2)信息系統(tǒng)安全測(cè)評(píng)

目前，我國(guó)常見的信息系統(tǒng)安全測(cè)評(píng)包括信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)， 以及信息系統(tǒng)安全保障測(cè)評(píng)。

(1)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的方法和手段，全面分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和改進(jìn)措施，并為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

(2)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)

信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)，是對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行測(cè)試評(píng)估，包括兩個(gè)方面的內(nèi)容：一是單元測(cè)評(píng)，依據(jù)等級(jí)保護(hù)測(cè)評(píng)相關(guān)標(biāo)準(zhǔn)對(duì)GB/T 22239所要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況進(jìn)行測(cè)評(píng)；二是整體測(cè)評(píng)，主要測(cè)評(píng)信息系統(tǒng)的整體安全性，是在單元測(cè)評(píng)的基礎(chǔ)上，對(duì)信息系統(tǒng)開展整體測(cè)評(píng)，可以進(jìn)一步分析信息系統(tǒng)的整體安全性。 整體測(cè)評(píng)主要包括安全控制間、層面閭和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等。

(3)信息系統(tǒng)安全保障測(cè)評(píng)

信息系統(tǒng)安全保障測(cè)評(píng)是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，評(píng)估信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類和人員的安全保障措施，確定信息系統(tǒng)安全保障措施對(duì)系統(tǒng)履行其職能的有效性及其對(duì)面臨安全風(fēng)險(xiǎn)的可承受度。

對(duì)信息系統(tǒng)的安全保障測(cè)評(píng)，首先需要根據(jù)信息系統(tǒng)運(yùn)行環(huán)境及相關(guān)的信息系統(tǒng)安全保障需求（即ISPP）進(jìn)行描述，然后依據(jù)需求編制滿足用戶需求的信息系統(tǒng)安全保障方案，即信息系統(tǒng)安全保障目標(biāo)( ISST)。評(píng)估者依據(jù)這些文件對(duì)信息系統(tǒng)安全保障方案滿足保障要求( ISPP)的符合情況進(jìn)行評(píng)估，在此基礎(chǔ)上，依據(jù)國(guó)標(biāo)GB/T 20274《信息系統(tǒng)安全保障評(píng)估框架》對(duì)信息系統(tǒng)的技術(shù)、管理和工程等三個(gè)方面的能力成熟度級(jí)別進(jìn)行評(píng)價(jià)，最終確定信息系統(tǒng)安全保障能力級(jí)別。

在管理方面，依據(jù)《信息系統(tǒng)安全保障評(píng)估框架第3部分：管理保障》，安全管理禽旨力成熟度級(jí)（SecuriLy Management Capability Maturity Le、rel，MCML）分為5級(jí)，由低到高分別為MCML1，MCML2，MCML3，MCML4，MCML-。其中，MCML1表明組織機(jī)構(gòu)內(nèi)部禽邑夠依據(jù)經(jīng)驗(yàn)進(jìn)行部分的安全管理工作；MCML2表明組織機(jī)構(gòu)能夠建立完善的管理體系來規(guī)范安全管理能力；MCML3表明組織機(jī)構(gòu)能夠采取有效措施來敦促管理體系的落實(shí)和實(shí)施；MCML4 表明組織機(jī)構(gòu)所制定的管理體系不僅能夠有效實(shí)施，而且還能夠?qū)?shí)施管理措施的效果進(jìn)行測(cè)試≯MCML5表明機(jī)構(gòu)能夠?qū)芾眢w系進(jìn)行持續(xù)性改進(jìn)。

在工程方面，依據(jù)《信息系統(tǒng)安全保障評(píng)估框架第4部分：工程保障》”，安全工程臺(tái)邕力成熟度級(jí)(Security Engineering Capal)ility MaLurity Level，ECML）分為5級(jí)，由低到高分別為ECMLl, ECML2, ECML3, ECML4, ECML5。

在技術(shù)架構(gòu)方面，依據(jù)《信息系統(tǒng)安全保障評(píng)估框架第2部分：技術(shù)保障》，安全技術(shù)禽黽力成熟度級(jí)（Security Technique Capability Maturity Level，TCML）分成5級(jí)，即TCML1，

TCML2，TCML3，TCML4，TCML5。在安全產(chǎn)品選用上可以參照國(guó)標(biāo)GB/T 18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》的要求，為不同安全等級(jí)的信息系統(tǒng)選用相應(yīng)安全保證級(jí)的產(chǎn)品。

想了解更多IT資訊，請(qǐng)?jiān)L問中培偉業(yè)官網(wǎng)：中培偉業(yè)