网络安全等保之等保测评

本文主要介绍测评工作的内容、流程、方法，介绍测评机构和测评人员，测评工作中的风险及其控制，最后介绍等保测评报告主要内容及说明。

一、基本工作

1、测评概念

测评（简称“等保测评”）是指测评机构依据国家网络安全等保管理制度规定，按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等保测试评估的活动。等保测评机构，是指具备本规范的基本条件，经能力评估和审核，由省保以上网络安全等保工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等保测评工作的机构。

等保测评是合规性评判活动，基本依据不是个人或者测评机构的经验，而是网络安全等保的国家有关标准，无论是测评指标来源，还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。

2、测评作用和目的

通过进行测评，能够对信息系统体系能力的分析与确认；发现存在的安全隐患；帮助运营使用单位认识不足，及时改进；有效提升其防护水平；遵循国家有关规定的要求，对信息系统安全建设进行符合性测评。测评的作用如下：

① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。

② 衡量信息系统的安全保护管理措施和技术措施是否符合等保保护基本要求，是否具备了相应的安全保护能力。

③ 等保测评结果，为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。

为了达到上述目的，开展等保测评的最好时期是安全建设整改前、安全建设整改后，及其常规性定期开展测评，如三保系统每年至少开展一次等保测评。

3、测评标准依据

《管理办法》第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《测评要求》等技术标准，定期对信息系统安全等保状况开展等保测评；第三保信息系统应当每年至少进行一次等保测评，第四保信息系统应当每半年至少进行一次等保测评，第五保信息系统应当依据特殊安全需求进行等保测评。

测评机构应当依据《管理办法》、《测评机构管理办法》、《测评要求》、《测评过程指南》等国家标准进行等保测评，按照统一制订的《测评报告模版》格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统，可以国家标准为依据开展等保测评，也可以行业标准规范为依据开展等保测评。

等保测评依据的两个主要标准分别是《GB/T28448—2012 测评要求》和《GB/T28449—2012 测评过程指南》。其中，《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等，用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等保测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等保测评工作，并对在等保测评过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等保测评工作。等保测评的测评对象是已经确定等保的信息系统。特定等保测评项目面对的被测评系统是由一个或多个不同安全保护等的定保对象构成的信息系统。等保测评实施通常采用的测评方法是访谈、文档审查、配置检查、工具测试、实地查看。

4、测评工作规范

等保测评工作中，应遵循以下规范和原则。

① 标准性原则：测评工作的开展、方案的设计和具体实施均需依据我国等保保护的相关标准进行。

② 规范性原则：为用户提供规范的服务，工作中的过程和文档需具有良好的规范性，可以便于项目的跟踪和控制。

③ 可控性原则：测评过程和所使用的工具具备可控性，测评项目采用的工具都经过多次测评项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有良好的可控性。

④ 整体性原则：测评服务从组织的实际需求出发，从业务角度进行测评，而不是局限于网络、主机等单个的安全层面，涉及安全管理和业务运营，保障整体性和全面性。

⑤ 最小影响原则：测评工作具备充分的计划性，不对现有的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行。

⑥ 保密性原则：从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议，不得利用测评中的任何数据进行其他有损甲方利益的活动；人员保密，公司内部签订保密协议；在测评过程中对测评数据严格保密。

⑦ 个性化原则：根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况，开展针对性较强的测评工作。

5、测评工作内容

等保测评内容覆盖组织的重要信息资产，分为技术和管理两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险，包括物理环境、网络设备、主机系统、、应用系统等软硬件设备；管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施，以及其他运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。通过对以上各种安全威胁的分析和汇总，形成组织的安全测评报告，根据组织的安全测评报告和安全现状，提出相应的安全整改建议，指导下一步的建设。

主要业务为软件产品测试、电子产品检测、软件第三方验收测试、科技项目验收测试、信息系统第三方检测、集成电路检测、芯片检测、IC检测、信息化项目技术绩效评估(网站或系统绩效评估）、政务信息化项目效能评估、信息系统安全等级保护备案证明、信息系统安全等保报告、网络安全等保测评、信息系统安全等保测评、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网)、广东省守合同重企业、通用航空经营许可（即原来的：民用无人驾驶航空器经营许可）、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业能力等级证书、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518
如有计划办的企业，可协助解决企业人员问题，可咨询我们，v---x：133----四二捌五----2518

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀
、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、
湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市