文章通过对近期测评的信息系统进行统计与分析,主要从安全管理方面出发,找出被测信息系统在等级保护测评中存在的问题.从安全管理制度建设、安全意识、加强商用密码和数字认证的安全管理和测评、测评报告的专家评审、测评机构的流程规范等方面,对测评工作提出建议.建议完善各类管理制度，补充、制定缺少的各项安全管理制度，完善已有安全管理制度文档，逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训，注重安全意识的教育和日常操作行为规范性教育;建立内审和管理评审制度，定期对安全管理制度的执行情况、适用性等进行审查。在系统运维管理中，建议加强商用密码和数字认证的安全管理和测评。信息系统经营、使用单位采用商用密码进行等级保护的，信息系统安全等级保护中密码的配备、使用和管理等应严格遵照有关规定和标准执行。每个安全等级都有不同的使用密码技术的要求，要根据应用需求和安全保护等级确定密码配置策略，根据所需的密码服务保障功能配置相应的密码算法及其密码产品，配置的密码算法、密钥、密钥协议和密码产品均应经过国家密码管理部门审批。建设信息系统要同步规划建设符合等级要求的信息安全措施(含密码措施)，制定并落实相应安全保护等级要求的密码使用管理制度，用数字证书建立身份认证、授权管理、责任认定等信息安全保障机制。针对测评机构，建议加强测评报告的专家评审。信息安全等级保护测评报告编制完成后，测评机构应对测评报告内容、风险分析过程和测评结沦，组织等级保护专家开展评审，客观公正出具测评结沦，确保测评报告质量，并自觉接受监督。