1、等保服務(wù)內(nèi)容及報價；一、信息安全等級保護服務(wù)流程及內(nèi)容；信息安全等級保護服務(wù)分為定級備案咨詢、安全建設(shè)規(guī)；1.定級備案咨詢階段：通過定級對象分析、定級要素； 2.安全建設(shè)規(guī)劃階段：協(xié)助建設(shè)單位按照同步規(guī)劃、；3.安全等級現(xiàn)狀測評階段： 詳實調(diào)研業(yè)務(wù)系統(tǒng)， 了解；4.信息系統(tǒng)安全整改咨詢階段：依據(jù)脆弱性評估結(jié)果； 5.信息安全等級測評階段：實施等級測評，以滿足國；等保等保服務(wù)內(nèi)容及報價一、信息安全等級保護服務(wù)流程及內(nèi)容信息安全等級保護服務(wù)分為定級備案咨詢、安全建設(shè)規(guī)劃、安全等級現(xiàn)狀測評、信息系統(tǒng)安全整改咨詢和信息安全等級測評五個階段，各階段工作內(nèi)容如下：1. 定級備案咨詢階段： 通過定級對象分析

2、、 定級要素分析， 初步確定系統(tǒng)保護等級，協(xié)助召開定級專家咨詢會議，確定系統(tǒng)保護等級，協(xié)助撰寫定級報告、協(xié)助聯(lián)絡(luò)公安機關(guān)，完成定級備案工作。2. 安全建設(shè)規(guī)劃階段： 協(xié)助建設(shè)單位按照同步規(guī)劃、 同步建設(shè)、同步運行的原則，做好項目建設(shè)的安全規(guī)劃。3. 安全等級現(xiàn)狀測評階段：詳實調(diào)研業(yè)務(wù)系統(tǒng)，了解系統(tǒng)邊界、功能、服務(wù)范圍、涉及部門、重要程度，全面進行差距分析和脆弱性評估；找出不足之處和安全漏洞，為等級保護體系設(shè)計提供客觀依據(jù)； 將根據(jù)之前的項目成果， 制定合理安全管理措施和技術(shù)措施，形成等級化的信息安全保障體系。.4. 信息系統(tǒng)安全整改咨詢階段： 依據(jù)脆弱性評估結(jié)果， 彌補技術(shù)層面的安全漏洞；建立

3、健全信息安全管理制度； 根據(jù)前期信息安全保障體系設(shè)計方案， 指導(dǎo)系統(tǒng)運維方落實相關(guān)安全保障措施。5. 信息安全等級測評階段： 實施等級測評， 以滿足國家信息安全監(jiān)管的相關(guān)政策要求。等保服務(wù)在合同簽訂后 1 個月內(nèi)完成項目的系統(tǒng)定級、安全建設(shè)規(guī)劃。在系統(tǒng)建設(shè)完成后 2 周內(nèi)完成安全評估差距分析、 整改建議等工作。 在系統(tǒng)整改完成后 2 周內(nèi)完成信息安全等級測評工作，出具等保測評報告。1 定級備案咨詢1.1 工作內(nèi)容（1）系統(tǒng)梳理網(wǎng)絡(luò)拓撲調(diào)查：通過對系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的調(diào)查，確定各個網(wǎng)絡(luò)安全域，分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)安全。資產(chǎn)信息調(diào)查：通過對資產(chǎn)信息的調(diào)查， 確定系統(tǒng)中重要資產(chǎn)， 比如服務(wù)器、核心交換機、

4、邊界防火墻、 IDS等。服務(wù)信息調(diào)查：通過對服務(wù)信息的調(diào)查，確定系統(tǒng)服務(wù)對象。系統(tǒng)邊界調(diào)查：通過對系統(tǒng)邊界的調(diào)查，確定各子系統(tǒng)邊界情況。（2）定級對象分析業(yè)務(wù)類型分析：通過對業(yè)務(wù)類型的分析，確定各系統(tǒng)的重要性。.管理機構(gòu)分析：通對管理機構(gòu)的分析，確定安全管理機構(gòu)設(shè)置的合理性。（3）定級要素分析業(yè)務(wù)信息分析：通過以上調(diào)查與分析，明確業(yè)務(wù)信息（系統(tǒng)數(shù)據(jù)）被破壞后受侵害的客體（公民、法人和其他組織的合法權(quán)益，社會秩序、公共利益，國家安全）和侵害程度。系統(tǒng)服務(wù)分析：通過以上調(diào)查與分析，明確系統(tǒng)被破壞或者中斷服務(wù)后受侵害的客體（公民、法人和其他組織的合法權(quán)益， 社會秩序、公共利益，國家安全）和侵害程度。

