等保测评分几级，如何判断自己信息系统属于哪一级

  等保一共分为五级，按照客体受侵害程度不同而进行划分：

第一级（自主保护级）无需备案，对测评周期无要求。

一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息统。信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）公安部门备案，建议两年测评一次。

一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成一般损害，但不损害国家安全。

第三级（监督保护级）公安部门备案，要求每年测评一次。

一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。信息系统受到破坏后，会对国家安全、社会秩序造成损害，对公共利益造成严重损害，对公民、法人和其他组织的合法权益造成特别严重的损害。

第四级（强制保护级）公安部门备案，要求半年一次。

一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。信息系统受到破坏后，会对国家安全造成严重损害，对社会秩序、公共利益造成特别严重损害。

第五级（专控保护级）公安部门备案，依据特殊安全需求进行。

一般适用于国家重要领域、重要部门中的极端重要系统。信息系统受到破坏后，会对国家安全造成特别严重损害。

由此可见，等保测评分为五级：第一级、第二级、第三级、第四级和第五级。它们分别对应不同的安全要求，以保护电子信息系统的安全性。每一级的要求都不同，因此，企业在安全等级测评中，需要根据自身的实际情况来确定最合适的安全等级。

  等级保护测评的对象是指需要进行等级保护测评的信息系统。根据《网络安全法》第二十一条第二款的规定，“国家重要信息基础设施、国家机关及其工作人员使用或者管理、为履行法定职责而获取或者处理公民个人信息、重要数据以及其他需要进行等级保护管理的网络及其相关设施、数据、应用程序”都属于等级保护测评的对象。

具体来说，等级保护测评的对象包括以下几类：

涉及国家安全、国防建设、政府管理、公共服务、社会民生等领域，如果遭受破坏、丧失功能或者数据泄露，可能严重危害国家安全、公共利益、公民合法权益或者社会秩序的网络及其相关设施、数据、应用程序。如电力、交通、水利、金融、公共卫生、电子政务、社会保障、环境保护、新闻媒体等领系统域。

由国家机关及其工作人员使用或者管理，承载了国家秘密或者涉及国家机密的系统。

由国家机关及其工作人员使用或者管理，承载了国家秘密或者涉及国家安全、社会稳定、经济发展、公民权益等方面的信息系统。如国防、外交、公安、检察、法院、监察、税务、海关、民政等部门系统。

由各类组织或者个人为履行法定职责而获取或者处理，涉及公民个人信息或者重要数据的信息系统。如医疗卫生、教育科研、社会保障、金融服务、电子商务、通信服务等领域系统。

由国务院网信部门会同有关部门确定，需要进行等级保护管理的其他网络及其相关设施、数据、应用程序。如互联网服务提供商、云计算服务提供商、大数据服务提供商等。

在等保流程中，测评工作是评估和验证信息系统是否符合等级保护要求的重要环节。以下是一些常见的测评内容：

安全配置验证：测评人员将对信息系统的安全配置进行验证，包括网络设备、服务器、防火墙等的配置是否符合安全最佳实践，是否存在潜在的安全漏洞。

漏洞扫描和渗透测试：通过使用专业的工具和技术，测评人员将对信息系统进行漏洞扫描和渗透测试，以发现可能存在的系统漏洞和安全隐患，并模拟真实攻击环境来测试系统的抗攻击能力。

安全策略合规性检查：测评人员将对信息系统的安全策略和控制措施进行检查，确认其是否符合等级保护要求和相关法规标准。这可能涉及访问控制、身份认证、密码策略、系统审计等方面的审查。

安全接入点扫描：测评人员将对网络架构和系统的安全接入点进行扫描，以识别可能存在的安全漏洞和弱点，例如开放端口、服务漏洞等。

数据流分析：测评人员将分析信息系统中的数据流动情况，包括数据的收集、处理、存储和传输过程，以确认数据的安全性和合规性。

安全意识培训评估：测评人员将评估企业内部员工的安全意识和培训情况，确认是否有必要提供进一步的安全培训和教育。

安全事件响应演练：通过模拟安全事件，测评人员将测试信息系统的安全事件响应能力，检查安全团队在应对威胁和恢复操作中的表现和效果。

相关文件和记录审查：测评人员将审查等级保护相关的文件和记录，包括风险评估报告、安全策略文件、安全管理制度等，验证其合规性和有效性。

以上仅是测评工作的一些常见内容，具体的测评工作可能会根据信息系统的等级和备案要求有所不同。测评的主要目的是发现和修复安全漏洞，确保信息系统达到等保要求，并为下一步的等级评定和备案提供支持和依据。