一、网络安全等级测评基本概念

网络安全等级保护测评（简称“等级测评”）是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上网络安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

二、网络安全等级保护测评的目的和作用

目的：

通过进行网络安全等级保护测评活动，能够对信息系统安全防护体系能力进行分析与确认；发现存在的安全隐患；帮助运营使用单位认识不足，及时改进；有效提升其网络安全防护水平；遵循国家等级保护有关规定的要求，对信息系统安全建设进行符合性测评。

作用：

① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。

② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。

③ 等级测评结果，为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。

三、网络安全等级保护测评政策、标准依据

《网络安全等级保护管理办法》第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评工作。

▪《信息安全技术 网络安全等级保护测评过程指南》GB∕T 28449-2018

▪《信息安全技术 网络安全等级保护基本要求》GB∕T 22239-2019

▪《信息安全技术 网络安全等级保护测评要求》GB∕T 28448-2019

测评机构应当依据《管理办法》、《测评过程指南》、《基本要求》、《测评要求》等国家标准进行等级保护测评工作。

其中《基本要求》阐述了等级测评工作的目标和内容，《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等，用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等级测评工作，并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。共同指导网络安全等级保护测评工作。

四、网络安全等级保护测评工作内容

网络安全等级保护测评内容覆盖组织的重要信息资产，分为技术和管理两个大的层面。

技术层面主要是测评和分析在网络和主机上存在的安全技术风险，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五项要求。

管理层面包括从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等保障措施，以及其他运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。

通过对以上各种安全威胁的分析和汇总，形成安全测评报告，根据安全测评报告和安全现状，提出相应的安全整改建议，指导下一步的网络安全建设。