2)信息系統(tǒng)安全測評

目前，我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險(xiǎn)評估、信息系統(tǒng)等級保護(hù)測評， 以及信息系統(tǒng)安全保障測評。

(1)信息系統(tǒng)風(fēng)險(xiǎn)評估

信息系統(tǒng)風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的方法和手段，全面分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和改進(jìn)措施，并為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

(2)信息系統(tǒng)等級保護(hù)測評

信息系統(tǒng)等級保護(hù)測評，是對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估，包括兩個(gè)方面的內(nèi)容：一是單元測評，依據(jù)等級保護(hù)測評相關(guān)標(biāo)準(zhǔn)對GB/T 22239所要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況進(jìn)行測評；二是整體測評，主要測評信息系統(tǒng)的整體安全性，是在單元測評的基礎(chǔ)上，對信息系統(tǒng)開展整體測評，可以進(jìn)一步分析信息系統(tǒng)的整體安全性。 整體測評主要包括安全控制間、層面閭和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等。

(3)信息系統(tǒng)安全保障測評

信息系統(tǒng)安全保障測評是在風(fēng)險(xiǎn)評估的基礎(chǔ)上，評估信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類和人員的安全保障措施，確定信息系統(tǒng)安全保障措施對系統(tǒng)履行其職能的有效性及其對面臨安全風(fēng)險(xiǎn)的可承受度。

對信息系統(tǒng)的安全保障測評，首先需要根據(jù)信息系統(tǒng)運(yùn)行環(huán)境及相關(guān)的信息系統(tǒng)安全保障需求（即ISPP）進(jìn)行描述，然后依據(jù)需求編制滿足用戶需求的信息系統(tǒng)安全保障方案，即信息系統(tǒng)安全保障目標(biāo)( ISST)。評估者依據(jù)這些文件對信息系統(tǒng)安全保障方案滿足保障要求( ISPP)的符合情況進(jìn)行評估，在此基礎(chǔ)上，依據(jù)國標(biāo)GB/T 20274《信息系統(tǒng)安全保障評估框架》對信息系統(tǒng)的技術(shù)、管理和工程等三個(gè)方面的能力成熟度級別進(jìn)行評價(jià)，最終確定信息系統(tǒng)安全保障能力級別。

在管理方面，依據(jù)《信息系統(tǒng)安全保障評估框架第3部分：管理保障》，安全管理禽旨力成熟度級（SecuriLy Management Capability Maturity Le、rel，MCML）分為5級，由低到高分別為MCML1，MCML2，MCML3，MCML4，MCML-。其中，MCML1表明組織機(jī)構(gòu)內(nèi)部禽邑夠依據(jù)經(jīng)驗(yàn)進(jìn)行部分的安全管理工作；MCML2表明組織機(jī)構(gòu)能夠建立完善的管理體系來規(guī)范安全管理能力；MCML3表明組織機(jī)構(gòu)能夠采取有效措施來敦促管理體系的落實(shí)和實(shí)施；MCML4 表明組織機(jī)構(gòu)所制定的管理體系不僅能夠有效實(shí)施，而且還能夠?qū)?shí)施管理措施的效果進(jìn)行測試≯MCML5表明機(jī)構(gòu)能夠?qū)芾眢w系進(jìn)行持續(xù)性改進(jìn)。

在工程方面，依據(jù)《信息系統(tǒng)安全保障評估框架第4部分：工程保障》”，安全工程臺(tái)邕力成熟度級(Security Engineering Capal)ility MaLurity Level，ECML）分為5級，由低到高分別為ECMLl, ECML2, ECML3, ECML4, ECML5。

在技術(shù)架構(gòu)方面，依據(jù)《信息系統(tǒng)安全保障評估框架第2部分：技術(shù)保障》，安全技術(shù)禽黽力成熟度級（Security Technique Capability Maturity Level，TCML）分成5級，即TCML1，

TCML2，TCML3，TCML4，TCML5。在安全產(chǎn)品選用上可以參照國標(biāo)GB/T 18336《信息技術(shù)安全性評估準(zhǔn)則》的要求，為不同安全等級的信息系統(tǒng)選用相應(yīng)安全保證級的產(chǎn)品。

想了解更多IT資訊，請?jiān)L問中培偉業(yè)官網(wǎng)：中培偉業(yè)