一、信息系統(tǒng)安全等級保護的必要性

隨著我國信息技術(shù)的快速發(fā)展，為維護國家安全和社會穩(wěn)定，維護信息網(wǎng)絡(luò)安全，國務(wù)院于1994年頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）。

2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出“實行信息安全等級保護”。

    2007年公安部會同國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室下發(fā)《信息安全等級保護管理辦法》（公通字[2007]43號）明確規(guī)定“定期對信息系統(tǒng)安全等級狀況開展等級測評”。“第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評……”。并制定了包括《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》等50多個國家標準和行業(yè)標準，形成了信息安全等級保護標準體系。具體如下圖所示：

2012年，CSDN網(wǎng)站因未落實國家信息安全等級保護制度，造成了大量用戶信息泄露的嚴重后果。依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，北京市公安局對CSDN網(wǎng)站運營公司做出行政警告處罰?？梢?，開展等級保護工作是單位義不容辭的信息安全義務(wù)。

二、等級保護測評的工作內(nèi)容

為了達到各級的安全保護能力要求，國家等級保護基本安全要求提出了技術(shù)要求和管理要求兩大類，涵蓋了物理（機房）、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)安全、安全管理制度、安全管理機構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運維十個方面的內(nèi)容。

§ 保障基礎(chǔ)設(shè)施安全，保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。

§ 保障網(wǎng)絡(luò)連接安全，保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。

§ 保障計算環(huán)境的安全，保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。

§ 保障應(yīng)用系統(tǒng)安全，保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實的保護和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風險。

§ 保障數(shù)據(jù)安全及備份恢復，保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等。

§ 安全管理體系保障。根據(jù)國家有關(guān)信息安全等級保護方面的標準和規(guī)范要求，建立一套切實可行的安全管理體系，加強安全管理機制。

如下圖所示

信息系統(tǒng)安全等級保護測評(簡稱“等級保護測評”)包括系統(tǒng)定級、系統(tǒng)備案、安全建設(shè)整改、等級保護測評、定期安全檢查五個階段。等級保護工作的實施過程如下圖所示：

等級保護測評是指信息系統(tǒng)運營、使用單位委托具有等級保護測評資質(zhì)的測評機構(gòu)對其建設(shè)的已定級的信息系統(tǒng)進行等級保護測評過程，測評機構(gòu)在測評過程中采用訪談、檢查和測試三大類的測評方法，具體細分為人員訪談、文檔審查、配置核查、現(xiàn)場觀測和工具測試等五個小類，對信息系統(tǒng)進行安全測評和風險評估，驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級要求，并形成信息安全等級保護測評報告。其所包含的測評工作流程可參考下圖：

公安機關(guān)等安全監(jiān)管部門進行信息安全等級保護監(jiān)督檢查時，系統(tǒng)運營、使用單位必須提交由具有等級測評資質(zhì)的機構(gòu)出具的等級測評報告。

三、開展等級保護測評的益處

對于單位來說，實施信息安全等級保護測評能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制單位信息安全建設(shè)成本；有利于明確國家、法人和其他組織、公民的信息安全責任，加強單位信息安全管理。

對于信息系統(tǒng)來說，通過等級保護測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進行整改，當信息系統(tǒng)完全達到安全保護能力要求時，信息系統(tǒng)就基本可做到“進不來、拿不走、改不了、可審計”。