等保测评定级依据信息系统受破坏后对国家安全、社会秩序、公共利益及公民、法人合法权益的侵害程度划分五级。第一级为自主保护级，仅损害公民权益。第二级为指导保护级，损害公民权益或社会公共利益。第三级为监督保护级，损害国家安全或社会公共利益。第四级为强制保护级，严重损害国家安全。第五级为专控保护级，极端损害国家安全。

　　一、等保测评定级标准

　　等保测评依据信息系统受破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织合法权益的侵害程度，将安全保护等级划分为五级，从低到高分别为：

　　第一级(自主保护级)：

　　适用场景：仅损害公民、法人和其他组织合法权益，不影响国家安全、社会秩序或公共利益。

　　示例：小型企业内部简单办公系统。

　　第二级(指导保护级)：

　　适用场景：对公民、法人和其他组织合法权益造成严重损害，或对社会秩序、公共利益造成损害，但不损害国家安全。

　　示例：普通企业网站，若被攻击可能导致业务中断或数据泄露。

　　第三级(监督保护级)：

　　适用场景：对公民、法人和其他组织合法权益造成特别严重损害，或对社会秩序、公共利益造成严重损害，或对国家安全造成损害。

　　示例：电商平台用户信息系统，若被破坏可能导致大规模个人信息泄露。

　　第四级(强制保护级)：

　　适用场景：对社会秩序、公共利益造成特别严重损害，或对国家安全造成严重损害。

　　示例：电力行业电网调度控制系统，若被攻击可能导致大面积停电，影响社会稳定。

　　第五级(专控保护级)：

　　适用场景：对国家安全造成特别严重损害。

　　示例：涉及国家核心机密的关键系统。

　　定级依据：

　　侵害客体：国家安全、社会秩序、公共利益、公民/法人/组织权益。

　　侵害程度：一般损害、严重损害、特别严重损害。

　　行业要求：如金融、能源、交通等关键行业需根据业务重要性定级。

　　二、等保测评对象选取原则

　　测评对象选取需遵循五大核心原则，确保覆盖关键组件并平衡投入与产出：

　　1.重要性原则：

　　优先抽查对系统安全起关键作用的组件，如核心服务器、数据库、网络设备、业务应用系统。

　　示例：电商平台需重点抽查支付系统、用户数据库及API接口。

　　2.安全性原则：

　　抽查对外暴露的网络边界设备如防火墙、入侵检测系统，验证其防御外部攻击的能力。

　　聚焦历史漏洞或攻击高发区域，如Web应用防火墙、未加密的API接口。

　　3.共享性原则：

　　抽查共享设备(如存储阵列)和数据交换平台，确保跨系统数据传输的安全性。

　　示例：云平台需抽查虚拟化层、对象存储服务等共享组件。

　　全面性原则：

　　覆盖不同设备类型、操作系统、数据库、和应用系统。

　　模拟多场景测试。

　　符合性原则：

　　选择的设备、系统需符合被测评等级的强度要求，如三级系统需支持强制访问控制。

　　优先抽查已通过相关安全认证的组件。

　　实施方法：

　　分层抽样法：适用于一般系统，按比例从各类组件中抽取样本。

　　多阶抽样法：适用于复杂系统，先按子系统或物理区域抽样，再在每个子系统中进一步抽样。

　　三、等保测评注意事项

　　测评前准备：

　　了解流程与标准：提前熟悉测评流程、标准和要求，准备齐全相关材料。

　　系统自查：全面排查潜在安全隐患，确保系统达到等级保护要求。

　　选择专业机构：优先选择具有丰富经验和专业资质的测评团队，确保测评人员具备相应技术背景。

　　测评中操作：

　　保护数据安全：严格采取技术和管理措施，防止数据泄露、篡改或丢失。

　　客观公正测评：如实报告发现的问题，避免利益关系影响结果，并提供专业解决方案。

　　详细记录过程：清晰记录测评步骤、问题、措施及建议，并妥善保存以备后续查阅和审计。

　　测评后跟进：

　　风险评估与整改：根据测评结果识别潜在威胁，制定安全防护措施和应急预案。

　　合规性检查：确保测评工作符合国家法规、政策和标准。

　　定期复测：三级系统原则上每年复测一次，备案通常只需一次。

　　其他要点：

　　保持沟通：与客户密切沟通，及时反馈进度和问题，耐心解答疑虑。

　　签订保密协议：严格遵守保密条款，不得泄露客户敏感信息。

　　动态调整策略：根据系统复杂度、测评力度和投入产出比，灵活调整抽样比例和测试方法。

　　定级需结合业务信息安全与系统服务安全双重维度，取两者较高者确定最终等级。定级后需经专家评审、主管部门审批及公安机关备案，确保等级划分科学合规。