一、等保測評是什么意思

等保測評是經公(gong)安部認證的(de)(de)具有(you)資質的(de)(de)測評機構，依據國家信息安全(quan)(quan)等級(ji)保護規范(fan)規定，受有(you)關(guan)單位委托(tuo)，按(an)照有(you)關(guan)管理規范(fan)和技術標準，對信息系統安全(quan)(quan)等級(ji)保護狀(zhuang)況進行檢(jian)測評估的(de)(de)活動。全(quan)(quan)稱是信息安全(quan)(quan)等級(ji)保護測評。

二、等保測評基本內容

對信息系統安(an)全等級保護狀況進行測試評估，應(ying)包括(kuo)兩個方(fang)面的內容。

1、安全控制(zhi)測評：主要(yao)測評信(xin)息安全等(deng)級保(bao)護要(yao)求的基本安全控制(zhi)在信(xin)息系統中的實施配置情(qing)況(kuang)。

2、系(xi)統整(zheng)體(ti)測(ce)評：主要測(ce)評分析信息系(xi)統的整(zheng)體(ti)安全性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其(qi)中，安(an)(an)全(quan)控制(zhi)測(ce)評(ping)是(shi)信息系統整體(ti)安(an)(an)全(quan)測(ce)評(ping)的基(ji)礎。對安(an)(an)全(quan)控制(zhi)測(ce)評(ping)的描述，使用測(ce)評(ping)單(dan)元方式組織。測(ce)評(ping)單(dan)元分(fen)為(wei)安(an)(an)全(quan)技術測(ce)評(ping)和安(an)(an)全(quan)管(guan)理測(ce)評(ping)兩大(da)類。

①安(an)(an)(an)全(quan)(quan)技術測(ce)評：包括物理安(an)(an)(an)全(quan)(quan)、網絡安(an)(an)(an)全(quan)(quan)、主機(ji)系統安(an)(an)(an)全(quan)(quan)、應用安(an)(an)(an)全(quan)(quan)和數(shu)據安(an)(an)(an)全(quan)(quan)等五個層面上的安(an)(an)(an)全(quan)(quan)控制測(ce)評。

②安(an)全(quan)管理(li)(li)測(ce)評(ping)：包(bao)括安(an)全(quan)管理(li)(li)機構(gou)、安(an)全(quan)管理(li)(li)制度、人(ren)員安(an)全(quan)管理(li)(li)、系統建設管理(li)(li)和系統運維管理(li)(li)等五(wu)個(ge)方面的(de)安(an)全(quan)控制測(ce)評(ping)。

三、等保測評規定幾年做一次

1、等保測評是一(yi)項周期性(xing)、連續性(xing)的工作，不同等級要(yao)求0.5-2年(nian)做一(yi)次。

概述(shu)：許多(duo)企事(shi)業單(dan)位認為(wei)等級(ji)保護是(shi)一項正式的工(gong)作(zuo)，抱著應對(dui)的態度(du)，覺得做完這個就(jiu)拉倒(dao)。

正確(que)(que)做法：需要持續進(jin)行(xing)等(deng)(deng)級(ji)保(bao)護，尤其是等(deng)(deng)保(bao)測評。不(bu)同級(ji)別的系統會有(you)不(bu)同的評價周期要求：4級(ji)00.5年(nian)(nian)一(yi)次(ci)(ci)，3年(nian)(nian)一(yi)次(ci)(ci)，2年(nian)(nian)一(yi)次(ci)(ci)，2年(nian)(nian)一(yi)次(ci)(ci)(有(you)行(xing)業差異，但(dan)都(dou)明確(que)(que)或建議(yi)2年(nian)(nian)一(yi)次(ci)(ci))。

擴展知識：等(deng)級保護(hu)評估是對系統(tong)保護(hu)水平(ping)的測試，不(bu)應處理。如(ru)果企(qi)業(ye)事業(ye)單位的制(zhi)度按(an)照等(deng)保險(xian)要求(qiu)認真做(zuo)好，同時也(ye)能(neng)有(you)效地(di)做(zuo)好網絡安全工(gong)作。

2、如果你不做等級(ji)保護，你可能會面臨(lin)懲罰

概述：很多企(qi)事業單(dan)位(wei)認為，只要不(bu)涉(she)及網(wang)(wang)絡安全、網(wang)(wang)絡攻擊事件，就可以(yi)不(bu)做等級保護，沒(mei)有(you)事故。

正確(que)做法：《中華人民共和(he)國網絡安全法》第二(er)十一條已(yi)作(zuo)出相關規定（具體(ti)內容不再(zai)重復）。如果系統運營商未能(neng)進行等級(ji)保護，則屬于(yu)違反其他義務的行為，可能(neng)會受(shou)(shou)到處(chu)罰。以前也有類(lei)似的報告，所以及時進行等級(ji)保護。不要等到受(shou)(shou)到懲(cheng)罰。

