一、等保測評是什么意思

等保測評是經公安部認證的具有資質的測評機構，依據國家信息安全等級保護規范規定，受有關單位委托，按照有關管理規范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。全稱是信息安全等級保護測評。

二、等保測評基本內容

對信息系統安全等級保護狀況進行測試評估，應包括兩個方面的內容。

1、安全控制測評：主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況。

2、系統整體測評：主要測評分析信息系統的整體安全性。

其中，安全控制測評是信息系統整體安全測評的基礎。對安全控制測評的描述，使用測評單元方式組織。測評單元分為安全技術測評和安全管理測評兩大類。

①安全技術測評：包括物理安全、網絡安全、主機系統安全、應用安全和數據安全等五個層面上的安全控制測評。

②安全管理測評：包括安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制測評。

三、等保測評規定幾年做一次

1、等保測評是一項周期性、連續性的工作，不同等級要求0.5-2年做一次。

概述：許多企事業單位認為等級保護是一項正式的工作，抱著應對的態度，覺得做完這個就拉倒。

正確做法：需要持續進行等級保護，尤其是等保測評。不同級別的系統會有不同的評價周期要求：4級00.5年一次，3年一次，2年一次，2年一次(有行業差異，但都明確或建議2年一次)。

擴展知識：等級保護評估是對系統保護水平的測試，不應處理。如果企業事業單位的制度按照等保險要求認真做好，同時也能有效地做好網絡安全工作。

2、如果你不做等級保護，你可能會面臨懲罰

概述：很多企事業單位認為，只要不涉及網絡安全、網絡攻擊事件，就可以不做等級保護，沒有事故。

正確做法：《中華人民共和國網絡安全法》第二十一條已作出相關規定（具體內容不再重復）。如果系統運營商未能進行等級保護，則屬于違反其他義務的行為，可能會受到處罰。以前也有類似的報告，所以及時進行等級保護。不要等到受到懲罰。

拓展知識：安全總是相對的，但要及時做好。嚴格執行政策法規的要求，也是保護企事業單位安全的一項措施。

3、即使系統在內網，也需要及時進行等級保護

概述：很多企事業單位將系統存在于單位內網或專網中，認為不對外=安全，這樣就不能進行等級保護工作。

正確的方法：只要不是機密系統，就需要等級保護，這與網絡無關。此外，內部網絡的保護措施可能比外部網絡弱，但容易中毒和攻擊。因此，即使是內部網絡系統也應及時進行等級保護！

擴展知識：內部網絡并不意味著安全，現在很少有純粹的物理內部網絡，其中大部分或多或少與互聯網相連。一旦內部網絡中毒，它會迅速傳播，很難清除，因為沒有許多技術措施，幾乎處于裸奔狀態。一旦中毒，它很容易交叉。

4、等保測評以系統為單位，不能針對單位整體進行

概述：在現實中，許多企業事業單位不了解等級保護的意義。他們錯誤地認為這是為單位開展的業務，并覺得對自己的單位進行等級保護評估已經完成。

正確做法：等保測評如果以系統為單位，需要做多少次信息系統等保測評。

拓展知識：信息系統通常由服務器、主機、數據庫、設備等多種物體組成，等保測評除實物測量外，還需要測量相關的安全管理制度。

5、等保測評整改后的費用由系統的等級、措施等決定，不一定很高

概況：總有企事業單位擔心等保測評安全建設整改需要花費大量資金。

正確的做法：等待整改需要花多少錢，與信息系統的水平、現有的安全保護措施和網絡運營商對評估分數的期望有關，不一定很高，可能不會花錢！

四、等保測評項目中遇到的六大誤區

誤區一：系統已上云或托管，就不用做等保

系統責任主體是屬于網絡運營者自己，需要承擔相應的網絡安全責任。

誤區二：系統定級越低越好

系統定級需要合理，安全責任沒有履行到位會被處罰。

誤區三：等保工作做測評就可以

測評只是等級保護工作中的一項。

誤區四：等保測評做過一次就可以了

等保工作需要根據具體的行業規定需求安排合理的評測時間。

誤區五：系統在內網，不需要做等保

所有非涉密系統都屬于等級保護范疇。

誤區六：單位整體做一個等保測評

等保測評是按照信息系統來的，而不是單位。