网络安全测评质量管理与标准解读

大家读完觉得有帮助记得关注和点赞！！！

注意说明

刚开始写过一些比较专业的分享，较多粉丝反应看不懂，本次通过大众的通俗易懂的词汇先了解概念然后再分享规范和详细的技术原理

一、网络安全测评质量管理 

网络安全测评质量管理是测评可信的基础性工作，网络安全测评质量管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前，有关测评机构的质量管理体系的建立主要参考的国际标准是ISO9000。 

中国合格评定国家认可委员会（简称CNAS)负责对认证机构、实验室和检查机构等相关单位的认可工作，对申请认可的机构的质量管理体系和技术能力分别进行确认。 

二、网络安全测评标准 

网络安全标准是测评工作开展的依据，目前国内信息安全测评标准类型可分为信息系统安全等级保护测评标准、产品测评标准、风险评估标准、密码应用安全、工业控制系统信息安全防护能力评估等。其中，各类网络安全测评标准阐述如下。 

信息系统安全等级保护测评标准 

（1）计算机信息系统安全保护等级划分准则(GB17859一1999) 本标准规定了计算机信息系统安全保护能力的五个等级，即第一级为用户自主保护级，第二级为系统审计保护级，第三级为安全标记保护级，第四级为结构化保护级，第五级为访问验证保护级。本标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

（2）信息安全技术网络安全等级保护基本要求 (GB/T22239—2019) 本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。本标准适用于指导分等级的非涉密对象的安全建设和监督管理。（注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本标准中进行描述。） 

（3）信息安全技术网络安全等级保护定级指南 (GB/T 22240—2020)

本标准规定了网络安全等级保护的定级方法和定级流程。本标准适用于为等级保护对象的定级工作提供指导。 

（4）信息安全技术网络安全等级保护安全设计技术要求 (GB/T25070—2019) 

本标准规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求。本标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。 

（5）信息安全技术网络安全等级保护实施指南 (GB/T25058—2019) 

本标准规定了等级保护对象实施网络安全等级保护工作的过程。本标准适用于指导网络安全等级保护工作的实施。 

（6）信息安全技术信息系统安全工程管理要求 (GB/T20282—2006) 

本标准规定了信息安全工程（以下简称安全工程）的管理要求，是对信息系统安全工程中所涉及的需求方、实施方与第三方工程实施的指导，各方可以此为依据建立安全工程管理体系。 本标准按照 GB 17859-1999 划分的五个安全保护等级，规定了信息系