机房等保测评(机房等保标准)等保测评可以说是对信息和信息载体按照重要性等级分级别进行保护的一种工作，也可以说是一项网络安全测评的方法。等保测评是对于需要进行等级保护的信息或信息系统根据等级保护测评指南开展相关的测评活动，是由公安部主导的这项网络安全测评活动。

　　等保测评是由具有等级保护测评资质的测评机构来完成这个测评工作，开展等级保护测评的机构需要获得等保备案运营单位或者公司所在当地的公安认可，否则测评报告也许会被判无用。

　　首先是为了提高保障水平以及优化资源分配，以等保为契机，统一系统化进行安全规划和建设，能有效的提高信息安全保障工作的整体水平，有效解决信息系统面临威胁和存在的主要问题，将有限的财力、物力、人力投入到重点工作当中，发挥最大的安全经济效益。再次就是因为国家发布《网络安全法》，根据相关规定有义务的不做相关等保测评的进行罚款，企业罚款相关负责人也要罚款哦。

　　等保测评工作通常分为以下五步，但是这五步并不是必须都要做的，必须要做的就是系统定级、系统备案、等级测评。其他两步是根据需求进行做就可以了。

　　1、系统定级

　　首先第一步就是系统定级，进行这个系统定级需要完成定级对象、系统等级、定级报告这个三个东西。

　　首先看下这个定级对象，这个定级对象也就是指的我什么信息系统要做这个等保测评，一般的企业里面比如说OA系统、资金监管系统、ERP系统等等，这些是要求做等保测评的，这里确定好自己企业要做等保测评的系统就可以了

　　第二个就是要确定系统等级，说是要做等保测评那你总得知道我的系统要做几级的等保测评吧，但是这个等保测评等级也不是你随便说我做几级就做几级的，也是有相关发文说明的，在《信息系统安全等级保护定级指南》中有相关说明，测评等级一共是分为五个等级，这五个等级是根据等级保护对象在受到破坏时侵害的客体以及对客体造成侵害程度进行区分的

　　一般企业做等保测评的话比较多的就是二级和三级，像银行对社会秩序、公共利益和国家安全造成严重侵害，这种的要求做四级或者五级

　　最后一个就是定级报告了，这个定级报告一般来说很简单的，按照模板写一下就可以了，但是要求是必须是信息系统管理员填写，这个遇到好的等保测评机构就会帮着写，遇到比较强硬的那就自己写吧谁也没有办法。定级报告内容包含：信息系统详细描述、安全保护等级确定、系统服务安全保护等级确定。偷偷透露一下，这个定级报告的内容要写蛮多的呢，这个尽量去让测评机构帮忙写，不然来来回回跑公安部麻烦的很!

　　2、系统备案

　　根据要求第二级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。

　　3、建设整改

　　信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。其实这个建设整改说白了就是等保测评机构先给你看看有哪些不满足要求的，然后给你说一下让你先改改，后面再进行测评，省的一次一次又一次的测麻烦。

　　4、等级测评

　　信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态，这个就是到了他们测评机构真正上场的时候了，他们会根据信息系统情况去出一份测评报告和整改报告，根据这些报告然后再去公安部进行报备最后发放证书。

　　5、监督检查

　　公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。这个监督检查吧说白了就是怕有人拿假的东西来糊弄他，然后每年进行一次抽查，这个抽查是在一个行业里面抽查几家，然后他们去做测评工作，看看是否和测评报告写的一致，一致的话就平安无事，不一致的话直接系统当场停掉，然后交罚款，当时测评的测评机构也面临着摘牌的风险。

　　什么系统需要做等保测评? 党政系统 金融系统 财税系统 经贸系统 电信系统 能源系统 交通运输系统 供水系统 社会应急服务系统 教育科研系统 国防建设系统 物联网业务

　　这个等保测评多久做一次?

　　根据规定一级系统三年或多年，二级系统两年一次，三级系统一年一次，四级系统半年一次，五级系统随时做。

　　这个测评肯定会测哪些东西呢?

　　首先这个等保测评会对机房的物理环境、网络、主机、安全、应用、数据这五个大块进行检测

　　信息安全等级保护工作在大部分人看来都是比较繁琐的，流程多，持续时间长，工作人员承压不小，但事实情况真的是这样吗? 等级保护测评主要有哪些环节?测评哪些方面?小编今天想和大家捋一捋关于等保测评流程方面的知识~ 等级保护测评是什么?

　　网络安全等级保护测评是指网络系统运营、使用单位委托具有等级保护测评资质的测评机构，按照有关管理规范和技术标准，对处理特定应用的网络和信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。 等级保护测评主要测什么?

　　安全技术测评

　　包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心

　　安全管理测评

　　包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 等保测评技术层面主要测试哪些?

　　机房

　　本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评，分析其中的问题以及不符合要求的地方。

　　业务应用软件

　　本测评单位将对信息系统运营使用单位重要信息系统进行测评，从应用软件的安全机制方向，分析应用系统中存在的安全隐患与问题。

　　主机操作系统

　　本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评，从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

　　数据库系统

　　本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评，从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

　　网络设备

　　本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评，从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。 等保测评有哪些主要环节?

　　定级——备案——测评——系统安全建设——监督检查

　　定级

　　第一级(自主保护级)，网络和信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

　　第二级(指导保护级)，网络和信息系统受到破坏后，对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

　　第三级(监督保护级)，网络和信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

　　第四级(强制保护级)，网络和信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

　　第五级(专控保护级)，网络和信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

　　总结：原则上，定级为二级及以上的信息系统都是需要做等保测评的。区县的系统基本都是二级;省级单位门户网站，地级市重要行业的门户网站是三级;涉及到工作秘密、敏感信息的系统，信息泄露出去或者被非法篡改会引起民众恐慌、社会秩序混乱、破坏国家安全的系统都要定到三级;地级市及省级单位其他不涉及敏感信息、重要信息的一般系统定到二级。 备案

　　一、备案流程

　　运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的，应当重新定级、重新备案。对于重新定级的，公安机关一般会建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。

　　二、备案管辖

　　(一)管辖原则。

　　备案管辖分工采取级别管辖和属地管辖相结合。

　　(二)中央在京单位。

　　隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门，下同)受理备案。

　　(三)中央驻粤及省直国有单位。

　　隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。

　　上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。

　　(四)其他单位。

　　其他单位的信息系统由所在地地级以上市公安机关网监部门备案。 网络安全等级测评

　　一、测评程序

　　计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：

　　(一)安全测评委托书;

　　(二)计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。

　　安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。

　　经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托。

　　二、测评监督

　　测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

　　三、日常测评

　　计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：

　　(一)变更关键部件;

　　(二)安全测评时间满一年;

　　(三)发生危害计算机信系统安全的案件或安全事故;

　　(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;

　　(五)其他应当进行安全自查和安全测评的情形。

　　第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。

　　自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

　　四、测评争议解决

　　申请单位认为安全测评报告的合法性和真实性存在重大问题的，可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。公安机关公共信息网络安全监察部门应当在收到申诉材料后30个工作日内进行核查，作出异议处理决定。

　　系统安全建设

　　运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

　　PS：系统建设整改。对于未达到安全等级保护要求的，运营、使用单位应当进行整改。整改完成应当将整改报告报公安机关备案。 监督检查

　　公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

　　PS：受理备案的公安机会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。