一、等保測評是什么意思

等保(bao)(bao)測(ce)(ce)評(ping)是經公安(an)部認證的(de)(de)具有資(zi)質的(de)(de)測(ce)(ce)評(ping)機(ji)構(gou)，依據國家信息安(an)全(quan)等級保(bao)(bao)護規范(fan)規定，受有關(guan)(guan)單位委托，按照有關(guan)(guan)管(guan)理(li)規范(fan)和技術標準，對信息系統安(an)全(quan)等級保(bao)(bao)護狀況進行(xing)檢測(ce)(ce)評(ping)估的(de)(de)活(huo)動。全(quan)稱是信息安(an)全(quan)等級保(bao)(bao)護測(ce)(ce)評(ping)。

二、等保測評基本內容

對信息系統安(an)全等級保(bao)護狀況(kuang)進行(xing)測試評估，應(ying)包(bao)括兩個方面的(de)內(nei)容(rong)。

1、安全(quan)(quan)控制測(ce)評：主要測(ce)評信(xin)息安全(quan)(quan)等級保護要求(qiu)的基本安全(quan)(quan)控制在(zai)信(xin)息系統中的實施(shi)配置情況。

2、系統整(zheng)體(ti)測評：主要(yao)測評分析(xi)信息系統的整(zheng)體(ti)安全性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其(qi)中，安(an)全(quan)控制(zhi)測(ce)評是信息系統整體安(an)全(quan)測(ce)評的基礎。對(dui)安(an)全(quan)控制(zhi)測(ce)評的描述(shu)，使用測(ce)評單(dan)元(yuan)方式組織。測(ce)評單(dan)元(yuan)分為安(an)全(quan)技術測(ce)評和(he)安(an)全(quan)管理測(ce)評兩大類。

①安(an)全(quan)(quan)技(ji)術測(ce)評(ping)：包(bao)括物理安(an)全(quan)(quan)、網絡安(an)全(quan)(quan)、主機系統安(an)全(quan)(quan)、應用安(an)全(quan)(quan)和數據安(an)全(quan)(quan)等五個層面上的安(an)全(quan)(quan)控制測(ce)評(ping)。

②安全(quan)管(guan)理測評(ping)：包括安全(quan)管(guan)理機構、安全(quan)管(guan)理制度、人員安全(quan)管(guan)理、系統(tong)建設管(guan)理和系統(tong)運維管(guan)理等五個方面的安全(quan)控(kong)制測評(ping)。

三、等保測評規定幾年做一次

1、等保測評(ping)是一項周期(qi)性(xing)、連續性(xing)的工作(zuo)，不同等級(ji)要求0.5-2年做一次。

概述：許(xu)多企事業單(dan)位(wei)認(ren)為(wei)等級保護是一項(xiang)正式的(de)工作，抱著(zhu)應對(dui)的(de)態(tai)度(du)，覺得做完(wan)這個(ge)就拉倒。

正確(que)(que)做法：需(xu)要持續進行等級保護，尤其是等保測評。不(bu)同(tong)級別(bie)的系統會有不(bu)同(tong)的評價周期要求：4級00.5年(nian)一次(ci)(ci)(ci)，3年(nian)一次(ci)(ci)(ci)，2年(nian)一次(ci)(ci)(ci)，2年(nian)一次(ci)(ci)(ci)(有行業(ye)差異，但都(dou)明確(que)(que)或建議2年(nian)一次(ci)(ci)(ci))。

擴展知識：等級保護評估是對系(xi)統保護水平的(de)測試，不應(ying)處(chu)理(li)。如果企業事業單位(wei)的(de)制(zhi)度按照等保險要求認真做好(hao)，同時(shi)也能有(you)效地做好(hao)網絡安全工作。

2、如果你不做等級保護，你可能(neng)會面臨(lin)懲罰

概(gai)述：很(hen)多企(qi)事業單位認為，只要不涉及網絡安全、網絡攻(gong)擊(ji)事件，就可以不做(zuo)等級保護，沒有事故。

正確做法(fa)：《中華人(ren)民共和國(guo)網絡安全法(fa)》第二十(shi)一條已作出(chu)相(xiang)關規定（具體內容(rong)不(bu)再(zai)重復）。如果系統運營商未能進行(xing)等級保(bao)護(hu)，則屬于違反(fan)其他義務(wu)的行(xing)為，可能會受到處罰。以前也有類似(si)的報(bao)告，所以及時進行(xing)等級保(bao)護(hu)。不(bu)要等到受到懲罰。

