一篇可以让你了解等级保护测评流程的文章

空白测量阶段又分为：测评准备活动、方案编制活动、现场测量活动、分析和报告编制活动、整改阶段、验收测评阶段。

1、评价准备活动阶段。

签署本合同和《保密协议》

第一，被测评单位选定测评机构后，双方需要先签订《测评服务合同》，合同范围包括哪些系统？方案内容(差距测量)？接受测验？帮助纠正错误？)工程周期(进场时间)？该项目计划进行多久？)项目执行计划(测量工作的步骤)、项目人员(项目执行小组人员)、项目接受标准、支付方式、违约条款等等，逐一商定。

签定“测评服务合同”时，测评机构应签署“保密协议”。保密性协议一般分为两类，一类是由测试机构与被测试单位(公正性)签订，即测试机构在测评过程中的保密责任；一种是测试机构项目组成员与被测试单位之间签署。

计划启动会议。

签署委托测评合同后，双方可约定召开项目启动会议时间。工程启动会议的目的，主要是甲方领导对公司内有关部门进行动员、提请有关部门重视、协调内部资源、介绍测评方项目执行人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

体系状况调查。

开课后，进行测评方进行调研，通过填写“信息系统基本情况问卷”，掌握被测系统的详细情况，为制定测评方案做好准备。评定前准备活动是开展工作的前提和基础，是整个等级评定过程有效性的保证。评价准备工作的充分与否，直接关系到后续工作能否顺利进行。第二级系统的测评准备通常需要1天半的时间，3级系统一般需要2天左右完成。

2、测量计划制定阶段。

这一阶段的主要任务是确定适合被测信息系统的测度对象、测度指标和测度内容等，并根据需要复用或开发测评实施手册，形成测评方案。规划活动为现场测量工作提供最基本的文档基础和指导方案。第二级系统的方案编制通常需要2天左右完成。

3、现场测量阶段。

实地调查是进行技术测量和管理测量两个方面进行等级测量的核心活动。包括：物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复。行政考核的内容包括：安全管理体系、安全管理机构、人员安全管理、制度建设管理和系统运行管理。一般情况下，现场测验包括访谈、文件审阅、组态检查、工具测试和实地考察。

这一阶段输出的内容包括：物理安全现场测量记录、网络安全现场测量记录、主机安全现场测量记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理系统现场测评记录、网络安全现场测评记录、主机安全测评记录、应用安全现场测评记录等。

4.编写分析和报告阶段。

这一阶段的主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果的判定、整体评估和风险分析等方法，找出整个系统安全保护现状与相应等级保护要求之间的差距，并分析这些差距所引起的风险，并据此给出评价结论，形成测评报告。二层系统的分析报告通常需要3-4天左右才能完成。

这个阶段的工作不必在客户现场完成。测试报告模板由公安机关统一编制，具有可操作性。

这一阶段的输出物是《某系统等级测评报告》，“某系统整改意见”。

5、纠正阶段。

主要依据测评机构出具的差距测评报告和整改建议进行整改，这一阶段主要是备案单位实施，测评机构协助客户根据自己的实际情况，将整改分为短期、中期、长期。

6、验收测量阶段。

考核过程与前一阶段相同，主要是检查整改效果。

总而言之，二级系统一次完整的测试一次，只要客户方充分配合，测评方派3个调查员，大概需要两周左右。若要同时测多个系统，会出现部分重复的情况，需要具体分析。