三分钟带你了解什么是网络安全等级保护测评？

三分钟带你了解

等保测评全流程

在讨论“等保测评是什么”之前，首先需要了解什么是“等保”。“等保”即网络安全等级保护，是指对网络信息和信息载体按照重要程度划分等级，并基于分级，针对性地开展安全保护工作。网络安全等级保护制度是我国网络安全领域现行的基本制度。

等保的实施流程分为5个环节：系统定级、备案、建设整改、等级测评和监督检查；而等保测评（也称等级测评）正是其中的一个重要环节。

等保测评是指由具有资质的测评机构，依据国家网络安全等级保护规范规定，按照有关管理规范和技术标准，对等保对象（如信息系统、数据资源、云计算、物联网、工业控制系统等）的安全等级保护状况进行检测评估的活动。简单来说，等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求，是落实等保制度的关键活动之一。

1.识别网络潜在风险，提升自身防护能力

日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战，网络运营者可以通过等保测评了解系统的安全防护现状，识别系统内、外部存在的安全隐患，并在此基础上通过加固整改提高系统的网络安全防护能力，降低被攻击的风险。

2.满足国家相关法律法规的要求

法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、警告等惩罚措施。

3.提升行业竞争力

是否开展等保工作是衡量企业信息安全水平的一个重要标准。对于企业来说，进行等保测评不仅能够有效地提高信息系统安全建设的整体水平，还能够在向外部客户提供业务服务时给出信息系统安全性承诺，增强客户、合作伙伴及利益相关方的信心。

 定级标准

在实际应用中，定级主要参考行业要求和业务的发展体量，例如普通的门户网站，定为二级已经足够，而存储较多敏感信息（如公民个人信息）的系统则需要定为三级或三级以上。大部分信息系统的安全保护等级处于二级或三级。

 常见定级对象

 定级流程

等保对象定级的一般工作流程包括：确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。

对于安全保护等级初步确定为第一级的等级保护对象，其网络运营者可依据标准自行确定最终安全保护等级，无需进行专家评审、主管部门核准及备案审核。

而对于安全保护等级初步确定为第二级及以上的等级保护对象，网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审，将定级结果报请行业主管（监管）部门核准，并按照相关管理规定，将定级结果提交公安机关进行备案审核。

 等保测评流程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动和报告编制活动。