等保测评是什么

1 等保测评概述在讨论“等保测评是什么”之前，首先需要了解什么是“等保”。“等保”即网络安全等级保护，是指对网络信息和信息载体按照重要程度划分等级，并基于分级，针对性地开展安全保护工作。网络安全等级保护制度是我国网络安全领域现行的基本制度。等保的实施流程分为5个环节：系统定级、备案、建设整改、等级测评和监督检查；而等保测评（也称等级测评）正是其中的一个重要环节。等保测评是指由具有资质的测评机构，依据国家网络安全等级保护规范规定，按照有关管理规范和技术标准，对等保对象（如信息系统、数据资源、云计算、物联网、工业控制系统等）的安全等级保护状况进行检测评估的活动。简单来说，等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求，是落实等保制度的关键活动之一。

图1-1 等保实施流程                                                                                    

说明本文所阐述的等保相关内容，均基于我国目前实施的《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》等相关标准，即“网络安全等级保护2.0”标准体系（简称“等保2.0”）。

 2 为什么要做等保测评对于网络运营者，开展等保测评的必要性主要体现在如下几点：

●识别网络潜在风险，提升自身防护能力：日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战，网络运营者可以通过等保测评了解系统的安全防护现状，识别系统内、外部存在的安全隐患，并在此基础上通过加固整改提高系统的网络安全防护能力，降低被攻击的风险。

●满足国家相关法律法规的要求：法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、警告等惩罚措施。

●提升行业竞争力：是否开展等保工作是衡量企业信息安全水平的一个重要标准。对于企业来说，进行等保测评不仅能够有效地提高信息系统安全建设的整体水平，还能够在向外部客户提供业务服务时给出信息系统安全性承诺，增强客户、合作伙伴及利益相关方的信心。
 3 等保测评等级划分等保工作的核心在于“分级”，对于重要程度不同的网络系统，安全防护能力要求也有所不同。在进行等保测评之前，网络运营者需要先完成待测评对象的定级，以明确测评的维度和标准。

3.1   定级标准当前我国实行的网络安全等级保护制度，将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度，从低到高划分了五个安全保护等级：(1) 第一级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；(2) 第二级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；(3) 第三级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；(4) 第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；(5) 第五级：等级保护对象受到破坏后，会对国家安全造成特别严重损害。

图3-1 定级要素与安全保护等级关系                                                                                      在实际应用中，定级主要参考行业要求和业务的发展体量，例如普通的门户网站，定为二级已经足够，而存储较多敏感信息（如公民个人信息）的系统则需要定为三级或三级以上。大部分信息系统的安全保护等级处于二级或三级。

表3-1 常见的定级对象

 3.2   定级流程等保对象定级的一般工作流程包括：确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。图3-2 等保对象定级工作的一般流程                                                                                        对于安全保护等级初步确定为第一级的等级保护对象，其网络运营者可依据标准自行确定最终安全保护等级，无需进行专家评审、主管部门核准及备案审核。而对于安全保护等级初步确定为第二级及以上的等级保护对象，网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审，将定级结果报请行业主管（监管）部门核准，并按照相关管理规定，将定级结果提交公安机关进行备案审核。
4 等保测评流程等保测评流程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动和报告编制活动。

图4-1 等保测评流程        4.1   测评准备活动作为等保测评流程中的准备步骤，该阶段的主要工作包括组建等保测评项目组、收集定级对象相关资料、准备测评工具等，目标是帮助测评人员熟悉测评对象和测评工具，对测评对象的安全状况做出初步分析，为后续等保测评的实施做好充分的准备。在该阶段，测评委托单位（即网络运营者）需要配合测评机构提供详尽的测评对象相关资料，为信息收集工作提供支持和协助。

4.2   方案编制活动本阶段的目标是整理测评准备活动中获取的定级对象相关资料，为下一步的现场测评活动提供最基本的文档和指导方案。在本阶段中，等保测评机构需要根据测评委托方提供的相关信息，通过分析测评对象的整体结构、边界、网络区域等情况，确定测评对象、测评指标、测评内容以及工具测试方法，并输出详实的测评方案和测评指导书。4.3   现场测评活动

4.3.1  主要任务现场测评活动是等保测评流程中的核心活动，测评人员利用访谈、文档审查、配置稽查、工具测试和实地查看的方法，按照测评指导书实施现场测评，并将测评过程中获取的证据源进行详细、准确记录。在这个过程中，评测委托单位通常需要完成以下工作：●在现场测评前完成系统和数据的备份，并了解测评工作的基本情况。●协助测评机构获得现场测评的授权。●了解现场测评存在的风险，对风险告知书进行签字确认。●配合测评人员完成业务相关内容的问询、验证和测试。●在工具测试过程中提供相关建议，降低测评过程对系统运行的影响。

