?有效的管理，對網絡安全等級保護工作的開展，其實是非常有必要的。

等級測評體系的建設主要包括測評機構的建設和規范管理，以及測評人員和測評活動的規范和管理。測評機構自然是由測評人員以一定組織形式，組成的一個機構。對機構的管理，一定程度上是對一個整體的管理，這個是針對法人的；而針對測評師的管理，則是具體到個人，這個是具體到每一個參與等級保護工作的自然人。自然人的不確定性，自然會引發法人的不確定性。若管理缺失或管理失當，則會引入新的風險。我個人曾經感慨說，法律規則是防止人變壞，而道德責任鼓勵人變好。

測評機構的業務范圍和工作要求

1．業務范圍

測評機構除了從事等級測評活動，還可以從事網絡安全等級保護定級、等級保護安全建設整改、網絡安全等級保護宣傳教育等工作的技術支持，以及風險評估、網絡安全培訓、應急保障、安全運維、網絡安全咨詢和網絡安全工程監理等工作。

從業務范圍內，大家應該可以看到，網絡安全等級保護定級、等級保護安全建設整改、網絡安全等級保護教育等工作也是非常重要的，當然這也是獨立出來的服務。網絡安全是相對持續性的，沒有網絡安全就沒有國家安全，然而網絡安全是動態的，需要我們不斷跟進技術發展，提升防護能力。

2.工作要求

從事等級測評工作的機構及其人員應當遵守國家有關法律法規，依據國家有關技術標準和《TRIMPS-SC13-001：2021 網絡安全等級測評與檢測評估機構服務認證實施規則》的相關規定，開展客觀、公正、安全的測評服務，不得從事危害國家安全、社會秩序、公共利益及被測單位利益的活動。

測評機構應當按照公安部統一制定的《網絡安全等級測評報告模版》規定的格式出具測評報告，根據網絡規模和所投入的成本合理收取測評服務費用。

測評機構應嚴格按照網絡安全等級保護標準規范獨立開展等級測評工作，依據《網絡安全等級測評報告模版》出具網絡安全等級測評報告，確保測評質量，全面、客觀地反映被測網絡的安全保護狀況。

測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂及項目完成后5個工作日內，向受理網絡備案的公安機關報告等級測評項目的有關情況。

測評項目實施過程中，等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后，等級測評機構應請被測評網絡運營者對測評服務情況進行評價，評價情況由被測單位反饋至等保辦。等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐，于每年年底編制并報送網絡安全狀況分析報告。

其實做任何事都存在風險，特別是做的事情與安全相關，而網絡安全又具有一定的隱蔽性，所以在測評過程中，難免存在一定的不確定性的風險。風險存在是正常的事情，如何規避風險才是我們要做的事情。

今天這期內容，對存在的風險進行一個梳理，以便我們了解。風險包括網絡敏感信息泄漏、驗證測試可能會對網絡運行造成影響、工具測試可能對網絡運行造成影響，特別是工控系統可用性要求更高。

了解風險也是為規避風險做準備，在了解風險的基礎上進行風險規避，其中包括簽署保密協議、簽署委托測評協議、現場測評工作風險的規避、規范化的實施過程、溝通與交流等都是規避風險的重要內容。

存在的風險

等級測評過程中可能存在以下風險。

1．網絡敏感信息泄露

泄漏被檢測單位網絡狀態信息，例如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔信息。

2．驗證測試可能會對網絡運行造成影響

在現場進行測評時，需要對設備和網絡進行一定的驗證測試工作，部分測試內容需要上機查看一些信息，這就可能對網絡的運行造成一定的影響，甚至存在誤操作的可能。

3．工具測試可能會對網絡運行造成影響

在現場測評時，會使用一些技術測試工具進行漏洞掃描測試、性能測試甚至抗滲透能力測試。測試可能會對網絡的負載造成一定的影響，漏洞掃描測試和滲透測試可能會對服務器和網絡通信造成一定影響甚至傷害。

