一(yī)、等級保護測評的依據：
　　
　　依據《信息系統安全等級保護基本要求》（公通字[2007]43号)》“等級保護的實施與管理”中(zhōng)的第十四條： 信息系統建設完成後，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評單位，依據《信息系統安全等級保護測評要求》等技術标準，定期對信息系統安全等級狀況開(kāi)展等級測評。  第三級信息系統應當每年至少進行一(yī)次等級測評，第四級信息系統應當每半年至少進行一(yī)次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。
　　
　　二、等級保護工(gōng)作的步驟
　　
　　運營單位确定要開(kāi)展信息系統等級保護工(gōng)作後，應按照以下(xià)步驟逐步推進工(gōng)作：
　　
　　1.确定信息系統的個數、每個信息系統的等保級别。
　　
　　2.對每個目标系統，按照《信息系統定級指南(nán)》的要求和标準，分(fēn)别進行等級保護的定級工(gōng)作，填寫《系統定級報告》、《系統基礎信息調研表》（每個系統一(yī)套）。運營單位也可委托具備資(zī)質的等保測評機構協助填寫上述表格。
　　
　　3.向屬地公安機關網監部門提交《系統定級報告》和《系統基礎信息調研表》，獲取《信息系統等級保護定級備案證明》（每個系統一(yī)份），完成系統定級備案階段工(gōng)作。
　　
　　4.依據确定的等級标準，選取等保測評機構，對目标系統開(kāi)展等級保護測評工(gōng)作（具體(tǐ)測評流程見第三條）
　　
　　5.完成等級測評工(gōng)作，獲得《信息系統等級保護測評報告》（每個系統一(yī)份）後，将《報告》提交網監部門進行備案。
　　
　　6.結合《測評報告》整體(tǐ)情況，針對報告提出的待整改項，制定本單位下(xià)一(yī)年度的“等級保護工(gōng)作計劃”，并依照計劃推進下(xià)一(yī)階段的信息安全工(gōng)作。
　　
　　三、等級測評的流程：
　　
　　差距測評階段又(yòu)分(fēn)爲以下(xià)内容：測評準備活動、方案編制活動、現場測評活動、分(fēn)析及報告編制活動，整改階段、驗收測評階段。
　　
　　1、測評準備活動階段
　　
　　簽訂《合同》與《保密協議》  首先，被測評單位在選定測評機構後，雙方需要先簽訂《測評服務合同》，合同中(zhōng)對項目範圍（哪些系統？）、項目内容（差距測評？驗收測評？協助整改？）、項目周期（什麽時間進場？項目計劃做多長時間？）、項目實施方案（測評工(gōng)作的步驟）、項目人員(yuán)（項目實施團隊人員(yuán)）、項目驗收标準、付款方式、違約條款等等内容逐一(yī)進行約定。  簽訂《測評服務合同》同時，測評機構應簽署《保密協議》，。《保密協議》一(yī)般分(fēn)兩種，一(yī)種是測評機構與被測單位（公對公）簽署，約定測評機構在測評過程中(zhōng)的保密責任；一(yī)種是測評機構項目組成員(yuán)與被測單位之間簽署。
　　
　　2、項目啓動會
　　
　　在雙方簽完委托測評合同之後，雙方即可約定召開(kāi)項目啓動會時間。項目啓動會的目的，主要是由甲方領導對公司内部涉及的部門進行動員(yuán)、提請各相關部門重視、協調内部資(zī)源、介紹測評方項目實施人員(yuán)、計劃安排等内容，爲整個等級測評項目的實施做基本準備。 系統情況調研  啓動會後，測評方開(kāi)展調研，通過填寫《信息系統基本情況調查表》，掌握被測系統的詳細情況，爲編制測評方案做好準備。測評準備活動是開(kāi)展等級測評工(gōng)作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工(gōng)作是否充分(fēn),直接關系到後續工(gōng)作能否順利開(kāi)展。一(yī)個二級系統的測評準備工(gōng)作一(yī)般需要1天半，三級系統的準備工(gōng)作一(yī)般需要2天左右完成。
　　
　　3、測評方案編制階段
　　
　　該階段的主要任務是确定與被測信息系統相适應的測評對象、測評指标及測評内容等，并根據需要重用或開(kāi)發測評實施手冊，形成測評方案。方案編制活動爲現場測評提供最基本的文檔依據和指導方案。一(yī)個二級系統的方案編制工(gōng)作一(yī)般需要2天左右完成。
　　
　　4、現場測評階段
　　
