【正文】 析。四、等級合規(guī)測評的重要作用等級合規(guī)測評是落實信息安全等級保護制度的重要環(huán)節(jié)在信息系統建設、整改時，信息系統運營、使用單位通過等級測評進行現狀分析，確定系統的安全保護現狀和存在的安全問題，并在此基礎上確定系統的整改安全需求。信息系統定級是整個等級保護工作的開始，等級保護基本要求是對不同等級信息系統實行等級保護的基礎。客戶可以基于定級指南對信息系統定級，基于等級保護基本要求實施保護措施，從而將有效落實國家有關等級保護的制度要求和文件精神。等級測評報告是信息系統開展整改加固的重要指導性文件，也是信息系統備案的重要附件材料等級測評結論為信息系統未達到相應等級的基本安全保護能力的，運營、使用單位應當根據等級測評報告，制定方案進行整改，盡快達到相應等級的安全保護能力。等級測評使整個組織規(guī)范一致的開展等級評定工作合規(guī)測評基于客戶的組織架構、運作模式等特點，制定信息系統安全保護等級定級指南，明確在組織內開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個組織范圍內一致地開展。確保突出重點保護對象并進行適度保護信息系統安全等級保護基本要求明確了不同等級信息系統的技術要求和管理要求，基于信息系統安全等級保護基本要求，合規(guī)測評可使客戶在符合國家法律法規(guī)要求的前提下，針對不同等級信息系統采取相應等級的保護措施，從而確保重點突出、適度保護，節(jié)省IT投資。等級測評提高內部人員的信息安全意識合規(guī)測評過程中，第三方咨詢專家將與被服務單位人員密切合作。通過與被服務單位人員有針對性的交流，以及精心設計的調查問卷等，被服務單位的管理、業(yè)務、技術等人員將逐步提高對信息安全合規(guī)的認識，強化信息安全意識，杜絕違規(guī)操作。作為第三方測評機構，山東省軟件評測中心認為，通過等級合規(guī)測評可指導用戶在各個層面上綜合采取多種保護措施，保護網絡和安全域邊界、網絡及基礎設施、終端計算環(huán)境的安全、以及進行安全運行中心等支撐性安全設施的建設。五、等級合規(guī)測評的操作流程 要充分發(fā)揮等級測評對信息安全的保障作用，就要按照科學的流程和方法進行操作。山東省軟件評測中心根據等級測評的相關要求將等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。具體過程如下：測評準備活動本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續(xù)工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。方案編制活動本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發(fā)測評指導書測評指導書，形成測評方案。現場測評活動本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執(zhí)行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發(fā)現系統存在的安全問題。分析與報告編制活動本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全等級保護基本要求》的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。等級測評項目啟動測評準備活動信息收集與分析工具和表單準備測評對象確定測評指標確定方案編制活動測評工具接入點確定測評內容確定測評指導書開發(fā)測評方案編制現場測評活動測評實施準備現場測評和記錄結果結果確認和資料歸還單項測評結果判定分析與報告編制活動單元測評結果判定整體測評風險分析等級測評結論形成測評報告編制溝通與洽談六、等級合規(guī)測評的關鍵點確定了等級測評的具體流程，是為開展測評工作奠定了堅實基礎，但是還要關注在具體環(huán)節(jié)上關鍵要素，它們對測評工作的成效高低具有重大影響。等級測評的方法和強度等級測評的基本方法一般包括訪談、檢查和測試等三種。訪談是測評人員通過與被測評單位的相關人員進行交談和問詢，了解被測信息系統安全技術和安全管理方面的相關信息，以對測評內容進行確認。檢查是測評人員通過簡單比較或使用專業(yè)知識分析的方式獲得測評證據的方法，包括：評審、核查、審查、觀察、研究和分析等方法。測試是指測評人員通過使用相關技術工具對信息系統進行驗證測評的方法，包括功能測試、性能測試、滲透測試等。等級測評機構應當根據被測信息系統的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現在訪談過程的嚴格和詳細程度，廣度體現在訪談人員的構成和數量上；檢查的深度體現在檢查過程的嚴格和詳細程度，廣度體現在檢查對象的種類（文檔、機制等）和數量上；測試的深度體現在執(zhí)行的測試類型上（功能/性能測試和滲透測試），廣度體現在測試使用的機制種類和數量上。等級測評對象測評對象是在被測信息系統中實現特定測評指標所對應的安全功能的具體系統組件。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。測評對象一般采用抽查信息系統中具有代表性組件的方法確定。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。七、等級合規(guī)測評的指標開展等級測評活動應從《信息系統安全等級保護基本要求》（GB/T 222392008）中選擇相應等級的安全要求作為基本測評指標。第二級信息系統等級測評指標，除按照《信息系統安全等級保護基本要求》所規(guī)定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的66項基本要求（177個控制點）作為基礎測評指標以外，還應參照《信息系統通用技術要求》中的83個控制點、《信息系統安全管理要求》中的70個控制點、《信息系統安全工程管理要求》中的51個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結合不同的定級結果組合情況進行確定。