一、等保測評是什么意思

等保(bao)測(ce)(ce)評(ping)是經公(gong)安部認證的具有(you)資質的測(ce)(ce)評(ping)機構，依據國家(jia)信息安全等級(ji)保(bao)護規范規定，受有(you)關單位委托，按(an)照(zhao)有(you)關管(guan)理規范和技(ji)術標(biao)準，對信息系統安全等級(ji)保(bao)護狀況進行檢測(ce)(ce)評(ping)估的活(huo)動。全稱(cheng)是信息安全等級(ji)保(bao)護測(ce)(ce)評(ping)。

二、等保測評基本內容

對信息系統安全等(deng)級保(bao)護(hu)狀況進行測(ce)試(shi)評(ping)估，應包括兩(liang)個方面(mian)的內容。

1、安全控制(zhi)(zhi)測評：主(zhu)要測評信(xin)息(xi)安全等(deng)級保護要求的基本安全控制(zhi)(zhi)在信(xin)息(xi)系統中的實施配置情況。

2、系統(tong)整(zheng)體測(ce)(ce)評：主要測(ce)(ce)評分析信息系統(tong)的整(zheng)體安全性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其中(zhong)，安(an)全(quan)(quan)(quan)控(kong)制測評(ping)是信息系統整(zheng)體安(an)全(quan)(quan)(quan)測評(ping)的基礎。對(dui)安(an)全(quan)(quan)(quan)控(kong)制測評(ping)的描述(shu)，使用(yong)測評(ping)單元(yuan)方(fang)式組(zu)織。測評(ping)單元(yuan)分為安(an)全(quan)(quan)(quan)技術測評(ping)和安(an)全(quan)(quan)(quan)管理(li)測評(ping)兩大類。

①安全(quan)技(ji)術測評：包括物理(li)安全(quan)、網(wang)絡安全(quan)、主機系統安全(quan)、應用安全(quan)和(he)數據安全(quan)等(deng)五個層面上的安全(quan)控(kong)制測評。

②安(an)(an)(an)全(quan)(quan)(quan)管理(li)(li)測評：包括安(an)(an)(an)全(quan)(quan)(quan)管理(li)(li)機構、安(an)(an)(an)全(quan)(quan)(quan)管理(li)(li)制(zhi)度、人員(yuan)安(an)(an)(an)全(quan)(quan)(quan)管理(li)(li)、系統(tong)(tong)建設管理(li)(li)和系統(tong)(tong)運維管理(li)(li)等五個(ge)方面的安(an)(an)(an)全(quan)(quan)(quan)控制(zhi)測評。

三、等保測評規定幾年做一次

1、等保測評是一項周期性、連續性的工(gong)作(zuo)，不(bu)同等級要求0.5-2年做一次。

概述：許多企(qi)事業單位認為等(deng)級保護是一項正(zheng)式的工(gong)作(zuo)，抱著應對的態度，覺得(de)做(zuo)完這個就拉倒。

正確(que)做法：需要持(chi)續進行等(deng)級保(bao)(bao)護，尤其是等(deng)保(bao)(bao)測評。不(bu)(bu)同(tong)級別的(de)系統(tong)會有不(bu)(bu)同(tong)的(de)評價周期(qi)要求：4級00.5年(nian)一(yi)(yi)次(ci)，3年(nian)一(yi)(yi)次(ci)，2年(nian)一(yi)(yi)次(ci)，2年(nian)一(yi)(yi)次(ci)(有行業差異(yi)，但都明(ming)確(que)或(huo)建議(yi)2年(nian)一(yi)(yi)次(ci))。

擴展知識：等級保護(hu)評估(gu)是對系統保護(hu)水平的測試，不應處(chu)理。如果企(qi)業(ye)事(shi)業(ye)單(dan)位(wei)的制(zhi)度(du)按照等保險(xian)要求認真做(zuo)好，同時也能(neng)有效(xiao)地做(zuo)好網絡安全工作。

2、如果你(ni)不做等級保護，你(ni)可能會面臨懲罰

概述：很多企事業單位認為，只(zhi)要不涉及網絡(luo)安全、網絡(luo)攻(gong)擊事件，就(jiu)可以不做等級(ji)保護，沒有事故。

正確做法：《中華人民共和國網(wang)絡安全法》第二十一(yi)條已作出相關規定(ding)（具體內容(rong)不(bu)再重復）。如(ru)果系(xi)統運(yun)營商未能進行等級保護(hu)，則屬于違(wei)反其他義務的行為，可能會受到處罰。以前也有類(lei)似的報告，所(suo)以及(ji)時進行等級保護(hu)。不(bu)要等到受到懲罰。

