一、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程概述

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作過程包括四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、報(bào)告編制活動(dòng)。而測(cè)評(píng)相關(guān)方之間的溝通與洽談應(yīng)貫穿整個(gè)測(cè)評(píng)過程。每一項(xiàng)活動(dòng)有一定的工作任務(wù)。如下表。

　　01、基本工作流程

　　① 測(cè)評(píng)準(zhǔn)備活動(dòng)

　　本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。

　　② 方案編制活動(dòng)

　　本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并根據(jù)需要重用或開發(fā)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書，形成測(cè)評(píng)方案。

　　③ 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)

　　本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

　　④ 分析與報(bào)告編制活動(dòng)

　　本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》GB/T的有關(guān)要求，通過單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告文本。

　　二、測(cè)評(píng)委托單位需要配合的工作

　　測(cè)評(píng)準(zhǔn)備階段：

　　①被測(cè)方成立項(xiàng)目組，并任命項(xiàng)目經(jīng)理;

　　②向測(cè)評(píng)機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況;

　　③準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)需要的資料，比如系統(tǒng)定級(jí)報(bào)告、備案表、自查或上次測(cè)評(píng)報(bào)告、聯(lián)系方式等;

　　④為測(cè)評(píng)人員的信息收集提供支持和協(xié)調(diào);

　　⑤準(zhǔn)確填寫信息系統(tǒng)基本信息調(diào)查表;

　　⑥根據(jù)被測(cè)系統(tǒng)的具體情況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等，為測(cè)評(píng)時(shí)間安排提供適宜的建議;

　　方案編制階段：

　　①為測(cè)評(píng)機(jī)構(gòu)完成測(cè)評(píng)方案提供有關(guān)信息和資料;

　　②評(píng)審和確認(rèn)測(cè)評(píng)方案文本。

　　現(xiàn)場(chǎng)測(cè)評(píng)階段：

　　①此階段工作測(cè)評(píng)方人員需要在客戶現(xiàn)場(chǎng)完成。需要被測(cè)方提供辦公位(基本的辦公環(huán)境)。

　　②備案單位需要機(jī)房管理員、網(wǎng)絡(luò)管理員、安全主管、系統(tǒng)管理員、系統(tǒng)開發(fā)人員、運(yùn)維人員等進(jìn)行配合。

　　③測(cè)評(píng)前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測(cè)設(shè)備狀態(tài)完好;

　　④協(xié)調(diào)被測(cè)系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測(cè)評(píng)工作的開展;

　　⑤相關(guān)人員回答測(cè)評(píng)人員的問詢，對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作;

　　⑥相關(guān)人員確認(rèn)測(cè)試前協(xié)助測(cè)評(píng)人員實(shí)施工具測(cè)試并提供有效建議，降低安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響;

　　⑦相關(guān)人員對(duì)測(cè)評(píng)結(jié)果進(jìn)行確認(rèn);

　　⑧相關(guān)人員確認(rèn)工具測(cè)試后被測(cè)設(shè)備的狀態(tài)完好。

　　報(bào)告編制階段：

　　①簽收測(cè)評(píng)報(bào)告;

　　②向公安機(jī)關(guān)遞交測(cè)評(píng)報(bào)告。