第三級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規(guī)定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的73項基本要求（290個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的109個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的42個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結合不同的定級結果組合情況進行確定。第四級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規(guī)定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的77項基本要求（317個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的120個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的35個控制點以及行業(yè)測評標準所規(guī)定的其他控制點，結合不同的定級結果組合情況進行確定。對于由多個不同等級的信息系統組成的被測系統，應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標不能分開，則不能分開的測評指標應采用就高原則。八、高效等級測評工作的注意事項為了保障等級測評取得真正的成效，在測評之前，需要認真籌備；測評過程中依照相關規(guī)定，強化管理。同時，在測評操作過程中還應該嚴格遵循等級測評的相關原則。以上經驗，都已經在山東省軟件測評中心的實踐中得到驗證，成效顯著。認真做好等級測評質量保障工作等級測評機構開展測評前應與委托單位聯合成立等級測評工作組，建立通暢的溝通聯絡機制，確保等級測評活動的順利開展。等級測評機構開展等級測評時，必須保證足夠的現場測評等級測評師。開展第二級信息系統的等級測評活動時，測評機構至少應由一名中級等級測評師、一名管理類等級測評師、二名技術類等級測評師參與等級測評活動；開展第三級信息系統的等級測評活動時，測評機構至少應由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術類等級測評師參與等級測評活動；開展第四級信息系統的等級測評活動時，測評機構至少應由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術類等級測評師參與等級測評活動。等級測評機構開展等級測評時，應當投入滿足測評需要的拓撲發(fā)現設備、網絡安全配置核查設備、網絡協議分析設備、漏洞掃描設備、滲透攻擊集成設備等功能測試、性能測試、滲透測試工具以及必要的交通、通信設備。等級測評活動包括測評準備、方案編制、現場測評、分析及報告編制四個基本階段。第二級信息系統單個業(yè)務系統等級測評全過程，一般不少于5個工作日。第三級信息系統單個業(yè)務系統等級測評全過程，一般不少于10個工作日。第四級信息系統單個業(yè)務系統等級測評全過程，一般不少于20個工作日。等級測評活動中，測評機構需要提交給委托方的資料不少于以下紙質文檔：項目計劃書、公正性聲明、保密協議、等級測評方案、現場測評記錄、等級測評報告、安全建設整改意見嚴格等級測評管理信息系統的運營、使用單位或主管部門應當選擇年審合格的測評機構，按照《信息系統安全等級保護測評要求》等技術標準，定期對信息系統的安全狀況開展等級測評。第三級信息系統應每年進行一次等級測評，第四級信息系統應每半年進行一次等級測評。重要的第二級信息系統可參照第三級信息系統的測評要求進行等級測評。符合測評條件的新建、擴建信息系統及信息系統發(fā)生重大改變時，應及時安排等級測評。等級測評活動結束后，測評機構應在15個工作日內向被測評信息系統的運營、使用單位提供等級測評報告，并應同時向省、市兩級等保辦提交第三級（含）以上信息系統的等級測評報告。被測評信息系統安全狀況未達到信息安全等級保護制度要求的，由等級測評機構提出安全建設整改意見，運營、使用單位應當及時制定方案進行整改。省內信息系統的等級測評工作原則上由省內等級測評機構完成，特殊行業(yè)等級測評機構或省外其他等級測評機構在省內開展等級測評活動時，應在省等保辦辦理登記備案手續(xù)，按照本規(guī)范開展等級測評活動，并接受省等保辦的監(jiān)督管理。測評機構及其測評人員應當嚴格執(zhí)行有關管理規(guī)范和技術標準，開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改建議、信息安全等級保護宣傳教育等工作的技術支持，但不得從事下列活動：(1)、影響被測評信息系統正常運行，危害被測評信息系統安全；(2)、泄露被測評單位及被測信息系統的敏感信息和工作秘密；(3)、故意隱瞞測評過程中發(fā)現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；(4)、未按規(guī)定格式出具等級測評報告；(5)、非授權占有、使用等級測評活動中的獲得的相關資料及數據文件；(6)、分包或轉包等級測評項目；(7)、從事信息安全產品開發(fā)、銷售和信息系統安全集成；(8)、限定被測評單位購買、使用其指定的信息安全產品；(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。九、等級合規(guī)測評中應當嚴格遵循的五個原則客觀公正原則。測評人員應當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。充分性原則。為客觀反映被測評信息系統的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業(yè)標準的測評指標的要求。經濟性原則。測評活動應盡可能降低成本，減少投入?；跍y評成本和工作復雜性，鼓勵測評工作部分使用能反映信息系統當前安全狀態(tài)的已有測評結果，包括商業(yè)安全產品測評結果和信息系統已有的安全測評結果。結果一致性原則。針對同一信息系統的等級測評，不同測評機構依據同一的測評方案和測評方法得出的測評結果應當一致，同一測評機構重復執(zhí)行相同測評過程得出的結果應當一致。安全性原則。測評機構和測評人員在測評活動中，應當履行安全保密義務，承擔相應的法律責任，確保被測評信息系統安全運行和用戶的工作秘密及商業(yè)秘密不被泄露。