一、等保測評是什么意思

等(deng)保測(ce)評是經公安(an)(an)部認證的(de)具(ju)有資質的(de)測(ce)評機(ji)構，依據國家信息安(an)(an)全等(deng)級(ji)保護規范(fan)規定，受有關(guan)單位委托，按(an)照有關(guan)管理規范(fan)和技術標準，對信息系統安(an)(an)全等(deng)級(ji)保護狀況進行(xing)檢測(ce)評估(gu)的(de)活動。全稱(cheng)是信息安(an)(an)全等(deng)級(ji)保護測(ce)評。

二、等保測評基本內容

對信息系統安全等級保護狀況(kuang)進行測(ce)試評(ping)估，應(ying)包括兩個方(fang)面的內容。

1、安全(quan)(quan)控制(zhi)(zhi)測評：主(zhu)要測評信息(xi)安全(quan)(quan)等級保護(hu)要求的(de)基本安全(quan)(quan)控制(zhi)(zhi)在信息(xi)系統(tong)中(zhong)的(de)實施(shi)配(pei)置情況。

2、系(xi)統(tong)整體測(ce)評：主要測(ce)評分析信息系(xi)統(tong)的整體安(an)全性。

該圖片由注冊用戶"龍翊信安"提供，版權聲明反饋

其中(zhong)，安(an)全(quan)控制(zhi)測(ce)(ce)評是信息系統整體安(an)全(quan)測(ce)(ce)評的基礎。對安(an)全(quan)控制(zhi)測(ce)(ce)評的描(miao)述，使用測(ce)(ce)評單(dan)元(yuan)方(fang)式組織。測(ce)(ce)評單(dan)元(yuan)分為安(an)全(quan)技術測(ce)(ce)評和安(an)全(quan)管(guan)理測(ce)(ce)評兩大類。

①安(an)(an)(an)全(quan)(quan)技術測評：包括物理(li)安(an)(an)(an)全(quan)(quan)、網絡安(an)(an)(an)全(quan)(quan)、主機系統安(an)(an)(an)全(quan)(quan)、應(ying)用安(an)(an)(an)全(quan)(quan)和數(shu)據安(an)(an)(an)全(quan)(quan)等五個層面上的安(an)(an)(an)全(quan)(quan)控(kong)制測評。

②安全(quan)管(guan)(guan)理(li)測評：包括安全(quan)管(guan)(guan)理(li)機構、安全(quan)管(guan)(guan)理(li)制度(du)、人員安全(quan)管(guan)(guan)理(li)、系統建設管(guan)(guan)理(li)和系統運維(wei)管(guan)(guan)理(li)等五個方面的安全(quan)控制測評。

三、等保測評規定幾年做一次

1、等保測評是一(yi)項周期性、連續性的(de)工作，不(bu)同等級要求0.5-2年(nian)做一(yi)次。

概述：許多企事業單位認為等級保護是一項(xiang)正式的工作，抱著應對的態度，覺得(de)做(zuo)完這個就拉倒。

正確(que)做法：需(xu)要(yao)持續進行等級(ji)保護，尤(you)其是等保測(ce)評。不同級(ji)別的(de)系統會有不同的(de)評價周(zhou)期(qi)要(yao)求：4級(ji)00.5年(nian)一次(ci)(ci)，3年(nian)一次(ci)(ci)，2年(nian)一次(ci)(ci)，2年(nian)一次(ci)(ci)(有行業(ye)差異，但(dan)都明確(que)或建議(yi)2年(nian)一次(ci)(ci))。

擴展知識：等(deng)級保(bao)護評估是(shi)對系統保(bao)護水平的測(ce)試(shi)，不(bu)應處理。如果企業事業單(dan)位的制度(du)按(an)照等(deng)保(bao)險要求認真做好，同(tong)時也能有效(xiao)地做好網絡安全工作。

2、如(ru)果(guo)你(ni)不(bu)做(zuo)等級保(bao)護，你(ni)可能(neng)會(hui)面(mian)臨懲罰(fa)

概述：很多企事(shi)業單位認為，只要不涉及網絡安(an)全、網絡攻擊(ji)事(shi)件，就可以(yi)不做等級保(bao)護，沒有(you)事(shi)故。

正確做(zuo)法：《中華人民共和國網絡安全法》第(di)二十一條已作出相關規定（具體內容不(bu)再重復）。如果系統運營商未能進(jin)(jin)行(xing)(xing)等級保護，則(ze)屬于違反其(qi)他義務(wu)的(de)行(xing)(xing)為，可(ke)能會受到(dao)處罰。以前也(ye)有類似的(de)報告，所以及時進(jin)(jin)行(xing)(xing)等級保護。不(bu)要等到(dao)受到(dao)懲罰。