5、綜合分析：通過對業(yè)務(wù)信息分析與系統(tǒng)服務(wù)分析，分別確定其安全等級 確定等級：取業(yè)務(wù)信息安全等級與系統(tǒng)服務(wù)安全等級中最高的為整個系統(tǒng)安全等級。（4）撰寫定級報告撰寫定級報告：通過以上調(diào)查與分析，撰寫系統(tǒng)定級報告，包括系統(tǒng)描述、業(yè)務(wù)信息安全保護等級的確定、系統(tǒng)服務(wù)安全保護等級的確定、整個系統(tǒng)安全保護等級的確定等。（5）協(xié)助定級備案協(xié)助填寫備案表：協(xié)助業(yè)主完成系統(tǒng)安全等級保護備案表的填寫。協(xié)助評審審批：協(xié)助業(yè)主組織召開系統(tǒng)定級結(jié)果評審會，協(xié)助業(yè)主完成整個定級審批過程。1.2 交付成果.信息系統(tǒng)安全等級保護定級報告信息系統(tǒng)定級備案表2 安全建設(shè)規(guī)劃2.1 工作內(nèi)容根據(jù)等級化安全保障體系的設(shè)計思路，等級保

6、護的安全建設(shè)規(guī)劃包括以下內(nèi)容：1. 安全域設(shè)計：根據(jù)系統(tǒng)定級情況，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。2. 確定安全域安全要求： 參照國家相關(guān)等級保護安全要求， 設(shè)計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級， 明確各安全域所需采用的安全指標。3. 安全保障體系方案設(shè)計： 根據(jù)安全域框架， 設(shè)計系統(tǒng)各個層次的安全保障體系框架以及具體方案。 包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；物理安全、網(wǎng)絡(luò)安全、服務(wù)器安全等安全技術(shù)設(shè)計，安全管理制

7、度規(guī)劃與設(shè)計。通過如上內(nèi)容的規(guī)劃，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。2.2 交付成果信息系統(tǒng)安全等級保護建設(shè)規(guī)劃方案.3 安全等級現(xiàn)狀測評為確保信息系統(tǒng)的安全保護措施符合相應(yīng)安全等級的基本安全要求， 需要實施安全等級現(xiàn)狀測評， 以提出合理、 有效的安全整改建議， 為信息系統(tǒng)制定信息安全規(guī)劃和決策提供依據(jù)。測評機構(gòu)將指導(dǎo)系統(tǒng)運維方開展安全評估工作， 簡要了解系統(tǒng)現(xiàn)有安全保障措施與國家信息安全等級保護等級標準要求之間的差距，制定信息安全規(guī)劃方案；同時檢查系統(tǒng)在技術(shù)層面存在的脆弱性漏洞，為后續(xù)安全加固工作奠定基礎(chǔ)。3.1 等級保護差距分析按

8、照等級保護實施要求，信息系統(tǒng)應(yīng)該具備相應(yīng)等級的安全防護能力，部署相應(yīng)的安全設(shè)備，制定相應(yīng)的安全管理機構(gòu)、制度、崗位等。差距分析就是依據(jù)等級保護技術(shù)標準和管理規(guī)范， 比較分析信息系統(tǒng)安全防護能力與等級要求之間的差距。為等級化體系設(shè)計提供依據(jù)。工作內(nèi)容差距分析將從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個層面和管理上的安全管理機構(gòu)、 安全管理制度、 人員安全管理、 系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面分別進行。具體內(nèi)容為：1、技術(shù)差距檢測：(1)物理安全：針對信息系統(tǒng)所處的物理環(huán)境即機房、線路、基礎(chǔ)支撐設(shè)施等進行標準符合性識別。主要包含：物理位置選擇、物理訪問控制、防盜竊和防

9、破.壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護等方面。(2)網(wǎng)絡(luò)安全：對評估工作范圍內(nèi)的網(wǎng)絡(luò)與安全設(shè)備、網(wǎng)絡(luò)架構(gòu)進行網(wǎng)絡(luò)安全符合性調(diào)查。主要包含：結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等方面。(3)主機安全：評估信息系統(tǒng)的主機系統(tǒng)安全保障情況。主要包含：身份鑒別、訪問控制、安全審計、系統(tǒng)保護、入侵防護、惡意代碼防護、資源控制等方面。(4)應(yīng)用安全：對信息系統(tǒng)進行應(yīng)用安全符合性調(diào)查。主要包含：身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面。(5)數(shù)據(jù)安全：評估信息系

