信息安全等级保护测评实施步骤全解析

信息安全等级保护测评实施步骤全解析第一章基础准备与组织架构建立1.1建立信息安全组织架构与职责分工1.2制定信息安全等级保护实施方案第二章测评依据与标准体系构建2.1明确测评对象与范围界定2.2梳理信息系统与资产清单第三章测评流程与实施步骤分解3.1信息系统的安全等级确定3.2安全保护能力评估与测试第四章测评结果分析与整改建议4.1测评结果的全面分析与分类4.2整改建议与优化方案制定第五章测评报告编写与输出5.1测评报告的基本结构与内容5.2测评报告的格式规范与提交要求第六章测评过程中的常见问题与应对策略6.1测评实施中的常见问题识别6.2问题处理与整改跟踪机制第七章测评与持续改进机制建立7.1建立信息安全持续改进机制7.2定期测评与整改复查机制第八章测评过程中的合规性与审计要求8.1测评过程中的合规性要求8.2测评过程中的审计与追溯要求第一章基础准备与组织架构建立1.1建立信息安全组织架构与职责分工信息安全等级保护测评是一项系统性、专业性极强的工作，施应建立科学合理的组织架构，明确各部门职责，保证测评工作有序开展。组织架构应涵盖信息安全管理部门、技术实施团队、质量部门以及外部合作方等关键角色。信息安全组织架构应根据单位实际规模和业务特性进行设计，包括：信息安全领导小组：负责统筹协调信息安全工作，制定整体战略与目标。信息安全管理部门：负责制度建设、标准制定、资源调配与评估。技术实施团队：负责测评工具的部署、数据采集、分析与报告撰写。质量部门：负责测评过程的合规性检查、结果审核与反馈优化。外部合作方：如第三方测评机构、技术供应商等，负责提供测评技术支持与服务。职责分工应遵循“权责统（1）各司其职”的原则，保证各环节无缝衔接，避免职责不清导致的测评质量问题。同时应建立明确的沟通机制与协作流程，保证信息流通高效、责任落实到位。1.2制定信息安全等级保护实施方案信息安全等级保护测评实施方案是测评工作的核心依据，其制定需结合单位实际业务情况、现有安全状况及测评标准要求，保证测评工作有章可循、有据可依。实施方案应包含以下内容：测评目标与范围：明确测评的总体目标，包括安全风险评估、系统防护能力验证、安全措施有效性检查等。测评内容与方法：根据《信息安全技术信息安全等级保护基本要求》（GB/T22239-2019）等标准，明确测评对象、测评内容及采用的测评方法。资源保障与人员配置：明确测评所需的人力、物力、技术资源及人员分工，保证测评工作顺利开展。时间安排与进度计划：制定详细的测评时间表，包括前期准备、现场测评、结果分析与报告撰写等阶段。风险评估与应对策略：识别测评过程中可能遇到的风险，制定相应的应对措施，保证测评工作安全、高效进行。实施方案的制定需结合单位实际情况，保证内容具体、可操作性强，为后续测评工作提供有力保障。第二章测评依据与标准体系构建2.1明确测评对象与范围界定信息安全等级保护测评的实施始于对测评对象与范围的明确界定。测评对象指需要进行安全保护的系统、网络、设备及数据等信息资产，其范围界定应基于国家信息安全等级保护制度及相关行业标准，结合组织的实际业务需求与技术架构进行。测评范围界定应遵循以下原则：合规性：保证测评对象符合国家信息安全等级保护制度要求，涵盖所有关键信息基础设施及重要信息系统。实用性：根据组织的业务功能与信息管理需求，确定测评对象的范围，避免过度扩展或遗漏重要资产。可操作性：明确测评对象的边界，便于后续测评工作的组织与实施。在测评对象与范围界定中，需通过系统梳理组织的信息资产，识别出关键信息基础设施和重要信息系统，明确其所属的安全保护等级，并据此确定测评的重点与内容。2.2梳理信息系统与资产清单信息系统与资产清单是信息安全等级保护测评的基础工作之一，其核心目的是对组织内的信息资产进行全面、系统的梳理，为后续测评工作提供数据支撑。