拓展(zhan)知識(shi)：安全總是(shi)相對(dui)的(de)，但要及時做好。嚴格執行(xing)政(zheng)策法規(gui)的(de)要求，也是(shi)保護企(qi)事(shi)業單(dan)位安全的(de)一項(xiang)措施。

3、即使系統在(zai)內(nei)網，也(ye)需要(yao)及時進行等(deng)級保護(hu)

概述：很多企事業單位將系統存在(zai)于單位內網或(huo)專網中，認為不(bu)對外(wai)=安全，這樣就不(bu)能進行等級(ji)保護工作。

正確的(de)方法：只(zhi)要不是(shi)機密系(xi)統，就(jiu)需(xu)要等(deng)(deng)級(ji)(ji)保(bao)護(hu)(hu)(hu)，這與網(wang)(wang)絡(luo)無關。此外(wai)(wai)，內部網(wang)(wang)絡(luo)的(de)保(bao)護(hu)(hu)(hu)措施可(ke)能比(bi)外(wai)(wai)部網(wang)(wang)絡(luo)弱，但容(rong)易中毒(du)和攻擊。因此，即使是(shi)內部網(wang)(wang)絡(luo)系(xi)統也應及時進(jin)行(xing)等(deng)(deng)級(ji)(ji)保(bao)護(hu)(hu)(hu)！

擴展(zhan)知(zhi)識：內(nei)(nei)部網(wang)絡(luo)并不意味著安全(quan)，現在很少有純粹的物理(li)內(nei)(nei)部網(wang)絡(luo)，其(qi)中大部分(fen)或多(duo)或少與(yu)互聯網(wang)相連。一(yi)旦(dan)內(nei)(nei)部網(wang)絡(luo)中毒(du)，它會(hui)迅速(su)傳播，很難(nan)清除，因為沒有許多(duo)技術措施，幾乎處于裸奔狀態。一(yi)旦(dan)中毒(du)，它很容易交叉。

4、等保測評以系統為單(dan)位，不(bu)能針(zhen)對單(dan)位整體進行

概述(shu)：在現實中，許(xu)多企業(ye)事業(ye)單(dan)位(wei)不(bu)了解等級(ji)保護(hu)(hu)的意義(yi)。他們(men)錯(cuo)誤地認為這是(shi)為單(dan)位(wei)開展(zhan)的業(ye)務，并覺得對自(zi)己(ji)的單(dan)位(wei)進行等級(ji)保護(hu)(hu)評估已經完成(cheng)。

正確(que)做法：等保(bao)測(ce)評(ping)如果以系統(tong)為單位，需(xu)要做多(duo)少(shao)次信息(xi)系統(tong)等保(bao)測(ce)評(ping)。

拓(tuo)展知識：信(xin)息系(xi)統(tong)通(tong)常(chang)由服務器、主(zhu)機、數據(ju)庫、設備等多種物(wu)體組成，等保測(ce)評(ping)除實(shi)物(wu)測(ce)量(liang)(liang)外，還需要測(ce)量(liang)(liang)相關的安(an)全管(guan)理制度。

5、等(deng)保測評整改后的(de)費用由系(xi)統的(de)等(deng)級(ji)、措施等(deng)決定，不(bu)一定很高

概況(kuang)：總有企事業單位(wei)擔心等保(bao)測評安全(quan)建設整改(gai)需要花費大量(liang)資金(jin)。

正(zheng)確的(de)做(zuo)法：等待整改需要(yao)花多少錢，與信息系統(tong)的(de)水平、現有(you)的(de)安全保護(hu)措施和網絡運營商對評估(gu)分(fen)數的(de)期(qi)望有(you)關(guan)，不(bu)一(yi)定很高(gao)，可能不(bu)會花錢！

四、等保測評項目中遇到的六大誤區

誤區(qu)一：系統已上云(yun)或托管(guan)，就(jiu)不用做等(deng)保

系統責任主體(ti)是屬于(yu)網絡(luo)運營者自己，需(xu)要承(cheng)擔相應的網絡(luo)安全責任。

誤區二：系統定級越低越好(hao)

系統定級(ji)需要合理，安全(quan)責任(ren)沒有履行(xing)到(dao)位會被處罰。

誤區三：等保工作做測(ce)評就可(ke)以

測(ce)評只是(shi)等級保護(hu)工作(zuo)中的(de)一(yi)項(xiang)。

誤區(qu)四：等保測評做過一次就可(ke)以了

等(deng)保工作需要根(gen)據具(ju)體的行業規定需求安排合(he)理的評測時間。

誤區(qu)五：系統(tong)在內網(wang)，不需要(yao)做等保

所有非涉密系統都屬于等級保護范疇。

誤區六：單位整體(ti)做一個等(deng)保(bao)測評

等保測評(ping)是按照信息系統來的，而不(bu)是單位。