济南信息系统等级保护测评，如何申请

一、基本工作

1、测评概念

信息系统登记测评（简称“等级测评”）是指测评机构依据国家网络等级保护管理制度规定，按照有关管理规范和技术标准对涉及国家机密的信息系统保护状况进行分等级测试评估的活动。等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上网络等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

等级测评是合规性评判活动，基本依据不是个人或者测评机构的经验，而是网络登记保护的国家有关标准，无论是测评指标来源，还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行，按照特定方法对信息系统的保护能力进行科学公正的综合评判过程。

2、测评作用和目的

通过进行等级保护测评，能够对信息系统体系能力的分析与确认；发现存在的隐患；帮助运营使用单位认识不足，及时改进；有效提升其防护水平；遵循国家有关规定的要求，对信息系统建设进行符合性测评。测评的作用如下：

① 掌握信息系统的状况、排查系统隐患和薄弱环节、明确信息系统建设整改需求。

② 衡量信息系统的保护管理措施和技术措施是否符合基本要求，是否具备了相应的保护能力。

③ 等级测评结果，为公安机关等监管部门开展监督、检查、指导等工作提供参照。

为了达到上述目的，开展等级测评的时期是建设整改前、建设整改后，及其常规性定期开展测评，如三级系统每年至少开展一次等级测评。

3、测评标准依据

《网络登记保护管理办法》第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统测评要求》等技术标准，定期对信息系统等级状况开展等级测评；第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊需求进行等级测评。

测评机构应当依据国家标准进行等级测评，按照统一制订的格式出具测评报告。按照行业标准规范开展建设整改的信息系统，可以国家标准为依据开展等级测评，也可以行业标准规范为依据开展等级测评。

《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等级测评工作，并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作。等级测评的测评对象是已经确定等级的信息系统。特定等级测评项目面对的被测评系统是由一个或多个不同保护等级的定级对象构成的信息系统。等级测评实施通常采用的测评方法是访谈、文档审查、配置检查、工具测试、实地查看。

4、测评工作规范

等级测评工作中，应遵循以下规范和原则。

① 标准性原则：测评工作的开展、方案的设计和具体实施均需依据我国的相关标准进行。

② 规范性原则：为用户提供规范的服务，工作中的过程和文档需具有良好的规范性，可以便于项目的和控制。

③ 可控性原则：测评过程和所使用的工具具备可控性，测评项目采用的工具都经过多次测评项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有良好的可控性。

④ 整体性原则：测评服务从组织的实际需求出发，从业务角度进行测评，而不是局限于网络、主机等单个的层面，涉及管理和业务运营，保障整体性和性。

⑤ 小影响原则：测评工作具备充分的计划性，不对现有的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行。

⑥ 保密性原则：从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议，不得利用测评中的任何数据进行其他有损甲方利益的活动；人员保密，公司内部签订保密协议；在测评过程中对测评数据严格保密。

⑦ 个性化原则：根据被测信息系统的实际业务需求、功能需求以及对应的建设情况，开展针对性较强的测评工作。