2.4 等级保护测评标准

信息安全等级保护（简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件按等级响应、处置。信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，也是信息安全保障工作中国家意志的体现。

2.4.1 法律政策体系

1994年发布的《中华人民共和国计算机信息系统安全保护条例》中规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。2003年，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003] 27号），指出：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。2004年，公安部、国家保密局、国家密码管理局和国务院信息化工作办公室（简称四部委）联合下发《关于信息安全等级保护工作的实施意见》（公通字[2004] 66号，简称66号文），将信息和信息系统的安全保护等级划分为五级，即自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级。2007年，四部委又联合签发了《信息安全等级保护管理办法》（公通字[2007] 43号），主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等。该文件明确规定如何建设、如何监管、如何选择服务商，为开展信息安全等级保护工作提供了规范保障。等级保护相关的法律政策如图2-4所示。

2.4.2 标准体系

等级保护的基础性标准是国家强制标准GB 17859—1999《计算机信息系统 安全保护等级划分准则》，它规定了计算机信息系统安全保护能力的五个等级：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。在GB 17859—1999的基础上，制定出《信息安全技术 信息系统通用安全技术要求》（GB/T 20271—2006）等技术类、《信息安全技术 信息系统安全管理要求》（GB/T 20269—2006）等管理类、《信息安全技术 操作系统安全技术要求》（GB/T 20272—2019）等产品类标准，形成信息系统安全等级保护基本要求。等级保护相关的标准体系如图2-5所示。

2.4.3 GB 17859—1999《计算机信息系统 安全保护等级划分准则》

《信息安全等级保护管理办法》规定：国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级，且一至五级等级逐级增高，如表2-3所示。

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统的运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统的安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统的安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统的安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统的安全等级保护工作进行专门监督、检查。

2.4.4 GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》

GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》依据《信息安全等级保护管理办法》制定，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法，如表2-4所示。

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。其中，等级保护对象受到破坏时所侵害的客体包括三个方面：①公民、法人和其他组织的合法权益；②社会秩序、公共利益；③国家安全。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：①一般损害；②严重损害；③特别严重损害。而且，由于信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级由业务信息安全和系统服务安全两方面确定，并将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。确定信息系统安全保护等级的一般流程如下。

1）确定作为定级对象的信息系统。

2）确定业务信息安全受到破坏时所侵害的客体。

3）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度。

4）确定业务信息安全保护等级。

5）确定系统服务安全受到破坏时所侵害的客体。

6）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度。

7）确定系统服务安全保护等级。

8）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

2.4.5 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》

GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》是为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展，对GB/T 22239—2008进行的修订。针对共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。

该标准对等级保护的对象进行了详细描述，指出等级保护对象通常是由计算机或者其他信息终端及相关设备组成的、按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、工业控制系统和采用移动互联技术的系统等。该标准还明确了不同级别的安全保护能力与安全通用要求和安全扩展要求。这里通用安全要求和扩展安全要求包含如下10个方面。

①安全物理环境；②安全通信网络；③安全区域边界；④安全计算环境；⑤安全管理中心；⑥安全管理制度；⑦安全管理机构；⑧安全管理人员；⑨安全建设管理；⑩安全运维管理。

2.4.6 GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》

GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》规定了三类测评方法，将等级测评过程分为四个活动，并给出了等级测评活动工作流程、测评指标选取。

（1）三类测评方法

三类测评方法包括访谈、检查、测试。

访谈：指测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应该基本覆盖所有的安全相关人员类型，在数量上可以抽样。

检查：指测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。

测试：指测评人员针对测评对象按照预定的方法或工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。

（2）四个测评活动

等级测评过程分为四个活动：测评准备、方案编制、现场测评和报告编制，而测评双方之间的沟通与洽谈应当贯穿整个等级保护测评过程。

（3）测评流程

等级测评活动的工作流程包括测评准备、方案编制、现场测评及报告编制，如图2-6所示。

（4）测评指标选取

测评指标由通用安全保护类（G类）、系统服务安全保护类（A类）、业务信息安全保护类（S类）这三类组成，涉及安全技术和安全管理两个部分。对于具体的信息系统，确定测评指标需要根据系统的安全保护等级、业务信息安全保护等级、系统服务安全保护等级的具体情况，选择与被测系统的保护等级相对对应的基本要求作为测评指标。