1、测评概念
信息系统安全等级保护测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
2、测评作用和目的
通过进行等级保护测评,能够对信息系统安全防护体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其网络安全防护水平;遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评。测评的作用如下:
掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
3、测评标准依据
《网络安全等级保护管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
测评机构应当依据《信息系统安全等级保护管理办法》、《网络安全等级保护测评机构管理办法》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准进行等级测评,按照公安部统一制订的《网络安全等级保护测评报告模版》格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统,可以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评。
等级测评依据的两个主要标准分别是《GB/T28448—2012 信息系统安全等级保护测评要求》和《GB/T28449—2012 信息系统安全等级保护测评过程指南》。其中,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作。等级测评的测评对象是已经确定等级的信息系统。特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统。等级测评实施通常采用的测评方法是访谈、文档审查、配置检查、工具测试、实地查看。