【正文】 經(jīng)濟性原則。第二級信息系統(tǒng)單個業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于5個工作日。測評對象一般采用抽查信息系統(tǒng)中具有代表性組件的方法確定。方案編制活動本活動是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導方案。在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等，是在單元測評基礎(chǔ)上進行的進一步測評分析。機密級：信息系統(tǒng)中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術(shù)要求。二、區(qū)分信息安全等級保護與分級保護通過上文我們知道，信息安全等級保護與分級保護是在信息安全合規(guī)測評中兩個非常重要的概念，二者密切相關(guān)又有區(qū)別。塞班斯法案成為在美上市企業(yè)躲不過去的坎。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實施。設(shè)定中、遠期目標（如獲得相應(yīng)管理體系資質(zhì)認可），通過目標的實現(xiàn)，逐步提升質(zhì)量管理能力。 可信與保密性保證能力，且無犯罪記錄。c)現(xiàn)場測評階段，嚴格執(zhí)行測評方案和測評指導書中的內(nèi)容和要求，并依據(jù)操作規(guī)程熟練地使用測評設(shè)備和工具，規(guī)范、準確、完整的填寫測評結(jié)果記錄，獲取足夠證據(jù)，客觀、真實、科學地反映出系統(tǒng)的安全保護狀況，測評過程應(yīng)予以監(jiān)督并記錄；d)報告編制階段，找出整個信息系統(tǒng)安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，分析差距可能導致被測評系統(tǒng)面臨的風險，給出等級測評結(jié)論，形成測評報告，測評報告應(yīng)依據(jù)公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級測評報告模版（試行）》的格式和內(nèi)容要求編寫，測評報告應(yīng)通過評審并有相關(guān)記錄。f)申訴、投訴及爭議處理制度應(yīng)明確包括測評機構(gòu)各崗位人員在申、投訴和爭議處理活動中相應(yīng)的職責，建立從受理、確認到處置、答復等環(huán)節(jié)的完整程序。名詞解釋 等級測評等級測評是指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。第二十六條 等級測評機構(gòu)有下列情形之一的，等保辦應(yīng)責令其限期整改；情形嚴重的，予以通報。第十八條 測評項目實施過程中，等級測評機構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導。（一）等級測評機構(gòu)名稱、地址、測評人員和主要負責人發(fā)生變更的；（二）等級測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；（三）其他重大事項發(fā)生變更的。第三條 等級測評機構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。有下列情形之一的，年檢結(jié)論為取消：（一）違反國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定，情節(jié)嚴重；（二）上年度完成的測評項目總值低于50萬元；（三）情況發(fā)生變更，達不到備案條件。第七條地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到申請材料之日起15日內(nèi)對申請材料進行初審。初審合格的，報送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門審查；初審不合格的，退回申請并說明理由。年檢合格的，在備案證書副本和年檢申請書上注明，加蓋省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察專用章。第四條 等級測評機構(gòu)應(yīng)以提供等級測評服務(wù)為主，可根據(jù)信息系統(tǒng)運營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運維、安全監(jiān)理等服務(wù)。省級等保辦應(yīng)及時將等級測評機構(gòu)變更情況報國家等保辦。測評項目完成后，等級測評機構(gòu)應(yīng)請被測評信息系統(tǒng)運營使用單位對測評服務(wù)情況進行評價，評價情況由被測單位反饋等保辦。（一）未按照有關(guān)標準規(guī)范開展測評或未按規(guī)定出具信息系統(tǒng)安全等級測評報告的；（二）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全的；（三）非授權(quán)占有、使用，未妥善保管等級測評相關(guān)資料及數(shù)據(jù)文件的；（四）分包或轉(zhuǎn)包等級測評項目，以及擾亂測評市場秩序的；（五）限定被測評單位購買、使用指定信息安全產(chǎn)品的；（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動的；（七）未按本辦法規(guī)定向等保辦提交材料、報告情況或弄虛作假的；（八）其他違反等級測評有關(guān)規(guī)定的行為。 