一、等保測評是什么意思

等(deng)保(bao)測(ce)評(ping)(ping)是經公(gong)安部認(ren)證(zheng)的具有資(zi)質的測(ce)評(ping)(ping)機(ji)構，依據國家信(xin)(xin)息安全等(deng)級保(bao)護規范規定，受有關單(dan)位委托，按(an)照有關管理規范和技術標準，對信(xin)(xin)息系統安全等(deng)級保(bao)護狀況進行(xing)檢測(ce)評(ping)(ping)估的活動(dong)。全稱是信(xin)(xin)息安全等(deng)級保(bao)護測(ce)評(ping)(ping)。

二、等保測評基本內容

對信息系統安(an)全(quan)等級保(bao)護(hu)狀況進行測試評估，應包括兩個(ge)方(fang)面的內容。

1、安(an)全控(kong)制測評：主要測評信息(xi)安(an)全等級保護要求(qiu)的基本安(an)全控(kong)制在信息(xi)系(xi)統(tong)中的實施配置(zhi)情況。

2、系統整體測評：主要測評分析信息系統的(de)整體安全(quan)性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其中，安全控(kong)制(zhi)測(ce)評是(shi)信息系統整(zheng)體(ti)安全測(ce)評的基礎(chu)。對安全控(kong)制(zhi)測(ce)評的描(miao)述，使用測(ce)評單元方(fang)式組(zu)織(zhi)。測(ce)評單元分為安全技術測(ce)評和安全管理測(ce)評兩大類。

①安(an)全(quan)技術測評(ping)：包括(kuo)物(wu)理安(an)全(quan)、網絡安(an)全(quan)、主機系(xi)統安(an)全(quan)、應用安(an)全(quan)和數據安(an)全(quan)等五(wu)個(ge)層面上的安(an)全(quan)控(kong)制測評(ping)。

②安全(quan)管理(li)測(ce)評：包括安全(quan)管理(li)機(ji)構、安全(quan)管理(li)制(zhi)度、人員安全(quan)管理(li)、系統建設管理(li)和系統運維管理(li)等五個(ge)方(fang)面(mian)的安全(quan)控制(zhi)測(ce)評。

三、等保測評規定幾年做一次

1、等(deng)保(bao)測(ce)評(ping)是一項周期性、連續性的工(gong)作，不同等(deng)級要求(qiu)0.5-2年做一次。

概述(shu)：許多企事業單位認為等級(ji)保護是一項正式的工作(zuo)，抱著應對的態度，覺(jue)得做完(wan)這個就(jiu)拉倒。

正(zheng)確(que)做(zuo)法(fa)：需要持續(xu)進行(xing)等(deng)級(ji)保(bao)護，尤其(qi)是等(deng)保(bao)測評(ping)(ping)。不同級(ji)別的(de)系統會(hui)有(you)(you)不同的(de)評(ping)(ping)價周期要求：4級(ji)00.5年(nian)一(yi)次，3年(nian)一(yi)次，2年(nian)一(yi)次，2年(nian)一(yi)次(有(you)(you)行(xing)業差異，但都明(ming)確(que)或建(jian)議2年(nian)一(yi)次)。

擴展知識：等級保護(hu)評(ping)估(gu)是對系統保護(hu)水(shui)平的(de)測試，不應處理。如果企業(ye)事業(ye)單(dan)位的(de)制(zhi)度按照等保險(xian)要求(qiu)認真做(zuo)好(hao)，同時也能有效地做(zuo)好(hao)網絡安全(quan)工(gong)作。

2、如(ru)果你不做等(deng)級保護，你可能會面臨懲罰

概(gai)述：很(hen)多企事業(ye)單位認為(wei)，只要(yao)不涉及網絡安全、網絡攻擊事件，就(jiu)可(ke)以(yi)不做等級保護，沒有事故。

正確做法：《中(zhong)華人民共和國網絡安全法》第二十一條已作(zuo)出相關規定（具體內容不再(zai)重復(fu)）。如果系統運營商(shang)未(wei)能(neng)(neng)進行(xing)(xing)等(deng)級保護，則屬于(yu)違(wei)反其(qi)他義務的行(xing)(xing)為，可能(neng)(neng)會受到處罰。以(yi)前(qian)也有(you)類似的報(bao)告，所(suo)以(yi)及(ji)時進行(xing)(xing)等(deng)級保護。不要等(deng)到受到懲罰。

