第四篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網

1.等級保護概述

1.1為什么要實行等級保護？

信息系統與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統進行分級、分區域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發《關于加強信息安全保障工作的意見》（中辦發[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結構－北京為例

等級保護的實施和落實離不開各級管理機構的指導和監督，這在等級保護的相關文件中已經得到了規定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：

1.4等級保護理論的技術演進

在等級保護理論被提出以后，經過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結構

對系統進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統，否則：

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規定

針對上述問題，在下面幾小節分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發，綜合考核所有系統

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

需求：準確地進行大系統的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業

保護對象框架－電信行業

保護對象框架－銀行業

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

需求：統一規劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統提供互操作性及其服務的環境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

需求：建立長效機制，建立可持續運行、發展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網絡架構模型

需求分析－6

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網絡架構

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。

實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是企業或組織安全工作所追求的最終目標

特質：

等級化：突出重點，節省成本，滿足不同行業、不同發展階段、不同層次的要求

整體性：結構化，內容全面，可持續發展和完善，持續運行

針對性：針對實際情況，符合業務特性和發展戰略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術體系

安全運行體系

3.4安全體系的實現

4.成功案例

某國有大型企業已經采用了我們的可信等級體系，取得了良好的效果。

第五篇：信息安全等級合規測評

信息安全等級合規測評

合規，簡而言之就是要符合法律、法規、政策及相關規則、標準的約定。在信息安全領域內，等級保護、分級保護、塞班斯法案、計算機安全產品銷售許可、密碼管理等，是典型的合規性要求。

信息安全合規測評是國家強制要求的，信息系統運營、使用單位或者其主管部門，必須在系統建設、改造完成后，選擇具備資質測評機構，依據信息安全合規性要求，對信息系統是否合規進行檢測和評估的活動。信息安全合規測評具有強制性和周期性（定期檢測），是國家信息安全部門督促合規性要求落地實施，保障信息安全的重要手段。

一、信息安全合規性要求

1、等級保護

等級保護將信息系統按照價值系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別劃分五個等級進行保護。其分級、分區域、分類和分階段是做好國家信息安全保護的前提。等級保護依據公安部、國家保密局、國家密碼管理局和國信辦先后聯合下發《關于信息安全等級保護工作的實施意見》、《信息安全等級保護信息安全等級保護管理辦法》開展。

2、分級保護

分級保護針對的是涉密信息系統，根據涉密信息的涉密等級，涉密信息系統的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統必須達到的安全保護水平劃分為秘密級、機密級和絕密級三個等級。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。

國家保密科技測評中心是我國唯一的涉密信息系統安全保密測評機構，山東省軟件評測中心是國家保密科技測評中心在山東省設立的分中心。

3、塞班斯法案 針對安然、世通等財務欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯合提出，又被稱作《2002年塞班斯-奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業監管、公司治理、證券市場監管等方面做出了許多新規定。

塞班斯法案成為在美上市企業躲不過去的坎。它規定，上市公司的財務報告必須包括一份內控報告，并明確規定公司管理層對建立和維護財務報告的內部控制體系及相應控制流程負有完全責任；此外，財務報告中必須附有其內控體系和相應流程有效性的評估。它的出臺意味著在美國上市的公司不僅要保證其財務報表數據的準確，還要保證內控系統能通過相關審計。

4、計算機信息系統安全專用產品銷售許可

計算機信息系統安全專用產品銷售許可證是為了加強計算機信息系統安全專用產品的管理，保證安全專用產品的安全功能，由公安部公共信息網絡安全監察局頒發的許可證書。

辦理依據：

（1）《中華人民共和國計算機信息系統安全保護條例》、（1994年2月18日，國務院令147號發布）。

（2）、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（1997年12月1日，公安部令第32號）。

(3)、《計算機病毒防治管理辦法》（2000年4月26日，公安部令第51號）。審批辦理流程：

(1)、產品檢測。申請單位須將樣品送指定檢測機構進行檢測。

(2)、申請辦證。檢測合格后，申請單位按規定提交證書申請的相關材料。(3)、審批發證。公安部公共信息網絡安全監察局。

5、信息系統密碼安全管理

為推動商用密碼發展，確保國家重要信息系統密碼安全，具備檢測資質的機構依據《信息安全等級保護商用密碼管理辦法》、《信息安全等級保護商用密碼技術實施要求》 《信息系統安全等級保護基本要求》，對信息安全等級為三級以上（含三級）信息系統中的商用密碼系統進行測評。的商用密碼系統安全等級保護測評工作擬分以下三個階段：測評申請階段、現場檢測階段、報告與結論階段。

