等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。

　　一、等级保护完全实施过程

　　二、信息系统全生命周期

　　۞ 信息系统定级

　　定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中，信息系统运行使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

　　۞ 总体安全规划

　　总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。

　　۞ 安全设计与实施

　　安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分布落实安全措施

　　۞ 安全运行维护

　　安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、秘钥的管理，运行、变更的管理，安全状态监控和安全事件处理，安全审计和安全检查等内容。

　　۞ 信息系统终止

　　信息系统终止阶段是等级保护实施过程中最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术活转变业务到新的信息系统，对于这些信息系统再终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。

　　三、等级测评的工作流程

 

　等级测评工作流程图

　　（一）、方案编制阶段

　　★ 测评对象确定：根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。

　　★ 测评指标确定：根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。

　　★ 测评工具接入点确定：确定需要进行工具测试的测评对象，选择测试路径，根据测试路径确定测试工具的接入点。

　　★ 测评内容确定：确定现场测评的具体实施内容，即单元测评内容。

　　★ 测评实施手册开发：编制测评实施手册，详细描述现场测评的工具、方法和操作步骤等，具体指导测评人员如何进行测评活动。

　　（二）、现场测评阶段

　　现场测评实际上就是单项测评，分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。

　　★ 物理安全：通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上，物理安全层面测评实施过程涉及10个测评单元，包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

　　★ 网络安全：通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上，网络安全层面测评实施过程涉及7个测评单元，包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范（针对三级系统）。

　　★ 主机安全：通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据库管理系统。在内容上，主机系统安全层面测评实施过程涉及7个测评单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护（针对三级系统）。

　　★ 应用安全：通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况，主要涉及对象为各类应用系统。在内容上，应用安全层面测评实施过程涉及9个测评单元，包括：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护（针对三级系统）、抗抵赖（针对三级系统）。

　　★ 数据安全：通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况，主要涉及对象为信息系统的管理数据及业务数据等。在内容上，数据安全层面测评实施过程涉及3个测评单元，包括：数据完整性、数据保密性、备份和恢复。

　　★ 安全管理制度：通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上，安全管理制度方面测评实施过程涉及3个测评单元，包括：管理制度、制定和发布、评审和修订。

　　★ 安全管理机构：通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上，安全管理机构方面测评实施过程涉及5个测评单元，包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

　　★ 人员安全管理：通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上，人员安全管理方面测评实施过程涉及5个测评单元，包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。

　　★ 系统建设管理：通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上，系统建设管理方面测评实施过程涉及11个测评单元，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案（针对三级系统）、系统测评（针对三级系统）。

　　★ 系统运维管理：通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。在内容上，系统运维管理方面测评实施过程涉及13个测评单元，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心（针对三级系统）。

　　（三）、分析与报告编制阶段

　　★ 单项测评结果分析：针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据。

　　★ 单元测评结果判定：将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。

　　★ 整体测评：针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。

　　★ 风险分析：据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。

　　★ 等级测评结论形成：在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。  测评报告编制：根据等级测评结论，编制测评报告，包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。