一、要求内容 

a)在系统运行过程中，应至少每半年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改； 

b)应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造；发现不符合相应等级保护标准要求的及时整改； 

c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评； 

d)应指定或授权专门的部门或人员负责等级测评的管理。 

二、实施建议 

根据定级保护的要求制定等级测评的计划，并按照计划定期对内部系统进行重新的测评工作，测评的工作应当满足客观、公正、经济、可用等原则，需要由专门的第三方单位进行定级测评，保证结果的公正合理。 

三、常见问题 

无。 

四、实施难点 

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况，结合标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。 

五、测评方法 

形式 访谈，检查，测试。 对象 安全管理人员、体系维护人员、系统运维人员；内部业务系统和应用系统、服务器和网络等设备；系统运维的文档和记录。 

实施 

a)对信息系统安全等级保护状况进行测试评估，

应包括两个方面的内容：

一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；

二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础； 

b)对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。 

六、参考资料 

《信息安全等级保护测评指南》中对测评的具体方法有比较详细的指导： 

4.1 测评原则 

a)客观性和公正性原则 虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。 

b)经济性和可重用性原则 基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。 

c)可重复性和可再现性原则 不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。 

d)结果完善性原则 测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。