概
述
网络安全等级保护测评工作(下称“等级测评”)是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。等级测评包括标准符合性评判活动和风险评估活动,即依据网络安全等级保护的国家标准或行业标准,按照特定方法对网络的安全保护能力进行科学、公正的综合评判过程。
通过测评,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求,二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力。等级测评结果也是公安机关等安全监管部门进行监督、检查、指导的参照。
为什么要实施网络安全等级保护测评
网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
测评对象分为五个等级,分别是:
第一级 自主保护级:(无需备案,对测评周期无要求)此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益。
第二级 指导保护级:(公安部门备案,建议两年测评一次)此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害。会对社会秩序、公共利益造成一般损害,不损害国家安全。
第三级 监督保护级:(公安部门备案,要求每年测评一次)此类信息系统受到破坏后,会对国家安全、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害。
第四级 强制保护级:(公安部门备案,要求半年一次)此类信息系统受到破坏后,会对国家安全造成严重损害,对社会秩序、公共利益造成特别严重损害。
第五级 专控保护级:(公安部门备案,依据特殊安全需求进行)此类信息系统受到破坏后会对国家安全造成特别严重损害。
等级测评业务的开展
分析与报告编制活动是总结被测网络整体安全保护能力的综合评价活动。其主要任务是根据现场测评结果和相关政策标准,通过单项测评结果判定和网络整体测评分析等方法,分析整个网络的安全保护现状与相应等级的保护要求之间的差距,综合评价被测网络安全保护状况,按照公安部制定的网络安全等级测评报告格式形成测评报告。
分析与报告编制活动
给出等级测评工作结果
测评准备活动
开展等级测评工作的前提和基础
测评准备工作是整个等级测评过程有效性的保证。其主要任务是掌握被测网络的详细情况,为实施测评做好文档及测试工具等方面的准备。测评准备活动的基本工作流程及任务主要包括等级测评项目启动、信息收集和分析、工具和表单准备。
现场测评活动
开展等级测评工作的核心活动
其主要任务是按照测评方案的总体要求,严格执行测评实施手册,分布实施所有测评项目,以了解网络的真实保护情况,获取足够的证据,发现网络中存在的安全问题。现场测评活动主要包括现场测评准备、现场测评和结果记录、结果确认和资料归还。
方案编制活动
开展等级测评工作的关键活动
方案编制活动为现场测评提供最基本的文档和指导方案。其主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。
