信息系统安全等级保护测评

　　背景说明
　　信息系统安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动，即依据信息安全等级保护的国家标准或行业标准，按照特定方法对信息系统的安全防护能力进行科学公正的综合评判过程。
　　测评依据
　　GB/T 28448-2012 《信息系统安全等级保护测评要求》
　　GB/T 28449-2012 《信息系统安全等级保护测评过程指南》
　　GB/T 25058-2010《信息系统安全等级保护实施指南》
　　GB/T 25070-2010《信息系统等级保护安全设计技术要求》
　　GB/T 22240-2008《信息系统安全等级保护定级指南》
　　GB/T 22239-2008《信息系统安全等级保护基本要求》
　　GB 17859-1999《计算机信息系统安全保护等级划分准则》
　　
信息系统安全等级保护测评 
　　等级保护基本要求
　　基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。
　　基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。　　
信息系统安全等级保护测评 
　　等级保护实施过程
　　整个等级保护实施过程包括：系统定级、安全规划设计、安全实施/实现、安全运行管理与系统终止。
　　系统定级：信息系统运营使用单位按照《信息系统信息安全等级保护定级指南》，确定信息系统安全等级。
　　安全规划设计：根据信息系统的定级情况和安全需求等，设计合理的、满足等级保护要求的总体设计方案。
　　安全实施/实现：按照信息系统总体方案书的总体要求，结合信息系统安全建设方案，分期分步落实安全措施。
　　安全运行：在安全运行阶段主要是实施操作管理、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进以及监督检查等活动。
　　系统终止：确保信息系统被转移、终止或废弃时，正确处理系统内的敏感信息。　　
信息系统安全等级保护测评 
　　服务范围和内容
　　CFCA针对等级保护实施过程中的各个阶段提供相应的安全服务。在系统定级阶段可协助识别信息系统的安全保护等级，进行信息系统安全等级的确认。安全总体规划阶段可提供具体的安全规划建议。安全设计与实施阶段可协助客户对安全措施进行落地与有效性的检验。安全运行维护阶段提供等级符合性检查、安全整改设计、应急预案及演练等服务。最终使客户信息系统达到国家等级保护基本要求。　　
信息系统安全等级保护测评 
　　优势与价值
　　依据《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》及系统安全需求，通过访谈、检查、测试等 手段对安全技术和安全管理上各个层面的安全控制进行整体性验证，确保信息系统的安全保护措施符合相应等级的基本安全要求，给出第三方测评机构的安全等级测评报告。CFCA已获得公安部《等级保护测评机构推荐证书》。