【正文】 析。四、等級合規(guī)測評的重要作用等級合規(guī)測評是落實信息安全等級保護制度的重要環(huán)節(jié)在信息系統(tǒng)建設(shè)、整改時，信息系統(tǒng)運營、使用單位通過等級測評進行現(xiàn)狀分析，確定系統(tǒng)的安全保護現(xiàn)狀和存在的安全問題，并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求。信息系統(tǒng)定級是整個等級保護工作的開始，等級保護基本要求是對不同等級信息系統(tǒng)實行等級保護的基礎(chǔ)。客戶可以基于定級指南對信息系統(tǒng)定級，基于等級保護基本要求實施保護措施，從而將有效落實國家有關(guān)等級保護的制度要求和文件精神。等級測評報告是信息系統(tǒng)開展整改加固的重要指導(dǎo)性文件，也是信息系統(tǒng)備案的重要附件材料等級測評結(jié)論為信息系統(tǒng)未達到相應(yīng)等級的基本安全保護能力的，運營、使用單位應(yīng)當(dāng)根據(jù)等級測評報告，制定方案進行整改，盡快達到相應(yīng)等級的安全保護能力。等級測評使整個組織規(guī)范一致的開展等級評定工作合規(guī)測評基于客戶的組織架構(gòu)、運作模式等特點，制定信息系統(tǒng)安全保護等級定級指南，明確在組織內(nèi)開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個組織范圍內(nèi)一致地開展。確保突出重點保護對象并進行適度保護信息系統(tǒng)安全等級保護基本要求明確了不同等級信息系統(tǒng)的技術(shù)要求和管理要求，基于信息系統(tǒng)安全等級保護基本要求，合規(guī)測評可使客戶在符合國家法律法規(guī)要求的前提下，針對不同等級信息系統(tǒng)采取相應(yīng)等級的保護措施，從而確保重點突出、適度保護，節(jié)省IT投資。等級測評提高內(nèi)部人員的信息安全意識合規(guī)測評過程中，第三方咨詢專家將與被服務(wù)單位人員密切合作。通過與被服務(wù)單位人員有針對性的交流，以及精心設(shè)計的調(diào)查問卷等，被服務(wù)單位的管理、業(yè)務(wù)、技術(shù)等人員將逐步提高對信息安全合規(guī)的認識，強化信息安全意識，杜絕違規(guī)操作。作為第三方測評機構(gòu)，山東省軟件評測中心認為，通過等級合規(guī)測評可指導(dǎo)用戶在各個層面上綜合采取多種保護措施，保護網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計算環(huán)境的安全、以及進行安全運行中心等支撐性安全設(shè)施的建設(shè)。五、等級合規(guī)測評的操作流程 要充分發(fā)揮等級測評對信息安全的保障作用，就要按照科學(xué)的流程和方法進行操作。山東省軟件評測中心根據(jù)等級測評的相關(guān)要求將等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。具體過程如下：測評準備活動本活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。方案編制活動本活動是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案?，F(xiàn)場測評活動本活動是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案的總體要求，嚴格執(zhí)行測評指導(dǎo)書測評指導(dǎo)書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。分析與報告編制活動本活動是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護能力的綜合評價活動。本活動的主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和《信息安全等級保護基本要求》的有關(guān)要求，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險，從而給出等級測評結(jié)論，形成測評報告文本。等級測評項目啟動測評準備活動信息收集與分析工具和表單準備測評對象確定測評指標確定方案編制活動測評工具接入點確定測評內(nèi)容確定測評指導(dǎo)書開發(fā)測評方案編制現(xiàn)場測評活動測評實施準備現(xiàn)場測評和記錄結(jié)果結(jié)果確認和資料歸還單項測評結(jié)果判定分析與報告編制活動單元測評結(jié)果判定整體測評風(fēng)險分析等級測評結(jié)論形成測評報告編制溝通與洽談六、等級合規(guī)測評的關(guān)鍵點確定了等級測評的具體流程，是為開展測評工作奠定了堅實基礎(chǔ)，但是還要關(guān)注在具體環(huán)節(jié)上關(guān)鍵要素，它們對測評工作的成效高低具有重大影響。等級測評的方法和強度等級測評的基本方法一般包括訪談、檢查和測試等三種。訪談是測評人員通過與被測評單位的相關(guān)人員進行交談和問詢，了解被測信息系統(tǒng)安全技術(shù)和安全管理方面的相關(guān)信息，以對測評內(nèi)容進行確認。檢查是測評人員通過簡單比較或使用專業(yè)知識分析的方式獲得測評證據(jù)的方法，包括：評審、核查、審查、觀察、研究和分析等方法。