信息系统与资产清单应包含以下内容：资产类型具体内容说明系统系统名称、版本号、部署环境、操作系统、网络配置等用于识别系统的基本信息网络网络拓扑结构、IP地址、子网划分、安全协议、防火墙配置等用于评估网络架构与安全策略数据数据类型、存储方式、访问权限、数据分类等级等用于评估数据的安全性与完整性软件软件名称、版本号、部署方式、安全更新状态等用于评估软件的安全配置与漏洞情况设备设备名称、型号、操作系统、安全策略、物理位置等用于评估设备的安全防护能力在梳理过程中，应结合组织的业务流程与信息生命周期管理，保证资产清单的完整性与准确性。同时需对资产进行分类管理，便于后续测评工作的实施与结果分析。通过系统、规范的资产清单管理，能够为信息安全等级保护测评提供清晰的依据，保证测评工作的科学性与有效性。第三章测评流程与实施步骤分解3.1信息系统的安全等级确定信息安全等级保护制度中，信息系统的安全等级是测评工作的基础，其确定需依据国家相关标准与行业实践。系统安全等级的划分依据《信息安全技术信息安全等级保护基本要求》（GB/T22239-2019）中的分级标准，结合系统的功能、数据敏感性、业务重要性等综合因素进行评估。系统安全等级的确定一般包括以下几个步骤：（1）系统分类与风险评估根据系统所承载的业务功能、数据类型及重要性，确定其信息安全等级。例如核心业务系统、关键信息基础设施、重要信息系统等，均需按照不同的等级进行保护。（2）安全等级划分依据安全等级的划分依据包括：系统功能：如是否涉及金融、医疗、能源等关键领域；数据敏感性：数据是否涉及国家秘密、企业机密或个人隐私；业务连续性：系统是否属于关键业务系统，其中断将造成严重的结果。（3）安全等级确定方法定性分析：通过专家评估、风险评估报告等进行定性分析；定量分析：通过系统功能、数据量、访问频率等量化指标进行分析；对比分析：对比同类系统，确定其安全等级。3.2安全保护能力评估与测试在确定系统安全等级后，下一步是评估系统的安全保护能力，保证其能够满足相应等级的要求。安全保护能力评估与测试主要包括以下内容：（1）安全防护能力评估安全保护能力评估涉及系统在攻击、入侵、泄露、篡改等安全威胁下的防护能力。评估内容包括：物理安全：系统机房、设备、网络等物理环境的安全防护；网络防护：防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等；数据安全：数据加密、访问控制、备份恢复等；应用安全：应用层防护、补丁管理、日志审计等。（2）安全测试方法安全测试包括以下几种方法：渗透测试：模拟攻击行为，测试系统在面对攻击时的防御能力；漏洞扫描：利用工具检测系统中存在的安全漏洞；合规性测试：验证系统是否符合相关标准与规范；功能测试：测试系统在高并发、大数据量下的运行能力。（3）安全保护能力测试指标安全保护能力的测试指标包括：攻击成功率：系统在面对攻击时的防御能力；响应时间：系统在检测到攻击后，快速响应的时间；恢复能力：系统在遭受攻击后恢复数据和功能的能力；日志完整性：系统日志记录是否完整、真实、可追溯。（4）安全保护能力评估结果分析评估结果需进行分析，判断系统是否满足相应等级的要求。若系统安全能力不足，需制定相应的改进措施，包括更新安全防护技术、加强人员培训、完善管理制度等。3.3安全测评报告撰写与反馈测评完成后，需根据评估结果撰写安全测评报告，并反馈给相关责任部门。报告内容应包括：测评依据：引用的国家法规、行业标准、测评工具等；测评过程：测评方法、测试工具、测试环境等；评估结果：系统安全等级、安全保护能力、测试结果等；改进建议：针对系统存在的问题提出改进措施，包括技术、管理、培训等。安全测评报告应保证内容真实、客观、全面，为后续的系统安全建设提供依据。同时测评结果需提交给上级主管部门，保证测评工作的合规性与权威性。3.4安全测评实施中的注意事项在安全测评实施过程中，需注意以下事项：人员培训：测评人员需具备相关知识与技能，保证测评结果的准确性；测试环境隔离：测试环境应与生产环境隔离，避免影响实际业务；数据备份：在测试过程中，需做好数据备份，防止数据丢失；时间安排：测评工作需合理安排时间，避免影响系统正常运行。