信息安全等級(jí)保護(hù)已經(jīng)成為全國(guó)各行業(yè)進(jìn)行信息安全建設(shè)的重點(diǎn)內(nèi)容，而信息安全風(fēng)險(xiǎn)評(píng)估正是進(jìn)行信息安全等級(jí)保護(hù)工作的切入點(diǎn)。如何進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，如何通過(guò)風(fēng)險(xiǎn)評(píng)估為信息安全等級(jí)保護(hù)建設(shè)提供必要的輸入數(shù)據(jù)已經(jīng)成為風(fēng)險(xiǎn)評(píng)估所需要解決的重點(diǎn)問(wèn)題。
       信息安全等級(jí)保護(hù)測(cè)評(píng)工作要求：
       1、依據(jù)標(biāo)準(zhǔn)，遵循原則
       等級(jí)測(cè)評(píng)實(shí)施應(yīng)依據(jù)等級(jí)保護(hù)的相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行。相關(guān)技術(shù)標(biāo)準(zhǔn)主要包括GB/T 22239-2008和GB/T DDDD-DDDD，其中等級(jí)測(cè)評(píng)目標(biāo)和內(nèi)容應(yīng)依據(jù)GB/T 22239-2008，對(duì)具體測(cè)評(píng)項(xiàng)的測(cè)評(píng)實(shí)施方法則依據(jù)GB/T DDDD-DDDD。 在等級(jí)測(cè)評(píng)實(shí)施活動(dòng)中，應(yīng)遵循GB/T DDDD-DDDD中規(guī)定的測(cè)評(píng)原則，保證測(cè)評(píng)工作公正、科學(xué)、合理和完善。
        2、恰當(dāng)選取，保證強(qiáng)度
       恰當(dāng)選取是指對(duì)具體測(cè)評(píng)對(duì)象的選擇要恰當(dāng)，既要避免重要的對(duì)象、可能存在安全隱患的對(duì)象沒有被選擇，也要避免過(guò)多選擇，使得工作量增大。保證強(qiáng)度是指對(duì)被測(cè)系統(tǒng)應(yīng)實(shí)施與其等級(jí)相適應(yīng)的測(cè)評(píng)強(qiáng)度。
        3、規(guī)范行為，規(guī)避風(fēng)險(xiǎn)
       測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)的過(guò)程應(yīng)規(guī)范，包括：制定內(nèi)部保密制度；制定過(guò)程控制制度；規(guī)定相關(guān)文檔評(píng)審流程；指定專人負(fù)責(zé)保管等級(jí)測(cè)評(píng)的歸檔文件等。測(cè)評(píng)人員的行為應(yīng)規(guī)范，包括：測(cè)評(píng)人員進(jìn)入現(xiàn)場(chǎng)佩戴工作牌；使用測(cè)評(píng)專用的電腦和工具；嚴(yán)格按照測(cè)評(píng)指導(dǎo)書使用規(guī)范的測(cè)評(píng)技術(shù)進(jìn)行測(cè)評(píng)；準(zhǔn)確記錄測(cè)評(píng)證據(jù)；不擅自評(píng)價(jià)測(cè)評(píng)結(jié)果；不將測(cè)評(píng)結(jié)果復(fù)制給非測(cè)評(píng)人員等。規(guī)避風(fēng)險(xiǎn)，是指要充分估計(jì)測(cè)評(píng)可能給被測(cè)系統(tǒng)帶來(lái)的影響，向被測(cè)系統(tǒng)運(yùn)營(yíng)/使用單位揭示風(fēng)險(xiǎn)，要求其提前采取預(yù)防措施進(jìn)行規(guī)避。同時(shí)，測(cè)評(píng)機(jī)構(gòu)也應(yīng)采取與測(cè)評(píng)委托單位簽署委托測(cè)評(píng)協(xié)議、保密協(xié)議、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、要求測(cè)評(píng)委托單位進(jìn)行系統(tǒng)備份、規(guī)范測(cè)評(píng)活動(dòng)、及時(shí)與測(cè)評(píng)委托單位溝通等措施規(guī)避風(fēng)險(xiǎn)，盡量避免給被測(cè)系統(tǒng)和單位帶來(lái)影響。
        評(píng)估準(zhǔn)備階段
        評(píng)估準(zhǔn)備階段是開展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。評(píng)估準(zhǔn)備階段主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。方案編制階段
        方案編制活動(dòng)包括測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書開發(fā)及測(cè)評(píng)方案編制六項(xiàng)主要任務(wù)。現(xiàn)場(chǎng)評(píng)估階段
        現(xiàn)場(chǎng)評(píng)估階段主要是通過(guò)與客戶進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場(chǎng)測(cè)評(píng)的順利開展打下良好基礎(chǔ)，然后依據(jù)測(cè)評(píng)方案實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)工作，將測(cè)評(píng)方案和測(cè)評(píng)工具等具體落實(shí)到現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中?，F(xiàn)場(chǎng)測(cè)評(píng)工作應(yīng)取得分析與報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。
        現(xiàn)場(chǎng)評(píng)估活動(dòng)，分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。分析與報(bào)告編制階段
       在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果（或稱測(cè)評(píng)證據(jù)）進(jìn)行匯總分析，形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。
       測(cè)評(píng)人員在初步判定單元測(cè)評(píng)結(jié)果后，還需進(jìn)行整體測(cè)評(píng)，經(jīng)過(guò)整體測(cè)評(píng)后，有的單元測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂單元測(cè)評(píng)結(jié)果，而后進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)，形成等級(jí)測(cè)評(píng)結(jié)論。分析與報(bào)告編制活動(dòng)包括單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制六項(xiàng)主要任務(wù)。