測試是指測評人員通過使用相關(guān)技術(shù)工具對信息系統(tǒng)進行驗證測評的方法，包括功能測試、性能測試、滲透測試等。等級測評機構(gòu)應(yīng)當(dāng)根據(jù)被測信息系統(tǒng)的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現(xiàn)在訪談過程的嚴格和詳細程度，廣度體現(xiàn)在訪談人員的構(gòu)成和數(shù)量上；檢查的深度體現(xiàn)在檢查過程的嚴格和詳細程度，廣度體現(xiàn)在檢查對象的種類（文檔、機制等）和數(shù)量上；測試的深度體現(xiàn)在執(zhí)行的測試類型上（功能/性能測試和滲透測試），廣度體現(xiàn)在測試使用的機制種類和數(shù)量上。等級測評對象測評對象是在被測信息系統(tǒng)中實現(xiàn)特定測評指標所對應(yīng)的安全功能的具體系統(tǒng)組件。正確選擇測評對象的種類和數(shù)量是整個等級測評工作能夠獲取足夠證據(jù)、了解到被測系統(tǒng)的真實安全保護狀況的重要保證。測評對象一般采用抽查信息系統(tǒng)中具有代表性組件的方法確定。在測評對象確定中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。七、等級合規(guī)測評的指標開展等級測評活動應(yīng)從《信息系統(tǒng)安全等級保護基本要求》（GB/T 222392008）中選擇相應(yīng)等級的安全要求作為基本測評指標。第二級信息系統(tǒng)等級測評指標，除按照《信息系統(tǒng)安全等級保護基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維管理的66項基本要求（177個控制點）作為基礎(chǔ)測評指標以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的83個控制點、《信息系統(tǒng)安全管理要求》中的70個控制點、《信息系統(tǒng)安全工程管理要求》中的51個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結(jié)合不同的定級結(jié)果組合情況進行確定。第三級信息系統(tǒng)等級測評指標確定，除按照《信息系統(tǒng)安全等級保護基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維管理的73項基本要求（290個控制點）作為測評指標以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的109個控制點、《信息系統(tǒng)安全管理要求》中的104個控制點、《信息系統(tǒng)安全工程管理要求》中的42個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結(jié)合不同的定級結(jié)果組合情況進行確定。第四級信息系統(tǒng)等級測評指標確定，除按照《信息系統(tǒng)安全等級保護基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運維管理的77項基本要求（317個控制點）作為測評指標以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的120個控制點、《信息系統(tǒng)安全管理要求》中的104個控制點、《信息系統(tǒng)安全工程管理要求》中的35個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結(jié)合不同的定級結(jié)果組合情況進行確定。對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng)，應(yīng)分別確定各個定級對象的測評指標。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標不能分開，則不能分開的測評指標應(yīng)采用就高原則。八、高效等級測評工作的注意事項為了保障等級測評取得真正的成效，在測評之前，需要認真籌備；測評過程中依照相關(guān)規(guī)定，強化管理。同時，在測評操作過程中還應(yīng)該嚴格遵循等級測評的相關(guān)原則。以上經(jīng)驗，都已經(jīng)在山東省軟件測評中心的實踐中得到驗證，成效顯著。認真做好等級測評質(zhì)量保障工作等級測評機構(gòu)開展測評前應(yīng)與委托單位聯(lián)合成立等級測評工作組，建立通暢的溝通聯(lián)絡(luò)機制，確保等級測評活動的順利開展。等級測評機構(gòu)開展等級測評時，必須保證足夠的現(xiàn)場測評等級測評師。開展第二級信息系統(tǒng)的等級測評活動時，測評機構(gòu)至少應(yīng)由一名中級等級測評師、一名管理類等級測評師、二名技術(shù)類等級測評師參與等級測評活動；開展第三級信息系統(tǒng)的等級測評活動時，測評機構(gòu)至少應(yīng)由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術(shù)類等級測評師參與等級測評活動；開展第四級信息系統(tǒng)的等級測評活動時，測評機構(gòu)至少應(yīng)由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術(shù)類等級測評師參與等級測評活動。