【正文】 部委會簽《關(guān)于印發(fā)《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。（2）實際需求－適應(yīng)客戶實際情況。實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標特質(zhì)：等級化：突出重點，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運行針對性：針對實際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略安全組織體系安全策略體系安全技術(shù)體系安全運行體系某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系，取得了良好的效果。信息安全合規(guī)測評具有強制性和周期性（定期檢測），是國家信息安全部門督促合規(guī)性要求落地實施，保障信息安全的重要手段。分級保護分級保護針對的是涉密信息系統(tǒng)，根據(jù)涉密信息的涉密等級，涉密信息系統(tǒng)的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統(tǒng)必須達到的安全保護水平劃分為秘密級、機密級和絕密級三個等級。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯(lián)合提出，又被稱作《2002年塞班斯奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面做出了許多新規(guī)定。計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證是為了加強計算機信息系統(tǒng)安全專用產(chǎn)品的管理，保證安全專用產(chǎn)品的安全功能，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局頒發(fā)的許可證書。審批辦理流程：(1)、產(chǎn)品檢測。(3)、審批發(fā)證。在信息安全合規(guī)性要求中，等級保護和分級保護以其涉及范圍廣，實施具有高度專業(yè)化和復(fù)雜性的特點，成為信息安全合規(guī)測評工作的重點和難點，后面的文章將會對這兩個概念進行重點解讀。系統(tǒng)基礎(chǔ)資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級別的客觀體現(xiàn)。第三級：安全標記保護級除具有第二級系統(tǒng)審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督、審計。由這五部分的安全控制機制構(gòu)成系統(tǒng)整體安全控制機制。涉密信息系統(tǒng)安全分級保護根據(jù)其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術(shù)要求。涉密信息系統(tǒng)要按照分級保護的標準，結(jié)合涉密信息系統(tǒng)應(yīng)用的實際情況進行方案設(shè)計。如：國家事務(wù)處理信息系統(tǒng)（黨政機關(guān)辦公系統(tǒng)）；金融、稅務(wù)、工商、海關(guān)、能源、交通運輸、社會保障、教育等基礎(chǔ)設(shè)施的信息系統(tǒng)；國防工業(yè)企業(yè)、科研等單位的信息系統(tǒng)等。而涉密信息系統(tǒng)分級保護則是是國家信息安全等級保護的重要組成部分，是等級保護在涉密領(lǐng)域的具體體現(xiàn)。整體測評主要測評分析信息系統(tǒng)的整體安全性?？蛻艨梢曰诙壷改蠈π畔⑾到y(tǒng)定級，基于等級保護基本要求實施保護措施，從而將有效落實國家有關(guān)等級保護的制度要求和文件精神。等級測評提高內(nèi)部人員的信息安全意識合規(guī)測評過程中，第三方咨詢專家將與被服務(wù)單位人員密切合作。山東省軟件評測中心根據(jù)等級測評的相關(guān)要求將等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。本活動的主要任務(wù)是按照測評方案的總體要求，嚴格執(zhí)行測評指導(dǎo)書測評指導(dǎo)書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。等級測評的方法和強度等級測評的基本方法一般包括訪談、檢查和測試等三種。等級測評機構(gòu)應(yīng)當根據(jù)被測信息系統(tǒng)的實際情況選取適合的測評強度。正確選擇測評對象的種類和數(shù)量是整個等級測評工作能夠獲取足夠證據(jù)、了解到被測系統(tǒng)的真實安全保護狀況的重要保證。第二級信息系統(tǒng)等級測評指標，除按照《信息系統(tǒng)安全等級保護基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維管理的66項基本要求（177個控制點）作為基礎(chǔ)測評指標以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的83個控制點、《信息系統(tǒng)安全管理要求》中的70個控制點、《信息系統(tǒng)安全工程管理要求》中的51個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結(jié)合不同的定級結(jié)果組合情況進行確定。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標不能分開，則不能分開的測評指標應(yīng)采用就高原則。認真做好等級測評質(zhì)量保障工作等級測評機構(gòu)開展測評前應(yīng)與委托單位聯(lián)合成立等級測評工作組，建立通暢的溝通聯(lián)絡(luò)機制，確保等級測評活動的順利開展。等級測評活動包括測評準備、方案編制、現(xiàn)場測評、分析及報告編制四個基本階段。等級測評活動中，測評機構(gòu)需要提交給委托方的資料不少于以下紙質(zhì)文檔：項目計劃書、公正性聲明、保密協(xié)議、等級測評方案、現(xiàn)場測評記錄、等級測評報告、安全建設(shè)整改意見嚴格等級測評管理信息系統(tǒng)的運營、使用單位或主管部門應(yīng)當選擇年審合格的測評機構(gòu)，按照《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)的安全狀況開展等級測評。等級測評活動結(jié)束后，測評機構(gòu)應(yīng)在15個工作日內(nèi)向被測評信息系統(tǒng)的運營、使用單位提供等級測評報告，并應(yīng)同時向省、市兩級等保辦提交第三級（含）以上信息系統(tǒng)的等級測評報告。測評機構(gòu)可以從事等級測評活動以及信息系統(tǒng)安全等級保護定級、安全建設(shè)整改建議、信息安全等級保護宣傳教育等工作的技術(shù)支持，但不得從事下列活動：(1)、影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；(2)、泄露被測評單位及被測信息系統(tǒng)的敏感信息和工作秘密；(3)、故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；(4)、未按規(guī)定格式出具等級測評報告；(5)、非授權(quán)占有、使用等級測評活動中的獲得的相關(guān)資料及數(shù)據(jù)文件；(6)、分包或轉(zhuǎn)包等級測評項目；(7)、從事信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；(8)、限定被測評單位購買、使用其指定的信息安全產(chǎn)品；(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。為客觀反映被測評信息系統(tǒng)的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業(yè)標準的測評指標的要求。