安徽等保測評流程包括系統(tǒng)定級→系統(tǒng)備案→整改實施→系統(tǒng)測評→運維檢查這5大階段。

　　一、安徽等級保護測評的依據(jù)：

　　依據(jù)《信息系統(tǒng)安全等級保護基本要求》 “等級保護的實施與管理”中的第十四條：

　　信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。

　　第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。

　　二、安徽等級保護工作的步驟

　　運營單位確定要開展信息系統(tǒng)等級保護工作后，應(yīng)按照以下步驟逐步推進工作：

　　1、確定信息系統(tǒng)的個數(shù)、每個信息系統(tǒng)的等保級別。

　　2、對每個目標系統(tǒng)，按照《信息系統(tǒng)定級指南》的要求和標準，分別進行等級保護的定級工作，填寫《系統(tǒng)定級報告》、《系統(tǒng)基礎(chǔ)信息調(diào)研表》(每個系統(tǒng)一套)。運營單位也可委托具備資質(zhì)的等保測評機構(gòu)協(xié)助填寫上述表格。

　　3、向?qū)俚毓矙C關(guān)部門提交《系統(tǒng)定級報告》和《系統(tǒng)基礎(chǔ)信息調(diào)研表》，獲取《信息系統(tǒng)等級保護定級備案證明》(每個系統(tǒng)一份)，完成系統(tǒng)定級備案階段工作。

　　4、依據(jù)確定的等級標準，選取等保測評機構(gòu)，對目標系統(tǒng)開展等級保護測評工作(具體測評流程見第三條)

　　5、完成等級測評工作，獲得《信息系統(tǒng)等級保護測評報告》(每個系統(tǒng)一份)后，將《報告》提交相關(guān)部門進行備案。

　　6、結(jié)合《測評報告》整體情況，針對報告提出的待整改項，制定本單位下一年度的“等級保護工作計劃”，并依照計劃推進下一階段的信息安全工作。

　　三、安徽等級測評的流程：

　　差距測評階段又分為以下內(nèi)容：測評準備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動，整改階段、驗收測評階段。

　　1、 測評準備活動階段

　　簽訂《合同》與《保密協(xié)議》

　　首先，被測評單位在選定測評機構(gòu)后，雙方需要先簽訂《測評服務(wù)合同》，合同中對項目范圍(哪些系統(tǒng)?)、項目內(nèi)容(差距測評?驗收測評?協(xié)助整改?)、項目周期(什么時間進場?項目計劃做多長時間?)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內(nèi)容逐一進行約定。

　　簽訂《測評服務(wù)合同》同時，測評機構(gòu)應(yīng)簽署《保密協(xié)議》，?！侗Ｃ軈f(xié)議》一般分兩種，一種是測評機構(gòu)與被測單位(公對公)簽署，約定測評機構(gòu)在測評過程中的保密責(zé)任;一種是測評機構(gòu)項目組成員與被測單位之間簽署。

　　項目啟動會

　　在雙方簽完委托測評合同之后，雙方即可約定召開項目啟動會時間。項目啟動會的目的，主要是由甲方領(lǐng)導(dǎo)對公司內(nèi)部涉及的部門進行動員、提請各相關(guān)部門重視、協(xié)調(diào)內(nèi)部資源、介紹測評方項目實施人員、計劃安排等內(nèi)容，為整個等級測評項目的實施做基本準備。

　　系統(tǒng)情況調(diào)研

　　啟動會后，測評方開展調(diào)研，通過填寫《信息系統(tǒng)基本情況調(diào)查表》，掌握被測系統(tǒng)的詳細情況，為編制測評方案做好準備。測評準備活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準備工作是否充分,直接關(guān)系到后續(xù)工作能否順利開展。一個二級系統(tǒng)的測評準備工作一般需要1天半，三級系統(tǒng)的準備工作一般需要2天左右完成。

　　2、 安徽測評方案編制階段

　　該階段的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評實施手冊，形成測評方案。方案編制活動為現(xiàn)場測評提供最基本的文檔依據(jù)和指導(dǎo)方案。一個二級系統(tǒng)的方案編制工作一般需要2天左右完成。

　　3、 現(xiàn)場測評階段

　　現(xiàn)場測評活動是開展等級測評工作的核心活動，包括技術(shù)測評和管理測評。其中技術(shù)測評包括: 物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)。管理測評包括:安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理?，F(xiàn)場差距測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。

