上海等级保护测评主要测什么

　　信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作。目前我国实行的是等保2.0于2019年12月1日开始实施，等保2.0从传统的信息系统，转变成具有基础信息网络平台的多种新兴技术对象，即具有网络服务，有数据的网络服务平台都可以成为新兴的测评对象。等保2.0备案从原来的自主定级改变成系统定级，才能得到公安机关的备案。
　　等保2.0定级步骤:确定定级对象——初步确定系统定级——专家评审——主管部门审核——公安机关备案审查——终确定系统等级
　　等级保护测评主要测什么
　　安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
　　安全管理测评：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理
　　等保测评流程
　　1.测评准备阶段：合同保密协议签署，定级报告，备案表，测评方案，检测表准备。
　　系统备案（填备案表，如下两份）
　　向市级公安机关主管部门提交材料:《信息系统安全等级保护定级报告》,《信息系统安全等级保护备案表》
　　2、调研与方案编制：业务调研、资产调研与确认、扫描方案编制测评机构成立项目组后，工作人员到被检测的单位进行调研，了解被测评系统，并整理出相关的材料，达成共识后以便开展接下来的测评工作。
　　3、现场测评：测评工具准备、现场测评准备、脆弱性检测、安全技术测评、安全管理测评进入检测阶段后，测评机构项目组成员根据之前整理好的材料完成测评工作。
　　测评方法：
　　1. 访谈，查看（了解环境）
　　2. 配置核查（看标准配置文件是否配置正确）
　　3. 安全测试：漏洞检测（针对web），渗透测试（以绕开被测评项目为目的，从而获取信息文件，进行测评被测评项目的安全性）
　　4.测评工具：等保工具箱，应用扫描器，主机扫描，协议分析，嗅探，木马，日志分析。
　　判定依据：（等保2.0）测评采用通用安全要求+扩展安全要求形式，两部分均通过才允许测评通过。