網絡安全等保之等保測評

本文主要介紹測評工作的內容、流程、方法，介紹測評機構和測評人員，測評工作中的風險及其控制，最后介紹等保測評報告主要內容及說明。

一、基本工作

1、測評概念

測評（簡稱“等保測評”）是指測評機構依據國家網絡安全等保管理制度規定，按照有關管理規范和技術標準對涉及國家機密的信息系統安全保護狀況進行分等保測試評估的活動。等保測評機構，是指具備本規范的基本條件，經能力評估和審核，由省保以上網絡安全等保工作協調（領導）小組辦公室（以下簡稱為“等保辦”）推薦，從事等保測評工作的機構。

等保測評是合規性評判活動，基本依據不是個人或者測評機構的經驗，而是網絡安全等保的國家有關標準，無論是測評指標來源，還是測評方法的選擇、測評內容的確定以及結果判定等活動均應依據國家相關的標準進行，按照特定方法對信息系統的安全保護能力進行科學公正的綜合評判過程。

2、測評作用和目的

通過進行測評，能夠對信息系統體系能力的分析與確認；發現存在的安全隱患；幫助運營使用單位認識不足，及時改進；有效提升其防護水平；遵循國家有關規定的要求，對信息系統安全建設進行符合性測評。測評的作用如下：

① 掌握信息系統的安全狀況、排查系統安全隱患和薄弱環節、明確信息系統安全建設整改需求。

② 衡量信息系統的安全保護管理措施和技術措施是否符合等保保護基本要求，是否具備了相應的安全保護能力。

③ 等保測評結果，為公安機關等安全監管部門開展監督、檢查、指導等工作提供參照。

為了達到上述目的，開展等保測評的最好時期是安全建設整改前、安全建設整改后，及其常規性定期開展測評，如三保系統每年至少開展一次等保測評。

3、測評標準依據

《管理辦法》第十四條規定：信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《測評要求》等技術標準，定期對信息系統安全等保狀況開展等保測評；第三保信息系統應當每年至少進行一次等保測評，第四保信息系統應當每半年至少進行一次等保測評，第五保信息系統應當依據特殊安全需求進行等保測評。

測評機構應當依據《管理辦法》、《測評機構管理辦法》、《測評要求》、《測評過程指南》等國家標準進行等保測評，按照統一制訂的《測評報告模版》格式出具測評報告。按照行業標準規范開展安全建設整改的信息系統，可以國家標準為依據開展等保測評，也可以行業標準規范為依據開展等保測評。

等保測評依據的兩個主要標準分別是《GB/T28448—2012 測評要求》和《GB/T28449—2012 測評過程指南》。其中，《測評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據等，用來評定信息系統的安全保護措施是否符合《基本要求》。《測評過程指南》規定了開展等保測評工作的基本過程、流程、任務及工作產品等，規范測評機構的等保測評工作，并對在等保測評過程中何時如何使用《測評要求》提出了指導建議。二者共同指導等保測評工作。等保測評的測評對象是已經確定等保的信息系統。特定等保測評項目面對的被測評系統是由一個或多個不同安全保護等的定保對象構成的信息系統。等保測評實施通常采用的測評方法是訪談、文檔審查、配置檢查、工具測試、實地查看。

4、測評工作規范

等保測評工作中，應遵循以下規范和原則。

① 標準性原則：測評工作的開展、方案的設計和具體實施均需依據我國等保保護的相關標準進行。

② 規范性原則：為用戶提供規范的服務，工作中的過程和文檔需具有良好的規范性，可以便于項目的跟蹤和控制。

③ 可控性原則：測評過程和所使用的工具具備可控性，測評項目采用的工具都經過多次測評項目考驗，或者是根據具體要求和組織的具體網絡特點定制的，具有良好的可控性。

④ 整體性原則：測評服務從組織的實際需求出發，從業務角度進行測評，而不是局限于網絡、主機等單個的安全層面，涉及安全管理和業務運營，保障整體性和全面性。

⑤ 最小影響原則：測評工作具備充分的計劃性，不對現有的運行和業務的正常提供產生顯著影響，盡可能小地影響系統和網絡的正常運行。

⑥ 保密性原則：從公司、人員、過程三方面進行保密控制——測評公司與甲方雙方簽署保密協議，不得利用測評中的任何數據進行其他有損甲方利益的活動；人員保密，公司內部簽訂保密協議；在測評過程中對測評數據嚴格保密。

⑦ 個性化原則：根據被測信息系統的實際業務需求、功能需求以及對應的安全建設情況，開展針對性較強的測評工作。

5、測評工作內容

等保測評內容覆蓋組織的重要信息資產，分為技術和管理兩大層面。技術層面主要是測評和分析在網絡和主機上存在的安全技術風險，包括物理環境、網絡設備、主機系統、、應用系統等軟硬件設備；管理層面包括從組織的人員、組織結構、管理制度、系統運行保障措施，以及其他運行管理規范等角度，分析業務運作和管理方面存在的安全缺陷。通過對以上各種安全威脅的分析和匯總，形成組織的安全測評報告，根據組織的安全測評報告和安全現狀，提出相應的安全整改建議，指導下一步的建設。

主要業務為軟件產品測試、電子產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工智能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可）、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、發明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518
如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀
、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、
湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市