第四章测评结果分析与整改建议4.1测评结果的全面分析与分类信息安全等级保护测评结果的分析与分类是实现整改流程的重要基础。测评结果包含系统安全等级、风险等级、安全控制措施执行情况、安全事件发生率、合规性评估等维度。在进行全面分析时，应从以下方面展开：（1）系统安全等级分析：根据测评结果，明确系统当前所处的安全等级（如三级、四级等），评估其是否符合国家信息安全等级保护制度要求。对于未达标系统，需分析其薄弱环节，如安全策略配置不完善、访问控制机制缺失、日志审计不到位等。（2）风险等级评估：基于系统功能、数据敏感性、攻击面等因素，评估系统面临的风险等级。对于高风险系统，需结合威胁情报、漏洞扫描结果、安全事件记录等信息，评估其潜在威胁及影响范围。（3）安全控制措施执行情况分析：对测评中发觉的安全控制措施执行情况进行系统性分析，包括配置项是否符合标准、是否定期更新、是否具备可追溯性等。对于未执行或执行不规范的控制措施，需提出整改建议。（4）安全事件发生率分析：通过测评结果中的安全事件记录，分析系统在安全事件发生频率、类型、原因等方面的表现。结合历史数据与当前风险评估，判断系统是否存在持续性安全风险。（5）合规性评估：分析系统是否符合国家信息安全等级保护制度及相关法律法规要求，包括安全管理制度、安全技术措施、安全事件应急响应机制等方面。4.1.1安全事件分类与影响评估根据安全事件的性质与影响程度，可将安全事件分为以下几类：轻微安全事件：系统运行正常，未造成数据泄露或服务中断，仅存在低风险操作痕迹。一般安全事件：造成数据泄露或系统服务中断，但未影响核心业务运行。严重安全事件：造成重要数据泄露、系统服务中断或业务连续性受损，需立即进行修复与整改。对各类安全事件的影响进行量化分析，可参考以下公式：影响指数4.1.2整改建议与优化方案制定基于测评结果的全面分析，应制定切实可行的整改建议与优化方案，保证整改措施与系统风险等级、安全控制措施执行情况相匹配。（1）风险分级整改：根据安全事件发生频率与影响程度，对系统进行风险分级管理，制定差异化整改措施。例如对高风险系统，需优先修复漏洞、完善访问控制、加强日志审计等。（2）安全控制措施优化：对测评中发觉的未执行或执行不规范的安全控制措施，制定优化方案。例如针对配置项缺失的问题，需补充配置规范、配置模板及配置检查清单。（3）安全事件应急响应机制完善：针对测评中发觉的安全事件应急响应机制不完善的问题，制定应急预案、应急演练计划及应急响应流程。（4）安全管理制度优化：对测评中发觉的安全管理制度不健全的问题，需制定或修订管理制度，明确安全责任、安全事件报告流程、安全培训机制等。（5）持续改进机制建立：建立安全整改跟踪机制，定期评估整改措施效果，保证安全防护能力持续提升。可结合风险评估、安全事件记录、漏洞扫描结果等数据，形成持续改进的流程。4.1.3整改建议的优先级与执行路径在制定整改建议时，应优先处理高风险问题，保证整改效果最大化。整改措施应按照以下路径实施：（1）问题识别与分类：明确系统中存在的安全问题，分类整理问题清单。（2）整改方案制定：根据问题分类，制定具体的整改方案，包括修复措施、配置调整、流程优化等。（3）整改执行与验证：按照整改方案执行整改任务，并进行验证，保证整改措施有效。（4）整改效果评估：对整改后的系统进行复查，评估整改效果，保证系统安全等级达到要求。4.1.4整改建议的实施流程整改建议的实施流程应遵循以下步骤：（1）问题识别：通过测评结果、安全事件记录、漏洞扫描结果等，识别系统中存在的安全问题。（2）风险评估：对识别出的问题进行风险评估，确定整改优先级。（3）制定整改方案：根据风险评估结果，制定具体的整改方案，包括整改措施、责任人、完成时间等。（4）整改执行：按照整改方案执行整改任务，保证整改到位。（5）整改验证：对整改后的系统进行验证，保证整改措施有效。（6）持续改进：建立系统持续改进机制，定期评估整改效果，保证系统安全等级持续提升。