每天三分钟了解等保测评

信息安全等级测评

信息系统安全等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统安全等级测评主要检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求；对于尚未符合要求的信息系统，分析和评估其潜在威胁、薄弱环节以及现有安全防护措施，综合考虑信息系统的重要性和面临的安全威胁等因素，提出相应的整改建议，并在系统整改后进行复测确认，以确保整改措施符合相应安全等级的基本要求。

测评内容

针对信息系统的安全等级测评的内容如下：

(1)按照《信息系统安全等级保护测评要求》，从以下方面进行等级测评：

技术安全测评：包括物理安全、网络安全、主机安全、数据安全、应用安全；

管理安全测评：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理；

综合测评：包括安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。

(2)对每个保护类的子项给出测评结果并分别提出改进建议；

(3)按照整改结果进行复测，出具等级测评报告。

测评结果

出具信息安全等级保护测评报告。

涉及到等保测评的行业很多，只要是信息系统存储重要信息都需要做等保，包括以下行业：

1. 金融行业: 银行、证券、保险等金融机构处理大量的金融数据和个人敏感信息，需要确保客户的隐私和资金安全。

2. 电信与网络服务提供商: 这些行业提供互联网接入、通信和数据存储等服务，需要保证网络和通信的安全可靠。

3. 政府与公共事业: 政府机关、公共事业部门（如电力、水务、交通等）承载着大量的公共信息和基础设施运营，需要保护国家和公众的利益。

4. 能源与化工: 能源和化工行业具有重要的国家战略意义，信息安全保护是确保生产和运营安全的关键。

5. 医疗与健康: 医疗机构和健康相关组织处理大量的医疗记录和个人健康信息，需要保护患者隐私和医疗数据的完整性。

6. 教育与研究: 学校、研究机构等承载着教育和研究任务，需要保护学生、教职员工的信息和研究成果的安全。

7. 零售与电子商务: 零售和电商企业处理大量的客户支付信息和交易数据，需要确保电子支付的安全和消费者的信任。

8. 制造与供应链: 制造业和供应链行业需要保护生产过程和供应链信息的安全，以防止知识产权盗窃和供应链中断。

值得一提的是，上述仅是一些代表性的行业，随着技术的不断发展和信息化程度的提高，更多的行业都在逐渐依赖于信息系统和技术，因而都需要考虑进行信息安全等保测评。

等保测评中服务器是核心组成部分，对服务器的测评项一般为十个大项，包括对安全策略、密码、日志、备份等多个项进行检查，一般分为：

身份鉴别

访问控制

安全审计

入侵防范

恶意代码防范

可信验证

数据完整性

数据保密性

数据备份与恢复

剩余信息保护

这些项是等保测评中服务器的查看项，通俗来说包括

是否具备密码复杂度，是否密码定期更换

是否设置超时登出，是否设置登录失败锁定

是否采用双因子策略验证

是否设置三权用户，并划分不同权限

是否重命名默认账号及密码

是否删除多余、过期用户

是否开启日志审计

审计记录是否存储，同时是否另存日志，并保存6个月以上

是否对设备管理地址进行限制

是否定期扫描，不存在高危漏洞

是否定期备份数据

是否主备备份，保证高可用性

如果上述项都能满足，等保测评时服务器即可达到相关要求。

                                                     

等保测评根据不同地区、不同级别、不同设备需求价格也有不同，比如北京和黑龙江地区测评价格就有明显区别。

以哈尔滨为例，单纯测评二级在4-6万之间，三级在6-8万之间。

如果需要购买安全设备，根据不同的用户场景还有不同的需求。如果是物理机房，购买整套设备，价格在15-50万之间（按照性能进行划分）。如果是购买云设备，价格在10-30万之间，也可以采用按量付费或者是购买几个月的方式，根据用户使用场景都有不同，具体可以咨询相关安全服务机构。

如果是设备都有，但是不知道设备够不够，也可以咨询机构进行一个相关检测，如果缺少设备增加即可，如果授权过期也需要更新相关授权，否则也是不合格的。

一般测评周期在3个月左右，根据系统复杂程度不一样会有区别，建议可以咨询相关机构，再确认整改工作量多大。

关于为什么要做等保，主要是两方面的原因：

其一，就是网络安全法对于等保是严格要求的，网络安全法第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。一旦没有正确履行等保义务，导致网站被攻击，按照网络安全法，首先需要关停网站，其次如拒不整改，或者按期未整改，按照第五十九条要求，需要对单位处以一到十万罚款，对相关负责人处以五千到五万罚款。

其二，由于没有正确履行等级保护，导致网站所需的安全设备存在缺失，安全策略不足，更容易受到网络攻击，以等级保护为标准开展安全建设，让安全建设更加体系化，可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设，是对信息安全管理执行整体的规划和建设。能够有效完善目前信息系统建设的安全性不足问题，保障信息系统安全。

正确履行等保的流程为定级-备案-建设整改-等级测评-监督检查，周期大约为3个月左右，期间涉及到准备相关备案材料、邀请专家定级、报送材料到网监、部署安全设备、进行策略整改、进行等保测评等工作，期间涉及到的工作内容较多，可以让专业机构协助。取得等级保护备案证明及测评报告后，即可认为是完成了测评。