[等级保护测评.doc

等级保护测评 关键词：等级保护；测评；信息安全；管理 研究和探讨如何有效地管理等级保护测评机构，以确保测评机构管理和技术能力得到不断提升，保证测评机构在等级测评上的独立性、公正性和合规性，并对促进等级测评的顺利开展提出改善方向和意见。 信息安全等级保护作为国家信息安全工作的一项基本制度、基本国策，已经在全国实行多年，各信息系统运营使用单位都深刻认识到等级保护制度的重要性。在我国信息安全等级保护制度中，等级保护分五个工作环节——定级、备案、建设整改、等级测评和监督检查。其中，等级测评是等级测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行的检测评估活动，是信息安全等级保护工作的重要环节。 随着等级保护工作的不断推进，等级测评机构的体系建设也在不断深入，全国等级测评机构的数量在不断增加，测评机构的品质和能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将不断出现。因此，加强对等级测评机构的合理、有效监管，对提升测评行业质量，保证测评数据公正、客观，以及保障重点行业的重要信息系统安全等至关重要。 1 国家层面对测评机构的监管模式 测评工作作为等级保护制度中最重要工作环节，具有明显的专业性和技术性恃点，其政策导向性强。因此，仅有相关测评技术标准是不够的，测评机构的体系化、规范化管理也是关键。 2009年7月公安部开始信息安全等级保护测评体系建设试点工作，其目的是探索信息安全等级保护测评体系建设和管理的模式和经验，保证全国重要信息系统等级保护安全建设工作的顺利开展。试点工作主要在浙江、重庆、河南、广东等省市展开。其主要内容是根据《信息安全等级保护管理办法》和有关技术标准完成五个方面的工作：一是检验并完善等级测评机构应具备的条件；二是检验并完善等级测评机构建设的主要内容；三是检验并完善等级测评人员管理的主要内容；四是检验并完善等级测评工作规范性要求的主要内容；五是检验并完善测评机构监督管理的主要内容等。从试点工作情况分析，国家对等级保护测评机构的监管模式采用的是能力评估和政府干预相结合的模式。 从工作程序上分为四个步骤： (1)各测评机构向设区的市级以上所在地公安网安部门申请，公安网安部门根据《信息安全等级保护测评工作管理规范(试行)》对测评机构所提交的申请材料进行审核，审核通过后，提交给上一级公安网安部门报批，并予以受理。 (2)公安部网络安全保卫局统一将各地上报的测评机构信息转发给公安部信息安全等级保护评估中心，由评估中心按照《信息安全等级测评机构能力要求(试行)》对各测评机构进行能力评估。能力评估通过后，由评估中心将能力评估材料递交公安部网络安全保卫局审核批准。 (3)各省公安网安部门收到公安部网络安全保卫局对测评机构审核的意见及相关证书，下发给各地网安部门。 (4)公安部信息安全等级保护评估中心在网站上公布测评机构名单，接受社会监督。 能力评估的内容和要求上，分为组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续发展能力等七个方面和基本要求、约束性要求等两个部分。 2 浙江省等级测评机构现有监管模式 浙江省信息等级保护工作一直处于国内前列，2006年就颁布了《浙江省信息安全等级保护管理办法》(省政府第223号令)，并在同年开展了全国等级保护试点项目。通过多年积累的经验，2007年浙江省开始在测评机构管理、测评工作模式等方面进行探索，初步形成具有浙江特色的等级保护测评机构监管模式。 (1)以社会协会管理为主，政府监管为辅的管理模式 浙江省结合实际，政府层面出台了《浙江省信息安全等级保护测评机构管理规定(试行)》，明确了省内从事等级测评工作的单位性质、条件和义务等要素。社会协会层面出台了《浙江省信息安全测评机构资信等级评定管理办法(试行)》实现测评机构资信等级一、二级管理，形成测评机构管理行业规范，变政府由市场参与主体向市场监管主体转变，由管理审批型向管理服务型转变、由直接行政干预向间接宏观调控转变。 (2)建立以行业自律管理为主的监管体系 严格测评机构行业自律管理，测评机构间签署《信息安全等级保护测评机构行业自律公约》，强化机构自律化管理，进一步规范测评机构行为和工作秩序。 (3)建立机构统一管理标准，专控审查机构自身及人员能力建设 全省测评机构必须按照“审核标准统一，管理规范标准统一、技术标准统一、测评工具标准统一、报告样式标准统一”的五统一规范开展测评工作，并由政府组织机构年审，设立准入准出机制。测评机构的能力审查对测评过程中技术人员行为的规范性、合理性和程序标准性，对机构业务范围、管理能力和技术能力要求等给予明确规定，规范申请、审核、查验和推荐流程，组建由公安、必威体育官网网址、密码管理、信息办和安全