等保測評

等保測評業務

檢測評估信息系統安全等級保護狀況是否達到相應等級基本要求的過程，在信息系統建設、整改時，信息系統運營、使用單位通過等級測評進行現狀分析，確定系統的安全保護現狀和存在的安全問題，并在此基礎上確定系統的整改安全需求。

測評服務

測評準備

1. 項目啟動：組建測評項目組，獲取被測系統的基本情況，從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做基本準備。

2. 信息收集和分析：查閱被測系統已有資料或使用調查表格方式，了解整個系統的構成和保護情況，為編寫測評方案和開展現場測評工作奠定基礎。

3. 工具和表單準備：熟悉被測系統相關的各種組件、調試測評工具、準備各種表單。

方案編制

1. 測評對象確定：分析整個被測系統及其涉及的業務應用系統，確定測評對象。

2. 測評指標確定：根據已經了解到的被測系統定級結果，確定出測評指標。

3. 測試工具接入點確定：確定需要進行工具測試的測評對象，選擇測試路徑，根據測試路徑，確定測試工具的接入點。

4. 測評內容確定：確定現場測評的具體實施內容。

5. 測評指導書開發：詳細描述現場測評的工具、方法和操作步驟，保證測評活動可以重現。

6. 測評方案編制：羅列測評活動標準，估算現場測評工作量，編制工作安排，編制具體測評計劃，形成測評方案文稿，評審提交測評方案。

現場測評

1. 現場測評準備：簽署測評授權書，召開測評現場首次會，測評雙方確認現場測評需要的各種資源，更新測評結果記錄表單和測評程序。

2. 現場測評和結果記錄：訪談，文檔審查，配置檢查，工具測試，實地察看，結果確認和資料歸還。

3. 結果確認和資料歸還：匯總現場測評的測評記錄，測評雙方確認測評發現的問題，歸還測評過程中借閱的所有文檔資料。

分析與報告編制

1. 單項測評結果判定：客觀、準確地分析測評證據，形成初步單項測評結果。

2. 單元測評結果判定：匯總單項測評結果，統計不同測評對象的單項測評結果，判定單元測評結果。

3. 整體測評：針對單項測評結果的不符合項，采取逐條判定的方法，給出整體測評的具體結果，并對系統結構進行整體安全測評。

4. 風險分析：分析等級測評結果中存在的安全問題可能對被測系統安全造成的影響。

5. 等級測評結論形成：找出系統保護現狀與等級保護基本要求之間的差距，并形成等級測評結論。

6. 測評報告編制：描述每個被測系統的等級測評情況，針對被測系統存在的安全隱患，從系統安全角度提出相應的改進建議。