上海三级等保的测评流程

　　三级等保的测评流程和合格标准

　　为了验证信息系统是否达到了三级等保的要求，需要进行测评。测评是指由的测评
机构对信息系统进行安全性能测试和安全管理审核，并出具测评报告和结论的过程。测评分
为自主测评和委托测评两种。自主测评是指信息系统运营使用单位自行或者委托内部机构进
行测评；委托测评是指信息系统运营使用单位委托具有资质的第三方机构进行测评。三级等
保需要进行委托测评，并将测评报告提交给网信部门备案。

　　测评流程一般包括以下几个步骤：

　　测评前期准备：指信息系统运营使用单位与测评机构签订合同，明确双方的责任和义务
，以及测评的范围、方法、标准、时间等内容；

　　测评现场实施：指测评机构按照合同约定，对信息系统进行现场测试和审核，收集相关
数据和证据，并与信息系统运营使用单位进行沟通和交流；

　　测评报告撰写：指测评机构根据现场测试和审核的结果，按照规范格式撰写测评报告，
并对信息系统给出测评结论；

　　测评报告审核：指测评机构内部对测评报告进行审核，确

　　测评报告审核：指测评机构内部对测评报告进行审核，确保报告的内容、格式、结论等
符合规范要求，并进行签字盖章；

　　测评报告交付：指测评机构将测评报告正本和电子版交付给信息系统运营使用单位，并
对报告的内容进行解释和说明；

　　测评报告备案：指信息系统运营使用单位将测评报告提交给网信部门备案，接受网信部
门的监督和检查。

　　测评合格标准是指信息系统在测评中需要达到的低要求。根据《网络安全等级保护测
评方法》，三级等保的测评合格标准包括以下两个方面：

　　技术方面：指信息系统在安全性能测试中，应满足以下条件：

　　通用要求中的所有项目均达到合格水平，即测试结果为通过或者警告；

　　扩展要求中的相关项目至少达到基本水平，即测试结果为通过、警告或者低风险。

　　管理方面：指信息系统在安全管理审核中，应满足以下条件：

　　通用要求中的所有项目均达到合格水平，即审核结果为通过或者改进；

　　扩展要求中的相关项目至少达到基本水平，即审核结果为通过、改进或者低风险。

　　三级等保的实施建议和注意事项

　　为了帮助信息系统运营使用单位更好地实施三级等保，本文提出以下几点建议和注意事
项：

　　建立安全意识和责任：指信息系统运营使用单位应认识到网络安全的重要性和紧迫性，
将网络安全作为一项长期的战略任务，明确各级各部门的安全职责和义务，建立健全的安全
组织架构和沟通机制；

　　制定安全计划和预算：指信息系统运营使用单位应根据自身的业务需求和安全风险，制
定合理的安全建设和运维计划，确定安全目标和措施，分配足够的人力、物力和财力资源，
确保安全工作的顺利开展；

　　选择合适的技术方案和产品：指信息系统运营使用单位应根据三级等保的技术要求，选
择符合国家标准和规范的技术方案和产品，避免使用不可信或者过时的技术方案和产品，提
高信息系统的安全性能和可靠性；

　　建立完善的管理制度和流程：指信息系统运营使用单位应根据三级等保的管理要求，建
立完善的管理制度和流程，包括安全策略、安全培训、安全检查、安全事件处置等内容，规
范信息系统的安全管理行为和活动；

　　定期进行自查和测评：指信息系统运营使用单位应定期对信息系统进行自查和测评，发
现并解决存在的安全问题和隐患，及时更新和优化信息系统的安全配置和措施，提升信息系
统的安全水平。