4.2整改建议与优化方案制定4.2.1整改建议的制定原则整改建议的制定应遵循以下原则：（1）针对性：整改措施应针对系统中存在的具体安全问题，避免泛化或照搬模板。（2）可操作性：整改措施应具备可操作性，包括具体的实施步骤、工具、资源、时间等。（3）可衡量性：整改措施应能通过量化指标进行评估，如漏洞修复率、安全事件发生率下降率等。（4）可持续性：整改措施应具备长期可持续性，避免因资源不足或人员变动导致整改失效。4.2.2优化方案的制定内容优化方案的制定应包含以下内容：（1）安全控制措施优化方案：包括安全策略、访问控制、日志审计、漏洞修复等方面的优化建议。（2）安全事件应急响应优化方案：包括应急预案、应急演练、响应流程、人员培训等方面的优化建议。（3）安全管理制度优化方案：包括管理制度制定、责任划分、培训机制、机制等方面的优化建议。（4）系统持续改进机制优化方案：包括整改跟踪机制、风险评估机制、安全事件分析机制等方面的优化建议。4.2.3整改建议与优化方案的实施路径整改建议与优化方案的实施路径应按照以下步骤进行：（1）问题识别与分类：通过测评结果、安全事件记录、漏洞扫描结果等，识别系统中存在的安全问题。（2）风险评估：对识别出的问题进行风险评估，确定整改优先级。（3）制定整改方案：根据风险评估结果，制定具体的整改方案，包括整改措施、责任人、完成时间等。（4）整改执行：按照整改方案执行整改任务，保证整改到位。（5）整改验证：对整改后的系统进行验证，保证整改措施有效。（6）持续改进：建立系统持续改进机制，定期评估整改效果，保证系统安全等级持续提升。4.2.4整改建议与优化方案的实施效果评估整改建议与优化方案的实施效果可通过以下指标进行评估：（1）安全事件发生率：评估安全事件发生频率是否下降。（2）漏洞修复率：评估漏洞修复的及时性和完整性。（3）系统安全等级：评估系统是否符合等级保护要求。（4）安全事件响应时间：评估安全事件响应的及时性。（5）安全管理制度执行情况：评估安全管理制度是否得到有效执行。4.2.5整改建议与优化方案的跟踪与反馈整改建议与优化方案的实施过程中，应建立跟踪与反馈机制，保证整改措施有效执行。跟踪机制包括：（1）整改进度跟踪：定期跟踪整改措施的执行进度，保证按时完成。（2）整改效果评估：定期评估整改措施的效果，保证系统安全等级持续提升。（3）反馈机制：建立整改反馈机制，收集整改过程中存在的问题，及时调整整改方案。表4-1：整改建议优先级排序表风险等级整改建议分类优先级高风险漏洞修复、访问控制优化1中风险日志审计优化、应急响应机制完善2低风险安全管理制度优化、安全培训3表4-2：整改建议实施路径表整改建议实施步骤负责人完成时间安全策略优化（1）确定安全策略（2）撰写策略文档（3）评审与发布安全管理部1个月内访问控制优化（1）检查现有访问控制机制（2）优化权限分配（3）实施权限管理系统安全部2个月内日志审计优化（1）检查日志审计配置（2）优化日志审计策略（3）实施审计监控安全审计部1个月内公式总结：漏洞修复率计算公式：漏洞修复率安全事件发生率计算公式：安全事件发生率第五章测评报告编写与输出5.1测评报告的基本结构与内容测评报告是信息安全等级保护测评工作的最终成果，其内容应全面、客观、真实地反映测评过程和结果。报告结构包括以下几个部分：（1）封面：包含报告标题、编号、编制单位、编制日期等信息。（2）目录：列出报告的各个章节及子章节。（3）摘要：简要概括测评工作的背景、目的、方法、主要发觉及结论。（4）测评概述：包括测评依据、测评范围、测评对象、测评周期等基本信息。（5）测评实施过程：详细描述测评工作的实施步骤、方法、工具及人员分工。（6）测评结果分析：对测评结果进行分析，包括系统安全性、风险等级、合规性等方面。（7）问题与改进建议：列出发觉的主要问题，并提出相应的改进建议。（8）结论与建议：总结测评结果，提出进一步的改进措施和建议。（9）附录：包含测评使用的工具、数据、原始记录等补充材料。测评报告应以清晰、逻辑性强的结构呈现，保证信息的完整性和可追溯性。