一、等保測評是什么意思

等(deng)(deng)(deng)保測評(ping)是(shi)經公安(an)部認證的具有(you)資質的測評(ping)機構，依據(ju)國家信(xin)(xin)息(xi)安(an)全等(deng)(deng)(deng)級保護(hu)規范規定，受有(you)關(guan)單(dan)位委托，按照(zhao)有(you)關(guan)管理規范和(he)技術標準，對信(xin)(xin)息(xi)系統安(an)全等(deng)(deng)(deng)級保護(hu)狀況進行(xing)檢測評(ping)估(gu)的活動。全稱是(shi)信(xin)(xin)息(xi)安(an)全等(deng)(deng)(deng)級保護(hu)測評(ping)。

二、等保測評基本內容

對信息系統安全等級保護狀況(kuang)進行測(ce)試評估(gu)，應(ying)包括兩個(ge)方面的(de)內容。

1、安全控制測(ce)評(ping)：主要測(ce)評(ping)信息安全等級保護(hu)要求(qiu)的(de)基本安全控制在信息系統中的(de)實施配(pei)置情(qing)況。

2、系統(tong)整體測(ce)評(ping)：主要測(ce)評(ping)分析信息系統(tong)的整體安(an)全(quan)性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其中(zhong)，安(an)(an)全控制測評(ping)(ping)(ping)(ping)是信息(xi)系統整體安(an)(an)全測評(ping)(ping)(ping)(ping)的基礎。對安(an)(an)全控制測評(ping)(ping)(ping)(ping)的描述，使用測評(ping)(ping)(ping)(ping)單(dan)(dan)元方式組織。測評(ping)(ping)(ping)(ping)單(dan)(dan)元分為安(an)(an)全技術測評(ping)(ping)(ping)(ping)和安(an)(an)全管理測評(ping)(ping)(ping)(ping)兩大類。

①安(an)全(quan)(quan)技術測評：包括物理安(an)全(quan)(quan)、網絡安(an)全(quan)(quan)、主機系統安(an)全(quan)(quan)、應用安(an)全(quan)(quan)和數據安(an)全(quan)(quan)等五個(ge)層面上的安(an)全(quan)(quan)控制(zhi)測評。

②安全管(guan)理(li)測評：包括安全管(guan)理(li)機構、安全管(guan)理(li)制(zhi)度(du)、人員安全管(guan)理(li)、系(xi)統(tong)建設(she)管(guan)理(li)和(he)系(xi)統(tong)運維管(guan)理(li)等五個方面(mian)的安全控(kong)制(zhi)測評。

三、等保測評規定幾年做一次

1、等(deng)保(bao)測(ce)評(ping)是一(yi)項(xiang)周期性、連續性的工作，不同等(deng)級要求0.5-2年做一(yi)次。

概述(shu)：許多企事(shi)業(ye)單位認為等級保護是一項正式的(de)工作，抱著(zhu)應對的(de)態度，覺得做完這個(ge)就拉倒。

正確做法：需要持續(xu)進行等(deng)級(ji)保護，尤其是等(deng)保測評。不(bu)同(tong)級(ji)別的系統(tong)會有不(bu)同(tong)的評價周期要求(qiu)：4級(ji)00.5年(nian)一(yi)次(ci)，3年(nian)一(yi)次(ci)，2年(nian)一(yi)次(ci)，2年(nian)一(yi)次(ci)(有行業差異，但都(dou)明確或建議(yi)2年(nian)一(yi)次(ci))。

擴展知(zhi)識：等級(ji)保(bao)護(hu)評估是對系統保(bao)護(hu)水(shui)平的測試，不(bu)應處理(li)。如果(guo)企業(ye)事業(ye)單位的制度(du)按照等保(bao)險要(yao)求認真做好，同(tong)時也能有效地做好網(wang)絡(luo)安全(quan)工(gong)作。

2、如(ru)果你(ni)不做等級保護，你(ni)可能會面臨懲(cheng)罰

概(gai)述(shu)：很多(duo)企事業(ye)單位認為，只要不(bu)涉及(ji)網絡(luo)安全、網絡(luo)攻擊事件(jian)，就可(ke)以不(bu)做(zuo)等(deng)級(ji)保護，沒(mei)有(you)事故。

正確(que)做法：《中華人民共(gong)和(he)國網(wang)絡安全法》第二十一條(tiao)已作(zuo)出相(xiang)關規定（具體內容不再重復）。如果(guo)系統運營商未(wei)能(neng)進(jin)行(xing)(xing)等級(ji)保(bao)(bao)護，則屬于違反其(qi)他(ta)義(yi)務的行(xing)(xing)為，可(ke)能(neng)會受(shou)到(dao)處(chu)罰(fa)。以(yi)前也有類似的報告，所(suo)以(yi)及時(shi)進(jin)行(xing)(xing)等級(ji)保(bao)(bao)護。不要等到(dao)受(shou)到(dao)懲罰(fa)。

