2)信息系統(tǒng)安全測評

目前，我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險評估、信息系統(tǒng)等級保護測評， 以及信息系統(tǒng)安全保障測評。

(1)信息系統(tǒng)風(fēng)險評估

信息系統(tǒng)風(fēng)險評估是從風(fēng)險管理的角度，運用科學(xué)的方法和手段，全面分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和改進措施，并為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

(2)信息系統(tǒng)等級保護測評

信息系統(tǒng)等級保護測評，是對信息系統(tǒng)安全等級保護狀況進行測試評估，包括兩個方面的內(nèi)容：一是單元測評，依據(jù)等級保護測評相關(guān)標(biāo)準(zhǔn)對GB/T 22239所要求的基本安全控制在信息系統(tǒng)中的實施配置情況進行測評；二是整體測評，主要測評信息系統(tǒng)的整體安全性，是在單元測評的基礎(chǔ)上，對信息系統(tǒng)開展整體測評，可以進一步分析信息系統(tǒng)的整體安全性。 整體測評主要包括安全控制間、層面閭和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等。

(3)信息系統(tǒng)安全保障測評

信息系統(tǒng)安全保障測評是在風(fēng)險評估的基礎(chǔ)上，評估信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類和人員的安全保障措施，確定信息系統(tǒng)安全保障措施對系統(tǒng)履行其職能的有效性及其對面臨安全風(fēng)險的可承受度。

對信息系統(tǒng)的安全保障測評，首先需要根據(jù)信息系統(tǒng)運行環(huán)境及相關(guān)的信息系統(tǒng)安全保障需求（即ISPP）進行描述，然后依據(jù)需求編制滿足用戶需求的信息系統(tǒng)安全保障方案，即信息系統(tǒng)安全保障目標(biāo)( ISST)。評估者依據(jù)這些文件對信息系統(tǒng)安全保障方案滿足保障要求( ISPP)的符合情況進行評估，在此基礎(chǔ)上，依據(jù)國標(biāo)GB/T 20274《信息系統(tǒng)安全保障評估框架》對信息系統(tǒng)的技術(shù)、管理和工程等三個方面的能力成熟度級別進行評價，最終確定信息系統(tǒng)安全保障能力級別。

在管理方面，依據(jù)《信息系統(tǒng)安全保障評估框架第3部分：管理保障》，安全管理禽旨力成熟度級（SecuriLy Management Capability Maturity Le、rel，MCML）分為5級，由低到高分別為MCML1，MCML2，MCML3，MCML4，MCML-。其中，MCML1表明組織機構(gòu)內(nèi)部禽邑夠依據(jù)經(jīng)驗進行部分的安全管理工作；MCML2表明組織機構(gòu)能夠建立完善的管理體系來規(guī)范安全管理能力；MCML3表明組織機構(gòu)能夠采取有效措施來敦促管理體系的落實和實施；MCML4 表明組織機構(gòu)所制定的管理體系不僅能夠有效實施，而且還能夠?qū)嵤┕芾泶胧┑男ЧM行測試≯MCML5表明機構(gòu)能夠?qū)芾眢w系進行持續(xù)性改進。

在工程方面，依據(jù)《信息系統(tǒng)安全保障評估框架第4部分：工程保障》”，安全工程臺邕力成熟度級(Security Engineering Capal)ility MaLurity Level，ECML）分為5級，由低到高分別為ECMLl, ECML2, ECML3, ECML4, ECML5。

在技術(shù)架構(gòu)方面，依據(jù)《信息系統(tǒng)安全保障評估框架第2部分：技術(shù)保障》，安全技術(shù)禽黽力成熟度級（Security Technique Capability Maturity Level，TCML）分成5級，即TCML1，

TCML2，TCML3，TCML4，TCML5。在安全產(chǎn)品選用上可以參照國標(biāo)GB/T 18336《信息技術(shù)安全性評估準(zhǔn)則》的要求，為不同安全等級的信息系統(tǒng)選用相應(yīng)安全保證級的產(chǎn)品。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)