等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务，工作中的过程和文档需具有 良好的规范性，可以便于项目的跟踪和控制。
11

为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
保密性原则
15

等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及 对应的安全建设 情况，开展针对 性较强的测评工 作。
保密性原则
个性化原则
16


主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具

17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面：测评和分析在网络和主机上存在的安全技术风险， 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
测评过程和所使用的工具具备可控性，测评项目所采用 的工具都经过多次测评项目考验，或者是根据具体要 求和组织的具体网络特点定制的，具范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制
等级保护测评原则
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则
GB/T 20011-2005 信息安全技术 路由器安全测评准则
5

等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后，运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构，依据《信息系统安 全等级保护测评要求》等技术标准，定期对信息系统安全等 级状况开展等级测评； 2.第三级信息系统应当每年至少进行一次等级测评，第四级 信息系统应当每半年至少进行一次等级测评，第五级信息系 统应当依据特殊安全需求进行等级测评； 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查，第四级信息系统 应当每半年至少进行一次自查，第五级信息系统应当依据特 殊安全需求进行自查； 4.经测评或者自查，信息系统安全状况未达到安全保护等级 要求的，运营、使用单位应当制定方案进行整改
7

等级保护测评依据
测评主要标准 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 相GB/TXXXX-XXXX 信息安全技术信息系统安全等级保护测评要求 (报批稿) 关 参考技术标准 GB17859-1999 计算机信息系统安全保护等级划分准则
测 评 管理层面：从组织的人员、组织结构、管理制度、系统运行保 障措施，以及其它运行管理规范等角度，分析业务运作和管理 内 方面存在的安全缺陷 容
通过对以上各种安全威胁的分析和汇总，形成组织的安全测评 报告 根据组织的安全测评报告和安全现状，提出相应的安全整改建 议，指导下一步的信息安全建设
18

1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评目的
等级保护测评的主要目的是： 对信息系统安全防护体系能力的分析与确认， 发现存在的安全隐患， 帮助运营使用单位认识不足， 及时改进， 有效提升其信息安全防护水平；
遵循国家等级保护有关规定的要求， 对信息系统安全建设进行符合性测评；
8

等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评原则
标准性原则
测评工作的开展、方案的设计和具体实施均需依据我 国等级保护的相关标准进行。
10

等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性，不对现有的运 行和业务的正常提供 产生显著影响，尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14

等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制： 1.测评公司与甲方双方签 署保密协议，不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动； 2.人员保密，公司内部签 整体性原则 订保密协议； 3.在测评过程中对测评数 最小影响原则 据严格保密。
标准性原则
规范性原则 可控性原则
整体性原则
测评服务从组织的实际需求出发，从业务角度进行测评， 而不是局限于网络、主机等单个的安全层面，涉及到 安全管理和业务运营，保障整体性和全面性。
13

为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目 的跟踪和控制
等级保护测 评介绍

主要内容
等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具

2
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评简介