等级保护二级测评

等级保护测评服务一般是指由第三方测评机构为企业/事业单位开展的等级保护符合性测评。但是，由于提供等级保护测评服务的公司或者测评机构不同，具体的服务内容和服务流程将有所差别。

一般来说等级保护测评服务包括以下内容：

1、等级保护测评单位依据等保测评技术标准，对测评对象开展等级保护测评，一般来说测评对象是信息系统。但是随着等保2.0的发布，测评范围变得更广。因此测评的对象也有可能是网站、云服务器、APP等等。

2、开展等级保护测评后，测评机构需要开具等级保护测评报告，测评的结果有两种：符合和不符合。

3、对于不符合标准的测评对象（一般是指信息系统）需要依据整改清单，进行相关的系统升级，网络信息安全加固，完善网络安全相关的制度和人员管理方法等。技术方面不符合要求的，可以自我整改，或者寻找第三方的网络安全服务商提供技术支持，一般来说，等级保护测评不包括整改部分的服务，除非在事先已经另行约定包括其中的除外。其外，在管理制度整改方面，可以根据整改建议自行修改，但是也可以让测评机构协助整改。

由于涉及的管理制度和以及日后的人员管理，被测评单位能够深入了解和学习，并对主要的管理负责人进行对应的培训。这更有利于真正做的合规的网络安全等级保护。

一般等级保护测评服务流程如下图所示:

等级保护测评流程

什么是等级保护测评？几年测一次？
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。几个关键词：1、信息系统，不是整个单位，而是按照不同系统来进行防护的；2、分等级进行防护和管理，理清重要系统和非重要系统，对重要的系统进行重点管理，不是所有系统都是一样的防护。那么等级保护测评就是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评，出具相应的信息系统测评报告。你的测评必须是有资质的机构，否则你找的安全厂家或者集成商或者其他人做的安全测评，不是等级保护测评，至多只能叫做安全测试，你的测评结果公安部门是不认可的，说白点：就是你的钱白花了。
测评周期的要求：信息安全等级保护管理办法（公通字[2007]43号）中要求：“第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。”这就是我们说的三级系统每年必须要做一次测评，那么二级系统呢，我们翻阅了大量资料后没有找到关于二级系统明确的时间要求，从等保的定义和等保工作流程上，可以知道：定级备案是一步和二步，测评、整改和监督检查是后续动作，所以说只有你定级了，就得去做等保测评，二级系统原则上是可以自测评的，但是实际情况下我们发现绝大多数用户单位是没有这个能力去测评的，所以还是得委托测评机构进行测评，那么二级系统定级备案后是一定需要去做等保测评工作的，后续经过大量用户实践和主管单位的指导，我们正常是二级系统两年左右做一次测评，为什么是两年呢？一、系统相对三级没那么重要，所以时间上相对长点；二、系统相对没有定级的系统更重要些，且往往有些二级系统也非常重要，存储了大量重要的信息数据（其实本来是定三级的，种种原因定了二级），不去做测评，风险太大。不得不等建议大家，系统定级备案后，测评及后续工作正常开展起来，你不做测评就是信息安全责任没有履行到位，对应着网络安全法都有相关处罚的。

等级保护测评到底测什么？成果是什么？
等级保护测评到底测哪些内容呢？今天不得不等简单分享下，主要测以下十个层面：技术层面：物理安全、主机安全、网络安全、应用安全和数据安全与备份；管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。技术层面具体的对象是：
1、机房，本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评，分析其中的问题以及不符合要求的地方。
2、业务应用软件，本测评单位将对信息系统运营使用单位重要信息系统进行测评，从应用软件的安全机制方向，分析应用系统中存在的安全隐患与问题。
3、主机操作系统，本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评，从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
4、数据库系统，本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评，从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
5、网络设备，本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评，从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
具体测评内容控制点及要求项比较多，统计如下：二级系统控制点66个，要求项175；三级系统控制点73个，要求项290个经过等级保护测评之后，我们获得的成果主要是：被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。补充一项重要的成果：通过等级保护测评之后我们的系统信息安全防护能力得到了提高，安全风险被有效降低，前提是我们在发现问题后进行一定的安全整改。不少安全检查在全国各地开始了，主管单位上门检查一部分内容就会是有没有开展等级保护工作，开展的情况，我们把这些资料给他们看，他们就知道我们做了等保，在信息安全上工作上做了不少。因为很难通过你买了什么安全设备就判断你安全工作做好了，没有安全风险了，而等保虽不能证明你一定安全，但至少等保是从不同层面对你的信息系统整体性做了一个安全评估，相对更可信，而且也是书面性的资料。补充一句，看上去等保需要做很多内容，好多用户担心会给自己增加很多工作内容，其实这个担心是多余的也是错误的，真正做等保的过程中，一般只需要一到两个对你们单位系统情况，网络设备比较了解的人配合就可以，大部门工作是测评机构在做；另外安全工作不是因为做了等保才要去做，如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的，只是通过做等保，我们把这样的问题集中暴露出来，更早的把这些问题解决，把安全隐患扼杀在摇篮之中。