拓(tuo)展知識：安全總(zong)是(shi)(shi)相對的(de)，但要(yao)及(ji)時做(zuo)好。嚴格執行政策法(fa)規的(de)要(yao)求，也是(shi)(shi)保護企(qi)事(shi)業單(dan)位安全的(de)一項(xiang)措施。

3、即(ji)使系統在(zai)內網(wang)，也需要及時進(jin)行等(deng)級保護

概述：很多企事(shi)業單位將系統存在于單位內網或專(zhuan)網中，認為不(bu)對外=安全，這(zhe)樣(yang)就不(bu)能(neng)進行等級保護(hu)工作。

正確(que)的方(fang)法(fa)：只要不是(shi)機密系統(tong)(tong)，就需(xu)要等級保護(hu)，這與網(wang)絡無關。此外，內部(bu)網(wang)絡的保護(hu)措施(shi)可能比外部(bu)網(wang)絡弱，但容(rong)易中毒和攻擊。因(yin)此，即使是(shi)內部(bu)網(wang)絡系統(tong)(tong)也應及時進行等級保護(hu)！

擴展知識：內(nei)部(bu)網絡(luo)并不意味(wei)著安全(quan)，現在(zai)很(hen)少有(you)純粹的物理內(nei)部(bu)網絡(luo)，其(qi)中(zhong)大部(bu)分或多或少與互聯網相(xiang)連。一旦(dan)內(nei)部(bu)網絡(luo)中(zhong)毒(du)，它(ta)會迅速傳(chuan)播，很(hen)難清除，因為沒有(you)許多技術(shu)措施(shi)，幾(ji)乎處于裸奔狀態。一旦(dan)中(zhong)毒(du)，它(ta)很(hen)容易交叉。

4、等保測評(ping)以系統為單位，不能針對單位整體進行

概(gai)述：在現實中，許多(duo)企業事業單(dan)位(wei)不了解等(deng)級(ji)保(bao)護的(de)意義(yi)。他們錯誤地認為(wei)(wei)這(zhe)是為(wei)(wei)單(dan)位(wei)開(kai)展(zhan)的(de)業務，并覺得(de)對自(zi)己的(de)單(dan)位(wei)進行等(deng)級(ji)保(bao)護評估已經完成。

正確做法：等保測評(ping)(ping)如果(guo)以(yi)系統為(wei)單位，需要做多(duo)少次信息系統等保測評(ping)(ping)。

拓(tuo)展知識(shi)：信息系統(tong)通常(chang)由服務器、主機(ji)、數據(ju)庫、設備等(deng)多(duo)種物(wu)體(ti)組成，等(deng)保測(ce)評(ping)除實(shi)物(wu)測(ce)量(liang)外，還需要(yao)測(ce)量(liang)相(xiang)關的(de)安全管(guan)理制度。

5、等(deng)保測評整改后的費用(yong)由(you)系統的等(deng)級、措施等(deng)決定，不一定很(hen)高(gao)

概況：總有企(qi)事業單位擔心等保測評安全(quan)建設整改需要花(hua)費(fei)大量資(zi)金。

正確(que)的做法：等待整改需(xu)要花多少錢(qian)，與信息系統的水平、現有的安全保護措施和網絡運營(ying)商對評估(gu)分數的期望有關(guan)，不(bu)一(yi)定很高，可能不(bu)會(hui)花錢(qian)！

四、等保測評項目中遇到的六大誤區

誤(wu)區一：系統(tong)已上(shang)云或托管(guan)，就不用做等(deng)保

系統(tong)責(ze)任主(zhu)體是(shi)屬于網絡運營者自己，需要承擔相(xiang)應的網絡安全責(ze)任。

誤區二(er)：系統定級越低越好

系統(tong)定(ding)級需要合(he)理，安全責任沒有履行(xing)到位會(hui)被處罰(fa)。

誤區(qu)三：等保工作做測評就可(ke)以(yi)

測(ce)評(ping)只(zhi)是等級保(bao)護工(gong)作中的一項(xiang)。

誤(wu)區四：等保測評做過(guo)一次就可以了

等保工作需要根據具(ju)體的行業規(gui)定需求安排(pai)合理的評測時(shi)間。

誤區(qu)五(wu)：系統(tong)在內網，不需要做等保

所有非涉密系統都屬于等級保護(hu)范疇(chou)。

誤區六：單位整體(ti)做一個(ge)等保測評

等(deng)保測評是(shi)(shi)按(an)照信息系統來的，而不是(shi)(shi)單位。