10、統(tǒng)的數(shù)據(jù)安全保障情況。主要檢查系統(tǒng)的數(shù)據(jù)在采集、傳輸、處理和存儲過程中的安全。2、管理差距檢測：(1)安全管理制度 :評估安全管理制度的制定、發(fā)布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對象。(2)安全管理機構(gòu) :評估安全管理機構(gòu)的組成情況和機構(gòu)工作組織情況。主要涉及安全主管人員、安全管理人員、相關(guān)的文件資料和工作記錄等對象。(3)人員安全管理： 評估機構(gòu)人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關(guān)管理制度、相關(guān)工作記錄等對象。.(4)系統(tǒng)建設(shè)管理： 評估系統(tǒng)建設(shè)管理過程中的安全控制情況。主要涉及安全主管人員、系

11、統(tǒng)建設(shè)負責人、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。(5)系統(tǒng)運維管理： 評估系統(tǒng)運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。3、等級保護差距分析：基于技術(shù)、管理層面的標準合規(guī)性檢測結(jié)果，根據(jù)國家等級保護標準，結(jié)合行業(yè)規(guī)范，針對標準的每項具體要求， 從微觀角度展開， 深入分析信息系統(tǒng)與相應(yīng)等級要求之間的差距， 并從宏觀角度對計算環(huán)境、 區(qū)域邊界和通信網(wǎng)絡(luò)等方面對單元檢測的結(jié)果進行驗證、 分析和整體評價， 確認信息系統(tǒng)的整體安全防護能力有無缺失，是否能夠?qū)瓜鄳?yīng)等級的安全威脅，為安全規(guī)劃設(shè)計提供依據(jù)。交

12、付成果信息系統(tǒng)等級保護差距分析報告3.2 脆弱性檢測脆弱性（弱點）是指可能為許多目的所利用的系統(tǒng)某些方面，包括系統(tǒng)弱點、安全漏洞和實現(xiàn)的缺陷等。 為識別和分析信息系統(tǒng)所存在的脆弱性，確認需要實施安全加固與調(diào)優(yōu)的事項， 將首先進行脆弱性檢測工作，從網(wǎng)絡(luò)層、主機層和應(yīng)用層三個方面進行檢測，本次脆弱性檢測的主要內(nèi)容是漏洞掃描和系統(tǒng)配置檢查。工作內(nèi)容.系統(tǒng)脆弱性檢測涉及三個層面工作內(nèi)容，包含整體的網(wǎng)絡(luò)架構(gòu)分析， 服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備的配置檢查，以及漏洞掃描檢測工作。具體內(nèi)容如下：1、網(wǎng)絡(luò)架構(gòu)分析：進行網(wǎng)絡(luò)架構(gòu)分析的目的是查找需要對網(wǎng)絡(luò)結(jié)構(gòu)實施優(yōu)化的事項，具體內(nèi)容如下：； (1)網(wǎng)絡(luò)現(xiàn)狀識別：涉及應(yīng)用

13、系統(tǒng)和用戶分布，安全； (2)網(wǎng)絡(luò)安全分析：從網(wǎng)絡(luò)的整體架構(gòu)進行考慮，緊； 2、設(shè)備配置檢查：；檢查系統(tǒng)相關(guān)服務(wù)器、交換機與安全設(shè)備的配置策略，； (1)服務(wù)器手工檢查：檢查服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫； (2)網(wǎng)絡(luò)設(shè)備手工檢查：檢測交換機或路由器的 Vl；(3)安全設(shè)備手工檢查：獲取防火墻的訪問控制策略； 3、漏洞掃描檢測：；借助專業(yè)化漏如下：(1)網(wǎng)絡(luò)現(xiàn)狀識別：涉及應(yīng)用系統(tǒng)和用戶分布，安全域劃分，區(qū)域邊界之間所采取的訪問控制措施， 網(wǎng)絡(luò)帶寬需求及現(xiàn)狀， 對數(shù)據(jù)流向的安全控制， 設(shè)備鏈路冗余設(shè)計，對網(wǎng)絡(luò)帶寬的管控措施， 遠程訪問通信鏈路的加密，各區(qū)域內(nèi)所采取的入侵檢測，安全審計措施，網(wǎng)絡(luò)出口所采取

