2)信息系統安全測評

目前，我國常見的信息系統安全測評包括信息系統風險評估、信息系統等級保護測評， 以及信息系統安全保障測評。

(1)信息系統風險評估

信息系統風險評估是從風險管理的角度，運用科學的方法和手段，全面分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和改進措施，并為防范和化解信息安全風險，將風險控制在可接受的水平，最大限度地保障網絡和信息安全提供科學依據。

(2)信息系統等級保護測評

信息系統等級保護測評，是對信息系統安全等級保護狀況進行測試評估，包括兩個方面的內容：一是單元測評，依據等級保護測評相關標準對GB/T 22239所要求的基本安全控制在信息系統中的實施配置情況進行測評；二是整體測評，主要測評信息系統的整體安全性，是在單元測評的基礎上，對信息系統開展整體測評，可以進一步分析信息系統的整體安全性。 整體測評主要包括安全控制間、層面閭和區域間相互作用的安全測評以及系統結構的安全測評等。

(3)信息系統安全保障測評

信息系統安全保障測評是在風險評估的基礎上，評估信息系統生命周期中采取的技術類、管理類、過程類和人員的安全保障措施，確定信息系統安全保障措施對系統履行其職能的有效性及其對面臨安全風險的可承受度。

對信息系統的安全保障測評，首先需要根據信息系統運行環境及相關的信息系統安全保障需求（即ISPP）進行描述，然后依據需求編制滿足用戶需求的信息系統安全保障方案，即信息系統安全保障目標( ISST)。評估者依據這些文件對信息系統安全保障方案滿足保障要求( ISPP)的符合情況進行評估，在此基礎上，依據國標GB/T 20274《信息系統安全保障評估框架》對信息系統的技術、管理和工程等三個方面的能力成熟度級別進行評價，最終確定信息系統安全保障能力級別。

在管理方面，依據《信息系統安全保障評估框架第3部分：管理保障》，安全管理禽旨力成熟度級（SecuriLy Management Capability Maturity Le、rel，MCML）分為5級，由低到高分別為MCML1，MCML2，MCML3，MCML4，MCML-。其中，MCML1表明組織機構內部禽邑夠依據經驗進行部分的安全管理工作；MCML2表明組織機構能夠建立完善的管理體系來規范安全管理能力；MCML3表明組織機構能夠采取有效措施來敦促管理體系的落實和實施；MCML4 表明組織機構所制定的管理體系不僅能夠有效實施，而且還能夠對實施管理措施的效果進行測試≯MCML5表明機構能夠對管理體系進行持續性改進。

在工程方面，依據《信息系統安全保障評估框架第4部分：工程保障》”，安全工程臺邕力成熟度級(Security Engineering Capal)ility MaLurity Level，ECML）分為5級，由低到高分別為ECMLl, ECML2, ECML3, ECML4, ECML5。

在技術架構方面，依據《信息系統安全保障評估框架第2部分：技術保障》，安全技術禽黽力成熟度級（Security Technique Capability Maturity Level，TCML）分成5級，即TCML1，

TCML2，TCML3，TCML4，TCML5。在安全產品選用上可以參照國標GB/T 18336《信息技術安全性評估準則》的要求，為不同安全等級的信息系統選用相應安全保證級的產品。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業