　　現場測評活動是開(kāi)展等級測評工(gōng)作的核心活動，包括技術測評和管理測評。其中(zhōng)技術測評包括: 物(wù)理安全、網絡安全、主機安全、應用安全、數據安全和備份恢複。管理測評包括:安全管理制度、安全管理機構、人員(yuán)安全管理、系統建設管理和系統運維管理。現場差距測評一(yī)般包括訪談、文檔審查、配置檢查、工(gōng)具測試和實地察看五個方面。  一(yī)個二級系統的現場測評工(gōng)作一(yī)般需要5天左右完成。
　　
　　此階段的輸出物(wù)爲物(wù)理安全現場測評記錄、網絡安全現場測評記錄、主機安全現場測評記錄、應用安全現場測評記錄、數據安全和備份恢複現場測評記錄、安全管理制度現場測評記錄、安全管理機構現場測評記錄、人員(yuán)安全管理現場測評記錄、系統建設管理現場測評記錄和系統運維管理現場測評記錄等。
　　
　　5、分(fēn)析與報告編制階段
　　
　　此階段主要任務是根據現場測評結果，通過單項測評結果判定、單元測評結果判定、整體(tǐ)測評和風險分(fēn)析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分(fēn)析這些差距導緻被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。一(yī)個二級系統的分(fēn)析和報告編制工(gōng)作一(yī)般需要3-4天左右完成。  此階段工(gōng)作不一(yī)定需要在客戶現場完成。《測評報告》的模闆是由公安機關統一(yī)制定的。  此階段的輸出物(wù)爲《某系統等級測評報告》、《某系統整改建議》。
　　
　　6、整改階段
　　
　　主要根據測評機構出具的差距測評報告和整改建議進行整改，此階段主要由備案單位實施，測評機構協助，客戶可以根據自身的實際情況，把整改分(fēn)爲短期、中(zhōng)期、長期。
　　
　　7、驗收測評階段
　　
　　測評流程與之前的流程相同，主要是檢查整改的效果。  綜上，一(yī)個二級系統完整的測評一(yī)次，在客戶方充分(fēn)配合、測評方派3名測評師的情況下(xià)，大(dà)緻需要兩周左右。如果有多個系統同時測評，會存在部分(fēn)重複工(gōng)作，具體(tǐ)情況需要具體(tǐ)分(fēn)析。
　　
　　四、被測方（備案單位）在測評階段需配合的工(gōng)作
　　
　　1、 測評準備階段：
　　
　　1)被測方成立項目組，并任命項目經理；
　　
　　2)向測評機構介紹本單位的信息化建設狀況與發展情況；
　　
　　3)準備測評機構需要的資(zī)料，比如系統定級報告、備案表、自查或上次測評報告、聯系方式等；
　　
　　4)爲測評人員(yuán)的信息收集提供支持和協調；
　　
　　5)準确填寫信息系統基本信息調查表；
　　
　　6)根據被測系統的具體(tǐ)情況，如業務運行高峰期、網絡布置情況等，爲測評時間安排提供适宜的建議；
　　
　　2、 方案編制階段：
　　
　　與測評方讨論測評方案，并最終簽字确認。
　　
　　3、 現場測評階段：
　　
　　1)此階段工(gōng)作測評方人員(yuán)需要在客戶現場完成。需要被測方提供辦公位（基本的辦公環境）。
　　
　　2)備案單位需要機房管理員(yuán)、網絡管理員(yuán)、安全主管、系統管理員(yuán)、系統開(kāi)發人員(yuán)、運維人員(yuán)等進行配合。
　　
　　3)測評前備份系統和數據，并确認被測設備狀态完好；
　　
　　4)協調被測系統内部相關人員(yuán)的關系，配合測評工(gōng)作的開(kāi)展；
　　
　　5)相關人員(yuán)回答測評人員(yuán)的問詢，對某些需要驗證的内容上機進行操作；
　　
　　6)相關人員(yuán)确認測試前協助測評人員(yuán)實施工(gōng)具測試并提供有效建議，降低安全測評對系統運行的影響；
　　
　　7)相關人員(yuán)對測評結果進行确認；
　　
　　8)相關人員(yuán)确認工(gōng)具測試後被測設備的狀态完好。
　　
　　4、 分(fēn)析與報告編制階段：
　　
　　确認測評報告和整改建議。
　　
　　5、 整改階段
　　
　　主要由客戶實施，測評機構協助。
　　
　　6、 驗收測評階段
　　
　　此階段與之前的差距測評階段類似，主要是針對整改的項目進行測評，從而檢驗整改的效果。備案單位簽收測評報告，并把測評報告向公安機關備案。
　　
　　在上述工(gōng)作全部完成後，被測單位應将由等級測評機構蓋章的《測評報告》提交公安機關完成備案