拓展知識：安(an)全總是相對的(de)，但要及時做(zuo)好。嚴格執行政策法規的(de)要求，也是保(bao)護企事(shi)業單位安(an)全的(de)一項措(cuo)施。

3、即使系統在內網，也需要及時進(jin)行等級保護

概(gai)述(shu)：很多企事業(ye)單(dan)位(wei)將(jiang)系統存在于單(dan)位(wei)內網或專網中，認為不對外=安全，這樣(yang)就(jiu)不能進(jin)行(xing)等級保護(hu)工作(zuo)。

正確(que)的(de)方(fang)法(fa)：只要(yao)不(bu)是機密系統(tong)，就(jiu)需要(yao)等級保(bao)護(hu)，這與網(wang)絡無關。此外，內部(bu)網(wang)絡的(de)保(bao)護(hu)措施(shi)可能(neng)比外部(bu)網(wang)絡弱，但容易中毒和攻(gong)擊。因此，即(ji)使是內部(bu)網(wang)絡系統(tong)也應及(ji)時(shi)進(jin)行(xing)等級保(bao)護(hu)！

擴展知識(shi)：內部網絡(luo)并不意味著安全，現在很(hen)少有純粹的(de)物理(li)內部網絡(luo)，其中大部分或多(duo)或少與(yu)互聯網相連。一旦(dan)內部網絡(luo)中毒，它(ta)會迅速傳(chuan)播(bo)，很(hen)難清除，因為(wei)沒有許多(duo)技術措施(shi)，幾乎處(chu)于裸奔狀(zhuang)態。一旦(dan)中毒，它(ta)很(hen)容易(yi)交叉。

4、等保測評(ping)以系統為單位，不能針對單位整體進行

概述：在(zai)現實(shi)中(zhong)，許(xu)多企業事(shi)業單位(wei)不了解等(deng)級保護的意義。他們(men)錯誤(wu)地(di)認為這(zhe)是為單位(wei)開展(zhan)的業務(wu)，并(bing)覺得對自己的單位(wei)進行等(deng)級保護評估已(yi)經(jing)完成。

正確做法(fa)：等保測(ce)評如果以(yi)系(xi)統為單位，需要做多少次信息(xi)系(xi)統等保測(ce)評。

拓(tuo)展知識：信息系(xi)統通常由服務器、主(zhu)機(ji)、數據(ju)庫、設(she)備等多種物(wu)體(ti)組成，等保測(ce)(ce)評除實物(wu)測(ce)(ce)量外，還需要測(ce)(ce)量相關的(de)安全(quan)管(guan)理制度。

5、等保測(ce)評整改后的費用由(you)系統的等級、措施等決定，不一定很(hen)高

概況(kuang)：總有企事業單(dan)位(wei)擔心等保測(ce)評安全建(jian)設整改需要花費大(da)量資金。

正確的(de)做法(fa)：等待整改需要花多少錢(qian)(qian)，與信息系統的(de)水平(ping)、現有(you)的(de)安全保護(hu)措(cuo)施和網絡運營商對評估(gu)分數(shu)的(de)期望有(you)關，不一定很高，可(ke)能(neng)不會花錢(qian)(qian)！

四、等保測評項目中遇到的六大誤區

誤(wu)區(qu)一：系統已上云或托(tuo)管，就(jiu)不(bu)用做(zuo)等保

系統責(ze)任主體是(shi)屬于網絡運營者自己，需要承擔相應的網絡安全責(ze)任。

誤(wu)區(qu)二(er)：系統定級越(yue)低越(yue)好

系統(tong)定級需要合理，安全責任(ren)沒有履(lv)行到位會(hui)被處罰(fa)。

誤區三：等保工(gong)作做測評就可以

測評只是等級保護工作中的一項。

誤區四：等保測評做過一次就(jiu)可以了

等保(bao)工作(zuo)需要根據(ju)具(ju)體的行業規定需求安(an)排合理(li)的評測(ce)時(shi)間(jian)。

誤(wu)區五(wu)：系統在內網，不(bu)需要(yao)做等保

所有非涉密系(xi)統(tong)都(dou)屬于(yu)等(deng)級(ji)保護(hu)范疇。

誤區六：單位整體做(zuo)一個等(deng)保測評(ping)

等保測評是(shi)按照信息(xi)系統來(lai)的，而不是(shi)單(dan)位。