拓展知識：安(an)全總是(shi)相對的，但要及(ji)時(shi)做好。嚴格執行政策(ce)法規(gui)的要求，也是(shi)保(bao)護企(qi)事業(ye)單(dan)位安(an)全的一項措施。

3、即使系統在內網，也需要及時進行(xing)等級(ji)保護

概述(shu)：很(hen)多(duo)企事(shi)業單(dan)位將系統存(cun)在于單(dan)位內(nei)網(wang)或專網(wang)中，認為不對(dui)外=安全，這樣(yang)就不能進行等(deng)級保(bao)護工作。

正確的(de)方法：只要不是機(ji)密系(xi)統，就需要等級(ji)(ji)保護，這與(yu)網絡(luo)(luo)無關。此外，內部(bu)網絡(luo)(luo)的(de)保護措(cuo)施可能(neng)比外部(bu)網絡(luo)(luo)弱，但容(rong)易中(zhong)毒和攻(gong)擊。因(yin)此，即使(shi)是內部(bu)網絡(luo)(luo)系(xi)統也(ye)應及時進行等級(ji)(ji)保護！

擴展知識(shi)：內部(bu)網(wang)(wang)絡并不意味著安全，現在很少有純粹的(de)物(wu)理內部(bu)網(wang)(wang)絡，其中(zhong)大部(bu)分或(huo)多或(huo)少與互聯網(wang)(wang)相連(lian)。一(yi)旦內部(bu)網(wang)(wang)絡中(zhong)毒(du)，它會迅速(su)傳播，很難清除，因為沒(mei)有許多技術措施(shi)，幾乎處于裸奔狀態。一(yi)旦中(zhong)毒(du)，它很容易交叉。

4、等保(bao)測評以系(xi)統為單位，不能針對單位整(zheng)體進行

概述：在(zai)現實中，許多企(qi)業事業單(dan)位不了解等級保(bao)護(hu)(hu)的(de)(de)意(yi)義。他們錯誤地認(ren)為這是為單(dan)位開展的(de)(de)業務，并覺得對自己的(de)(de)單(dan)位進行等級保(bao)護(hu)(hu)評估已(yi)經完(wan)成(cheng)。

正確做(zuo)法：等保測(ce)評(ping)(ping)如果以系(xi)統為單位，需要(yao)做(zuo)多(duo)少(shao)次信息系(xi)統等保測(ce)評(ping)(ping)。

拓展(zhan)知識：信息系(xi)統通常由服務器、主機、數(shu)據(ju)庫、設備等多種物體組成，等保測(ce)評(ping)除(chu)實物測(ce)量(liang)外，還需要測(ce)量(liang)相(xiang)關的(de)安全管(guan)理制(zhi)度(du)。

5、等保(bao)測評整(zheng)改后(hou)的費用由系統的等級(ji)、措施等決定，不一定很高

概況：總(zong)有企事業單位(wei)擔心等保測評安全建(jian)設(she)整改需要花費大量資金。

正確的(de)做法：等(deng)待整改(gai)需要(yao)花多(duo)少錢(qian)，與信(xin)息系統的(de)水平、現有(you)的(de)安全保護措施和網絡運營商對評估(gu)分(fen)數的(de)期望有(you)關(guan)，不(bu)一定(ding)很高，可(ke)能不(bu)會(hui)花錢(qian)！

四、等保測評項目中遇到的六大誤區

誤區(qu)一：系統已上云或(huo)托管，就不用(yong)做等(deng)保(bao)

系統責任主體是(shi)屬于網絡(luo)運營者自(zi)己，需要承擔(dan)相應的網絡(luo)安全(quan)責任。

誤區二(er)：系統(tong)定(ding)級越低越好

系統定級需要合理，安全責任沒有(you)履行到(dao)位會被處罰。

誤區三：等保(bao)工作(zuo)做測評就可以

測評(ping)只是等級(ji)保護(hu)工作(zuo)中的一項。

誤區四(si)：等保測評做過一次就可以了

等保工作需要根(gen)據具體的行(xing)業規定需求(qiu)安(an)排(pai)合理的評測時(shi)間。

誤區五：系(xi)統在內(nei)網，不(bu)需要做等保

所有非涉(she)密系統都(dou)屬于等級(ji)保護范疇。

誤區六：單位整體做一個等保(bao)測評

等(deng)保(bao)測評是按(an)照信息系統來(lai)的，而不是單位(wei)。