等级保护评测需先完成系统定级，二级及以上系统需经主管部门审批或专家评审，并向公安机关备案。随后开展安全建设整改，对照等保要求识别差距，部署防火墙、加密设备等安全措施，完善管理制度，整改完成后提交备案报告，跟着小编一起详细了解下吧。

　　一、等级保护评测要怎么做

　　等级保护评测是依据国家信息安全等级保护制度，对信息系统安全防护能力进行评估和认证的过程，核心流程分为以下五步：

　　系统定级

　　自主定级：运营单位根据《信息系统安全等级保护定级指南》，结合系统业务重要性、数据敏感性及遭受破坏后的影响范围，自主确定安全保护等级。

　　审批与评审：有主管部门的需经审批;拟定为四级及以上的系统，需组织专家评审会。

　　备案要求：二级及以上系统需在投入运营后30日内，向所在地市级及以上公安机关备案，公安机关审核后颁发《等级保护备案证明》。

　　安全建设整改

　　差距分析：对照等保技术和管理要求，识别系统当前安全措施的不足，如未部署防火墙、未制定安全策略等。

　　整改实施：采购安全设备、优化系统配置、完善管理制度。

　　整改备案：整改完成后需将整改报告提交公安机关备案，确保系统符合等保要求。

　　等级测评

　　测评机构选择：需选择经公安部认证的测评机构，确保其具备CNAS、CMA等资质。

　　测评内容：

　　技术测评：涵盖物理安全、网络安全、主机安全、应用安全、数据安全等10类技术要求。

　　管理测评：包括安全管理制度、人员安全管理、应急响应机制等5类管理要求。

　　测评方法：通过漏洞扫描、渗透测试、配置审查等手段，模拟黑客攻击以验证系统防御能力。

　　测评周期：三级系统每年至少一次，四级系统每半年一次，五级系统按需测评。

　　报告编制与结果确认

　　测评报告：汇总测试结果，详细描述系统存在的安全风险，并提出整改建议。

　　结果判定：

　　一票否决：若系统中存在高风险漏洞，测评直接判定为不合格。

　　得分制：无高风险且测评项综合得分≥70分为基本符合;70分以下为差;70-80分为中，80-90分为良，90分以上为优。

　　结果确认：测评小组与系统管理员共同讨论结果，核实测试准确性。

　　监督检查与持续改进

　　公安机关检查：备案系统需接受公安机关的定期或不定期安全检查，检查频次与测评周期一致。

　　长效机制：通过测评后，企业需建立年度安全自查、三年全面复测的机制，持续更新安全防护体系以应对新威胁。

　　二、等级保护测评费用依据

　　等保测评费用受系统等级、规模、复杂度、地区差异及服务商选择等因素影响，具体费用构成如下：

　　基础测评费

　　二级系统：费用范围为2万-10万元，常见区间为4万-8万元。

　　三级系统：费用范围为7万-20万元，常见区间为10万-15万元。

　　四级及以上系统：费用更高，需根据系统具体情况和服务商报价确定，通常不低于20万元。

　　调节因子：

　　系统规模：服务器数量越多，费用越高。例如，20-49台服务器的系统，调节因子B1为1.0-1.2，费用相应上浮。

　　多系统测评：同时测评多个系统时，费用可打折。测评6-10个系统时，调节因子B2为0.8。

　　重复测评：由同一家机构对未做重大变更的系统再次测评时，费用可打8折。

　　三、密码应用安全性评估费

　　三级系统强制要求：根据GB/T 39786-2021标准，三级系统必须进行密评，费用独立计算，标准预算为8万-12万元。

　　评估内容：包括密码技术应用合规性检测、密钥管理安全性验证、密码设备安全性评估等。

　　整改服务费

　　常见整改项目：

　　安全设备采购：防火墙、堡垒机、日志审计系统等必备设备费用约8万-15万元。

　　系统加固服务：漏洞修复、配置优化等费用约3万-5万元。

　　弹性空间：约80%的系统首次测评后需要整改，建议预留总费用20%的弹性空间。

　　地区差异与服务商选择

　　地区差异：一线城市费用通常高于二三线城市。

　　服务商选择：国字头机构费用相对较高，民营机构价格更灵活。建议选择具有CNAS认可资质的机构，确保测评质量。

　　行业与系统复杂度影响

　　关键行业：金融、医疗等行业的系统因业务连续性要求高，费用通常上浮20%-30%。

　　复杂系统：涉及云计算、大数据、物联网等新技术的系统，因测评难度大，费用可能增加30%-50%。

　　等级保护测评对系统进行技术和管理测评，三级系统每年测评一次。测评后编制报告，明确风险与整改建议，结果经双方确认后提交公安机关。通过测评的系统需接受定期监督检查，并建立长效安全自查机制，持续优化防护体系。