等級測評機構(gòu)等級測評機構(gòu)，是指具備測評機構(gòu)基本條件，經(jīng)能力評估和審核，由省級以上信息安全等級保護工作協(xié)調(diào)（領(lǐng)導）小組辦公室推薦，從事等級測評工作的機構(gòu)。信息安全等級測評機構(gòu)能力要求 測評實施能力 人員能力 測評機構(gòu)從事等級測評工作的專業(yè)技術(shù)人員（以下簡稱測評人員）應(yīng)具有把握國家政策，理解和掌握相關(guān)技術(shù)標準，熟悉等級測評的方法、流程和工作規(guī)范等方面的知識及能力，并有依據(jù)測評結(jié)果做出專業(yè)判斷以及出具等級測評報告等任務(wù)的能力。設(shè)施和設(shè)備安全與保障能力 測評機構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)，使用的技術(shù)裝備、設(shè)施原則上應(yīng)當符合以下條件：a)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；b)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)； 信息安全等級測評機構(gòu)能力要求c)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；d)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； e)對國家安全、社會秩序、公共利益不構(gòu)成危害。 測評機構(gòu)應(yīng)通過提供單位性質(zhì)、股權(quán)結(jié)構(gòu)、出資情況、法人及股東身份等信息的文件材料，證明其機構(gòu)合規(guī)、產(chǎn)權(quán)關(guān)系明晰，資金注冊達到要求（100萬元）。 測評機構(gòu)應(yīng)建立文件化的培訓制度，以確保其工作人員在專業(yè)技術(shù)和管理方面持續(xù)滿足等級測評工作的需要。對系統(tǒng)進行定級后，需要通過努力達到相應(yīng)等級的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機構(gòu)、安全管理制度等5項，具體如下圖所示：由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對上述問題，在下面幾小節(jié)分別給出了堅決辦法。它規(guī)定，上市公司的財務(wù)報告必須包括一份內(nèi)控報告，并明確規(guī)定公司管理層對建立和維護財務(wù)報告的內(nèi)部控制體系及相應(yīng)控制流程負有完全責任；此外，財務(wù)報告中必須附有其內(nèi)控體系和相應(yīng)流程有效性的評估。山東省軟件評測中心結(jié)合在等級保護測評和分級保護測評中的具體實踐，對等級保護和分級保護進行詳細介紹，理清兩者間的關(guān)聯(lián)。屬于下列情況之一的機密級信息系統(tǒng)應(yīng)選擇機密級（增強）的要求：（1）信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關(guān)，以及國防、外交、國家安全、軍工等要害部門；（2）信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多；（3）信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。四、等級合規(guī)測評的重要作用等級合規(guī)測評是落實信息安全等級保護制度的重要環(huán)節(jié)在信息系統(tǒng)建設(shè)、整改時，信息系統(tǒng)運營、使用單位通過等級測評進行現(xiàn)狀分析，確定系統(tǒng)的安全保護現(xiàn)狀和存在的安全問題，并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導書測評指導書，形成測評方案。在測評對象確定中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。第三級信息系統(tǒng)單個業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于10個工作日。測評活動應(yīng)盡可能降低成本，減少投入。為客觀反映被測評信息系統(tǒng)的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業(yè)標準的測評指標的要求。等級測評活動包括測評準備、方案編制、現(xiàn)場測評、分析及報告編制四個基本階段。正確選擇測評對象的種類和數(shù)量是整個等級測評工作能夠獲取足夠證據(jù)、了解到被測系統(tǒng)的真實安全保護狀況的重要保證。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。整體測評主要測評分析信息系統(tǒng)的整體安全性。涉密信息系統(tǒng)安全分級保護根據(jù)其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術(shù)要求。