　　此階段的輸出物為物理安全現(xiàn)場測評記錄、網(wǎng)絡(luò)安全現(xiàn)場測評記錄、主機安全現(xiàn)場測評記錄、應(yīng)用安全現(xiàn)場測評記錄、數(shù)據(jù)安全和備份恢復(fù)現(xiàn)場測評記錄、安全管理制度現(xiàn)場測評記錄、安全管理機構(gòu)現(xiàn)場測評記錄、人員安全管理現(xiàn)場測評記錄、系統(tǒng)建設(shè)管理現(xiàn)場測評記錄和系統(tǒng)運維管理現(xiàn)場測評記錄等。

　　4、 分析與報告編制階段

　　此階段主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險，從而給出等級測評結(jié)論，形成測評報告文本。一個二級系統(tǒng)的分析和報告編制工作一般需要3-4天左右完成。

　　此階段工作不一定需要在客戶現(xiàn)場完成。《測評報告》的模板是由公安機關(guān)統(tǒng)一制定的。

　　此階段的輸出物為《某系統(tǒng)等級測評報告》、《某系統(tǒng)整改建議》。

　　5、 整改階段

　　主要根據(jù)測評機構(gòu)出具的差距測評報告和整改建議進行整改，此階段主要由備案單位實施，測評機構(gòu)協(xié)助，客戶可以根據(jù)自身的實際情況，把整改分為短期、中期、長期。

　　6、 驗收測評階段

　　測評流程與之前的流程相同，主要是檢查整改的效果。

　　綜上，一個二級系統(tǒng)完整的測評一次，在客戶方充分配合、測評方派3名測評師的情況下，大致需要兩周左右。如果有多個系統(tǒng)同時測評，會存在部分重復(fù)工作，具體情況需要具體分析。

　　四、被測方(備案單位)在測評階段需配合的工作

　　1、 測評準備階段：

　　1) 被測方成立項目組，并任命項目經(jīng)理;

　　2) 向測評機構(gòu)介紹本單位的信息化建設(shè)狀況與發(fā)展情況;

　　3) 準備測評機構(gòu)需要的資料，比如系統(tǒng)定級報告、備案表、自查或上次測評報告、聯(lián)系方式等;

　　4) 為測評人員的信息收集提供支持和協(xié)調(diào);

　　5) 準確填寫信息系統(tǒng)基本信息調(diào)查表;

　　6) 根據(jù)被測系統(tǒng)的具體情況，如業(yè)務(wù)運行高峰期、網(wǎng)絡(luò)布置情況等，為測評時間安排提供適宜的建議;

　　2、 方案編制階段：

　　與測評方討論測評方案，并最終簽字確認。

　　3、 現(xiàn)場測評階段：

　　1) 此階段工作測評方人員需要在客戶現(xiàn)場完成。需要被測方提供辦公位(基本的辦公環(huán)境)。

　　2) 備案單位需要機房管理員、網(wǎng)絡(luò)管理員、安全主管、系統(tǒng)管理員、系統(tǒng)開發(fā)人員、運維人員等進行配合。

　　3) 測評前備份系統(tǒng)和數(shù)據(jù)，并確認被測設(shè)備狀態(tài)完好;

　　4) 協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評工作的開展;

　　5) 相關(guān)人員回答測評人員的問詢，對某些需要驗證的內(nèi)容上機進行操作;

　　6) 相關(guān)人員確認測試前協(xié)助測評人員實施工具測試并提供有效建議，降低安全測評對系統(tǒng)運行的影響;

　　7) 相關(guān)人員對測評結(jié)果進行確認;

　　8) 相關(guān)人員確認工具測試后被測設(shè)備的狀態(tài)完好。

　　4、 分析與報告編制階段：

　　確認測評報告和整改建議。

　　5、 整改階段

　　主要由客戶實施，測評機構(gòu)協(xié)助。

　　6、 驗收測評階段

　　此階段與之前的差距測評階段類似，主要是針對整改的項目進行測評，從而檢驗整改的效果。備案單位簽收測評報告，并把測評報告向公安機關(guān)備案。

　　在上述工作全部完成后，被測單位應(yīng)將由等級測評機構(gòu)蓋章的《測評報告》提交公安機關(guān)完成備案。