有客户咨询，单位运营的网站和软件系统，被当地监管部门通知，需要做等保测评。这个等保测评是什么，必须做吗？如何做呢？今天丁老师给你解答。

等保测评介绍
等保全称信息安全等级保护，是我国对网络和信息系统安全的强制性保护制度，旨在通过分不同的级别，来保护信息系统、规范安全措施，保障网络系统的重要信息和安全性。其核心是根据系统的重要程度、承载数据的敏感级别、受破坏后的影响范围等因素，将信息系统划分为五个安全等级（从1到5级），并按对应等级的安全标准进行建设、测评和整改，确保系统达到相应的安全防护能力。比如，2级等保适用于“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害”的场景，而3级等保则覆盖“对社会秩序和公共利益造成严重损害”的系统。

而等保测评，全称为信息安全等级保护测评，是依据我国《信息安全等级保护管理办法》及相关规范和技术标准，由经公安部认证的具有资质的测评机构，对信息系统、数据资源、云计算、物联网、工业控制系统等对象的安全等级保护状况进行全面检测和评估的过程。

等保测评必须做吗？
必须做。根据《中华人民共和国网络安全法》第21条规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。其中，3级及以上的信息系统，等保测评是强制性的；对于2级及以下的信息系统，虽一般不强制进行等保测评，但也建议遵循相关要求以提高安全性。

根据《网络安全法》第五十九条规定，如果企业拒不改正、或者导致危害网络安全等后果，将对企业处以罚款。一般网络运营者处一万元以上十万元以下罚款，关键信息基础设施的运营者处十万元以上一百万元以下罚款。对于直接负责的主管人员和其他直接责任人员，一般网络运营者的直接责任人员处五千元以上五万元以下罚款，关键信息基础设施运营者的直接责任人员处一万元以上十万元以下罚款。在情节严重的情况下，企业可能会被暂停相关业务、关闭网站，甚至吊销相关业务许可证或营业执照。

等保测评怎么做？
等保测评可由具备相关资质的第三方测评机构来做。按照国家标准，对信息系统（如网站、APP、内部软件系统等）的安全防护能力进行全面检测和评估的过程，最终出具《等级测评报告》。
等保测评的开展具体分为以下几个步骤：

一、确定测评范围和等级
    • 确定要测评的系统是什么，是企业的官网、APP，还是企业内部的OA、CRM、ERP等管理系统。
    • 确认需要评测的等级，如果不清楚，可先查阅《网络安全等级保护定级报告》，或者直接咨询第三方测评机构。

二、自查并整改基础安全问题
查看对应等级的《网络安全等级保护基本要求》，自行排查可能出现的安全问题：
    1.网络层：是否安装软硬件防火墙、是否关闭了非必要的端口。
    2.主机层：服务器是否打了最新补丁、是否安装杀毒软件、弱密码是否整改。
    3.应用层：对网站进行扫描，查看是否有sql注入、xss等漏洞，是否有安全漏洞，后台登录是否有验证码双因素认证。
    4.数据层：敏感数据是否加密存储、是否定期备份、是否异地备份。
    5.管理层：是否有基本的安全制度（如账号管理制度、应急响应预案等）。

三、准备相关材料清单
    1.企业营业执照、法人身份证复印件（加盖公章）。
    2.系统拓扑图（如服务器、网络设备位置之间的联系关系）。
    3.服务器配置信息（IP地址、操作系统版本、部署位置等信息）。
    4.已有的安全设备证明（如防火墙、WAF的购买合同或配置截图）。
    5.安全制度文件（电子版纸质版盖章）。

四、选择测评机构
    •  资质要求：必须选择公安部推荐的等级保护测评机构，可在全国网络安全等级保护测评机构推荐目录查询，各省公安厅官网也有本地机构名单。无资质的机构出具的报告无效。
    • 费用及流程：
        1.联系第三方测评机构说明测评需求，对方会派工程师初步评估系统复杂度并报价。价格为按系统规模收费，通常为几万到几十万不等。
        2.签订测评服务合同，明确测评范围、时间和交付物（需包含正式的《等级测评报告》）。

五、开始测评
测评由第三方测评机构进行主导，甲方只需要进行配合即可。测评周期一般在1-2周左右，具体视系统复杂度而定。
测评分为技术测评和管理测评两部分。

    • 技术测评（现场远程检测），包含：
        1.网络安全：扫描防火墙、路由器配置，检查是否有违规端口开放、日志是否完整（需保存个6月以上）。
        2.主机安全：远程登录服务器，检查操作系统补丁、账号权限、杀毒软件病毒库是否更新。
        3.应用安全：用专业工具（如AWVS、BurpSuite）扫描网站漏洞，测试登录接口是否防暴力破解、数据传输是否加密（安装SSL证书）。
        4.数据安全：检查数据库敏感字段是否加密（如手机号、身份证号），备份文件是否可正常恢复（会随机抽查次恢复测试）。

    • 管理测评（文档审核+人员约谈）
        1.审核安全制度是否完整，如是否有员工安全培训记录、应急演练计划等。
        2.约谈技术负责人，询问日常漏洞修复流程、数据备份频率等，询问内容及答复需与相关制度文件一致。

六、整改/合格
    1.收到初测报告：在测评完成后，第三方测评机构会出具《等级测评问题清单》，列出不达标项。
    2.针对问题整改：根据清单对问题进行整改，整改后提交《整改报告》给评测机构。
    3.再次测评：机构会复查整改情况，确认所有关键问题解决后，出具正式的《网络安全等级保护测评报告》，报告结论为符合即通过。

七、注意事项
    1.云服务器用户：可提前联系IDC服务商获取安全责任划分证明，部分安全项（如物理安全、底层主机防护）由云主机服务商负责，测评时需提供相关的合规证明（如阿里云的等保合规白皮书等）。
    2.时间安排：建议提前个月启动，预留整改时间（初测不通过很常见，复测可能需要周）。
    3.报告用途：拿到合格报告后，需在日内到当地公安机关网安部门备案，完成最终的等保合规流程。

丁老师建议：
针对等保测评，如果是第一次做，建议直接联系本地的第三方测评机构，他们会提供详细的材料清单和流程指引，其实就相当于代办，你什么也不用管，只需要配合就好。从发现问题到解决问题，第三方评测机构都能解决，他们也有对应的技术团队，当然，这也会增加费用成本，据丁老师了解第三方测评技术团队工程师收费在1500-2500/天左右，成本颇高。如果想节约成本，可提前安排技术人员对系统进行自查，然后整改，这样不但能减少复测次数、节省时间，而且也能降低评测的费用成本。

针对网站/系统等保测评问题，欢迎联系丁老师进行咨询和交流。