一,、等保測評是什么意思

等保測評是經(jīng)公安部認(rèn)證的具有資質(zhì)的測評機(jī)構(gòu),，依據(jù)國家信息安全等級保護(hù)規(guī)范規(guī)定,，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),，對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動(dòng),。全稱是信息安全等級保護(hù)測評。

二,、等保測評基本內(nèi)容

對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估,，應(yīng)包括兩個(gè)方面的內(nèi)容。

1,、安全控制測評：主要測評信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況,。

2、系統(tǒng)整體測評：主要測評分析信息系統(tǒng)的整體安全性,。

其中,，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。對安全控制測評的描述,，使用測評單元方式組織,。測評單元分為安全技術(shù)測評和安全管理測評兩大類。

①安全技術(shù)測評：包括物理安全,、網(wǎng)絡(luò)安全,、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制測評,。

②安全管理測評：包括安全管理機(jī)構(gòu),、安全管理制度、人員安全管理,、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測評,。

三,、等保測評規(guī)定幾年做一次

1,、等保測評是一項(xiàng)周期性、連續(xù)性的工作,，不同等級要求0.5-2年做一次,。

概述：許多企事業(yè)單位認(rèn)為等級保護(hù)是一項(xiàng)正式的工作，抱著應(yīng)對的態(tài)度,，覺得做完這個(gè)就拉倒,。

正確做法：需要持續(xù)進(jìn)行等級保護(hù)，尤其是等保測評,。不同級別的系統(tǒng)會(huì)有不同的評價(jià)周期要求：4級00.5年一次,，3年一次，2年一次,，2年一次(有行業(yè)差異,，但都明確或建議2年一次)。

擴(kuò)展知識：等級保護(hù)評估是對系統(tǒng)保護(hù)水平的測試，不應(yīng)處理,。如果企業(yè)事業(yè)單位的制度按照等保險(xiǎn)要求認(rèn)真做好,，同時(shí)也能有效地做好網(wǎng)絡(luò)安全工作。

2,、如果你不做等級保護(hù),，你可能會(huì)面臨懲罰

概述：很多企事業(yè)單位認(rèn)為，只要不涉及網(wǎng)絡(luò)安全,、網(wǎng)絡(luò)攻擊事件,，就可以不做等級保護(hù)，沒有事故,。

正確做法：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條已作出相關(guān)規(guī)定（具體內(nèi)容不再重復(fù)）,。如果系統(tǒng)運(yùn)營商未能進(jìn)行等級保護(hù)，則屬于違反其他義務(wù)的行為,，可能會(huì)受到處罰,。以前也有類似的報(bào)告，所以及時(shí)進(jìn)行等級保護(hù),。不要等到受到懲罰,。

拓展知識：安全總是相對的，但要及時(shí)做好,。嚴(yán)格執(zhí)行政策法規(guī)的要求,，也是保護(hù)企事業(yè)單位安全的一項(xiàng)措施。

3,、即使系統(tǒng)在內(nèi)網(wǎng),，也需要及時(shí)進(jìn)行等級保護(hù)

概述：很多企事業(yè)單位將系統(tǒng)存在于單位內(nèi)網(wǎng)或?qū)＞W(wǎng)中，認(rèn)為不對外=安全,，這樣就不能進(jìn)行等級保護(hù)工作,。

正確的方法：只要不是機(jī)密系統(tǒng)，就需要等級保護(hù),，這與網(wǎng)絡(luò)無關(guān),。此外，內(nèi)部網(wǎng)絡(luò)的保護(hù)措施可能比外部網(wǎng)絡(luò)弱,，但容易中毒和攻擊,。因此，即使是內(nèi)部網(wǎng)絡(luò)系統(tǒng)也應(yīng)及時(shí)進(jìn)行等級保護(hù),！

擴(kuò)展知識：內(nèi)部網(wǎng)絡(luò)并不意味著安全,，現(xiàn)在很少有純粹的物理內(nèi)部網(wǎng)絡(luò)，其中大部分或多或少與互聯(lián)網(wǎng)相連,。一旦內(nèi)部網(wǎng)絡(luò)中毒,，它會(huì)迅速傳播,，很難清除，因?yàn)闆]有許多技術(shù)措施,，幾乎處于裸奔狀態(tài),。一旦中毒，它很容易交叉,。

4,、等保測評以系統(tǒng)為單位，不能針對單位整體進(jìn)行

概述：在現(xiàn)實(shí)中,，許多企業(yè)事業(yè)單位不了解等級保護(hù)的意義,。他們錯(cuò)誤地認(rèn)為這是為單位開展的業(yè)務(wù)，并覺得對自己的單位進(jìn)行等級保護(hù)評估已經(jīng)完成,。

正確做法：等保測評如果以系統(tǒng)為單位,，需要做多少次信息系統(tǒng)等保測評。

拓展知識：信息系統(tǒng)通常由服務(wù)器,、主機(jī),、數(shù)據(jù)庫、設(shè)備等多種物體組成,，等保測評除實(shí)物測量外,，還需要測量相關(guān)的安全管理制度。

5,、等保測評整改后的費(fèi)用由系統(tǒng)的等級,、措施等決定，不一定很高

概況：總有企事業(yè)單位擔(dān)心等保測評安全建設(shè)整改需要花費(fèi)大量資金,。

正確的做法：等待整改需要花多少錢,，與信息系統(tǒng)的水平、現(xiàn)有的安全保護(hù)措施和網(wǎng)絡(luò)運(yùn)營商對評估分?jǐn)?shù)的期望有關(guān),，不一定很高,，可能不會(huì)花錢！

四,、等保測評項(xiàng)目中遇到的六大誤區(qū)

誤區(qū)一：系統(tǒng)已上云或托管,，就不用做等保

系統(tǒng)責(zé)任主體是屬于網(wǎng)絡(luò)運(yùn)營者自己,，需要承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,。

誤區(qū)二：系統(tǒng)定級越低越好

系統(tǒng)定級需要合理，安全責(zé)任沒有履行到位會(huì)被處罰,。

誤區(qū)三：等保工作做測評就可以

測評只是等級保護(hù)工作中的一項(xiàng),。

誤區(qū)四：等保測評做過一次就可以了

等保工作需要根據(jù)具體的行業(yè)規(guī)定需求安排合理的評測時(shí)間。

誤區(qū)五：系統(tǒng)在內(nèi)網(wǎng),，不需要做等保

所有非涉密系統(tǒng)都屬于等級保護(hù)范疇,。

誤區(qū)六：單位整體做一個(gè)等保測評

等保測評是按照信息系統(tǒng)來的,，而不是單位。