信息系统安全等级测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级测评是依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全保护能力进行科学工作的综合评判过程。
二、等级测评的目的
通过测评,不但可以掌握信息系统的安全状况,排查系统安全隐患和薄弱环节,明确信息系统安全建设整改需求;还可以衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
三、等级测评的时机
1.安全建设整改前
在开展安全建设整改之前,信息系统运行使用单位可以通过等级测评分析判断目前信息系统所采取的安全措施与等级保护标准之间的差距,分析安全方面存在的问题,查找信息系统安全保护建设整改需要解决的问题,形成安全建设整改的安全需求。
2.安全建设整改后
信息系统安全建设整改后,信息系统运行使用单位应通过等级测评对信息系统的等级保护措施落实情况与《基本要求》的要求之间的符合程度进行评判,形成信息系统安全等级测评报告。如发现问题,继续整改。
3.定期开展等级测评
信息系统运行维护期间,应定期进行安全等级测评,及时发现和分析信息系统存在的安全问题。《信息安全等级保护管理办法》(要求信息系统完成后,运营使用单位应该选择符合规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级以上系统应当每年至少进行一次等级测评,对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
四、等级测评工作流程
五、等级测评报告主要内容
测评机构完成等级测评工作后,会按照公安部制定的《信息系统安全等级测评报告模板》出具定级测评报告。等级测评报告包括以下内容:报告摘要、测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改意见等。