在信息安全合規性要求中，等級保護和分級保護以其涉及范圍廣，實施具有高度專業化和復雜性的特點，成為信息安全合規測評工作的重點和難點，后面的文章將會對這兩個概念進行重點解讀。

二、區分信息安全等級保護與分級保護

通過上文我們知道，信息安全等級保護與分級保護是在信息安全合規測評中兩個非常重要的概念，二者密切相關又有區別。山東省軟件評測中心結合在等級保護測評和分級保護測評中的具體實踐，對等級保護和分級保護進行詳細介紹，理清兩者間的關聯。

1、信息系統等級保護

由于信息系統結構是應社會發展、社會生活和工作的需要而設計、建立的，是社會構成、行政組織體系的反映，因而這種系統結構是分層次和級別的，而其中的各種信息系統具有重要的社會和經濟價值，不同的系統具有不同的價值。系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發展規律，其分級、分區域、分類和分階段是做好國家信息安全保護的前提。

信息系統安全等級保護將安全保護的監管級別劃分為五個級別：

第一級：用戶自主保護級完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級：系統審計保護級本級的安全保護機制受到信息系統等級保護的指導，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。第三級：安全標記保護級除具有第二級系統審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監督、審計。

第四級：結構化保護級將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。

第五級：訪問驗證保護級這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實行?？兀Ｗo信息不能被非授權獲取。

在等級保護的實際操作中，強調從五個部分進行保護，即：

物理部分：包括周邊環境，門禁檢查，防火、防水、防潮、防鼠、蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設備的標識、使用、存放和管理等；

支撐系統：包括計算機系統、操作系統、數據庫系統和通信系統； 網絡部分：包括網絡的拓撲結構、網絡的布線和防護、網絡設備的管理和報警，網絡攻擊的監察和處理；

應用系統：包括系統登錄、權限劃分與識別、數據備份與容災處理，運行管理和訪問控制，密碼保護機制和信息存儲管理；

管理制度：包括管理的組織機構和各級的職責、權限劃分和責任追究制度，人員的管理和培訓、教育制度，設備的管理和引進、退出制度，環境管理和監控，安防和巡查制度，應急響應制度和程序，規章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機制構成系統整體安全控制機制。

2、涉密信息系統分級保護

涉密信息系統實行分級保護，先要根據涉密信息的涉密等級，涉密信息系統的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統必須達到的安全保護水平來確定信息安全的保護等級；涉密信息系統分級保護的核心是對信息系統安全進行合理分級、按標準進行建設、管理和監督。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統有明確的分級保護措施，從技術要求和管理標準兩個層面解決涉密信息系統的分級保護問題。

涉密信息系統安全分級保護根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：

秘密級：信息系統中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術要求。

機密級：信息系統中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統應選擇機密級（增強）的要求：

（1）信息系統的使用單位為副省級以上的黨政首腦機關，以及國防、外交、國家安全、軍工等要害部門；

（2）信息系統中的機密級信息含量較高或數量較多；（3）信息系統使用單位對信息系統的依賴程度較高。

絕密級：信息系統中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術要求，絕密級信息系統應限定在封閉的安全可控的獨立建筑內，不能與城域網或廣域網相聯。

涉密信息系統要按照分級保護的標準，結合涉密信息系統應用的實際情況進行方案設計。涉密信息系統定級遵循“誰建設、誰定級"的原則，可以根據信息密級、系統重要性和安全策略劃分為不同的安全域，針對不同的安全域確定不同的等級，并進行相應的保護。建設完成之后應該進行審批；審批前由國家保密局授權的涉密信息系統測評機構進行系統測評（山東省軟件評測中心是山東省內唯一的涉密信息系統檢測機構），確定在技術層面是否達到了涉密信息系統分級保護的要求。

3、等級保護和分級保護之間的關系

國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統和通信基礎信息系統，而不論它是否涉密。如：國家事務處理信息系統（黨政機關辦公系統）；金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統；國防工業企業、科研等單位的信息系統等。

涉密信息系統分級保護保護的對象是所有涉及國家秘密的信息系統，重點是黨政機關、軍隊和軍工單位，由各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全，確保國家秘密不被泄漏。

國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發展的主線和中心任務, 提出了總體要求。對信息系統實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發展方向。而涉密信息系統分級保護則是是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

三、等級合規測評的主要內容

1、單元測評。單元測評從信息安全管理制度、信息安全管理機構、人員安全管理、信息系統建設管理、信息系統運維管理、物理安全、網絡安全、主機安全、應用安全、數據安全等層面，測評《信息系統安全等級保護基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系統中的實施配置情況。

2、整體測評。整體測評主要測評分析信息系統的整體安全性。在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等，是在單元測評基礎上進行的進一步測評分析。

