概述

        信息系统等级符合性检验是等级测评工作中的核心环节，通过检测、评估信息系统安全状况，识别用户信息系统的安全保护能力与国家等级保护要求之间的安全等级差距，为信息系统的建设、整改、检查与监督工作提供依据。

服务对象

        按照国家等级保护要求，《信息安全等级保护管理办法》公通字[2003]43号中明确规定，第三级信息系统应当每年至少进行一次等级测评。同时，用户在办理信息系统安全保护等级备案手续时，第三级以上信息系统应当同时提供测评后符合系统安全保护等级的技术检测评估报告。

服务方法

        等级测评涉及三种基本测评工作方式：访谈、检查和测试。

访谈

        测评人员通过与信息系统有关人员进行交流、讨论等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。管理上的要求主要使用访谈方法进行测评。

检查

        测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。检查的范围一般要覆盖测评项中所有要求的内容。

测试

        测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一种方法。测试方法主要用于验证信息系统当前的、具体的安全机制以及运行的配置和实现情况的有效性或安全强度。

客户收益

        通过等级测评服务可以判定信息系统的安全状态是否符合等级保护相应等级的安全要求，是否达到了与其安全等级相适应的安全防护能力。通过对信息系统等级符合性检验，最终出具等级测评报告，可以帮助用户发现信息系统的安全防护能力与国家等级保护要求之间的差距，指导用户下一步的具体安全建设、整改工作，最终使系统达到国家等级保护的相关要求，避免相关安全风险事件的发生。