信息安全测评—网络安全等级测评

网络信息安全的具体测评内容_安全等保

网络信息安全等级保护测评，是对信息内容和信息内容媒介依照必要性标准分等级开展维护的一种工作，在我国、英国等许多我国都具有的一种网络信息安全行业的工作。在我国，网络信息安全等级保护测评理论上为牵涉到该作业的规范、商品、系统软件、信息内容等均根据等级保护测评的安全工作;小范围上一般指信息系统安全级别维护，什么叫等级保护测评测评?如何做?不清楚大伙儿在日常生活中是否有遇到过呢，今日准备和我们讲下等级保护测评应该怎么做。

　　等级保护测评测评究竟测什么具体内容呢?关键测下列十个方面：

　　技术性方面：物理学安全性、主机安全、网络信息安全、运用安全防护和网络信息安全与备份数据;

　　管理方法方面：安全管理方案、安全监督机构、工作人员安全工作、系统软件建设管理、运维服务管理方法。

　　技术性方面实际的目标：

　　1、主机房，测评单位将对信息系统运营应用单位关键信息系统的主机房、配电设备间、消防安全间等有关物理环境开展测评，剖析在其中的情况及其不符合规定的地区。

　　2、业务流程系统软件，测评单位将对信息系统运营应用单位关键信息系统开展测评，从系统软件的安全性体制方位，剖析软件系统中普遍存在的安全风险与难题。

　　3、服务器电脑操作系统，测评单位将对信息系统运营应用单位关键信息系统有关的网站服务器的电脑操作系统开展测评，从密钥管理、网络安全审计、剩下隐私保护、侵入预防、恶意程序预防、資源操纵等方位剖析在其中的安全风险与难题。

　　4、数据库管理，测评单位将对信息系统运营应用单位关键信息系统所运用的数据库查询开展测评，从辨别、密钥管理、网络安全审计、資源操纵方位剖析在其中的安全风险与难题。

　　5、网络设备，测评单位将对信息系统运营应用单位关键信息系统的网络设备开展测评，从密钥管理、网络安全审计、网络设备安全防护等方位剖析在其中的安全风险与难题。

　　管理方法方面实际规定：

　　1、安全性管理方案，测评单位将对信息系统运营应用单位评定信息系统的网络设备开展测评，从安全性管理模式，规章制度公布，规章制度公布审查及其修定等领域开展采访，和纪录查看。

　　2、安全性监督机构，测评单位将对信息系统运营应用单位评定信息系统的网络设备开展测评，从工作人员，岗位设置方案，审批和检查记录等领域开展采访，和检查记录查看。

　　3、系统软件建设管理，测评单位将对信息系统运营应用单位定级信息系统的网络设备开展测评，从安全设计方案，商品购置规定，自主开发软件，业务外包开发软件，工程建设监理，检测工程验收，系统软件交货，等级保护测评，服务提供商挑选等领域开展规章制度文档和纪录查看。

　　4、运维服务管理方法，测评单位将对信息系统运营应用单位评定信息系统的网络设备开展测评，从环境安全管理，投资管理，物质管理方法，设备维护管理，系统漏洞和风险性查验，互联网和系统优化管理方法，恶意程序防御力管理方法，账户密码管理方法，备份和恢复管理方法，紧急安全防御管理方法等领域开展规章制度文档采访，重要纪录查询。

本文内容经过考证、整理和编写，部分出处：

信息安全等级保护之测评

第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

第十六条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

（一） 在中华人民共和国境内注册成立（港澳台地区除外）；

（二） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三） 从事相关检测评估工作两年以上，无违法记录；

（四） 工作人员仅限于中国公民；

（五） 法人及主要业务、技术人员无犯罪记录；

（六） 使用的技术装备、设施应当符合本办法对信息安全产品的要求；

（七） 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（八） 对国家安全、社会秩序、公共利益不构成威胁。

第二十三条 从事信息系统安全等级测评的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。