4.3.2  测评内容等保评测内容与等级保护要求相对应，分为安全通用要求和安全扩展要求两部分。安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，均需根据安全保护等级实现相应级别的安全通用要求。如表4-1所示，安全通用要求分为技术要求和管理要求；其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面；管理要求包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面。安全扩展要求针对个性化保护需求提出，适用于采用特定技术或特定应用场景下的等级保护对象。目前相关标准提出的安全扩展要求主要面向云计算、移动互联、物联网和工业控制系统四类应用场景。

表4-1 安全通用要求说明

	安全控制要求	说明	安全控制点（测评项）
技术要求	安全物理环境	●    针对物理机房提出的安全控制要求 ●    主要对象为物理环境、物理设备和物理设施等	物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护
	安全通信网络	●    针对通信网络提出的安全控制要求 ●    主要对象为广域网、城域网和局域网等	网络架构 通信传输 可信验证
	安全区域边界	●    针对网络边界提出的安全控制要求 ●    主要对象为系统边界和区域边界等	边界防护 访问控制 入侵防范 恶意代码和垃圾邮件防范 安全审计 可信验证
	安全计算环境	●    针对边界内部提出的安全控制要求 ●    主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等	身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份与恢复 剩余信息保护 个人信息保护
	安全管理中心	●    针对整个系统提出的安全管理方面的技术控制要求 ●    要求通过技术手段实现集中管理	系统管理 审计管理 安全管理 集中管控
管理要求	安全管理制度	针对整个管理制度体系提出的安全控制要求	安全策略 管理制度 制定和发布 评审和修订
	安全管理机构	针对整个管理组织架构提出的安全控制要求	岗位设置 人员配备 授权和审批 沟通和合作 审核和检查
	安全管理人员	针对人员管理提出的安全控制要求	人员录用 人员离岗 安全意识教育和培训 外部人员访问管理
	安全建设管理	针对安全建设过程提出的安全控制要求	定级和备案 安全方案设计 张***三 永久买断 1分钟前 使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题 张***三 永久买断 1分钟前 使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题使用后非常好，没有任何问题 正版保障 云上河北商城向您保证所有销售中应用均为正版，官方统一授权、定期更新，系统安全稳定。 提供发票 凡在云上河北商城购买的应用，均可开具正规发票。 3天内退款 凡在云上河北商城购买的应用，付款后3天内未下载和未安装应用，买家可申请急速退款。 7天内退全款 凡在云上河北商城购买的应用，在订单未确认验收7天内，如有模板质量问题开发者未能解决、应用功能与应用详情页面描述不符等，买家有权申请退全款。 30天内退半款 凡在云上河北商城购买的应用，在订单延长验收30天内，如有模块质量问题开发者未能解决、应用功能与应用详情页面描述不符等，买家有权申请退支付金额一半钱款。 退款说明 退款条件 1. 订单状态为未验收状态； 2. 应用存在与描述不符，或BUG等问题。 退款提交方式 进入“个人中心”—“我的订单”，选中该笔交易，点击“退款”，提交退款申请。 价格说明 商品价格 指商品的实时标价，会因选择不同的分支、类别、站点发生变化。具体成交价格根据商品参加活动，或使用优惠券等发生变化，最终以订单结算页价格为准 异常问题 商品促销信息以商品详情页“促销”栏中的信息为准；商品的具体售价以订单结算页价格为准；如您发现活动商品售价或促销信息有异常，建议购买前先联系销售商咨询。 服务费 即一定时间段内的模块更新和使用所需费用，首次购买的价格包含服务费的价格。服务费到期之后，如果没有及时续费的情况下，该应用将无法更新，无法添加和修改应用数据，不影响旧数据的使用，具体规范说明请查看《升级服务说明》 安全提示 请勿随意接收任何来源不明的文件，请勿随意点击任何来源不明的链接。涉及资金往来的事项请务必仔细核对资金往来信息。 权利声明 云上河北为互联网信息服务提供者，云上河北所展示的商品/服务的标题、价格、详情等信息内容系由店铺经营者发布，其真实性、准确性和合法性均由店铺经营者负责。云上河北提醒用户购买商品/服务前注意谨慎核实。如用户对商品/服务的标题、价格、详情等任何信息有任何疑问的，请在购买前与店铺经营者沟通确认；云上河北存在海量店铺，如用户发现店铺内有任何违法/侵权信息，请立即向云上河北举报并提供有效线索。 面议 立即购买 产品参数 关联标签 等保测评  立即咨询 卖家服务时间：周一至周五 09:00 - 18:00  手机微信扫一扫联系客服 × 请选择合适您的规格 标准版本 版本描述: 版本价格: 面议 确认购买 关闭  意见反馈  小程序端  官方微信  返回顶部