一、等保測評是什么意思

等保(bao)(bao)測(ce)評(ping)是經公(gong)安部認證的具有(you)資(zi)質的測(ce)評(ping)機(ji)構(gou)，依(yi)據國(guo)家(jia)信息安全(quan)等級(ji)保(bao)(bao)護(hu)規范(fan)規定，受有(you)關單(dan)位委托，按照有(you)關管理(li)規范(fan)和技(ji)術(shu)標準，對信息系統安全(quan)等級(ji)保(bao)(bao)護(hu)狀況進行(xing)檢測(ce)評(ping)估的活(huo)動。全(quan)稱(cheng)是信息安全(quan)等級(ji)保(bao)(bao)護(hu)測(ce)評(ping)。

二、等保測評基本內容

對信息系統安(an)全(quan)等(deng)級(ji)保護狀況進行測試評估，應包括兩個方面(mian)的內容。

1、安全控(kong)制測(ce)(ce)評(ping)：主要測(ce)(ce)評(ping)信息安全等級保護(hu)要求的基本安全控(kong)制在信息系統中的實施配置情況。

2、系(xi)統整體測評(ping)：主要(yao)測評(ping)分析信(xin)息系(xi)統的(de)整體安全性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其(qi)中，安全(quan)(quan)控(kong)制測(ce)(ce)評(ping)是信(xin)息系統整(zheng)體(ti)安全(quan)(quan)測(ce)(ce)評(ping)的基礎。對安全(quan)(quan)控(kong)制測(ce)(ce)評(ping)的描(miao)述，使用測(ce)(ce)評(ping)單元(yuan)方式組織。測(ce)(ce)評(ping)單元(yuan)分為安全(quan)(quan)技(ji)術測(ce)(ce)評(ping)和安全(quan)(quan)管理測(ce)(ce)評(ping)兩大類。

①安全(quan)(quan)(quan)技術測評(ping)：包括物理(li)安全(quan)(quan)(quan)、網(wang)絡(luo)安全(quan)(quan)(quan)、主機系統安全(quan)(quan)(quan)、應(ying)用安全(quan)(quan)(quan)和數據安全(quan)(quan)(quan)等五個層面上(shang)的安全(quan)(quan)(quan)控(kong)制測評(ping)。

②安(an)(an)(an)全(quan)管理(li)(li)測評：包括安(an)(an)(an)全(quan)管理(li)(li)機(ji)構、安(an)(an)(an)全(quan)管理(li)(li)制度(du)、人員安(an)(an)(an)全(quan)管理(li)(li)、系(xi)統建設(she)管理(li)(li)和系(xi)統運維(wei)管理(li)(li)等五個(ge)方面的安(an)(an)(an)全(quan)控制測評。

三、等保測評規定幾年做一次

1、等保(bao)測評是一項(xiang)周期性、連續性的(de)工作，不(bu)同等級要求0.5-2年做(zuo)一次(ci)。

概(gai)述：許多(duo)企事業單位認為等級保護是一項正式(shi)的(de)工作(zuo)，抱著應對的(de)態度，覺得做完(wan)這個就拉倒。

正確(que)(que)做法：需要(yao)持續進(jin)行(xing)等級(ji)保(bao)護，尤其是等保(bao)測評。不同級(ji)別的系(xi)統會(hui)有不同的評價(jia)周(zhou)期要(yao)求(qiu)：4級(ji)00.5年(nian)一(yi)次(ci)，3年(nian)一(yi)次(ci)，2年(nian)一(yi)次(ci)，2年(nian)一(yi)次(ci)(有行(xing)業差異，但都明確(que)(que)或建議2年(nian)一(yi)次(ci))。

擴展知識：等(deng)(deng)級保(bao)(bao)護(hu)評估是對系統保(bao)(bao)護(hu)水平(ping)的(de)測試，不應處理(li)。如果企業事業單(dan)位(wei)的(de)制度按照等(deng)(deng)保(bao)(bao)險要求認真做好，同時(shi)也能有效地做好網絡安全工作(zuo)。

2、如果(guo)你不做等(deng)級保護(hu)，你可能(neng)會面臨懲罰

概(gai)述(shu)：很(hen)多企(qi)事業單位(wei)認(ren)為，只(zhi)要不(bu)涉及(ji)網絡(luo)安全(quan)、網絡(luo)攻擊事件，就(jiu)可以不(bu)做等級保護，沒有事故(gu)。

