等级保护测评将信息系统划分为五个安全保护等级，从低到高依次为一级自主保护级、二级指导保护级、三级监督保护级、四级强制保护级和五级专控保护级。等级划分依据信息系统的重要程度和受破坏后的影响范围，旨在确保系统具备相应等级的安全防护能力。

　　一、等级保护测评等级划分

　　根据信息系统的重要程度和受破坏后的影响范围，划分为五个安全保护等级(1~5级)：

　　一级(自主保护)：影响个人或少量用户，如小型企业官网。

　　二级(指导保护)：影响部分公众或组织，如普通企业ERP系统。

　　三级(监督保护)：影响社会公共利益或国家安全，如政务系统、金融平台。

　　四级(强制保护)：影响国家安全或严重社会秩序，如电力调度系统。

　　五级(专控保护)：涉及国家核心机密，如军事系统。

　　二、等级保护测评流程

　　等级保护测评流程通常包括以下步骤：

　　系统定级：根据信息系统的实际情况和行业指导文件，运营使用单位自主确定信息系统的安全保护等级。有上级主管部门的，还需经上级主管部门审批。

　　系统备案：第二级以上信息系统定级单位需到所在地设区的市级以上公安机关办理备案手续。

　　安全建设整改：在信息安全等级确定后，运营使用单位需按照管理规范和技术标准，选择符合等级要求的信息安全产品，建设安全设施，建立安全组织，并制定并落实安全管理制度。

　　等级测评：经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，对信息系统安全等级保护状况进行检测评估。

　　安全自查与监督检查：各级公安机关网络安全部门对已备案的信息系统进行定期检查，确保信息系统安全保护措施得到有效实施。

　　三、等级保护测评内容

　　等级保护测评涵盖了一系列严谨而周密的活动，主要包括以下四个基本测评活动：

　　测评准备活动：涉及对测评对象全面而深入的预研究，包括但不限于系统架构的梳理、安全现状的评估等，旨在为后续测评工作奠定坚实基础。

　　方案编制活动：依据前期准备成果，设计测评方案，涵盖测评范围的界定、方法的选择、工具的准备及时间的规划，确保测评过程有序高效。

　　现场测评活动：通过实施漏洞扫描、渗透测试等一系列专业测试，直接对信息系统的安全防线进行检验，发现潜在风险与不足。

　　报告编制活动：不仅总结测评过程中的发现与分析，还提出针对性的改进建议与措施，为系统的持续优化提供指导性意见。

　　四、等级保护测评标准

　　等级保护测评得分为百分制，70分以上才有可能合格。测评结果符合性判别依据是：

　　信息系统中是否存在高风险，如果有，一票否决。

　　信息系统中没有高风险，且测评项综合得分为70分以上100分以下为基本符合。

　　70分以下为差。

　　无高风险，70分以上为中，80分为良，90分以上为优。

　　五、等级保护测评必要性

　　法律法规的要求：网络安全法第21条规定“国家实行网络安全等级保护制度”，要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。

　　《网络安全等级保护管理条例(征求意见稿)》第22条规定“新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范，对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评，通过等级测评后方可投入运行”。因此，做等级保护测评是遵守法律法规的必要条件。

　　保障信息系统的安全性：做等级保护测评可以帮助信息系统运营者发现和整改安全风险隐患，提高信息系统的安全防护能力，有效应对各种网络攻击和威胁，防止数据泄露、篡改、丢失或损毁，维护国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益。

　　适应新技术的发展：随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展，信息系统的形态和功能不断变化，面临着更加复杂和多样化的网络安全风险。做等级保护测评可以帮助信息系统运营者及时更新和完善安全措施，适应新技术带来的挑战和机遇。

　　等级保护测评的等级划分是网络安全防护的重要基础，不同等级对应不同的安全要求和管理措施。信息系统运营者应根据系统实际情况和行业要求，合理确定安全等级，并采取相应的安全防护措施，以保障信息系统的安全稳定运行，维护国家安全、社会秩序和公共利益。