一、等保测评定义：

网络安全等级保护测评是指网络系统运营、使用单位委托具有等级保护测评资质的测评机构，按照有关管理规范和技术标准，对处理特定应用的网络和信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。

二、测评基本内容：

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测评和安全管理测评两大类。

安全技术测评：包括物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评。

安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。

三、法律要求：

根据《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

根据《中华人民共和国网络安全法》【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

四、《等级保护测评要求》的测评方法：

采用6种方式，逐步深化的测试手段

调研访谈（业务、资产、安全技术和安全管理）；

查看资料（管理制度、安全策略）；

现场观察（物理环境、物理部署）；

查看配置（主机、网络、安全设备）；

技术测试（漏洞扫描）；

评价（安全测评、符合性评价）。

五、服务流程：

系统定级→系统备案→差距分析→等级测评→监督检查

Step1：系统定级。需要过等保的运营单位要确定好定级对象，确定要过的系统等级，寻找当地公安认可的评测机构一起编写定级报告。如果确定需要通过三级等保，则还需要组织专家评审。

Step2：系统备案。系统投入运行的30日内由其运营、使用单位到当地公安机关网监部门办理备案手续。可以让评测机构辅导进行材料的准备和备案。

Step3：差距分析。评测机构根据确定的等级和《网络安全等级保护基本要求》对信息系统进行差距对比分析，告知运营单位需要对信息系统及自身管理进行哪些整改。运营单位按照整改要求进行安全建设和整改。建设整改的时间有3个月，一般根据系统的规模和复杂程度决定整改的时间，短的一周可以完成，长的3个月左右。

Step4：等级测评。运营使用单位提供符合等级保护要求的建设和整改完成的证据。由评测机构对系统等级符合情况进行等级评测并出具评测报告。评测结束后将评测报告提交给公安机关部门进行保存，完成等级评测。

Step5：监督检查。定级为二级的系统评测当年复查一次即可。定级为三级的系统需要每年进行评测检查，由评测机构出具评测报告并由运营使用单位提交给公安机关。定级为四级的系统需要每半年进行评测检查，由评测机构出具评测报告并由运营使用单位提交给公安机关。

六、常见问题：

1、网站不做等保，出了问题将承担什么责任？

①、网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

②、 关键信息基础设施的运营者不履行《中华人民共和国网络安全法》【第三十四条】规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

2、哪些行业需要做等保？

金融行业、游戏行业、教育行业、电商行业、网贷行业、通讯行业、能源行业、运输行业等。

3、递交的备案资料都包括哪些内容？

①、《信息系统安全等级保护备案表》（一式两份）

②、《信息系统安全等级保护定级报告》（一个系统一份）

③、《系统定级评审意见》（或上级主管部门定级审核意见）

④、相关电子数据等

4、整个周期是多长？其中现场测评时间多长？

①、整个测评周期包括前期调研、现场测评、后期报告编写等，一般情况下一个二级系统会占用3~4周，一个三级系统会占用4~5周（指初次测评，不包括整改和加固时间）；

②、 其中现场测评（指在被测系统单位现场的测评）的时间根据系统的数量而定：一般一个二级系统会占用3~4个工作日，一个三级系统会占用5~6个工作日（两组同时进行，每组两人）。

5、等保测评检查周期是多长？

二级系统每2年进行一次测评检查，三级系统每年检查一次。