四、等級合規測評的重要作用

1、等級合規測評是落實信息安全等級保護制度的重要環節

在信息系統建設、整改時，信息系統運營、使用單位通過等級測評進行現狀分析，確定系統的安全保護現狀和存在的安全問題，并在此基礎上確定系統的整改安全需求。信息系統定級是整個等級保護工作的開始，等級保護基本要求是對不同等級信息系統實行等級保護的基礎?？蛻艨梢曰诙壷改蠈π畔⑾到y定級，基于等級保護基本要求實施保護措施，從而將有效落實國家有關等級保護的制度要求和文件精神。

2、等級測評報告是信息系統開展整改加固的重要指導性文件，也是信息系統備案的重要附件材料

等級測評結論為信息系統未達到相應等級的基本安全保護能力的，運營、使用單位應當根據等級測評報告，制定方案進行整改，盡快達到相應等級的安全保護能力。

3、等級測評使整個組織規范一致的開展等級評定工作

合規測評基于客戶的組織架構、運作模式等特點，制定信息系統安全保護等級定級指南，明確在組織內開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個組織范圍內一致地開展。

4、確保突出重點保護對象并進行適度保護

信息系統安全等級保護基本要求明確了不同等級信息系統的技術要求和管理要求，基于信息系統安全等級保護基本要求，合規測評可使客戶在符合國家法律法規要求的前提下，針對不同等級信息系統采取相應等級的保護措施，從而確保重點突出、適度保護，節省IT投資。

5、等級測評提高內部人員的信息安全意識

合規測評過程中，第三方咨詢專家將與被服務單位人員密切合作。通過與被服務單位人員有針對性的交流，以及精心設計的調查問卷等，被服務單位的管理、業務、技術等人員將逐步提高對信息安全合規的認識，強化信息安全意識，杜絕違規操作。

作為第三方測評機構，山東省軟件評測中心認為，通過等級合規測評可指導用戶在各個層面上綜合采取多種保護措施，保護網絡和安全域邊界、網絡及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。

五、等級合規測評的操作流程 要充分發揮等級測評對信息安全的保障作用，就要按照科學的流程和方法進行操作。山東省軟件評測中心根據等級測評的相關要求將等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。具體過程如下：

1、測評準備活動

本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。

2、方案編制活動

本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

3、現場測評活動

本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

4、分析與報告編制活動

本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全等級保護基本要求》的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。

等級測評項目啟動測評準備活動信息收集與分析工具和表單準備測評對象確定測評指標確定方案編制活動測評工具接入點確定測評內容確定測評指導書開發測評方案編制現場測評活動測評實施準備現場測評和記錄結果結果確認和資料歸還單項測評結果判定分析與報告編制活動單元測評結果判定整體測評風險分析等級測評結論形成測評報告編制溝通與洽談

六、等級合規測評的關鍵點

確定了等級測評的具體流程，是為開展測評工作奠定了堅實基礎，但是還要關注在具體環節上關鍵要素，它們對測評工作的成效高低具有重大影響。

1、等級測評的方法和強度

等級測評的基本方法一般包括訪談、檢查和測試等三種。

訪談是測評人員通過與被測評單位的相關人員進行交談和問詢，了解被測信息系統安全技術和安全管理方面的相關信息，以對測評內容進行確認。

檢查是測評人員通過簡單比較或使用專業知識分析的方式獲得測評證據的方法，包括：評審、核查、審查、觀察、研究和分析等方法。

測試是指測評人員通過使用相關技術工具對信息系統進行驗證測評的方法，包括功能測試、性能測試、滲透測試等。

等級測評機構應當根據被測信息系統的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現在訪談過程的嚴格和詳細程度，廣度體現在訪談人員的構成和數量上；檢查的深度體現在檢查過程的嚴格和詳細程度，廣度體現在檢查對象的種類（文檔、機制等）和數量上；測試的深度體現在執行的測試類型上（功能/性能測試和滲透測試），廣度體現在測試使用的機制種類和數量上。

2、等級測評對象

測評對象是在被測信息系統中實現特定測評指標所對應的安全功能的具體系統組件。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。

測評對象一般采用抽查信息系統中具有代表性組件的方法確定。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。

七、等級合規測評的指標

開展等級測評活動應從《信息系統安全等級保護基本要求》（GB/T 22239-2008）中選擇相應等級的安全要求作為基本測評指標。

1、第二級信息系統等級測評指標，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的66項基本要求（177個控制點）作為基礎測評指標以外，還應參照《信息系統通用技術要求》中的83個控制點、《信息系統安全管理要求》中的70個控制點、《信息系統安全工程管理要求》中的51個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

2、第三級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的73項基本要求（290個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的109個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的42個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

3、第四級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的77項基本要求（317個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的120個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的35個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