5.2测评报告的格式规范与提交要求测评报告的格式规范应遵循国家信息安全等级保护测评相关标准，保证内容的规范性和可读性。具体包括以下内容：（1）标题格式：标题应使用规范的字体和字号，一般为三号黑体或宋体。（2）格式：内容应使用五号宋体，行距为1.5倍，段落之间使用空行分隔。（3）图表格式：图表应使用A4纸张，图表标题应居中，图表内容应清晰、整洁。（4）引用格式：引用文献应按照国家标准进行标注，如GB/T7714。（5）提交要求：测评报告应由测评机构统一编号并归档，提交时应附带相关证明材料。测评报告的编制应保证内容准确、数据真实、分析透彻，以支持后续的整改和提升工作。第六章测评过程中的常见问题与应对策略6.1测评实施中的常见问题识别信息安全等级保护测评是一项系统性、复杂的工程活动，涉及多方面的技术、管理与合规性要求。在实施过程中，会遇到一系列问题，这些问题可能源于技术缺陷、管理流程不规范、人员培训不足或外部环境因素等。识别这些问题并制定相应的应对策略，是保证测评工作有效开展的关键环节。6.1.1技术性问题在测评过程中，常见的技术性问题包括系统适配性不足、数据采集不完整、安全措施配置不规范等。例如某企业部署的防火墙未配置完整的访问控制策略，导致部分内部系统无法正常访问，造成测评结果不完整。6.1.2管理性问题管理性问题源于组织内部流程不健全、责任划分不清或沟通机制不畅。例如测评团队与被测评单位之间缺乏有效的沟通，导致测评数据收集不充分，或整改计划执行不到位。6.1.3培训与意识问题测评人员对相关标准和规范的掌握程度不一，可能导致测评过程中出现偏差。例如部分测评人员对等保2.0的要求理解不深，导致测评结果失真。6.1.4外部环境因素外部环境因素，如系统更新不及时、网络配置变更频繁等，也可能对测评结果产生影响。例如某企业因未及时更新安全设备，导致测评中发觉的漏洞未被准确识别。6.2问题处理与整改跟踪机制在识别出测评过程中存在的问题后，应建立有效的处理与整改跟踪机制，保证问题得到有效解决，并防止类似问题发生。6.2.1问题分类与优先级划分根据问题的严重性、影响范围及紧迫性，将问题分为不同等级，并制定相应的处理计划。例如系统漏洞问题可列为高优先级，需在短期内进行修复；而管理流程不规范问题可列为中优先级，需制定改进方案。6.2.2整改计划制定整改计划应包括问题描述、责任部门、整改期限、预期成果等内容。例如针对系统适配性问题，整改计划应明确责任部门、修复方案及验收标准。6.2.3整改跟踪与反馈整改过程应建立跟踪机制，定期检查整改进度，保证问题按时完成。例如可通过定期会议、进度报告、系统日志等方式进行跟踪，并对整改效果进行验证。6.2.4整改流程管理整改完成后，应进行效果验证，保证问题已彻底解决。例如对系统漏洞问题，需进行复测，保证修复后的系统符合等保要求。6.2.5风险预警机制建立风险预警机制，对可能引发重大影响的问题进行提前预警。例如对高优先级问题设置预警阈值，保证在问题发生前及时响应。6.3整改效果评估与持续改进整改完成后，应进行效果评估，保证问题已得到彻底解决，并根据评估结果持续改进测评流程和管理机制。6.3.1效果评估指标评估指标包括问题解决率、整改完成率、系统稳定性、用户满意度等。例如系统漏洞问题解决率应达到100%，用户满意度应达到95%以上。6.3.2持续改进机制建立持续改进机制，通过总结整改经验、优化测评流程、加强培训等方式，不断提升测评质量和管理水平。6.3.3案例分析例如某企业因未及时修复系统漏洞，导致测评中发觉重大安全风险。通过建立整改跟踪机制，最终成功修复问题，提升了系统安全性。6.4整改记录与归档建立整改记录档案，记录问题描述、整改过程、责任人、整改结果等信息，为后续测评提供参考。6.5整改效果量化分析通过定量分析，评估整改效果，例如使用统计分析法（如帕累托分析）对整改问题进行分类，找出高频问题并制定针对性改进方案。