風險的規避

在等級測評過程中，可以采取以下措施規避風險。

1．簽署保密協議

測評雙方應簽署完善的、合乎法律規范的保密協議，以約束測評雙方現在和將來的行為。保密協議規定了測評雙方在保密方面的權利與義務。測評工作的成果由被測網絡的運營者所有，測評機構對其的引用和公開應得到被測網絡的運營者的授權，否則被測網的運營者將按照保密協議的要求追究測評機構的法律責任。

2．簽署委托測評協議

在測評工作正式開始之前，測評方和被測網絡的運營者需要以委托測評協議的方式明確測評工作的目標、范圍、人員組成、計劃安排、執行步驟和要求及雙方的責任和義務等，使測評雙方對測評過程中的基本問題達成共識，并以此為基礎開展后續工作，避免在后續工作中出現大的分歧。

3．現場測評工作風險的規避

在進行驗證測試和工具測試時，測評機構需要與測評委托單位充分協調，合理安排測試時間，盡量避開業務高峰期，例如在系統資源處于空閑狀態時進行，被測網絡的運營者需要對整個測試過程進行監督。

在進行驗證測試和工具測試之前，需要對關鍵數據做好備份工作，并對可能出現的影響制定相應的處理方案。上機驗證測試原則上由被測系統網絡運營者的相應技術人員進行操作，測評人員根據情況提出需要操作的內容并進行查看和驗證，避免由于測評人員對某些專用設備不熟悉造成誤操作。測評機構應在使用測試工具前將相關信息告知被測網絡的運營者，詳細介紹這些工具的用途及可能對網絡造成的影響，并征得網絡運營者的同意。

4．規范化的實施過程

為保證按計劃、高質量地完成測評工作，應當明確測評記錄和測評報告的要求，明確測評過程中每一階段需要產生的相關文檔，使測評有章可循。在委托測評協議、現場測評授權書和測評方案中，需要明確雙方的人員職責、測評對象、時間計劃、測評內容要求等。

5．溝通與交流

為避免測評工作中可能出現的爭議，在測評開始前與測評過程中，雙方需要進行積極有效的溝通和交流，及時解決測評中出現的問題，這對保證測評的過程質量和結果質量有重要作用。

測評過程與運行的網絡系統打交道，自然也會引起網絡運營者重視與關注，在日常運行過程中，一個系統的可用性是放在極高的地位的，那么保證系統的可持續運行是網絡運營者工作中的最重要的一部分。測評過程中是否會引起風險，也是網絡運營者最關心的問題之一。所以，在測評過程中溝通與交流也變得非常重要。一方面，測評人員對自己的操作或要求客戶進行的操作，要有個清晰的認知，以及對操作過程中以及操作完成后，是否對系統產生影響，要有清晰的認知。只有自己思路清晰，能夠把控系統風險，才能避免風險，才能夠令網絡運營者放心。

在等級測評過程中，等保機構包括現場測評的測評師應當遵循國家的有關法律法規，依據國家的技術標準和管理辦法進行開展工作，并提出規范了禁止行為，不得從事危害國家安全、社會秩序、公共利益及被測評單位利益的活動。國家、社會、公共利益方面大家常識中都理解，而被測評單位有時對自身的利益還是倍加關注，從這起講到的規范中，我們看到對保護被測評單位的利益上也是作出明確規定的。而我們的報告也不是隨意性的，是要遵循模板格式，作到保證測評質量，做到客觀、公正、安全。

測評機構，開展測評項目是不受地域、行業限制的。等保辦對我們的監督、檢查、指導，也為等級測評的客觀公正提供了監管保障。

等級保護制度是我國網絡安全領域的基本制度，等級保護制度的實行，是各方協作共同推進的一項事業。是我國網絡安全工作中的的主線，每一個環節都非常重要，做好網絡安全工作中的每一環，環環相扣才能把我國從網絡大國打造成為一個網絡強國。

各司其職，陳力就列，能者共進，為網絡安全等級保護制度的實行而努力！?