在信息安全合規(guī)性要求中，等級保護和分級保護以其涉及范圍廣，實施具有高度專業(yè)化和復雜性的特點，成為信息安全合規(guī)測評工作的重點和難點，后面的文章將會對這兩個概念進行重點解讀。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯(lián)合提出，又被稱作《2002年塞班斯奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面做出了許多新規(guī)定。（2）實際需求－適應(yīng)客戶實際情況。 測評機構(gòu)應(yīng)定期對管理體系進行評審并持續(xù)改進，不斷提高管理要求。信息安全等級測評機構(gòu)能力要求 測評機構(gòu)的人員應(yīng)不受可能影響其測評結(jié)果的來自于商業(yè)、財務(wù)和其他方面的壓力。測評方案應(yīng)通過技術(shù)評審并有相關(guān)記錄，測評指導書應(yīng)進行版本有效性維護，且滿足以下要求：l 符合相關(guān)的等級測評標準；l 提供足夠詳細的信息以確保測評數(shù)據(jù)獲取過程的規(guī)范性和可操作性。e)培訓教育制度應(yīng)包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等的內(nèi)容和要求。本規(guī)范適用于測評機構(gòu)的建設(shè)和管理以及對測評機構(gòu)能力進行評估等活動。第二十五條國家等保辦負責組織開展等級測評機構(gòu)能力驗證和抽查工作。等級測評機構(gòu)應(yīng)在測評項目合同簽訂以及項目完成后5個工作日內(nèi)，向受理信息系統(tǒng)備案的公安機關(guān)報告等級測評項目有關(guān)情況。第十一條 下列事項發(fā)生變更時，等級測評機構(gòu)應(yīng)在變更后5個工作日內(nèi)向等保辦報告。等級測評機構(gòu)，是指依據(jù)國家信息安全等級保護制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測評等信息安全服務(wù)的機構(gòu)。具備下列情形的，年審結(jié)論為合格：（一）遵守國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定；（二）上年度完成的測評項目總值不低于50萬元；（三）符合備案條件。第六條信息安全等級測評機構(gòu)申請備案，應(yīng)當向地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提交下列資料：（一）備案申請書；（二）營業(yè)執(zhí)照復印件；（三）管理人員和專業(yè)技術(shù)人員的身份證明、學歷證明、計算機安全培訓合格證書復印件和無犯罪證明；（四）技術(shù)裝備情況及組織管理制度報告。省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到初審材料之日起15日內(nèi)進行審查，符合條件的，發(fā)給備案證書。年檢結(jié)論為取消的，備案證書作廢，信息安全等級測評機構(gòu)應(yīng)當自接到年檢結(jié)論之日起10日內(nèi)交回備案證書。第五條 國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。第十二條 信息安全等級保護測評機構(gòu)推薦證書有效期為三年。第十九條 等級測評機構(gòu)應(yīng)定期向等保辦報送測評工作開展情況。第二十七條 等級測評機構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級保護測評機構(gòu)推薦證書，并向社會公告。基本條件依據(jù)《信息安全等級保護測評工作管理規(guī)范》（試行），信息安全等級測評機構(gòu)（以下簡稱測評機構(gòu)）應(yīng)當具備以下基本條件：a)在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；b)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； c)產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；d)從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上，無違法記錄；e)工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；f)具有滿足等級測評工作的專業(yè)技術(shù)人員和管理人員，測評技術(shù)人員不少于10人； g)具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)當符合《信息安全等級保護管理辦法》對信息安全產(chǎn)品的要求；h)具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度； i)對國家安全、社會秩序、公共利益不構(gòu)成威脅。 測評人員應(yīng)參加由公安部信息安全等級保護評估中心舉辦的專門培訓、考試并取得中心頒發(fā)的《等級測評師證書》（等級測評師分為初級、中級和高級）。f)信息安全產(chǎn)品應(yīng)獲得公安部計算機信息安全產(chǎn)品銷售許可證。 測評機構(gòu)應(yīng)建立并保存