等级保护测试

依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。

测试标准

· GB∕T 28448-2019 信息安全技术网络安全等级保护测评要求

· GB∕T 28449-2018 信息安全技术网络安全等级保护测评过程指南

· GB∕T 36627-2018 信息安全技术网络安全等级保护测评评估技术指南

技术测评

· 安全物理环境测评

机房位置与环境：检查机房是否选择在具有防震、防风和防雨等能力的建筑内，是否远离危险区域，机房内的温度、湿度、洁净度等环境条件是否满足设备运行要求。

设备设施安全：测评设备的防盗、防破坏措施是否到位，如是否安装了监控设备、门禁系统等；检查消防设施是否齐全且可用，是否有防雷击、防静电等措施。

· 安全通信网络测评

网络架构安全：评估网络拓扑结构是否合理，是否具备冗余设计以保证网络的可靠性和可用性，网络边界是否划分清晰，不同区域之间的访问控制是否有效。

通信传输安全：检测网络通信过程中的数据加密情况，是否采用了加密协议对传输数据进行保护，以防止数据在传输过程中被窃取或篡改；检查网络设备的身份认证和访问控制机制是否健全，防止非法设备接入网络。

· 安全区域边界测评

边界防护：查看是否部署了防火墙、入侵检测 / 预防系统等边界防护设备，其策略配置是否合理，能否有效阻止外部非法访问和攻击。

访问控制：检查网络访问控制列表（ACL）的设置是否正确，是否根据业务需求和安全策略对不同区域之间的访问进行了严格控制，确保只有授权的用户和设备能够进行访问。

· 安全计算环境测评

身份鉴别：测评系统是否采用了强身份鉴别技术，如多因素认证等，以确保用户身份的真实性和合法性；检查用户身份信息的存储和管理是否安全，防止身份信息泄露。

访问控制：评估操作系统、数据库系统等是否设置了合理的访问控制策略，不同用户和角色是否具有相应的权限，能否防止越权访问和数据泄露。

恶意代码防范：检查系统是否安装了防病毒、防恶意软件等安全软件，其病毒库和恶意代码库是否及时更新，能否有效检测和清除恶意代码。

· 安全管理中心测评

安全审计：查看是否建立了安全审计系统，能否对信息系统中的各类操作和事件进行全面审计，审计记录是否完整、准确，是否能够根据审计数据进行安全事件的追溯和分析。

集中管控：评估是否实现了对信息系统中安全设备、安全策略等的集中管理和控制，能否及时对安全策略进行调整和更新，提高信息系统的整体安全管理效率。

管理测评

· 安全管理制度测评

制度体系建设：检查是否制定了涵盖信息安全管理各个方面的制度文件，包括安全策略、管理制度、操作规程等，是否明确了信息安全管理的目标、原则和总体要求。

制度内容完善性：评估制度内容是否完整、合理，是否针对不同的安全管理事项，如人员管理、资产管理、应急管理等，制定了具体的管理要求和流程，是否与国家法律法规、行业标准以及信息系统的实际情况相符合。

制度发布与更新：查看制度是否经过正式发布，是否发放到相关人员手中，是否根据信息系统的变化、法律法规的更新以及安全事件的经验教训等，及时对制度进行修订和完善。

· 安全管理机构测评

机构设置与职责分工：检查是否设立了专门的信息安全管理机构，是否明确了机构内各岗位的职责和分工，是否存在职责不清或交叉的情况，是否有足够的人员和资源来保障信息安全管理工作的开展。

沟通与合作机制：评估信息安全管理机构与其他部门之间是否建立了有效的沟通与合作机制，是否定期进行信息交流和协调，在处理安全事件、实施安全措施等方面是否能够密切配合。

人员配备与能力要求：查看信息安全管理岗位的人员配备是否合理，人员是否具备相应的专业知识和技能，是否定期进行安全培训和考核，以确保其能够胜任信息安全管理工作。

· 安全管理人员测评

人员录用与离岗：检查人员录用过程中是否进行了背景审查，是否与员工签订了保密协议和竞业禁止协议，人员离岗时是否进行了离职手续办理，是否收回了相关的权限和设备，是否对离职人员进行了安全提醒。

人员培训与教育：评估是否制定了人员安全培训计划，培训内容是否包括信息安全法律法规、安全意识、安全技术等方面，是否定期组织员工参加安全培训和应急演练，员工是否具备必要的安全意识和应急处理能力。

安全意识与行为规范：观察员工在日常工作中的安全意识和行为表现，是否遵守信息安全管理制度，是否存在违规操作、泄露敏感信息等行为。

· 安全建设管理测评

项目规划与实施：检查信息系统建设过程中是否制定了详细的项目规划，是否按照等级保护要求进行了安全方案设计，在项目实施过程中是否对安全产品的采购、安装、调试等环节进行了严格管理，是否确保安全措施与信息系统同步建设。

安全服务商选择：评估在选择安全服务提供商时，是否对其资质、信誉、技术能力等进行了严格审查，是否与安全服务商签订了详细的服务合同和保密协议，确保安全服务的质量和信息安全。

系统交付与验收：查看信息系统交付时是否提供了完整的文档资料，包括安全设计文档、操作手册、测试报告等，在系统验收过程中是否按照等级保护标准和合同要求，对系统的安全功能和性能进行了严格测试和验收。

· 安全运维管理测评

日常运维管理：检查是否建立了系统运行维护管理制度，是否对信息系统的运行状态进行实时监控，是否记录了系统的运行日志和安全事件日志，是否定期对系统进行维护和保养，确保系统的稳定运行。

变更管理：评估在信息系统发生变更时，如系统升级、配置调整、设备更换等，是否进行了变更申请、审批、实施和验证等流程，是否对变更可能带来的安全风险进行了评估和控制，确保变更过程不影响系统的安全性。

应急管理：查看是否制定了完善的应急预案，应急预案是否包括应急响应流程、应急处置措施、应急资源保障等内容，是否定期组织应急演练，检验应急预案的有效性和可操作性，在发生安全事件时是否能够及时启动应急预案，进行有效的应急处置。