等級測評機構(gòu)開展等級測評時，應(yīng)當(dāng)投入滿足測評需要的拓撲發(fā)現(xiàn)設(shè)備、網(wǎng)絡(luò)安全配置核查設(shè)備、網(wǎng)絡(luò)協(xié)議分析設(shè)備、漏洞掃描設(shè)備、滲透攻擊集成設(shè)備等功能測試、性能測試、滲透測試工具以及必要的交通、通信設(shè)備。等級測評活動包括測評準備、方案編制、現(xiàn)場測評、分析及報告編制四個基本階段。第二級信息系統(tǒng)單個業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于5個工作日。第三級信息系統(tǒng)單個業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于10個工作日。第四級信息系統(tǒng)單個業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于20個工作日。等級測評活動中，測評機構(gòu)需要提交給委托方的資料不少于以下紙質(zhì)文檔：項目計劃書、公正性聲明、保密協(xié)議、等級測評方案、現(xiàn)場測評記錄、等級測評報告、安全建設(shè)整改意見嚴格等級測評管理信息系統(tǒng)的運營、使用單位或主管部門應(yīng)當(dāng)選擇年審合格的測評機構(gòu)，按照《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)的安全狀況開展等級測評。第三級信息系統(tǒng)應(yīng)每年進行一次等級測評，第四級信息系統(tǒng)應(yīng)每半年進行一次等級測評。重要的第二級信息系統(tǒng)可參照第三級信息系統(tǒng)的測評要求進行等級測評。符合測評條件的新建、擴建信息系統(tǒng)及信息系統(tǒng)發(fā)生重大改變時，應(yīng)及時安排等級測評。等級測評活動結(jié)束后，測評機構(gòu)應(yīng)在15個工作日內(nèi)向被測評信息系統(tǒng)的運營、使用單位提供等級測評報告，并應(yīng)同時向省、市兩級等保辦提交第三級（含）以上信息系統(tǒng)的等級測評報告。被測評信息系統(tǒng)安全狀況未達到信息安全等級保護制度要求的，由等級測評機構(gòu)提出安全建設(shè)整改意見，運營、使用單位應(yīng)當(dāng)及時制定方案進行整改。省內(nèi)信息系統(tǒng)的等級測評工作原則上由省內(nèi)等級測評機構(gòu)完成，特殊行業(yè)等級測評機構(gòu)或省外其他等級測評機構(gòu)在省內(nèi)開展等級測評活動時，應(yīng)在省等保辦辦理登記備案手續(xù)，按照本規(guī)范開展等級測評活動，并接受省等保辦的監(jiān)督管理。測評機構(gòu)及其測評人員應(yīng)當(dāng)嚴格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標準，開展客觀、公正、安全的測評服務(wù)。測評機構(gòu)可以從事等級測評活動以及信息系統(tǒng)安全等級保護定級、安全建設(shè)整改建議、信息安全等級保護宣傳教育等工作的技術(shù)支持，但不得從事下列活動：(1)、影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；(2)、泄露被測評單位及被測信息系統(tǒng)的敏感信息和工作秘密；(3)、故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；(4)、未按規(guī)定格式出具等級測評報告；(5)、非授權(quán)占有、使用等級測評活動中的獲得的相關(guān)資料及數(shù)據(jù)文件；(6)、分包或轉(zhuǎn)包等級測評項目；(7)、從事信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；(8)、限定被測評單位購買、使用其指定的信息安全產(chǎn)品；(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。九、等級合規(guī)測評中應(yīng)當(dāng)嚴格遵循的五個原則客觀公正原則。測評人員應(yīng)當(dāng)在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。充分性原則。為客觀反映被測評信息系統(tǒng)的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業(yè)標準的測評指標的要求。經(jīng)濟性原則。測評活動應(yīng)盡可能降低成本，減少投入。基于測評成本和工作復(fù)雜性，鼓勵測評工作部分使用能反映信息系統(tǒng)當(dāng)前安全狀態(tài)的已有測評結(jié)果，包括商業(yè)安全產(chǎn)品測評結(jié)果和信息系統(tǒng)已有的安全測評結(jié)果。結(jié)果一致性原則。針對同一信息系統(tǒng)的等級測評，不同測評機構(gòu)依據(jù)同一的測評方案和測評方法得出的測評結(jié)果應(yīng)當(dāng)一致，同一測評機構(gòu)重復(fù)執(zhí)行相同測評過程得出的結(jié)果應(yīng)當(dāng)一致。安全性原則。測評機構(gòu)和測評人員在測評活動中，應(yīng)當(dāng)履行安全保密義務(wù)，承擔(dān)相應(yīng)的法律責(zé)任，確保被測評信息系統(tǒng)安全運行和用戶的工作秘密及商業(yè)秘密不被泄露。