一、等保測評定義：

      網(wǎng)絡(luò)安全等級保護測評是指網(wǎng)絡(luò)系統(tǒng)運營、使用單位委托具有等級保護測評資質(zhì)的測評機構(gòu)，按照有關(guān)管理規(guī)范和技術(shù)標準，對處理特定應(yīng)用的網(wǎng)絡(luò)和信息系統(tǒng)，采用安全技術(shù)測評和安全管理測評方式，對保護狀況進行檢測評估，判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿足所定安全等級的結(jié)論，針對安全不符合項提出安全整改建議。

二、測評基本內(nèi)容：

      對信息系統(tǒng)安全等級保護狀況進行測試評估，應(yīng)包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。

對安全控制測評的描述，使用測評單元方式組織。測評單元分為安全技術(shù)測評和安全管理測評兩大類。

安全技術(shù)測評：

包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)?安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面上的安全控制測評。

安全管理測評：

包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評。

三、法律要求：

      根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》【第二十一條】國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》【第三十一條】 國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。

四、《等級保護測評要求》的測評方法：

采用6種方式

逐步深化的測試手段調(diào)研訪談（業(yè)務(wù)、資產(chǎn)、安全技術(shù)和安全管理）；查看資料（管理制度、安全策略）；現(xiàn)場觀察（物理環(huán)境、物理部署）；查看配置（主機、網(wǎng)絡(luò)、安全設(shè)備）；技術(shù)測試（漏洞掃描）；評價（安全測評、符合性評價）。

五、服務(wù)流程：

系統(tǒng)定級→系統(tǒng)備案→差距分析→等級測評→監(jiān)督檢查

Step1：系統(tǒng)定級。需要過等保的運營單位要確定好定級對象，確定要過的系統(tǒng)等級，尋找當?shù)毓舱J可的評測機構(gòu)一起編寫定級報告。如果確定需要通過三級等保，則還需要組織專家評審。

Step2：系統(tǒng)備案。系統(tǒng)投入運行的30日內(nèi)由其運營、使用單位到當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。可以讓評測機構(gòu)輔導(dǎo)進行材料的準備和備案。

Step3：差距分析。評測機構(gòu)根據(jù)確定的等級和《網(wǎng)絡(luò)安全等級保護基本要求》對信息系統(tǒng)進行差距對比分析，告知運營單位需要對信息系統(tǒng)及自身管理進行哪些整改。運營單位按照整改要求進行安全建設(shè)和整改。建設(shè)整改的時間有3個月，一般根據(jù)系統(tǒng)的規(guī)模和復(fù)雜程度決定整改的時間，短的一周可以完成，長的3個月左右。

Step4：等級測評。運營使用單位提供符合等級保護要求的建設(shè)和整改完成的證據(jù)。由評測機構(gòu)對系統(tǒng)等級符合情況進行等級評測并出具評測報告。評測結(jié)束后將評測報告提交給公安機關(guān)部門進行保存，完成等級評測。

Step5：監(jiān)督檢查。定級為二級的系統(tǒng)評測當年復(fù)查一次即可。定級為三級的系統(tǒng)需要每年進行評測檢查，由評測機構(gòu)出具評測報告并由運營使用單位提交給公安機關(guān)。定級為四級的系統(tǒng)需要每半年進行評測檢查，由評測機構(gòu)出具評測報告并由運營使用單位提交給公安機關(guān)。

六、常見問題：

1、網(wǎng)站不做等保，出了問題將承擔什么責任？

①、網(wǎng)絡(luò)運營者不履行《中華人民共和國網(wǎng)絡(luò)安全法》【第二十一條】規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

②、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行《中華人民共和國網(wǎng)絡(luò)安全法》【第三十四條】規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

 

2、哪些行業(yè)需要做等保？

金融行業(yè)、游戲行業(yè)、教育行業(yè)、電商行業(yè)、網(wǎng)貸行業(yè)、通訊行業(yè)、能源行業(yè)、運輸行業(yè)等。

 

3、遞交的備案資料都包括哪些內(nèi)容？

①、《信息系統(tǒng)安全等級保護備案表》（一式兩份）

②、《信息系統(tǒng)安全等級保護定級報告》（一個系統(tǒng)一份）

③、《系統(tǒng)定級評審意見》（或上級主管部門定級審核意見）

④、  相關(guān)電子數(shù)據(jù)等

 

4、整個周期是多長？其中現(xiàn)場測評時間多長？

①、整個測評周期包括前期調(diào)研、現(xiàn)場測評、后期報告編寫等，一般情況下一個二級系統(tǒng)會占用3~4周，一個三級系統(tǒng)會占用4~5周（指初次測評，不包括整改和加固時間）；

②、 其中現(xiàn)場測評（指在被測系統(tǒng)單位現(xiàn)場的測評）的時間根據(jù)系統(tǒng)的數(shù)量而定：一般一個二級系統(tǒng)會占用3~4個工作日，一個三級系統(tǒng)會占用5~6個工作日（兩組同時進行，每組兩人）。

 

5、等保測評檢查周期是多長？

二級系統(tǒng)每2年進行一次測評檢查，三級系統(tǒng)每年檢查一次。

6、等級保護找哪家比較靠譜？

等級保護測評是一項系統(tǒng)工程，從前期的調(diào)研、備案、專家評審、預(yù)測評、整改到正式測評，編制報告，都需要專業(yè)的公司來指導(dǎo)，等級保護測評就選安徽靈狐科技，一站式等級保護服務(wù)。