《信息安全等级保护测评机构能力规范（征求意见稿）》规定：测评机构应当按照有 关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告 模板出具测评报告。测评机构不得从事下列活动： a) 承担信息系统安全建设整改工作； b) 将等级测评任务分包、外包； c) 从事信息安全产品开发、营销和信息系统集成活动；
•防火 •防雷击 •防盗窃和防破坏 •物理访问控制 •物理位置选择
•物理安全以及构成信息系 统的硬件设备和介质等
•网络设备防护 •恶意代码防护 •网络入侵检测 •边界完整性检查 •网络安全审计 •网络访问控制 •结构安全和网段划分
等级测评概述－政策解读
四、等级测评相关政策要求解读
《信息安全等级保护管理办法》规定：信息系统建设完成后，运营、使用单位或者 其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保 护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信 息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次 等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
医疗行业等级保护测评 解读
2020年5月28日星期四
医疗行业等级保护测评解读
等级测评概述 等级测评的内容 等级测评的流程和方法 医疗行业信息安全现状和测评重点 关于测评机构
等级测评概述－政策背景
一、政策背景——国家全面推行信息安全等级保护制度
2007年6月，公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室联合发布《信息安全等级保护管理办法》（ 公通字［2007］43号），在全社会范围推行“信息安全等级保 护”政策。
•网络安全(三级) 等级测评的内容
• 网络层面构成组件负责支撑信息系统进行网络互联，为信息系统 各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接 线路以及它们构成的网络拓扑等。 • 两个不同信息系统需要交换信息，而进行网络互联（内部互联） ；为了与其他单位/网络交换信息，与他们的网络互联（外部互联）， 这些网络连接边界是网络安全测评的重点之一。
等级保护工作是信息安全工作的基本制度，是维护国家信息安 全的根本保障，是国家意志的体现。
根据《信息安全等级保护管理办法》规定，信息系统运营、使 用单位在进行信息系统备案后，都应当选择测评机构进行等级 测评。
等级测评概述－什么是等级测评
二、什么是等级测评？ 等级测评是测评机构依据国家信息安全等级保护制
度规定，受有关单位委托，按照有关管理规范 和技术标准，对信息系统安全等级保护状况进 行检测评估的活动。
等级测评概述－为何要开展等级测评
三、为什么要开展等级测评工作？
1、等级测评是保证等级保护国家政策得到切实落实的重要保证 推行等级保护的目的是：促进运营和使用单位改造加固信息系统，确保信 息系统达到相应等级的安全基本要求，取得相应等级的基本安全保护能力 。系统是否满足相应等级的基本要求成为问题的关键；等级测评是依据《 信息系统安全等级保护测评要求》等技术标准，确定信息系统安全保护能 力是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的关 键步骤。如果不开展等级测评，等级保护这项国家政策将无法落地。
•资源控制 •软件容错 •抗抵赖 •剩余信息保护 •安全审计 •通信保密性 •通信完整性 •访问控制 •身份鉴别
•资源控制 •恶意代码防范
•入侵防范 •剩余信息保护
•安全审计 •访问控制 •身份鉴别
•主机系统安全(三级) 等级测评的内容
• 主机系统构成组件有服务器、终端/工作站等计算机设备，包括他们 的操作系统、数据库系统及其相关环境等。主机系统直接为信息系统的信 息采集、加工、存储、传输、检索等提供运行环境，包括为信息系统用户 提供人机交互的环境。通常采取身份鉴别、访问控制、安全审计、系统资 源控制等安全功能，以保证系统的安全。
d) 限定被测评单位购买、使用其指定的信息安全产品； e) 未经许可占有、使用有关测评信息、资料及数据文件; f) 其他可能影响测评客观、公正的活动。
等级测评概述－政策解读
政策解读：
1. 测评依据： 《信息系统安全等级保护测评要求》等技术标准 2. 测评性质：符合性测评，符标测试 3. 测评对象：已经定级的信息系统 4. 测评频率：三级系统，每年至少一次；四级系统，每半年至少一次 5. 测评管理要求：强制性周期开展 6. 测评技术要求：等级化进行---不同级别的系统测评要求不同 7. 测评发起单位：主管部门，运维、使用单位，国家信息安全监管部门 8. 测评报告利用：测评报告整改加固指导性文件，也是系统备案附件 9. 测评机构要求： 公安机关同意备案或授权且不从事系统安全整改建设
2、等级测评对等级保护其他环节和等级保护整体工作成效具有决定性影响 等级保护包含：定级、备案、测评、建设整改、监督检查5个环节，每个环 节环环相扣；等级测评结果是建设整改、监督检查的关键依据。等级测评 对系统经过等级保护之后最终能够达到什么样的安全防护能力具有决定性 影响，对等级保护工作的实际成效具有决定性影响。
等级测评概述－为何要开展等级测评
三、为什么要开展等级测评工作？
3、等级测评独特的技术裁决性质，决定了等级测评工作不可替代性 等级测评依据的是国家技术标准，落实的是国家信息安全政策，等级测评的 结果是国家信息安全监管部门依法行使监督、检查管理的技术依据，具有 明显的技术权威评判性质。因此，作为一项政策性很强的技术专业化活动 ，等级测评必须保证强烈的独立性、客观性和公正性，等级测评必须严格 区别于任何商业化的测试、评估活动，不能为商业性测评所取代。
产品开发与营销等影响 “客观、公正、安全”的工作。
•管理要求
等级测评的内容－十个方面
•业务安全 •基本要求
•系统运维管理 •系统建设管理 •人员安全管理 •安全管理制度 •安全管理机构
•数据安全 •应用安全 •主机安全 •网络安全 •物理安全
•技术要求
•电磁防护 •电力供应 •温湿度控制
•防静电 •防水和防潮