拓(tuo)展知識：安全總是相對的(de)，但要及時做好。嚴格執(zhi)行政策法規的(de)要求，也是保(bao)護企事(shi)業單位安全的(de)一(yi)項措施。

3、即(ji)使(shi)系統在(zai)內網，也需要及(ji)時進(jin)行等級保護(hu)

概述：很多企事業單位將系統存在(zai)于單位內網或專(zhuan)網中，認為不(bu)對外(wai)=安全，這樣就不(bu)能(neng)進(jin)行等級保護工作。

正確的方法：只要不是(shi)機(ji)密系統(tong)，就需要等級保(bao)護，這與網絡(luo)(luo)無關(guan)。此外(wai)，內(nei)部(bu)網絡(luo)(luo)的保(bao)護措(cuo)施可能(neng)比(bi)外(wai)部(bu)網絡(luo)(luo)弱(ruo)，但容易中毒和(he)攻擊。因此，即使是(shi)內(nei)部(bu)網絡(luo)(luo)系統(tong)也應及時進(jin)行等級保(bao)護！

擴展知(zhi)識：內(nei)(nei)部網(wang)(wang)絡(luo)并不意味著(zhu)安全，現(xian)在很少(shao)有(you)純粹的物理內(nei)(nei)部網(wang)(wang)絡(luo)，其中(zhong)大部分(fen)或(huo)多或(huo)少(shao)與互聯網(wang)(wang)相連。一(yi)旦內(nei)(nei)部網(wang)(wang)絡(luo)中(zhong)毒，它(ta)會迅速傳播，很難清除，因為(wei)沒有(you)許多技術措施(shi)，幾(ji)乎處(chu)于裸奔狀態。一(yi)旦中(zhong)毒，它(ta)很容易交叉。

4、等保測評以系統為單(dan)位(wei)，不能針對單(dan)位(wei)整體(ti)進行

概述：在現(xian)實中，許多企業(ye)事(shi)業(ye)單位(wei)(wei)不了解等(deng)級(ji)保護的(de)意義。他們錯誤地(di)認為這是為單位(wei)(wei)開(kai)展(zhan)的(de)業(ye)務，并覺得(de)對自己的(de)單位(wei)(wei)進行等(deng)級(ji)保護評估已經(jing)完成。

正確做法：等保(bao)測(ce)評如果以系統(tong)(tong)為單位，需要做多少次信息系統(tong)(tong)等保(bao)測(ce)評。

拓展知(zhi)識：信息系統通常由服(fu)務器(qi)、主機、數(shu)據庫、設(she)備等多(duo)種(zhong)物(wu)體(ti)組(zu)成，等保測評除實物(wu)測量外，還需(xu)要測量相關的安(an)全管(guan)理制度。

5、等保測評整改(gai)后的費(fei)用由(you)系統(tong)的等級、措施等決定，不一定很(hen)高

概(gai)況：總(zong)有企事業單位(wei)擔心等(deng)保(bao)測(ce)評安全建(jian)設(she)整改需(xu)要花(hua)費大量資金。

正確的(de)(de)做法：等(deng)待整改需要(yao)花(hua)多少錢，與信息系(xi)統的(de)(de)水平、現(xian)有的(de)(de)安全保護(hu)措施和網絡運營(ying)商對評(ping)估分數的(de)(de)期(qi)望有關，不一定(ding)很高(gao)，可能不會花(hua)錢！

四、等保測評項目中遇到的六大誤區

誤(wu)區(qu)一：系統(tong)已上云或托管，就不用做(zuo)等(deng)保(bao)

系統(tong)責(ze)任(ren)主體是(shi)屬于(yu)網絡(luo)運(yun)營者自己(ji)，需(xu)要承(cheng)擔相(xiang)應的網絡(luo)安全(quan)責(ze)任(ren)。

誤區二(er)：系統定級越低越好

系統定(ding)級需(xu)要合理，安全責任沒有履(lv)行(xing)到位會被處罰。

誤區三：等保工作做測(ce)評就可以(yi)

測評只是等級保(bao)護工作中的(de)一(yi)項。

誤區四：等保測評(ping)做(zuo)過(guo)一次就(jiu)可以了

等(deng)保工作需要根據具(ju)體的(de)行業規定需求(qiu)安排合(he)理的(de)評(ping)測時間。

誤區五：系統(tong)在(zai)內網(wang)，不需要(yao)做等保(bao)

所(suo)有(you)非涉密系統(tong)都屬于等級保(bao)護范疇。

誤區六：單位整體做一個等(deng)保測評(ping)

等(deng)保測評是按照信息系(xi)統來的，而不(bu)是單位。