二级等保测评通常每两年进行一次，这一周期基于行业共识和部分地区的监管实践形成。参照三级系统每年一测的要求，二级系统因风险等级较低，普遍采用两年一测的频率。部分行业明确要求二级系统每两年测评一次，其他行业可参照此标准执行。

　　一、二级等保测评几年一次

　　根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)及公安部151号令，二级等保系统原则上每三年进行一次测评，但需满足以下条件：

　　无重大变更：若系统未发生业务升级、架构调整、云迁移等重大变更，可按三年周期执行。

　　动态调整机制：若系统发生重大变更(如新增敏感数据存储、核心功能升级)，需主动补测，避免监管抽查时因超期或漏洞被追责。

　　行业实践参考：上海、广东等地公安机关明确指导：“关键信息基础设施、重要数据系统原则上三年一测，特殊情况按年度补充测评”。

　　建议：企业可每半年自查一次，检查制度落实、技术加固情况，重大变更后立即联系测评机构补测，避免临时抱佛脚。

　　二、等保三级与二级的级别对比

　　等保三级高于等保二级，具体差异如下：

　　对比维度等保二级等保三级

　　保护对象一般网络应用、小型网络服务重要网络服务、大型网络服务(如政务云、金融交易系统)

　　定级标准破坏后损害公民/法人权益或社会秩序破坏后损害国家安全或严重损害社会秩序

　　测评周期三年一测(特殊情况需补测)每年至少一次测评

　　测评内容约135项要求，聚焦基础访问控制、日志审计约211项要求，强化入侵防御、数据加密等动态防护

　　监管力度指导保护级，监管相对宽松监督保护级，强制要求每年测评，监管更严格

　　三、三级等保测评合格分数

　　根据规定，等保三级测评需达到70分以上才算及格，具体评分标准如下：

　　优：系统综合得分90分以上，存在安全问题但不会导致中、高等级安全风险。

　　良：系统综合得分80分以上(含80分)，存在安全问题但不会导致高等级安全风险。

　　中：系统综合得分70分以上(含70分)，存在安全问题但不会导致高等级安全风险。

　　差：系统综合得分低于70分，或存在导致高等级安全风险的问题。

　　测评内容：涵盖安全控制测评和系统整体测评两大板块，包括物理安全、网络安全、主机安全、应用安全、数据安全及安全管理等维度。

　　二级等保测评周期并非绝对固定，若系统发生重大变更，需立即补测以避免监管风险。企业应每半年自查一次，检查制度落实、技术加固情况，确保持续合规。测评报告有效期一般为1-3年，超期或未备案均视为无效，需重新测评。建议企业结合属地监管要求，动态调整测评周期。