当前位置: 公司业务 --  信息安全 --  等级保护测评
等级保护测评

  依据国家信息系统安全相关标准,通过访谈、测试、检查和评估等技术手段,发现信息系统安全隐患,提出有针对性的整改措施,帮助被测单位提高信息系统安全防护水平,使系统达到相应等级的安全要求。

  测评流程

  测评准备活动

  测评准备活动的主要任务包括:项目启动、信息收集和分析、工具和表单准备。这三项任务之间存在工作的先后次序,项目启动任务完成之后才能开始信息收集和分析任务。可采用如图所示的工作流程:

  方案编制活动

  方案编制活动的主要任务包括:测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。其中,测评对象确定与测评指标确定两项任务可以并行实施,其他四项任务之间存在工作的先后次序,测评内容确定任务完成之后才能开始后续任务。这六项任务可采用如图所示的工作流程:

  现场测评活动

  现场测评活动的主要任务包括:现场测评准备、现场测评和结果记录、结果确认和资料归还。这三项任务之间存在工作的先后次序,现场测评准备任务完成之后才能开始后续任务。可采用如图所示的工作流程:

  报告编制活动

  报告编制活动的主要任务包括:单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。这六项任务之间存在工作的先后次序,单项测评结果判定任务完成之后才能开始后续任务。

 政策依据
- 《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)
- 《公安机关信息安全等级保护检查工作规范》(公信安【2008】736号)
- 《信息安全等级保护管理办法》(公通字【2007】43号)
- 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字【2007】861号)
- 《信息安全等级保护备案实施细则》(公信安【2007】1360号)
- 《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)
- 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)
- 《中华人民共和国计算机信息系统安全保护条例》(【1994】国务院令第147号)
 标准规范
- GB/T 25058-2010《信息系统安全等级保护实施指南》
- GB/T 25070-2010《信息系统等级保护安全设计技术要求》
- GB/T 22240-2008《信息系统安全等级保护定级指南》
- GB/T 22239-2008《信息系统安全等级保护基本要求》
- GB 17859-1999《计算机信息系统安全保护等级划分准则》
- ……