一、等保測評是什么意思

等(deng)保(bao)(bao)測評(ping)(ping)(ping)是(shi)經公安(an)部認證的(de)具(ju)有(you)資質的(de)測評(ping)(ping)(ping)機構，依據(ju)國家信息安(an)全(quan)等(deng)級保(bao)(bao)護(hu)規范規定，受有(you)關(guan)單(dan)位委托(tuo)，按照有(you)關(guan)管理規范和(he)技術(shu)標(biao)準(zhun)，對(dui)信息系統安(an)全(quan)等(deng)級保(bao)(bao)護(hu)狀況進行檢測評(ping)(ping)(ping)估(gu)的(de)活動。全(quan)稱(cheng)是(shi)信息安(an)全(quan)等(deng)級保(bao)(bao)護(hu)測評(ping)(ping)(ping)。

二、等保測評基本內容

對信息系統安全等(deng)級保護狀況進行測試評估，應包括(kuo)兩(liang)個方(fang)面的內容。

1、安全(quan)控制測(ce)評(ping)：主要(yao)測(ce)評(ping)信息安全(quan)等級保(bao)護要(yao)求的(de)基(ji)本安全(quan)控制在信息系統中的(de)實施配置情況(kuang)。

2、系統(tong)整(zheng)(zheng)體(ti)測評(ping)：主要測評(ping)分(fen)析信息系統(tong)的整(zheng)(zheng)體(ti)安(an)全性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其中，安全(quan)控制測評是(shi)信息系統整體(ti)安全(quan)測評的基礎。對安全(quan)控制測評的描述(shu)，使用測評單元(yuan)(yuan)方式組(zu)織(zhi)。測評單元(yuan)(yuan)分為安全(quan)技術測評和安全(quan)管理(li)測評兩(liang)大類。

①安(an)(an)(an)全(quan)(quan)(quan)(quan)技術測(ce)評：包括(kuo)物理安(an)(an)(an)全(quan)(quan)(quan)(quan)、網絡安(an)(an)(an)全(quan)(quan)(quan)(quan)、主機(ji)系統(tong)安(an)(an)(an)全(quan)(quan)(quan)(quan)、應用安(an)(an)(an)全(quan)(quan)(quan)(quan)和數據(ju)安(an)(an)(an)全(quan)(quan)(quan)(quan)等五(wu)個層面上的安(an)(an)(an)全(quan)(quan)(quan)(quan)控制測(ce)評。

②安(an)(an)全(quan)管(guan)理(li)(li)(li)測評：包括安(an)(an)全(quan)管(guan)理(li)(li)(li)機構、安(an)(an)全(quan)管(guan)理(li)(li)(li)制(zhi)度、人員(yuan)安(an)(an)全(quan)管(guan)理(li)(li)(li)、系統(tong)建設管(guan)理(li)(li)(li)和系統(tong)運維管(guan)理(li)(li)(li)等(deng)五(wu)個方(fang)面的(de)安(an)(an)全(quan)控制(zhi)測評。

三、等保測評規定幾年做一次

1、等保測評(ping)是一項周期性、連續性的工作，不同等級(ji)要求0.5-2年做一次。

概述(shu)：許多企事業(ye)單位認為等級保護是一項正式的工作，抱著應對的態度，覺得做完這個就拉倒。

正(zheng)確做法：需要(yao)持續進行(xing)等(deng)級保(bao)護，尤(you)其是等(deng)保(bao)測評(ping)。不同級別的系(xi)統會有不同的評(ping)價周期要(yao)求：4級00.5年一次，3年一次，2年一次，2年一次(有行(xing)業差異(yi)，但都明確或(huo)建議2年一次)。

擴展知識：等(deng)級(ji)保(bao)護評估是對系(xi)統保(bao)護水(shui)平的測(ce)試，不應處(chu)理。如果企業(ye)事業(ye)單(dan)位的制(zhi)度按照等(deng)保(bao)險要求認真做(zuo)好(hao)(hao)，同時也能有效地(di)做(zuo)好(hao)(hao)網絡安全(quan)工作(zuo)。

2、如果你(ni)不做等級保護，你(ni)可能會面臨懲(cheng)罰

概述：很(hen)多(duo)企事(shi)(shi)(shi)業單(dan)位(wei)認為，只要不涉(she)及網絡(luo)(luo)安全、網絡(luo)(luo)攻擊事(shi)(shi)(shi)件，就(jiu)可以不做等級保(bao)護，沒有事(shi)(shi)(shi)故(gu)。

