等保测评全称为信息安全等级保护测评，是依据国家网络安全等级保护规范，由具备资质的测评机构对信息系统安全保护状况进行检测评估的活动。其核心目的是验证系统是否满足相应安全等级要求，通过识别安全隐患推动整改加固，保障信息系统可用性、完整性和保密性。

　　等保测评如何申请?

　　一、申请阶段：资质准备与材料提交

　　1.申请条件

　　申请机构需具备独立法人资格，拥有固定办公场所及专业测评团队。

　　团队中至少包含3名通过国家测评师认证的专业人员，且近两年内无重大安全违规记录。

　　需具备开展测评所需的实验环境、工具设备(如漏洞扫描器、渗透测试平台)及完善的管理制度。

　　2.申请材料

　　基础文件：网络安全等级保护测评机构推荐申请表、营业执照副本、法人身份证复印件。

　　服务能力证明：近两年网络安全服务项目清单(含合同、用户证明)、测评工具清单及设备照片。

　　人员资质：测评师证书、社保缴纳记录、技术负责人简历及安全领域从业证明。

　　管理制度：包括质量手册、项目管理流程、应急响应预案等文档。

　　3.提交与初审

　　申请机构向所在地省级等保办(通常为公安机关网安部门)递交材料，等保办在10个工作日内完成初审。

　　初审未通过的机构需在30日内补充材料，逾期未提交视为放弃申请。

　　二、测评阶段：从准备到报告出具

　　1.系统定级与备案

　　定级：运营单位根据《信息系统安全等级保护定级指南》，自主确定系统等级(一级至五级)，四级及以上需专家评审。

　　备案：定级后30日内，向市级及以上公安机关提交《信息系统安全等级保护备案表》，审核通过后颁发备案证明。

　　2.建设整改

　　根据备案等级，对照《网络安全等级保护基本要求》(GB/T 22239)，从物理安全、网络安全、主机安全、应用安全、数据安全五个维度进行整改。

　　示例：三级系统需部署防火墙、入侵检测系统(IDS)、数据加密设备，并建立双因素认证机制。

　　3.选择测评机构

　　运营单位需选择经国家认证的测评机构(可通过等保办官网查询资质)，签订测评合同并明确测评范围、方法及周期。

　　4.现场测评

　　访谈与文档审查：测评团队检查安全管理制度、人员培训记录、应急预案等文档。

　　技术检测：通过漏洞扫描、渗透测试、日志分析等手段，评估系统安全性。

　　物理环境检查：验证机房防火、防雷、门禁等设施是否符合标准。

　　5.报告编制与复核

　　测评机构在30个工作日内出具测评报告，列明符合项与不符合项，并提出整改建议。

　　报告需经测评联盟技术复核，确保结论客观公正。

　　三、整改与复测阶段：闭环管理

　　1.整改实施

　　运营单位根据报告制定整改方案，明确责任人、措施及时限。

　　示例：修复高危漏洞、优化访问控制策略、加强数据备份频率。

　　2.复测与复评

　　整改完成后，测评机构进行复测，验证问题是否解决。

　　复评通过后，测评机构出具最终报告，并提交等保办备案。

　　四、认证与持续监督阶段：长效合规

　　1.证书颁发

　　等保办审核通过后，颁发《网络安全等级保护测评合格证书》，有效期两年。

　　证书到期前3个月，需重新进行测评以延续资质。

　　2.监督检查

　　公安机关对三级及以上系统每年至少检查一次，四级系统每半年检查一次。

　　检查内容涵盖制度执行、设备运行、日志审计等，发现问题需限期整改。

　　3.动态调整

　　若系统功能或业务范围发生重大变化，需重新定级并启动新一轮测评流程。

　　测评流程涵盖系统定级、备案、建设整改、等级测评和监督检查五步闭环。企业需先根据业务重要性确定系统等级，完成备案后对照标准整改技术与管理措施，再由测评机构验证合规性。该制度是国家网络安全基本要求，通过测评可降低数据泄露风险，满足金融、医疗等行业合规需求，增强用户信任。