拓展知識：安(an)全(quan)總是相對的，但要(yao)及時(shi)做好。嚴格執行政策法(fa)規的要(yao)求，也是保護(hu)企事業單位安(an)全(quan)的一項措施。

3、即使系統(tong)在內網(wang)，也(ye)需要及時進行等級保護

概(gai)述：很多企事業單位將系統存在于單位內網(wang)或專網(wang)中，認為不(bu)對(dui)外=安(an)全，這(zhe)樣(yang)就(jiu)不(bu)能進行(xing)等級保護工作。

正確的方法：只要(yao)不是機密系(xi)統(tong)，就需要(yao)等級保護(hu)，這與網(wang)(wang)絡(luo)無(wu)關。此外(wai)，內部網(wang)(wang)絡(luo)的保護(hu)措(cuo)施可能比外(wai)部網(wang)(wang)絡(luo)弱，但容易中毒和(he)攻擊(ji)。因此，即使是內部網(wang)(wang)絡(luo)系(xi)統(tong)也(ye)應及時進行等級保護(hu)！

擴展知識：內部網(wang)(wang)絡并不意味著安全，現在很(hen)少(shao)有(you)純(chun)粹的物理內部網(wang)(wang)絡，其中(zhong)大部分或(huo)(huo)多(duo)或(huo)(huo)少(shao)與互聯網(wang)(wang)相連。一(yi)旦內部網(wang)(wang)絡中(zhong)毒，它會迅速傳播，很(hen)難清除，因為(wei)沒有(you)許多(duo)技術措施，幾(ji)乎處于裸奔狀態(tai)。一(yi)旦中(zhong)毒，它很(hen)容易交叉(cha)。

4、等保測(ce)評以系統為單位(wei)，不能針對單位(wei)整體(ti)進(jin)行

概述：在現實中，許(xu)多(duo)企業事業單(dan)位(wei)不了解等(deng)級(ji)保護的(de)意義。他(ta)們錯誤(wu)地認(ren)為(wei)(wei)這是為(wei)(wei)單(dan)位(wei)開(kai)展(zhan)的(de)業務，并覺得(de)對自己的(de)單(dan)位(wei)進行等(deng)級(ji)保護評(ping)估已經(jing)完成(cheng)。

正確(que)做(zuo)法(fa)：等(deng)保(bao)測評(ping)(ping)如果以(yi)系統(tong)為單位，需要做(zuo)多(duo)少(shao)次信息系統(tong)等(deng)保(bao)測評(ping)(ping)。

拓(tuo)展知識：信(xin)息系統通常由服務(wu)器、主機、數據(ju)庫、設備(bei)等(deng)多種物(wu)體組成，等(deng)保測(ce)評除實物(wu)測(ce)量外，還需(xu)要測(ce)量相關的(de)安全管理制度(du)。

5、等(deng)保測(ce)評整改(gai)后的費用(yong)由系統的等(deng)級、措施等(deng)決定(ding)，不(bu)一定(ding)很高

概況：總有企(qi)事業單位擔心等保測評安全(quan)建設整改(gai)需(xu)要花費大量資金。

正確(que)的(de)做(zuo)法(fa)：等待整改需(xu)要花(hua)多少錢，與信息系統的(de)水平、現有(you)的(de)安全保護(hu)措(cuo)施和網絡(luo)運營商(shang)對評估分數的(de)期望有(you)關，不一(yi)定很(hen)高，可能不會花(hua)錢！

四、等保測評項目中遇到的六大誤區

誤區一：系統已(yi)上(shang)云或托管，就不用(yong)做(zuo)等保(bao)

系統責(ze)任主體(ti)是屬于網絡運(yun)營者自(zi)己，需(xu)要承擔相(xiang)應(ying)的網絡安全責(ze)任。

誤區二(er)：系統定級(ji)越低越好

系(xi)統定(ding)級(ji)需要(yao)合(he)理(li)，安(an)全責(ze)任沒有履行到(dao)位會被處(chu)罰。

誤區(qu)三(san)：等(deng)保工作做測評就可(ke)以

測(ce)評(ping)只是等(deng)級保護工(gong)作中(zhong)的一(yi)項。

誤區四：等(deng)保測評做(zuo)過(guo)一(yi)次就可(ke)以了(le)

等保工作需(xu)要根據具體的行業規定需(xu)求安排合理(li)的評測時間。

誤(wu)區五(wu)：系統在內網，不需要做等保

所(suo)有(you)非涉密系統都屬于等級保護范(fan)疇。

誤區六：單位整體做一個等保測評

等保測評是(shi)按照信息系統來的，而不是(shi)單位。