4、對于由多個不同等級的信息系統組成的被測系統，應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系，而且測評指標不能分開，則不能分開的測評指標應采用就高原則。

八、高效等級測評工作的注意事項

為了保障等級測評取得真正的成效，在測評之前，需要認真籌備；測評過程中依照相關規定，強化管理。同時，在測評操作過程中還應該嚴格遵循等級測評的相關原則。以上經驗，都已經在山東省軟件測評中心的實踐中得到驗證，成效顯著。

1、認真做好等級測評質量保障工作

等級測評機構開展測評前應與委托單位聯合成立等級測評工作組，建立通暢的溝通聯絡機制，確保等級測評活動的順利開展。

等級測評機構開展等級測評時，必須保證足夠的現場測評等級測評師。開展第二級信息系統的等級測評活動時，測評機構至少應由一名中級等級測評師、一名管理類等級測評師、二名技術類等級測評師參與等級測評活動；開展第三級信息系統的等級測評活動時，測評機構至少應由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術類等級測評師參與等級測評活動；開展第四級信息系統的等級測評活動時，測評機構至少應由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術類等級測評師參與等級測評活動。

等級測評機構開展等級測評時，應當投入滿足測評需要的拓撲發現設備、網絡安全配置核查設備、網絡協議分析設備、漏洞掃描設備、滲透攻擊集成設備等功能測試、性能測試、滲透測試工具以及必要的交通、通信設備。

等級測評活動包括測評準備、方案編制、現場測評、分析及報告編制四個基本階段。第二級信息系統單個業務系統等級測評全過程，一般不少于5個工作日。第三級信息系統單個業務系統等級測評全過程，一般不少于10個工作日。第四級信息系統單個業務系統等級測評全過程，一般不少于20個工作日。

等級測評活動中，測評機構需要提交給委托方的資料不少于以下紙質文檔：項目計劃書、公正性聲明、保密協議、等級測評方案、現場測評記錄、等級測評報告、安全建設整改意見

2、嚴格等級測評管理

信息系統的運營、使用單位或主管部門應當選擇年審合格的測評機構，按照《信息系統安全等級保護測評要求》等技術標準，定期對信息系統的安全狀況開展等級測評。

第三級信息系統應每年進行一次等級測評，第四級信息系統應每半年進行一次等級測評。重要的第二級信息系統可參照第三級信息系統的測評要求進行等級測評。符合測評條件的新建、擴建信息系統及信息系統發生重大改變時，應及時安排等級測評。等級測評活動結束后，測評機構應在15個工作日內向被測評信息系統的運營、使用單位提供等級測評報告，并應同時向省、市兩級等保辦提交第三級（含）以上信息系統的等級測評報告。被測評信息系統安全狀況未達到信息安全等級保護制度要求的，由等級測評機構提出安全建設整改意見，運營、使用單位應當及時制定方案進行整改。

省內信息系統的等級測評工作原則上由省內等級測評機構完成，特殊行業等級測評機構或省外其他等級測評機構在省內開展等級測評活動時，應在省等保辦辦理登記備案手續，按照本規范開展等級測評活動，并接受省等保辦的監督管理。測評機構及其測評人員應當嚴格執行有關管理規范和技術標準，開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改建議、信息安全等級保護宣傳教育等工作的技術支持，但不得從事下列活動：

(1)、影響被測評信息系統正常運行，危害被測評信息系統安全；(2)、泄露被測評單位及被測信息系統的敏感信息和工作秘密；

(3)、故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

(4)、未按規定格式出具等級測評報告；

(5)、非授權占有、使用等級測評活動中的獲得的相關資料及數據文件；(6)、分包或轉包等級測評項目；

(7)、從事信息安全產品開發、銷售和信息系統安全集成；(8)、限定被測評單位購買、使用其指定的信息安全產品；

(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

九、等級合規測評中應當嚴格遵循的五個原則

1、客觀公正原則。測評人員應當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。

2、充分性原則。為客觀反映被測評信息系統的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業標準的測評指標的要求。

3、經濟性原則。測評活動應盡可能降低成本，減少投入。基于測評成本和工作復雜性，鼓勵測評工作部分使用能反映信息系統當前安全狀態的已有測評結果，包括商業安全產品測評結果和信息系統已有的安全測評結果。

4、結果一致性原則。針對同一信息系統的等級測評，不同測評機構依據同一的測評方案和測評方法得出的測評結果應當一致，同一測評機構重復執行相同測評過程得出的結果應當一致。

5、安全性原則。測評機構和測評人員在測評活動中，應當履行安全保密義務，承擔相應的法律責任，確保被測評信息系統安全運行和用戶的工作秘密及商業秘密不被泄露。