表格：常见问题分类与处理建议问题类型问题描述处理建议技术性问题系统适配性不足优化系统配置，保证技术适配性管理性问题责任划分不清明确责任部门，制定责任清单培训与意识问题测评人员知识不足定期开展培训，提升测评人员专业能力外部环境因素系统更新不及时建立系统更新机制，保证及时更新公式：问题影响度评估模型影响度其中，影响范围指问题影响的系统数量，严重性指问题对业务的影响程度，系统总容量指系统整体规模。该公式可用于评估问题对系统安全的影响程度，指导整改优先级制定。第七章测评与持续改进机制建立7.1建立信息安全持续改进机制信息安全等级保护测评是保证信息系统安全稳定运行的重要手段，而持续改进机制则是实现测评成果有效转化、推动信息安全建设长效机制的关键。建立信息安全持续改进机制，应从制度建设、流程优化、资源保障等多维度入手，形成流程管理与动态优化的运行体系。7.1.1制度体系建设信息安全持续改进机制应由组织高层主导，明确各层级职责与分工，建立包含目标、责任、流程、考核等要素的制度框架。制度应涵盖测评计划制定、测评结果分析、整改落实、复查评估等全流程，保证测评工作有章可循、有据可依。7.1.2测评结果分析与整改机制测评结果分析是持续改进的核心环节，应建立科学的数据分析机制，对测评中发觉的问题进行分类梳理，明确整改优先级与责任人。整改复查机制则应定期开展复查，保证整改措施落实到位，防止问题反复发生。7.1.3资源保障与技术支持持续改进机制的实施离不开资源保障和技术支持。应建立信息安全测评资源库，涵盖测评工具、标准规范、技术文档等，提升测评效率与准确性。同时应加强人员培训与能力提升，保证测评人员具备专业能力与责任心。7.2定期测评与整改复查机制定期测评与整改复查机制是信息安全等级保护实施体系的重要组成部分，是保障信息系统持续符合安全等级要求的重要手段。7.2.1定期测评机制定期测评应按照国家信息安全等级保护制度要求，结合信息系统运行情况，制定合理的测评计划。测评内容应涵盖系统安全架构、安全策略、安全配置、安全事件响应等关键方面。测评频率应根据信息系统重要性与风险等级确定，一般建议每半年或每年一次。7.2.2整改复查机制整改复查机制应建立在测评结果分析的基础上，针对测评中发觉的问题，制定整改计划并落实整改。整改应遵循“问题导向、分类管理、流程管控”的原则，保证整改措施有效、落实到位。复查应定期开展，保证整改措施未返工、未遗漏，形成流程管理。7.2.3整改结果评估与反馈整改结果应纳入组织信息安全评估体系，评估整改效果是否达到预期目标。评估结果应反馈至相关责任人，作为后续测评与改进的依据。同时应建立整改台账，记录整改内容、责任人、完成时间等信息，实现整改过程的可追溯性。7.3测评与改进机制的协同推进测评与改进机制的协同推进是实现信息安全等级保护目标的关键。应建立测评与改进的协作机制，将测评结果作为改进的依据，推动信息系统安全建设的持续优化。同时应建立测评与组织安全文化建设的协作，提升全员信息安全意识，形成全员参与、全过程控制的安全管理格局。表格：定期测评与整改复查机制关键参数项目内容说明测评周期每半年或每年一次根据信息系统重要性与风险等级确定测评内容系统安全架构、安全策略、安全配置、安全事件响应包括关键安全要素整改周期问题整改期限根据问题严重程度确定，一般不超过30天整改复查周期每季度或每半年一次保证整改措施落实到位整改结果评估整改效果评估包括是否达到预期目标、是否符合标准公式：整改周期计算公式若某系统整改周期为$T$，整改问题数为$N$，则整改效率$E$可表示为：E其中，$E$表示整改效率，$N$表示整改问题数量，$T$表示整改周期。第八章测评过程中的合规性与审计要求8.1测评过程中的合规性要求信息安全等级保护测评是一项涉及多方面标准与规范的系统性工程，其合规性是测评工作的基础。测评机构在开展测评工作时，应严格遵循国家及行业相关法律法规、标准规范以及测评实施指南，保证测评活动的合法性和有效性。8.1.1法律法规与标准规范测评过程中，应遵守《信息安全技术信息安全等级保护基本要求》（GB/T22239-2019）、《信息安全等级保护测评规范》（GB/T2098