涉密信息系统测评要点详解 - 保密网

等保二级和涉密信息系统测评，听起来就挺专业的。很多企业的信息安全负责人一开始接触这个领域的时候，都会有一种不知道从哪入手的感觉。今天这篇文章，我尽量用大白话把这个话题讲清楚，说说测评到底看什么，企业应该怎么准备。

先理清一个概念区别。等保就是信息安全等级保护的简称，是国家对信息系统安全分等级保护的一套制度。等保二级是其中的一个等级，主要适用于一般的信息系统。而涉密信息系统测评，针对的是处理国家秘密信息的信息系统，要求比等保高得多，执行的是涉密信息系统分级保护的标准，跟等保不是同一个体系。很多企业容易把这两个概念混在一起，这是需要注意的。

等保二级测评的核心要点

等保二级是信息安全等级保护中比较基础的一个级别，适用于不涉及国家秘密但受到破坏后会损害公民法人和组织权益的信息系统。测评主要关注几个大的方面。

首先是安全管理制度。企业的信息安全制度好不好，不是看文件厚不厚，是看制度是不是覆盖了该管的方面，是不是跟实际业务对得上。测评会审查制度文件的内容完整性，也会检查这些制度是不是签了发了运行了。光有制度没有执行记录，在实际测评中是拿不到分数的。

其次是安全管理机构。企业有没有明确的信息安全管理组织架构，有没有指定专门的人员负责安全工作，职责分工是不是清晰的。这些看起来是基础性要求，但在很多中小企业身上，这些恰恰是最容易被忽略的地方。很多公司安全工作都是谁有空谁做，没有固定的岗位和人员，这种情况下测评的通过率基本为零。

第三是人员安全管理。员工入职有没有做安全背景审查，在职期间有没有接受安全培训，离岗时有没有做好权限回收和信息清理。人员管理这块在测评标准里占了不少比重，很多问题都出在这里。比如员工离职后账号还在，涉密信息可以访问，这在测评中是会扣分甚至一票否决的。

第四是系统建设管理。信息系统的设计、开发、测试、上线各个阶段有没有相应的安全措施。包括系统架构设计是否考虑了安全需求，代码开发有没有遵循安全规范，测试阶段有没有做安全测试，上线前有没有经过安全审批。这些环节只要有不到位的地方，测评都会反映出来。

第五是系统运维管理。系统上线之后的日常运维有没有规范化的管理流程，包括操作权限控制、日常巡检、日志审计、备份恢复、应急响应等。运维阶段的管理水平，往往直接决定了系统在真实环境下的安全运行状况。

涉密信息系统测评的特殊要求

涉密信息系统测评比等保严格得多，因为涉及的是国家秘密信息，安全要求的级别不在一个量级上。

物理安全方面，涉密信息系统的机房建设需要满足更严格的标准。包括机房的选址、建筑结构、门禁控制、视频监控、温湿度控制、电磁屏蔽等都有专门的要求。普通信息系统的机房标准在涉密系统面前远远不够。

网络隔离方面，涉密信息系统要求与互联网和其他非涉密网络进行严格的物理隔离。不是防火墙隔离，是物理隔离。涉密网络必须是独立的一套网络设施，不能跟其他网络有任何连接。这一点很多企业理解的不到位，以为做了逻辑隔离就行，实际测评时一检查就露馅了。

身份鉴别方面，涉密信息系统的用户身份认证要求远比普通系统高。一般采用双因子认证，结合密码、USBKey、生物特征等多种方式进行身份确认。普通的口令认证方式在涉密系统中是不够的。

安全审计方面，涉密系统要求对所有用户的操作行为进行全面审计，审计日志必须满足完整性保护要求，不能被篡改。审计记录的保存期限也有明确规定，比普通系统的要求长得多。

介质管理方面，涉密介质的使用、传递、存储、销毁都有严格的管理规定。每一件涉密介质都要有编号、有登记、有流向跟踪、有交接手续。普通的信息安全管理中可能不太重视介质管理，但在涉密系统中这是重点检查项目。

准备测评最常见的误区

我接触过不少企业，在准备测评的过程中遇到了各种各样的问题。归纳起来，几个误区出现的频率较高。

第一个误区是把测评当成一次性任务。很多企业平时不重视安全管理，等到测评前才突击补材料、补记录。这种做法在涉密测评中基本行不通，因为审核组会核对你提交的记录在时间线上是不是连续的，是不是跟实际情况一致。突击出来的材料，很容易在时间逻辑上出问题。

第二个误区是忽略人员意识培训。很多企业把主要精力放在买设备、搭系统上，觉得花了钱就安全了。但实际上人员安全意识不足，是信息安全最大的隐患。一个不经意的操作，就可能把整个安全防线击穿。测评时审核组也会随机抽查员工的安全意识，培训不到位的话同样会扣分。

第三个误区是对标准理解不够深入。有些企业对照标准做自评时，只看条款的字面意思，不去理解条款背后的安全目的。比如标准要求做备份，企业就简单做了一份拷贝，但没有考虑备份数据是不是应该异地存放，恢复流程是不是经过验证。这种表面对表的做法，测评时容易被审核组看穿。

第四个误区是整改不及时。测评过程中发现的问题没有及时整改，或者整改不彻底留下尾巴。评审组一般会给你一个整改期限，如果在期限内没有完成整改，测评结论就会受到影响。有些企业觉得问题不大拖着不改，最后吃了大亏。

怎么提高测评通过率

说到底，想提高测评通过率，功夫要下在日常，不是考前突击。几点建议可以参考。

建立常态化的安全管理机制，把安全工作融入到日常业务流程中。定期开展自查，及时发现问题、整改问题。安全是动态的，不能指望一次性建设就一劳永逸。

培养全员安全意识，从管理层到普通员工都要有安全意识和责任感。安全意识培训要定期开展，内容要结合实际案例，不能走过场。

选对测评机构，提前沟通需求。不同的测评机构可能关注的重点有些差异，提前了解可以帮助你更有针对性地准备。测评过程中的问题要及时沟通，不要自己闷头猜。

做好整改闭环管理。测评中发现的所有问题都要有记录、有分析、有整改措施、有验证结果。形成完整的闭环，确保每个问题都真正解决了，不留尾巴。

总的来说，不管是等保二级还是涉密信息系统测评，核心都是建立一套持续有效的安全管理机制。测评是一个检验手段，真正的目的还是保护信息系统的安全。对企业的长远发展来说，投入时间和精力把安全体系建好，这笔投入是值得的。