信息安全等级保护测评是我国信息安全管理体系的重要组成部分，旨在通过对信息系统的安全性进行评估，确保其符合国家对信息安全的要求。密评不仅对保护信息系统的机密性、完整性和可用性起到关键作用，同时也为信息系统提供了必要的安全保障，从而降低潜在的安全风险和威胁。那么密评的测评对象是什么?密评的测评对象不包括哪些?小编将详细介绍一下。

　　一、密评的测评对象

　　密评的测评对象通常是指在信息安全等级保护过程中，需要评估和审查的各类信息系统。这些信息系统涉及的业务和数据保护需求不同，因此在评估时依据其所承载的功能、重要性以及所涉及的风险级别进行分类。

　　具体来说，密评的测评对象包括但不限于以下几类信息系统：

　　1. 政府机关及其下属单位的信息系统

　　政府机关处理的是大量敏感信息，例如公共安全、税务数据、社会保障信息等。为了保障国家安全和人民利益，政府机关的信息系统通常属于高风险级别的信息系统，需要严格的安全评估与保护。因此，这类系统往往需要进行密评，以确保符合《信息安全技术 网络安全等级保护基本要求》的相关标准。

　　2. 企业内部的核心信息系统

　　对于一些企业而言，其内部的核心信息系统(如财务系统、人力资源系统、ERP系统、供应链管理系统等)承载了大量的商业机密和企业数据。因此，确保这些系统的安全性至关重要。在这些系统的密评过程中，评估的重点是数据保护、访问控制、风险管理和应急响应等方面。

　　3. 金融、医疗、电力、交通等行业的重要信息系统

　　这些行业的信息系统涉及到公共安全、国家经济、民众健康等方面，因此具有较高的安全性要求。特别是在金融、医疗、能源等领域，信息系统的安全直接关系到社会稳定与民众生活质量。密评在这些领域尤为重要，评估内容包括数据存储、传输加密、身份验证等方面的安全措施。

　　4. 企业和机构的互联网信息系统

　　随着互联网技术的普及，越来越多的企业和机构在互联网上开展业务。这类信息系统包括网站、电子商务平台、客户关系管理(CRM)系统等。由于这些系统在开放的网络环境中运行，容易遭受来自黑客的攻击，因此也必须进行密评，确保其网络边界的防护、访问控制机制、数据加密等符合信息安全要求。

　　5. 云计算和大数据平台

　　云计算和大数据平台由于其资源共享、灵活性和扩展性，成为了越来越多企业和组织的技术基础设施。这类平台的安全性对于确保数据隐私、处理效率以及系统稳定性至关重要。因此，云计算平台和大数据平台在实施密评时，需要重点检查其数据处理与存储的安全性、虚拟化技术的防护、访问控制等方面的安全合规性。

　　二、密评的测评对象不包括哪些内容

　　密评的测评对象虽广泛，但也存在一定的范围界限，并非所有信息系统都需要进行密评。以下是一些不属于密评测评对象的内容：

　　1. 不涉及敏感信息的普通办公系统

　　如果一个系统只涉及普通办公数据，如日常的文件管理、邮件交流、个人信息管理等，且这些信息对企业或国家安全不构成威胁，那么此类系统通常不需要进行密评。比如，普通的企业邮箱系统或会议管理系统，若其不涉及机密信息和高度敏感数据，通常不需要进行密评。

　　2. 仅用于个人用途的设备和应用

　　密评的测评对象主要是那些用于处理敏感数据、支撑关键业务的系统。对于个人使用的设备和应用程序，如个人计算机、个人社交媒体账户等，通常不在密评的测评范围之内。此类设备的安全性可以通过个人用户的安全意识和基本防护措施进行保障。

　　3. 纯粹的外部服务提供商(如 SaaS 平台)

　　一些企业可能会选择外部的SaaS(软件即服务)平台提供商来托管他们的数据和应用。在这种情况下，尽管使用该平台的企业信息系统可能需要进行密评，但外部SaaS服务商提供的基础设施和服务通常不在密评范围之内。服务商通常会根据自身的安全规范和要求提供相应的合规报告和审计记录，而不是由企业自行进行密评。

　　4. 已不再使用或淘汰的信息系统

　　对于已经不再使用或者已经淘汰的系统，密评的测评对象范围不包括这些系统。信息安全等级保护主要针对正在使用并涉及敏感信息或关键业务的系统，已停用的系统不需要参与评估。此外，已淘汰的系统如果未进行数据销毁和安全清除，仍然需要考虑其信息安全问题，但这不属于密评的直接测评对象。

　　5. 一般性质的基础设施(如普通的计算机硬件设备)

　　一般性的硬件设备，如个人计算机、打印机、路由器等，通常不需要进行密评。密评主要聚焦于信息系统及其安全架构，而硬件设备本身不在测评的直接范围内。然而，如果这些硬件涉及到信息系统的关键部分或承载敏感数据(如存储服务器、数据库服务器等)，则相关设备也可能成为间接的测评对象。

　　6. 开放源代码软件和公共网络服务

　　一些开放源代码的软件系统或公共网络服务(如开源数据库、公共API等)通常不需要在密评中作为独立的测评对象，尤其是在这些服务并不直接处理敏感数据或关键业务时。然而，若这些服务被集成到企业或机构的系统中，并且涉及敏感信息处理，那么相关部分仍需进行密评。

　　密评的测评对象主要包括各类承载敏感数据、业务关键系统的企业、政府机构、行业信息系统等，这些系统的安全性直接影响到社会稳定和组织的运营安全。而不包括的内容则通常是那些没有涉及敏感数据或已不再使用的系统，如普通办公系统、个人用途的设备等。

　　通过明确测评对象，密评能够更加集中精力地评估那些可能带来较大风险的系统，从而有效地提升信息安全防护能力，保障数据和信息的安全性。在实施密评过程中，组织应根据系统的功能和风险等级，合理确定测评范围，确保信息系统在各个层面的安全合规。