一、等保測評定義：

      網絡安全等級保護測評是指網絡系統(tǒng)運營、使用單位委托具有等級保護測評資質的測評機構，按照有關管理規(guī)范和技術標準，對處理特定應用的網絡和信息系統(tǒng)，采用安全技術測評和安全管理測評方式，對保護狀況進行檢測評估，判定受測系統(tǒng)的技術和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿足所定安全等級的結論，針對安全不符合項提出安全整改建議。

二、測評基本內容：

      對信息系統(tǒng)安全等級保護狀況進行測試評估，應包括兩個方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎。

對安全控制測評的描述，使用測評單元方式組織。測評單元分為安全技術測評和安全管理測評兩大類。

安全技術測評：

包括物理安全、網絡安全、主機系統(tǒng)?安全、應用安全和數(shù)據安全等五個層面上的安全控制測評。

安全管理測評：

包括安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評。

三、法律要求：

      根據《中華人民共和國網絡安全法》【第二十一條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據泄露或者被竊取、篡改。

根據《中華人民共和國網絡安全法》【第三十一條】 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

四、《等級保護測評要求》的測評方法：

采用6種方式

逐步深化的測試手段調研訪談（業(yè)務、資產、安全技術和安全管理）；查看資料（管理制度、安全策略）；現(xiàn)場觀察（物理環(huán)境、物理部署）；查看配置（主機、網絡、安全設備）；技術測試（漏洞掃描）；評價（安全測評、符合性評價）。

五、服務流程：

系統(tǒng)定級→系統(tǒng)備案→差距分析→等級測評→監(jiān)督檢查

Step1：系統(tǒng)定級。需要過等保的運營單位要確定好定級對象，確定要過的系統(tǒng)等級，尋找當?shù)毓舱J可的評測機構一起編寫定級報告。如果確定需要通過三級等保，則還需要組織專家評審。

Step2：系統(tǒng)備案。系統(tǒng)投入運行的30日內由其運營、使用單位到當?shù)毓矙C關網監(jiān)部門辦理備案手續(xù)?？梢宰屧u測機構輔導進行材料的準備和備案。

Step3：差距分析。評測機構根據確定的等級和《網絡安全等級保護基本要求》對信息系統(tǒng)進行差距對比分析，告知運營單位需要對信息系統(tǒng)及自身管理進行哪些整改。運營單位按照整改要求進行安全建設和整改。建設整改的時間有3個月，一般根據系統(tǒng)的規(guī)模和復雜程度決定整改的時間，短的一周可以完成，長的3個月左右。

Step4：等級測評。運營使用單位提供符合等級保護要求的建設和整改完成的證據。由評測機構對系統(tǒng)等級符合情況進行等級評測并出具評測報告。評測結束后將評測報告提交給公安機關部門進行保存，完成等級評測。

Step5：監(jiān)督檢查。定級為二級的系統(tǒng)評測當年復查一次即可。定級為三級的系統(tǒng)需要每年進行評測檢查，由評測機構出具評測報告并由運營使用單位提交給公安機關。定級為四級的系統(tǒng)需要每半年進行評測檢查，由評測機構出具評測報告并由運營使用單位提交給公安機關。

六、常見問題：

1、網站不做等保，出了問題將承擔什么責任？

①、網絡運營者不履行《中華人民共和國網絡安全法》【第二十一條】規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

②、關鍵信息基礎設施的運營者不履行《中華人民共和國網絡安全法》【第三十四條】規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

 

2、哪些行業(yè)需要做等保？

金融行業(yè)、游戲行業(yè)、教育行業(yè)、電商行業(yè)、網貸行業(yè)、通訊行業(yè)、能源行業(yè)、運輸行業(yè)等。

 

3、遞交的備案資料都包括哪些內容？

①、《信息系統(tǒng)安全等級保護備案表》（一式兩份）

②、《信息系統(tǒng)安全等級保護定級報告》（一個系統(tǒng)一份）

③、《系統(tǒng)定級評審意見》（或上級主管部門定級審核意見）

④、  相關電子數(shù)據等

 

4、整個周期是多長？其中現(xiàn)場測評時間多長？

①、整個測評周期包括前期調研、現(xiàn)場測評、后期報告編寫等，一般情況下一個二級系統(tǒng)會占用3~4周，一個三級系統(tǒng)會占用4~5周（指初次測評，不包括整改和加固時間）；

②、 其中現(xiàn)場測評（指在被測系統(tǒng)單位現(xiàn)場的測評）的時間根據系統(tǒng)的數(shù)量而定：一般一個二級系統(tǒng)會占用3~4個工作日，一個三級系統(tǒng)會占用5~6個工作日（兩組同時進行，每組兩人）。

 

5、等保測評檢查周期是多長？

二級系統(tǒng)每2年進行一次測評檢查，三級系統(tǒng)每年檢查一次。

6、等級保護找哪家比較靠譜？

等級保護測評是一項系統(tǒng)工程，從前期的調研、備案、專家評審、預測評、整改到正式測評，編制報告，都需要專業(yè)的公司來指導，等級保護測評就選安徽靈狐科技，一站式等級保護服務。