今天安仔不讲技术，跟大家介绍一下信息安全等级保护测评流程。

也许有用户要问，为什么要做信息安全等级保护？

一、接着说，为什么要做信息安全等级保护？四大理由：

1、降低信息安全风险，提高信息系统的安全防护能力；

2、满足国家相关法律法规和制度的要求；

3、满足相关主管单位和行业要求；

4、合理地规避或降低风险等。

· 如果大家想了解更详细的等级保护要求，可自行百度查阅。

二、信息安全等级保护测评的依据：

依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第一级：用户自主保护级，目前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的；

第二级：系统审计保护级，二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次；

第三级：安全标记保护级，三级信息系统应当每年至少进行一次等级测评；

第四级：结构化保护级，四级信息系统应当每半年至少进行一次等级测评；

第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进行等级测评。

三、等级保护工作的步骤

运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：

1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见第三条）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

四、等级测评的流程：

差距测评阶段又分为以下内容：

• 测评准备活动
• 方案编制活动
• 现场测评活动
• 分析及报告编制活动
• 整改阶段
• 验收测评阶段

1、测评准备活动阶段

• 签订《合作合同》与《保密协议》

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评？验收测评？协助整改？）、项目周期（什么时间进场？项目计划做多长时间？）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

• 项目启动会

在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

• 系统情况调研

启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

2、测评方案编制阶段

该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

3、现场测评阶段

现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。其中技术测评包括: 物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。现场差距测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一个二级系统的现场测评工作一般需要5天左右完成。

此阶段的输出物为物理安全现场测评记录、网络安全现场测评记录、主机安全现场测评记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理机构现场测评记录、人员安全管理现场测评记录、系统建设管理现场测评记录和系统运维管理现场测评记录等。

4、分析与报告编制阶段

此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。

此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。

此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。

5、整改阶段

主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

6、验收测评阶段

测评流程与之前的流程相同，主要是检查整改的效果。

综上，一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

四、被测方（备案单位）在测评阶段需配合的工作

1、测评准备阶段：

1) 被测方成立项目组，并任命项目经理；

2) 向测评机构介绍本单位的信息化建设状况与发展情况；

3) 准备测评机构需要的资料，比如系统定级报告、备案表、自查或上次测评报告、联系方式等；

4) 为测评人员的信息收集提供支持和协调；

5) 准确填写信息系统基本信息调查表；

6) 根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议；

2、方案编制阶段：

与测评方讨论测评方案，并最终签字确认。

3、现场测评阶段：

1) 此阶段工作测评方人员需要在客户现场完成。需要被测方提供办公位（基本的办公环境）。

2) 备案单位需要机房管理员、网络管理员、安全主管、系统管理员、系统开发人员、运维人员等进行配合。

3) 测评前备份系统和数据，并确认被测设备状态完好；

4) 协调被测系统内部相关人员的关系，配合测评工作的开展；

5) 相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作；

6) 相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响；

7) 相关人员对测评结果进行确认；

8) 相关人员确认工具测试后被测设备的状态完好。

4、分析与报告编制阶段：

确认测评报告和整改建议。

5、整改阶段

主要由客户实施，测评机构协助。

6、验收测评阶段

此阶段与之前的差距测评阶段类似，主要是针对整改的项目进行测评，从而检验整改的效果。备案单位签收测评报告，并把测评报告向公安机关备案。

在上述工作全部完成后，被测单位应将由等级测评机构盖章的《测评报告》提交公安机关完成备案。

安界贯彻人才培养理念，结合专业研发团队，打造课程内容体系，推进实训平台发展，通过一站式成长计划、推荐就业以及陪护指导的师带徒服务，为学员的继续学习和职业发展保驾护航，真正实现和完善网络安全精英的教练场平台；