信息安全等级保护测评
1
目录
• 国家对等级保护测评的要求 • 等级保护测评注意事项 • 等级保护测评要求（部分解读） • 等级保护测评过程 • 等级保护测评中常见问题
2
国家对等级保护测评的要求
《管理办法》”等级保护的实施与管理“第十四条
信息系统建设完成后，运营、使用单位或者其主管部门
应当选择符合本办法规定条件的测评单位，依据《信息 系统安全等级保护测评要求》等技术标准，定期对信息 系统安全等级状况开展等级测评。
给被检查方，请被检查方当前提供并进行查验；
所有需要以检测方式检查的项目，按检测部门或设备分类后，根
据具体情况选择检测顺序。
17
等级保护测评方法（2）
第二十二条 我省对测评机构实施备案制度。符合第二十一条规
定的条件，承担第二级以上的计算机信息系统测评工作的机构应 当到省公安厅公共信息网络安全监察部门备案。
第二十五条 第二级以上的计算机信息系统建设完成后，使用单
位应当委托符合规定的测评机构安全测评合格方可投入使用。测 评活动应当接受公安机关公共信息网络安全监察部门的监督。
等级测评机构，是指具备本规范的基本条件，经能力评估和审
核，由省级以上信息安全等级保护工作协调（领导）小组办公 室（以下简称为“等保办”）推荐，从事等级测评工作的机构。
等级保护测评的执行主体应当是具有相关资质的、独立的测评
服务机构。
只有独立的第三方，才能保证测评工作的客观性和公正性。
9
等级测评基本原则
供我省信息系统运营、使用单位、主管部门选用提供各类测评服 务（差距评估、验收性测评、年度测评工作）。 1、广州竞远系统网络技术有限公司 2、中国赛宝实验室（工业和信息化部电子第五研究所） 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司
7
等级保护测评基本概念
测评机构应当按照有关规定和统一标准提供“客观、公正、
安全”的测评服务，按照统一的测评报告模版出具测评报告。
测评机构可以从事等级测评活动以及信息系统安全等级保护
定、安全建设整改、信息安全等级保护宣传教育等工作的 技术支持。
10
等级测评的特点
管理角度：
强制执行：管理办法强制周期性执行 执行主体：符合条件的测评机构 执行对象：定级的信息系统 服务主体：国家信息安全监管部门/主管部门/运维、使用单位
12
等级保护测评工作开展
系统改建方案设计：由信息系统的运营使用单位自己组织人员或
由第三方评估机构，采用等级测评方法对信息系统安全保护现状 与等级保护基本要求进行符合性评估，得到与相应等级要求的差 距项，确定安全需求，为制定安全改建方案提供依据。是一种需 求分析方法，不受测评执行主体的限制。
等级保护建设完成后的测评，由具有相关资质、独立的第三方测
第三级信息系统应当每年至少进行一次等级测评，第四
级信息系统应当每半年至少进行一次等级测评，第五级 信息系统应当依据特殊安全需求进行等级测评。
3
广东省安全保护条例对测评要求
第十二条 第二级以上计算机信息系统建设完成后，运营、
使用单位或者其主管部门应当选择符合国家规定的安全 等级测评机构，依据国家规定的技术标准，对计算机信 息系统安全等级状况开展等级测评，测评合格后方可投 入使用。
5
广东省信息安全等级测评工作细则（试行）
计算机信息系统投入使用后，存在下列情形之一的，应当进行安
全自查，同时委托安全测评机构进行安全测评：
（一）变更关键部件； （二）安全测评时间满一年； （三）发生危害计算机信系统安全的案件或安全事故； （四）公安机关公共信息网络安全监察部门根据应急处置工作的
中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、 设备。测评的层面涉及物理安全、网络安全、主机安全、应用系 统安全、数据安全以及安全管理。 测评要求
使用测评表进行具体检查时，首先按询问、查验、检测等工作方
式将所有检查项目分类。
所有以询问方式检查的项目，在与有关人员的谈话或会议上进行； 所有以查验方式检查的项目，将需要的文档清单在检查现场提交
技术角度：
符合性测评：依据基本要求 等级化：不同级别测评强度不同
11
等级保护测评适用的阶段
在实施等级保护建设工作前，信息系统运营、使用单位可以开
展一次等级测评以确定信息系统的安全需求。
在等级保护建设完成后，通过等级测评判定信息系统是否按照
预先设定的安全模式运行，安全控制措施是否得到合理的应用， 信息系统是否达到相关标准的要求，是否具备相应等级的安全 防护能力等。
等级测评工作，是指测评机构依据国家信息安全等级
保护制度规定，按照有关管理规范和技术标准，对非 涉及国家秘密信息系统安全等级保护状况进行检测评 估的活动。 通过信息安全等级测评机构对已完成的等级保护建设的信
息系统定期进行等级测评，确保信息系统的安全保护措施 符合相应等级的安全要求。
8
等级保护测评的执行主体
评机构完成。
13
1.2.13测评与监督检查的关系
等级保护测评的操作形式
自评估 委托评估 检查评估
14
1.2.14测评工作要求
依据标准，遵循原则 恰当选取，保证强度 规范行为，减少风险
过程规范 行为规范
15
等级保护测评注意事项
16
等级保护测评方法（1）
测评方法
测评采用访谈、检查和测试三种方法，测评对象是测评实施过程
第十三条 计算机信息系统的运营、使用单位及其主管部
门应当按照国家规定定期对计算机信息系统开展安全等 级测评，并对计算机信息系统安全状况、安全管理制度 及措施的落实情况进行自查。
计算机信息系统安全状况经测评或者自查，未达到安全 等级保护要求的，运营、使用单位应当进行整改。
4
广东省公安厅关于计算机信息系统安全保护的实施办法 （一）
需要认为应当进行安全测评；
（五）其他应当进行安全自查和安全测评的情形。 申请单位认为安全测评报告的合法性和真实性存在重大问题的，
可以向本单位所在地公安机关公共信息网络安全监察部门提出申 诉，提交异议申诉书及有关证明材料。
6
广东省等级保护测评机构
关于发布广东省信息安全等级保护测评机构的公告
（粤等保办[2010]3号）