正確做法(fa)：《中(zhong)華人民共和(he)國網絡安全法(fa)》第二十一條已作(zuo)出相關規定（具體內容不再重(zhong)復）。如果系(xi)統運營商未能進行等(deng)級(ji)保(bao)護，則屬(shu)于(yu)違反(fan)其他(ta)義務的行為(wei)，可能會受到處罰。以前也有類似(si)的報告，所以及(ji)時進行等(deng)級(ji)保(bao)護。不要等(deng)到受到懲罰。

拓展知識：安全總是(shi)相對的(de)，但(dan)要及時(shi)做好。嚴(yan)格執行政策法(fa)規的(de)要求，也(ye)是(shi)保護企事業(ye)單位(wei)安全的(de)一項(xiang)措施。

3、即使(shi)系統在內網，也需要及時進行等級保護

概述：很多(duo)企事業單位將系統存在于(yu)單位內網或專(zhuan)網中，認為不對外=安(an)全，這樣就不能進行等級保護工作(zuo)。

正(zheng)確的方法：只要(yao)不是機密系統(tong)，就需要(yao)等級(ji)保護(hu)，這與網(wang)絡無關。此(ci)外，內(nei)部網(wang)絡的保護(hu)措施可能(neng)比(bi)外部網(wang)絡弱，但容易中毒和攻擊。因此(ci)，即使是內(nei)部網(wang)絡系統(tong)也應及時(shi)進行等級(ji)保護(hu)！

擴展知識：內(nei)部網(wang)絡(luo)并不意味(wei)著安全(quan)，現在很(hen)少有純粹的物理內(nei)部網(wang)絡(luo)，其中大部分(fen)或(huo)多或(huo)少與互聯網(wang)相(xiang)連。一(yi)(yi)旦內(nei)部網(wang)絡(luo)中毒(du)，它(ta)會迅速(su)傳播，很(hen)難清除，因為沒有許多技術措施，幾乎(hu)處于裸奔狀態。一(yi)(yi)旦中毒(du)，它(ta)很(hen)容易交叉。

4、等(deng)保測評(ping)以(yi)系統(tong)為單位(wei)，不能針對單位(wei)整體進行

概述：在現實中，許多企業(ye)事(shi)業(ye)單(dan)位不了解等級保(bao)護的意義。他們(men)錯誤地認(ren)為(wei)這是為(wei)單(dan)位開展的業(ye)務，并覺得對自己(ji)的單(dan)位進(jin)行等級保(bao)護評估(gu)已經完成。

正(zheng)確做法：等(deng)保(bao)測評如(ru)果以(yi)系(xi)統為(wei)單位，需要做多少次信息(xi)系(xi)統等(deng)保(bao)測評。

拓(tuo)展知識：信息系統(tong)通常由服務器(qi)、主機(ji)、數據(ju)庫、設(she)備等(deng)多種物體(ti)組成(cheng)，等(deng)保(bao)測(ce)評除實物測(ce)量外，還需要(yao)測(ce)量相關(guan)的安全管(guan)理(li)制度(du)。

5、等(deng)(deng)保測評(ping)整改后的(de)費用由系統(tong)的(de)等(deng)(deng)級(ji)、措施等(deng)(deng)決定，不一定很高(gao)

概況：總有企(qi)事(shi)業單位(wei)擔心等保測(ce)評安全建設整(zheng)改(gai)需要花費大量資金。

正確的(de)(de)做法(fa)：等(deng)待整改需要花多少(shao)錢，與信息系統的(de)(de)水平(ping)、現有的(de)(de)安全保護措施(shi)和網絡運(yun)營商對評估分數的(de)(de)期望有關，不一定很高，可能不會花錢！

四、等保測評項目中遇到的六大誤區

誤(wu)區一：系(xi)統已上云或托管(guan)，就不用(yong)做(zuo)等保

系統責任(ren)主體(ti)是屬于網(wang)絡運(yun)營者自己，需要承擔(dan)相應的網(wang)絡安全責任(ren)。

誤區二：系統(tong)定級(ji)越低越好(hao)

系統(tong)定級需要合理，安全(quan)責(ze)任沒有履行到位會(hui)被處(chu)罰。

誤區三：等保(bao)工作做(zuo)測(ce)評就(jiu)可以

測評只是等級保護工作中(zhong)的一項。

誤區四：等(deng)保測(ce)評(ping)做過一(yi)次(ci)就(jiu)可以了

等(deng)保工作需要根據具體的行業(ye)規定需求安排合(he)理的評測時間。

誤區五：系統在內網，不需(xu)要做等保(bao)

所有非涉密系統(tong)都(dou)屬于等級保護范(fan)疇。

誤區六：單位整體(ti)做一(yi)個等保測評

等保測評(ping)是按照信(xin)息系統來的，而不是單位。