一、信息系統(tǒng)安全等級(jí)保護(hù)的必要性

隨著我國(guó)信息技術(shù)的快速發(fā)展，為維護(hù)國(guó)家安全和社會(huì)穩(wěn)定，維護(hù)信息網(wǎng)絡(luò)安全，國(guó)務(wù)院于1994年頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）。

2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”。

    2007年公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室下發(fā)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）明確規(guī)定“定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)”?！暗谌?jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)……”。并制定了包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等50多個(gè)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。具體如下圖所示：

2012年，CSDN網(wǎng)站因未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，造成了大量用戶信息泄露的嚴(yán)重后果。依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，北京市公安局對(duì)CSDN網(wǎng)站運(yùn)營(yíng)公司做出行政警告處罰?？梢?，開展等級(jí)保護(hù)工作是單位義不容辭的信息安全義務(wù)。

二、等級(jí)保護(hù)測(cè)評(píng)的工作內(nèi)容

為了達(dá)到各級(jí)的安全保護(hù)能力要求，國(guó)家等級(jí)保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類，涵蓋了物理（機(jī)房）、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維十個(gè)方面的內(nèi)容。

§ 保障基礎(chǔ)設(shè)施安全，保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。

§ 保障網(wǎng)絡(luò)連接安全，保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。

§ 保障計(jì)算環(huán)境的安全，保障操作系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。

§ 保障應(yīng)用系統(tǒng)安全，保障應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的保密性、完整性和信源的真實(shí)的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。

§ 保障數(shù)據(jù)安全及備份恢復(fù)，保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。

§ 安全管理體系保障。根據(jù)國(guó)家有關(guān)信息安全等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，建立一套切實(shí)可行的安全管理體系，加強(qiáng)安全管理機(jī)制。

如下圖所示

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)(簡(jiǎn)稱“等級(jí)保護(hù)測(cè)評(píng)”)包括系統(tǒng)定級(jí)、系統(tǒng)備案、安全建設(shè)整改、等級(jí)保護(hù)測(cè)評(píng)、定期安全檢查五個(gè)階段。等級(jí)保護(hù)工作的實(shí)施過(guò)程如下圖所示：

等級(jí)保護(hù)測(cè)評(píng)是指信息系統(tǒng)運(yùn)營(yíng)、使用單位委托具有等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)其建設(shè)的已定級(jí)的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)過(guò)程，測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)過(guò)程中采用訪談、檢查和測(cè)試三大類的測(cè)評(píng)方法，具體細(xì)分為人員訪談、文檔審查、配置核查、現(xiàn)場(chǎng)觀測(cè)和工具測(cè)試等五個(gè)小類，對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估，驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)要求，并形成信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。其所包含的測(cè)評(píng)工作流程可參考下圖：

公安機(jī)關(guān)等安全監(jiān)管部門進(jìn)行信息安全等級(jí)保護(hù)監(jiān)督檢查時(shí)，系統(tǒng)運(yùn)營(yíng)、使用單位必須提交由具有等級(jí)測(cè)評(píng)資質(zhì)的機(jī)構(gòu)出具的等級(jí)測(cè)評(píng)報(bào)告。

三、開展等級(jí)保護(hù)測(cè)評(píng)的益處

對(duì)于單位來(lái)說(shuō)，實(shí)施信息安全等級(jí)保護(hù)測(cè)評(píng)能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制單位信息安全建設(shè)成本；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)單位信息安全管理。

對(duì)于信息系統(tǒng)來(lái)說(shuō)，通過(guò)等級(jí)保護(hù)測(cè)評(píng)可及時(shí)發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改，當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時(shí)，信息系統(tǒng)就基本可做到“進(jìn)不來(lái)、拿不走、改不了、可審計(jì)”。