正確做法(fa)：《中華人民共和國網絡安全法(fa)》第二十一(yi)條已作出相關規定（具體內容不(bu)再(zai)重復）。如果系(xi)統(tong)運營商未(wei)能(neng)進行等(deng)級(ji)保護，則屬于(yu)違反其他義務的(de)行為，可(ke)能(neng)會受到(dao)處罰。以(yi)前(qian)也有類似(si)的(de)報告，所以(yi)及時進行等(deng)級(ji)保護。不(bu)要(yao)等(deng)到(dao)受到(dao)懲(cheng)罰。

拓(tuo)展知識：安(an)(an)全總是(shi)相對的，但要及時做好。嚴格執行政策法規的要求，也是(shi)保(bao)護(hu)企(qi)事業單(dan)位安(an)(an)全的一項措施。

3、即使系統在內網，也需要及時進行等級保護

概述：很多企事業(ye)單位(wei)將系統存在于單位(wei)內(nei)網或專(zhuan)網中，認為不(bu)對外=安全，這樣就不(bu)能進行等級保護工作。

正確的方(fang)法：只要不是(shi)機密(mi)系統(tong)，就(jiu)需要等(deng)級保護(hu)，這與網(wang)絡(luo)(luo)無關。此(ci)外(wai)(wai)，內部(bu)網(wang)絡(luo)(luo)的保護(hu)措施(shi)可(ke)能比外(wai)(wai)部(bu)網(wang)絡(luo)(luo)弱，但容易(yi)中毒和攻擊。因(yin)此(ci)，即使是(shi)內部(bu)網(wang)絡(luo)(luo)系統(tong)也應及時進(jin)行等(deng)級保護(hu)！

擴展知識：內部(bu)(bu)(bu)網(wang)絡(luo)并不意味著(zhu)安全(quan)，現在很少有純(chun)粹的物(wu)理內部(bu)(bu)(bu)網(wang)絡(luo)，其中大(da)部(bu)(bu)(bu)分(fen)或多(duo)或少與互聯網(wang)相連。一(yi)旦內部(bu)(bu)(bu)網(wang)絡(luo)中毒，它會迅速傳播，很難清除，因為(wei)沒(mei)有許(xu)多(duo)技術措施，幾乎處于裸奔狀(zhuang)態。一(yi)旦中毒，它很容易交(jiao)叉。

4、等保測評以系統為單(dan)位，不(bu)能針對單(dan)位整體進行(xing)

概(gai)述：在現(xian)實中，許(xu)多企業事(shi)業單(dan)位不了解等級保護(hu)的(de)(de)意義。他們錯誤地認為(wei)這是為(wei)單(dan)位開(kai)展的(de)(de)業務，并(bing)覺得(de)對自己的(de)(de)單(dan)位進行(xing)等級保護(hu)評估已經完(wan)成。

正確做法：等(deng)保(bao)測評如(ru)果以系(xi)統為單位(wei)，需要做多少次信息系(xi)統等(deng)保(bao)測評。

拓展知識(shi)：信息系統通常由服務器(qi)、主機、數據庫、設備等多種物體(ti)組成，等保測評(ping)除實物測量外，還需(xu)要測量相(xiang)關(guan)的(de)安全管理制(zhi)度。

5、等(deng)保測評整改后的費用由系(xi)統(tong)的等(deng)級(ji)、措施等(deng)決定，不一(yi)定很高

概況：總(zong)有(you)企(qi)事業單位擔(dan)心等(deng)保(bao)測評安全建設整改(gai)需要花費(fei)大量資(zi)金。

正(zheng)確的(de)(de)做法(fa)：等(deng)待整(zheng)改需要花多(duo)少錢，與信息系統的(de)(de)水平、現有的(de)(de)安全保護(hu)措施和(he)網(wang)絡運營商對評估分(fen)數(shu)的(de)(de)期望有關，不(bu)(bu)一(yi)定很高，可能不(bu)(bu)會(hui)花錢！

四、等保測評項目中遇到的六大誤區

誤區一：系統已上云或托管，就不用做等保

系統責任主體是屬于網絡運營者自己，需要(yao)承擔相應的網絡安全責任。

誤區二：系統定級越低越好

系(xi)統定級需要合理，安全責任沒(mei)有履行到位(wei)會被處罰。

誤區三：等保(bao)工作做測評就可(ke)以

測評只是(shi)等(deng)級保護工作中(zhong)的一項。

誤區(qu)四：等保測(ce)評(ping)做過(guo)一次(ci)就可以了

等保工(gong)作(zuo)需要根(gen)據具體的行業規定需求安排(pai)合(he)理的評測時間。

誤區五：系(xi)統(tong)在內網，不需(xu)要做等保(bao)

所(suo)有非涉(she)密(mi)系統都(dou)屬(shu)于等級保護范疇。

誤區六：單位整(zheng)體(ti)做(zuo)一個等保測評

等保測(ce)評是(shi)按照信息系統來的，而不是(shi)單位。