14、的入侵防范、病毒過濾、垃圾郵件過濾措施、終端用戶接入認證等內(nèi)容。(2)網(wǎng)絡(luò)安全分析：從網(wǎng)絡(luò)的整體架構(gòu)進行考慮，緊密結(jié)合業(yè)務(wù)應(yīng)用現(xiàn)狀，識別重要信息系統(tǒng)部署和用戶所在網(wǎng)絡(luò)區(qū)域的分布情況， 分析網(wǎng)絡(luò)設(shè)計布局的合理性，是否存在單點隱患， 確認鏈路帶寬是否滿足業(yè)務(wù)要求， 檢查產(chǎn)品設(shè)備老化問題，確認設(shè)備性能是否滿足要求， 分析網(wǎng)絡(luò)區(qū)域邊界是否定義清晰， 安全域劃分是否合理，服務(wù)器、終端接入是否安全，各類安全設(shè)備的部署是否到位等。.2、設(shè)備配置檢查：檢查系統(tǒng)相關(guān)服務(wù)器、交換機與安全設(shè)備的配置策略，具體內(nèi)容如下：(1)服務(wù)器手工檢查： 檢查服務(wù)器操作系統(tǒng)、 數(shù)據(jù)庫和中間件的開放服務(wù)及端口、賬戶設(shè)置、文件權(quán)限設(shè)

15、置、審計、共享資源、補丁更新和病毒防護等情況；(2)網(wǎng)絡(luò)設(shè)備手工檢查：檢測交換機或路由器的Vlan 劃分、路由表配置、訪問控制列表 ACL、 IP 和 MAC 地址綁定情況、設(shè)備登錄認證方式、口令設(shè)置等配置項；(3)安全設(shè)備手工檢查：獲取防火墻的訪問控制策略、以透明還是路由方式部署、NAT地址轉(zhuǎn)換、網(wǎng)絡(luò)連接數(shù)限制等信息，檢查入侵檢測、安全審計設(shè)備的審計策略配置、特征庫版本情況等。3、漏洞掃描檢測：借助專業(yè)化漏洞檢測工具，對檢測范圍內(nèi)的交換機、路由器和服務(wù)器實施掃描，發(fā)現(xiàn)配置上存在的弱點， 作為對手工檢查工作所獲取數(shù)據(jù)的補充， 同時也是制定安全加固方案的重要依據(jù)。交付成果信息系統(tǒng)脆弱性評估報告3

16、.3 滲透測試通過模擬黑客對信息系統(tǒng)進行滲透測試，發(fā)現(xiàn)分析并驗證其存在的主機安全漏洞、敏感信息泄露、 SQL注入漏洞、 XSS跨站腳本漏洞及弱口令等安全隱患，評估系統(tǒng)抗攻擊能力，提出安全加固建議。.工作內(nèi)容針對信息系統(tǒng)的滲透測試將采取兩種類型：第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠程攻擊，比其他類型的滲透測試更能說明漏洞的嚴重性；第二類型：內(nèi)網(wǎng)滲透測試，通過接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊，主要針對信息系統(tǒng)的后臺管理系統(tǒng)進行測試。交付成果信息系統(tǒng)滲透測試報告3.4 源代碼測評源代碼安全測試對所提供的源代碼采用工具進行安全掃描， 分析和軟件安全風險管理，并給出安全問題審計結(jié)果，安全問題描述和推薦修

17、復(fù)建議。工作內(nèi)容依據(jù) CVE（ mon Vulnerabilities & Exposures）安全漏洞庫、 設(shè)備及軟件廠商公布的漏洞，根據(jù)測試用例對信息系統(tǒng)的源代碼進行安全掃描， 對安全漏洞進行識別，給出整改建議交付成果信息系統(tǒng)源代碼測試報告4 信息系統(tǒng)安全整改咨詢.信息系統(tǒng)安全整改包含 3 方面工作內(nèi)容： 首先測評機構(gòu)將指導(dǎo)系統(tǒng)運維方針對脆弱性檢測和滲透測試所發(fā)現(xiàn)的技術(shù)層面的安全隱患進行整改， 其次以等級保護對應(yīng)等級的管理要求為依據(jù)建立健全信息安全管理制度， 最后依照信息系統(tǒng)安全規(guī)劃方案指導(dǎo)信息系統(tǒng)優(yōu)化和完善信息系統(tǒng)安全防護措施， 并對系統(tǒng)安全整改情況進行跟蹤和效果評價，為后續(xù)開展