結(jié)果一致性原則。安全性原則。測評活動應(yīng)盡可能降低成本，減少投入。測評人員應(yīng)當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。省內(nèi)信息系統(tǒng)的等級測評工作原則上由省內(nèi)等級測評機構(gòu)完成，特殊行業(yè)等級測評機構(gòu)或省外其他等級測評機構(gòu)在省內(nèi)開展等級測評活動時，應(yīng)在省等保辦辦理登記備案手續(xù)，按照本規(guī)范開展等級測評活動，并接受省等保辦的監(jiān)督管理。重要的第二級信息系統(tǒng)可參照第三級信息系統(tǒng)的測評要求進行等級測評。第三級信息系統(tǒng)單個業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于10個工作日。開展第二級信息系統(tǒng)的等級測評活動時，測評機構(gòu)至少應(yīng)由一名中級等級測評師、一名管理類等級測評師、二名技術(shù)類等級測評師參與等級測評活動；開展第三級信息系統(tǒng)的等級測評活動時，測評機構(gòu)至少應(yīng)由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術(shù)類等級測評師參與等級測評活動；開展第四級信息系統(tǒng)的等級測評活動時，測評機構(gòu)至少應(yīng)由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術(shù)類等級測評師參與等級測評活動。同時，在測評操作過程中還應(yīng)該嚴格遵循等級測評的相關(guān)原則。第四級信息系統(tǒng)等級測評指標確定，除按照《信息系統(tǒng)安全等級保護基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維管理的77項基本要求（317個控制點）作為測評指標以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的120個控制點、《信息系統(tǒng)安全管理要求》中的104個控制點、《信息系統(tǒng)安全工程管理要求》中的35個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結(jié)合不同的定級結(jié)果組合情況進行確定。在測評對象確定中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。訪談的深度體現(xiàn)在訪談過程的嚴格和詳細程度，廣度體現(xiàn)在訪談人員的構(gòu)成和數(shù)量上；檢查的深度體現(xiàn)在檢查過程的嚴格和詳細程度，廣度體現(xiàn)在檢查對象的種類（文檔、機制等）和數(shù)量上；測試的深度體現(xiàn)在執(zhí)行的測試類型上（功能/性能測試和滲透測試），廣度體現(xiàn)在測試使用的機制種類和數(shù)量上。檢查是測評人員通過簡單比較或使用專業(yè)知識分析的方式獲得測評證據(jù)的方法，包括：評審、核查、審查、觀察、研究和分析等方法。本活動的主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和《信息安全等級保護基本要求》的有關(guān)要求，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險，從而給出等級測評結(jié)論，形成測評報告文本。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。具體過程如下：測評準備活動本活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。作為第三方測評機構(gòu)，山東省軟件評測中心認為，通過等級合規(guī)測評可指導(dǎo)用戶在各個層面上綜合采取多種保護措施，保護網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計算環(huán)境的安全、以及進行安全運行中心等支撐性安全設(shè)施的建設(shè)。等級測評使整個組織規(guī)范一致的開展等級評定工作合規(guī)測評基于客戶的組織架構(gòu)、運作模式等特點，制定信息系統(tǒng)安全保護等級定級指南，明確在組織內(nèi)開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個組織范圍內(nèi)一致地開展。四、等級合規(guī)測評的重要作用等級合規(guī)測評是落實信息安全等級保護制度的重要環(huán)節(jié)在信息系統(tǒng)建設(shè)、整改時，信息系統(tǒng)運營、使用單位通過等級測評進行現(xiàn)狀分析，確定系統(tǒng)的安全保護現(xiàn)狀和存在的安全問題，并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求。單元測評從信息安全管理制度、信息安全管理機構(gòu)、人員安全管理、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)運維管理、物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等層面，測評《信息系統(tǒng)安全等級保護基本要求》（GB/T 222392008）所要求的基本安全控制在信息系統(tǒng)中的實施配置情況。國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發(fā)展的主線和中心任務(wù), 提出了總體要求。建設(shè)完成之后應(yīng)該進行審批；審批前由國家保密局授權(quán)的涉密信息系統(tǒng)測評機構(gòu)進行系統(tǒng)測評（山東省軟件評測中心是山東省內(nèi)唯一的涉密信息系統(tǒng)檢測機構(gòu)），確定在技術(shù)層面是否達到了涉密信息系統(tǒng)分級保護的要求。屬于下列情況之一的機密級信息系統(tǒng)應(yīng)選擇機密級（增強）的要求：（1）信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關(guān)，以及國防、外交、國家安全、軍工等要害部門；（2）信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多；（3）信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。國家保密局專門對涉密信息系統(tǒng)如何進行分級保護制定了一系列的管理辦法和技術(shù)標準，目前，正在執(zhí)行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》。第五級：訪問驗證保護級這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能，負責(zé)仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權(quán)獲取。信息系統(tǒng)安全等級保護將安全保護的監(jiān)管級別劃分為五個級別：第一級：用戶自主保護級完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。山東省軟件評測中心結(jié)合在等級保護測評和分級保護測評中的具體實踐，對等級保護和分級保護進行詳細介紹，理清兩者間的關(guān)聯(lián)。信息系統(tǒng)密碼安全管理為推動商用密碼發(fā)展，確保國家重要信息系統(tǒng)密碼安全，具備檢測資質(zhì)的機構(gòu)依據(jù)《信息安全等級保護商用密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)實施要求》 《信息系統(tǒng)安全等級保護基本要求》，對信息安全等級為三級以上（含三級）信息系統(tǒng)中的商用密碼系統(tǒng)進行測評。(2)、申請辦證。（