CC认证、等级保护及评测关系（信息安全等保五级代表什么）

        随着信息技术不断渗透到社会生产、生活、运转和政府管理等各个领域，国家非常重视网络空间的安全。为此，制定了多项政策和法律法规，引导政府和企业提高网络安全意识，并提升网络安全技术能力。网络安全测评作为确保国家安全和社会稳定的重要措施之一，在企业发现网络隐患和保障安全方面发挥着至关重要的作用。

        近年来，我们不断制定出更多的法律法规来保障网络安全。这使得网络安全产业的发展环境逐渐变好，并且我们的合规性审查和测评机制也更加完善。网络安全测评和认证作为一种审查手段，随着合规范围的扩大，将会迎来高速增长。根据赛迪顾问的预测，到2024年，中国网络安全测评及认证服务市场的规模将达到149.8亿元。

CC认证、等级保护和风险评估这三个术语经常在我们的视线中出现，但常常会被混淆。那么这三者到底有何区别？它们之间有哪些联系呢？

CC认证
        CC标准是一个评估信息安全产品和系统安全特性的基础准则，它是由包括美国、日本、英国、西班牙在内的31个国家所制定。作为一个指导性文件，CC标准旨在确保信息安全产品和系统的安全性。它综合了现有的信息安全准则和标准，为评估提供了更全面的框架。

应用场景：
        CC标准定义了评估信息技术产品和系统安全性所需的基础准则，作为度量信息技术安全性的基准。首先，CC适用于所有IT产品的检测，无论是硬件、软件还是固件，都可以在同一个框架下进行评估，同时也可以用于指导产品或系统的开发。其次，CC融合了TCSEC、ITSEC、CTCPEC等标准的要素，立足于这些标准的基础上，又超越了它们，更能适应信息技术的发展，从而为CC标准的普适性提供了技术支持。

认证流程：
1.请明确需要进行认证的CC认证等级。
        保护等级评估（EvaluationAssuranceLevel，简称EAL）确定了产品检测的程度。保护等级从1级到7级，其中1级是最低级别，7级是最高级别。这些等级是IT产品或系统在CC安全评估下的数字表示。每个保障级别由一系列安全保障要求组成。只要满足了相应保障级别的安全保障要求，就能达到该级别。等级越高，表示通过认证所需的安全保证要求越多，系统的安全特性也更加可靠。

2.确定等级后，进行相关的开发工作和文档编写。
        您可以通过访问望安科技的CC认证流程，直接获取EAL1-EAL7级评估基础的安全保障能力文档。

3.将证据提交给评估机构
        将标准化的证据提交给评估机构，并根据评估机构的反馈，按照CC标准对证据、产品进行改进和迭代。

        在这个阶段，评估机构可能要求厂商合作进行相关的评估操作，直到评估机构完成对认证产品的综合评估并进行注册。

服务价值:
        1. CC认证服务提供给IT公司的是一种低成本且高效的方式，帮助它们促进高质量、安全和可控的IT产品开发。即使在无需了解CC的情况下，IT公司也能通过CC相关认证。
通过CC认证，可以将产品销售给对安全要求较高的客户，增加用户对产品的信任度，提升产品的知名度和曝光率，并彻底解决产品的信息安全隐患。

2.等级保护测评
        等级保护测评是对已经确定等级备案的信息系统进行评估，采用安全技术测评和安全管理测评的方法。评估会从物理环境、通信网络、区域边界、计算环境以及制度、机构、人员、建设、运维等多个方面进行检测，以判断受测系统的技术和管理级别是否符合所定的安全等级要求。通过此评估，可以发现信息系统存在的安全隐患和漏洞，进一步加强系统的防攻击和防入侵能力，提升整个信息系统的安全保护水平，从而最大程度地确保国家重要基础设施和重点行业的安全稳定运营。

应用场景：
        已经完成定级备案的信息系统，在建设完成后需要进行等级测评合格后才能投入使用。其中，第三级信息系统每年至少进行一次等级测评，第四级信息系统每半年至少进行一次等级测评，第五级信息系统根据特殊安全需求进行等级测评。

业务流程：
等级保护工作包括五个主要阶段，即定级备案、协助自查、建设整改、等级测评和监督检查。

服务价值:
        通过进行网络安全等级保护工作，在信息化规划初期，可以按照等级保护的相关要求进行开发设计，以避免重复的安全投资。在测评过程中，可以全面梳理单位的资产信息，并形成书面化的资产台账，以理顺各信息系统之间的相互关系，识别信息系统存在的安全风险，并为系统的安全加固提供技术依据，从而为系统的稳定和安全运行提供支撑。

风险评价
        网络信息安全风险评估是依据风险评估规范和管理制度，对信息管理系统的价值、潜在威胁、弱点以及已采取的防护措施等进行分析，以确定安全事故发生的可能性及其可能导致的损失，并明确提出全面的风险管控对策的过程。

        什么是等保？

　　等保是指信息系统安全等级保护，是中国政府为保障信息系统安全而制定的一项安全标准。等保旨在根据信息系统的重要性和敏感程度，对其进行等级划分，并提供相应的安全保护措施和要求。等保标准主要适用于政府部门、重要行业和关键信息基础设施等领域，旨在提高信息系统的安全性和保护国家安全、经济安全、社会稳定等方面的需求。

等保的实施需要进行等保测评，即对信息系统进行全面评估和审查，以确定其符合等保标准的要求。等保测评包括对物理环境、网络设备、系统安全、安全管理等多个方面的检查和测试，以验证系统的安全性和合规性。

        为什么要做等保？

　　１.从法律要求层面来说，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。也就是说，如果不开展等保工作就等同于违法。

　　２.从行业要求层面来说，等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作，比如金融、电力、广电、医疗、教育等行业。

　　３.从安全要求层面来说，信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

          根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级。

          第一级：一般网络系统，自主保护级 受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络系统。

          第二级：一般网络系统，指导保护级 受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络系统。

          第三级：重要系统/关键信息基础设施，监督保护级 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

          第四级：关键信息基础设施，强制保护级 一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

          第五级：极其重要网络 一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

三者之间的关系和区别。
        CC认证、等级保护和风险评估在信息安全领域中都是至关重要的概念，而且它们之间有着紧密的联系。

        首先，CC认证和等级保护都是为了保护信息系统安全而采取的措施。CC认证是一项国际性的信息安全评估标准，在国际上得到广泛认可，在国内也是信息安全产品认证的趋势。它的目的是评估信息技术产品的安全性和可信度。等级保护则是我国信息系统安全保护的规定，是信息安全保护体系的重要组成部分。CC认证和等级保护都强调了信息系统安全的重要性，并提出了相应的安全要求和措施。

        其次，风险评估可以与CC认证和等级保护相结合，用于评估信息系统的安全性和可信度。风险评估是信息安全工作中的重要组成部分，其目的是识别和评估可能对信息系统产生影响的各种风险，并制定相应的风险控制措施。通过发现、分析和评估风险，可以为CC认证和等级保护提供支持。

        总之，CC认证、等级保护和风险评估是密切相关的概念，它们都是信息安全保护体系中的重要组成部分。风险评估可以指导CC认证和等级保护的执行，而CC认证和等级保护则作为信息系统安全保护的手段，可降低系统受到风险的影响。