18、的等級測評工作奠定良好基礎(chǔ)。4.1 安全加固與優(yōu)化根據(jù)前期脆弱性評估、滲透測試結(jié)果，結(jié)合信息系統(tǒng)的業(yè)務(wù)需求，對信息系統(tǒng)相關(guān)設(shè)備進行安全策略加強、 調(diào)優(yōu)等，加強網(wǎng)絡(luò)、系統(tǒng)和設(shè)備抵御攻擊和威脅的能力，整體提高網(wǎng)絡(luò)安全防護水平。工作內(nèi)容根據(jù)前期對信息系統(tǒng)進行的調(diào)研、評估與測評結(jié)果，以脆弱性評估報告和滲透測試報告為依據(jù)， 根據(jù)網(wǎng)絡(luò)安全特殊需求和業(yè)務(wù)流程制定安全加固方案， 在不影響當前業(yè)務(wù)開展的前提下， 對信息系統(tǒng)內(nèi)的操作系統(tǒng)、 數(shù)據(jù)庫、安全設(shè)備以及中間件的安全配置策略進行加強， 及時消除因安全漏洞被惡意攻擊者利用從而引發(fā)的風險。根據(jù)信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，本次項目安全加固對象分為四類，即信息系統(tǒng)內(nèi)的操作系統(tǒng)

19、、數(shù)據(jù)庫、中間件以及網(wǎng)絡(luò)與安全設(shè)備。交付成果信息系統(tǒng)安全加固與優(yōu)化方案4.2 等級保護制度建設(shè).以等級保護差距分析結(jié)果為依據(jù)，依照安全保障體系設(shè)計所提及的建設(shè)內(nèi)容，按照等級保護標準要求， 制定等級保護管理體系框架， 明確管理方針、策略，以及相應(yīng)的規(guī)定、 操作規(guī)程、業(yè)務(wù)流程和記錄表單； 測評機構(gòu)從結(jié)合信息系統(tǒng)實際業(yè)務(wù)流程的原則出發(fā)， 指導(dǎo)系統(tǒng)運維方按照等級保護對應(yīng)等級的管理標準， 編寫管理制度文件， 并進行反復(fù)溝通和修訂， 確保所制定的文件的適用性， 且滿足各系統(tǒng)相應(yīng)保護等級的安全管理要求。工作內(nèi)容制定和完善與信息系統(tǒng)的安全保護等級相適應(yīng)的配套管理制度， 制度相關(guān)內(nèi)容如下：(1)安全管理機構(gòu)：

20、加強和完善安全機構(gòu)的建設(shè)， 設(shè)立指導(dǎo)和管理信息安全工作的信息安全領(lǐng)導(dǎo)小組， 設(shè)立安全主管、 安全管理各個方面的負責人， 明確定義各個工作崗位的職責。 建立各種安全管理活動的審批程序， 明確對內(nèi)對外的溝通協(xié)作方式，建立對各項安全管理活動的監(jiān)督審核機制。(2)安全管理制度：在差距分析的基礎(chǔ)上，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范， 由專門的組織機構(gòu)負責管理制度的制訂、 發(fā)布和貫徹落實。 定期對制度進行評審和修訂， 確保管理制度的適用性。(3)人員安全管理： 主要涉及兩方面， 對內(nèi)部人員的安全管理和對外部人員的安全管理。具體包括人員錄用、人員離崗、人員

21、考核、安全意識教育和培訓(xùn)和外部人員訪問管理等方面。(4)系統(tǒng)建設(shè)管理： 為了建設(shè)符合安全等級保護要求的信息系統(tǒng)、系統(tǒng)建設(shè)管理主要關(guān)注的是信息系統(tǒng)生命周期中的前三個階段（即設(shè)計、采購、實施）中各.項安全管理活動， 實現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期。 系統(tǒng)建設(shè)管理分別從工程實施建設(shè)前、 建設(shè)過程以及建設(shè)完畢交付等三方面考慮， 具體包括系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商選擇等方面。(5)系統(tǒng)運維管理： 系統(tǒng)運行涉及到很多管理方面， 要保證系統(tǒng)始終處于相應(yīng)安全保護等級的安全狀態(tài)中。 要監(jiān)控系統(tǒng)發(fā)生

22、的重大變化， 以便修改對應(yīng)的安全措施。系統(tǒng)運維管理主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等方面。交付成果信息系統(tǒng)安全管理制度5 信息安全等級測評信息系統(tǒng)安全等級測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定， 按照有關(guān)管理規(guī)范和技術(shù)標準， 對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。信息系統(tǒng)安全等級測評主要檢測和評估信息系統(tǒng)在安全技術(shù)、安全管理等方面是否符合已確定的安全等級的要求； 對于尚未符合要求的信息系統(tǒng)，分析和評估其潛在威脅、 薄弱環(huán)節(jié)以及現(xiàn)有安全防護措施， 綜合考慮信息系統(tǒng)的重要性和面臨的安全威脅等因素， 提出相應(yīng)的整改建議， 并在系統(tǒng)整改后進行復(fù)測確認，以確保整改措