信息安全測評—網絡安全等級測評

網絡信息安全的具體測評內容_安全等保

網絡信息安全等級保護測評，是對信息內容和信息內容媒介依照必要性標準分等級開展維護的一種工作，在我國、英國等許多我國都具有的一種網絡信息安全行業的工作。在我國，網絡信息安全等級保護測評理論上為牽涉到該作業的規范、商品、系統軟件、信息內容等均根據等級保護測評的安全工作;小范圍上一般指信息系統安全級別維護，什么叫等級保護測評測評?如何做?不清楚大伙兒在日常生活中是否有遇到過呢，今日準備和我們講下等級保護測評應該怎么做。

　　等級保護測評測評究竟測什么具體內容呢?關鍵測下列十個方面：

　　技術性方面：物理學安全性、主機安全、網絡信息安全、運用安全防護和網絡信息安全與備份數據;

　　管理方法方面：安全管理方案、安全監督機構、工作人員安全工作、系統軟件建設管理、運維服務管理方法。

　　技術性方面實際的目標：

　　1、主機房，測評單位將對信息系統運營應用單位關鍵信息系統的主機房、配電設備間、消防安全間等有關物理環境開展測評，剖析在其中的情況及其不符合規定的地區。

　　2、業務流程系統軟件，測評單位將對信息系統運營應用單位關鍵信息系統開展測評，從系統軟件的安全性體制方位，剖析軟件系統中普遍存在的安全風險與難題。

　　3、服務器電腦操作系統，測評單位將對信息系統運營應用單位關鍵信息系統有關的網站服務器的電腦操作系統開展測評，從密鑰管理、網絡安全審計、剩下隱私保護、侵入預防、惡意程序預防、資源操縱等方位剖析在其中的安全風險與難題。

　　4、數據庫管理，測評單位將對信息系統運營應用單位關鍵信息系統所運用的數據庫查詢開展測評，從辨別、密鑰管理、網絡安全審計、資源操縱方位剖析在其中的安全風險與難題。

　　5、網絡設備，測評單位將對信息系統運營應用單位關鍵信息系統的網絡設備開展測評，從密鑰管理、網絡安全審計、網絡設備安全防護等方位剖析在其中的安全風險與難題。

　　管理方法方面實際規定：

　　1、安全性管理方案，測評單位將對信息系統運營應用單位評定信息系統的網絡設備開展測評，從安全性管理模式，規章制度公布，規章制度公布審查及其修定等領域開展采訪，和紀錄查看。

　　2、安全性監督機構，測評單位將對信息系統運營應用單位評定信息系統的網絡設備開展測評，從工作人員，崗位設置方案，審批和檢查記錄等領域開展采訪，和檢查記錄查看。

　　3、系統軟件建設管理，測評單位將對信息系統運營應用單位定級信息系統的網絡設備開展測評，從安全設計方案，商品購置規定，自主開發軟件，業務外包開發軟件，工程建設監理，檢測工程驗收，系統軟件交貨，等級保護測評，服務提供商挑選等領域開展規章制度文檔和紀錄查看。

　　4、運維服務管理方法，測評單位將對信息系統運營應用單位評定信息系統的網絡設備開展測評，從環境安全管理，投資管理，物質管理方法，設備維護管理，系統漏洞和風險性查驗，互聯網和系統優化管理方法，惡意程序防御力管理方法，賬戶密碼管理方法，備份和恢復管理方法，緊急安全防御管理方法等領域開展規章制度文檔采訪，重要紀錄查詢。

本文內容經過考證、整理和編寫，部分出處：

信息安全等級保護之測評

第十四條信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。

經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

第十五條已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

第十六條辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

第二十二條第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評：

（一） 在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二） 由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三） 從事相關檢測評估工作兩年以上，無違法記錄；

（四） 工作人員僅限于中國公民；

（五） 法人及主要業務、技術人員無犯罪記錄；

（六） 使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

（七） 具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（八） 對國家安全、社會秩序、公共利益不構成威脅。

第二十三條 從事信息系統安全等級測評的機構，應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。