三级等保并非所有单位都强制要求，但涉及关键信息基础设施或公民隐私、社会秩序、公共利益的重要信息系统必须做。如金融、医疗、交通等行业核心系统，以及政府、军队等关键部门信息系统，若未开展三级等保测评，可能面临行政处罚、业务中断等风险。

　　一、三级等保是否必须做

　　三级等保并非所有信息系统都必须做，但特定行业和关键系统是强制要求。

　　根据《网络安全法》和《信息安全等级保护管理办法》，关键信息基础设施运营者(如金融、能源、交通、通信等行业)以及涉及公共服务或重要数据的单位(如政企单位、医疗机构、教育平台等)必须开展等保测评。具体而言，第三级及以上等级的信息系统是强制要求进行测评和备案的。若未开展等保测评，可能面临行政处罚、罚款，甚至业务中断等风险。

　　二、三级等保标准配置

　　三级等保标准配置涵盖物理安全、网络安全、主机安全、应用安全、数据安全及安全管理等多个方面，具体包括：

　　1.物理安全

　　机房应选择在具有防震、防风和防雨等能力的建筑内，避免设在建筑物的高层或地下室。

　　重要区域应配置电子门禁系统、防盗报警系统、监控报警系统。

　　机房应设置火灾自动消防系统、防水检测设备、温湿度自动调节设施，以及备用供电系统(如UPS或备用发电机)。

　　2.网络安全

　　网络边界应部署访问控制设备，启用访问控制功能，控制粒度为端口级。

　　应具备入侵防范、恶意代码防范能力，定期进行漏洞扫描和修补。

　　应实现网络设备用户的身份鉴别，限制非法登录次数，并具备登录失败处理功能。

　　3.主机安全

　　服务器应具备身份鉴别、访问控制、安全审计、防病毒等机制。

　　重要服务器应实现冗余部署，并定期进行漏洞扫描评估。

　　4.应用安全

　　应用系统应具备身份鉴别、审计日志、通信和存储加密等功能。

　　应部署网页防篡改设备，定期进行应用安全评估。

　　5.数据安全

　　应提供本地数据备份与恢复功能，每天备份至本地，且备份介质场外存放。

　　核心关键数据应提供异地数据备份功能，通过网络等将数据传输至异地进行备份。

　　6.安全管理

　　应建立完善的安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理制度。

　　应定期对网络系统进行安全审计，生成审计报表，并对审计记录进行保护。

　　三、三级等保标准机房

　　三级等保标准机房需满足严格的物理和环境安全要求，具体包括：

　　1.物理位置选择

　　机房应选择在具有防震、防风和防雨等能力的建筑内，避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

　　2.物理访问控制

　　机房出入口应安排专人值守，控制、鉴别和记录进入的人员。

　　重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

　　应对机房划分区域进行管理，区域和区域之间设置物理隔离装置。

　　3.防盗窃和防破坏

　　应利用光、电等技术设置机房防盗报警系统。

　　应对机房设置监控报警系统，对机房进行24小时监控。

　　4.防火

　　机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

　　机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

　　5.防水和防潮

　　应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

　　应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

　　6.温湿度控制

　　机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

　　7.电力供应

　　应建立备用供电系统，如UPS或备用发电机，确保在断电情况下设备能够正常运行。

　　8.电磁防护

　　电源线和通信线缆应隔离铺设，避免互相干扰。

　　应对关键设备和磁介质实施电磁屏蔽。

　　若企业信息系统属于上述强制要求范围，三级等保必须做，否则将违反《网络安全法》等相关法规，面临法律责任和安全隐患。即使不属于强制范围，也建议开展等保测评，以提升系统安全性、满足业务合规性要求，避免潜在的网络攻击和数据泄露风险。