等保测评：定期几年一次，保障信息安全

　　不少企业对于等保测评还不是很了解，等保测评是一项周期性、连续性的工作。关于系统测评时间有明确规定，二级信息系统每两年测评一次，三级信息系统明确规定每年测评一次，四级信息系统每半年测评一次。等级保护测评步骤是什么样的？我们今天就一起来了解下吧。

　　等保测评几年做一次？

　　1.等保测评是一项周期性、连续性的工作，不同等级要求0.5-2年做一次。

　　许多企事业单位认为等级保护是一项正式的工作，抱着应对的态度，觉得做完这个就拉倒。需要持续进行等级保护，尤其是等保测评。不同级别的系统会有不同的评价周期要求：4级00.5年一次，3年一次，2年一次，2年一次(有行业差异，但都明确或建议2年一次)

　　等级保护评估是对系统保护水平的测试，不应处理。如果企业事业单位的制度按照等保险要求认真做好，同时也能有效地做好网络安全工作。

　　2.如果你不做等级保护，你可能会面临惩罚

　　很多企事业单位认为，只要不涉及网络安全、网络攻击事件，就可以不做等级保护，没有事故。《中华人民共和国网络安全法》第二十一条已作出相关规定（具体内容不再重复）。如果系统运营商未能进行等级保护，则属于违反其他义务的行为，可能会受到处罚。以前也有类似的报告，所以及时进行等级保护。不要等到受到惩罚。

　　安全总是相对的，但要及时做好。严格执行政策法规的要求，也是保护企事业单位安全的一项措施。

　　3.即使系统在内网，也需要及时进行等级保护

　　很多企事业单位将系统存在于单位内网或专网中，认为不对外=安全，这样就不能进行等级保护工作。

　　只要不是机密系统，就需要等级保护，这与网络无关。此外，内部网络的保护措施可能比外部网络弱，但容易中毒和攻击。因此，即使是内部网络系统也应及时进行等级保护！

　　内部网络并不意味着安全，现在很少有纯粹的物理内部网络，其中大部分或多或少与互联网相连。一旦内部网络中毒，它会迅速传播，很难清除，因为没有许多技术措施，几乎处于裸奔状态。一旦中毒，它很容易交叉。

　　4、等保测评以系统为单位，不能针对单位整体进行

　　在现实中，许多企业事业单位不了解等级保护的意义。他们错误地认为这是为单位开展的业务，并觉得对自己的单位进行等级保护评估已经完成。等保测评如果以系统为单位，需要做多少次信息系统等保测评。

　　信息系统通常由服务器、主机、数据库、设备等多种物体组成，等保测评除实物测量外，还需要测量相关的安全管理制度。

　　5、等保测评整改后的费用由系统的等级、措施等决定，不一定很高

　　总有企事业单位担心等保测评安全建设整改需要花费大量资金。等待整改需要花多少钱，与信息系统的水平、现有的安全保护措施和网络运营商对评估分数的期望有关，不一定很高，可能不会花钱！

　　等级保护测评步骤

　　测评准备活动

　　由于信息系统安全测评受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响，因此，在测评实施前，应充分做好测评前的各项准备工作。测评实施准备工作主要包括如下内容：明确测评目标、确定测评范围、组建测评团队、召开测评实施工作启动会议、系统调研、确定系统测评标准、确定测评工具、制定测评方案、测评工作协调、文档管理和测评风险规避等 11 项准备工作。同时，信息系统安全测评涉及组织内部有关重要信息，被评估组织应慎重选择评估单位、评估人员的资质和资格，并遵从国家或行业相关管理要求。

　　方案编制活动

　　本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书，形成测评方案。

　　现场测评活动

　　现场测评是测评工作的重要阶段。风险评估中的风险识别阶段，对应现场测评，通过对组织和信息系统中资产、威胁、脆弱性等要素的识别，是进行信息系统安全风险分析的前提。现场测评活动通过与测评委托单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。

　　现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。

　　分析与报告编制活动

　　本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和 GB/T28448—2012 的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

　　以上就是关于等保测评几年做一次的相关内容，随着网络攻击的不断增多，企业的要求越来越高，安全性至关重要。单位对于信息系统的使用频率增加，安全隐患也逐渐增加，等保测评是对于网络安全的保护，在互联网时代尤为重要。