你真的知道二级等保多久测评一次吗

免责声明：本公众号尊重知识产权，如有侵权请联系我们删除。

01

二级等保测评时间有文件依据吗

你知道二级等保多长时间测评一次吗？

关于三级等保每年测评一次这个是没有争议的，是有明确的文件依据。

但是二级等保多久测评一次呢，相信很多朋友搞不清楚？很多人说是二年，事实是这样吗？

根据笔者仔细考查，目前来看，针对通用行业还没有公开的文件明确表明二级等保每二年测评一次。接下来跟笔者一起来看一下吧，探寻二级等保测评的真相吧！

《信息安全等级保护管理办法（公通字[2007]43号）》第三章 等级保护的实施与管理第十四条内容如下：

 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

 经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

只说明第三级信息系统应当每年至少进行一次等级测评，对第二级系统没有明确要求。

《网络安全等级保护条例》（征求意见稿）第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评，发现并整改安全风险隐患，并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

没有对第二级系统等保测评提出明确要求。

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020）、《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018）等国标文件都没有提到二级等保测评明确时间周期。

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）提到“应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改”，但没有提二级等保测评具体周期。

02

二级等保是不是测评一次就行了

当然不是。《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）7.1.9.1等级测评提到：“应在发生重大变更或级别发生变化时进行等保测评”。

关于二级等保测评时间，并未有明确规定，参照行业共识和惯例，普遍按“三级系统每年一次、二级系统每两年一次”的频率要求做测评，可以根据属地监管部门相关要求开展，实际上，很多地区的公安网安部门会按照这个普遍共识进行监管，所以还是要以实际情况为准。

如果条件允许，还是建议每两年做一次测评。

03

哪些行业明确提出二级等保测评周期

《电力行业网络安全等级保护管理办法》第十三条 网络建设完成后，电力企业应当依据国家和行业有关标准或规范要求，定期对网络安全等级保护状况开展网络安全等级保护测评。第二级网络应当每两年进行一次等级保护测评，第三级及以上网络应当每年进行一次等级保护测评。新建的第三级及以上网络应当在通过等级保护测评后投入运行。

《医疗卫生机构网络安全管理办法》第二章网络安全管理第六条（四）各医疗卫生机构对已定级备案网络的安全性进行检测评估，第三级或第四级的网络应委托等级保护测评机构，每年至少一次开展网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评，其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。

除了行业要求外，一些地区也发布相关文件，明确了二级等保测试周期，这些都可以作为我们开展等保测评的依据。

04

总结

二级等保测评多久开展一次，还是要结合系统自身情况，根据地区要求、行业要求、属地监管部门要求定期开展测评工作。

如果觉得文章不错，分享给朋友一起来了解这个知识吧！

亲爱的朋友，若你觉得文章不错，请点击关注。你的关注是笔者创作的最大动力，感谢有你！

原文始发于微信公众号（菜根网络安全杂谈）：你真的知道二级等保多久测评一次吗