等级保护测评，全称叫“网络安全等级保护测评”，包括定级、备案、建设整改、等级测评、监督检查五个步骤，俗称“等保测评”。

开展等保测评工作是非常有必要的；对于管理网络安全建设来说，起到监督指导作用；对于企业来说，可以获得更科学的网络安全建设指导，为企业的网络安全建设做出合法记录。如果将来出现网络安全问题，很容易就能够找到原因。同时，它可以在一定程度上避免不必要的损失。

当然，关于等保测评，大家肯定有很多疑问，接下来陆陆科技通过这篇文章为大家讲解一下。

1、等级保护只是做一个简单的测评就可以了吗？

不是的，等级保护工作并不是简单测评一下就可以了，测评只是等级保护工作的开始。

等保备案和等保测评只是监督这项工作落实的法定程序。等级保护工作不仅是一个测评，而是包含：定级、备案、建设整改、等级测评和监督检察这五项内容。

测评只是工作的开始，更重要的是通过测评可以寻找差距，分析出目前系统存在的风险，及时查漏补缺，进行安全建设整改，提高信息系统的安全防护能力，降低系统受到攻击破坏的概率。

2、完成等保测评后，系统就没有安全问题了？

并不是！目前，想仅仅通过等保测评来保证系统的绝对安全，是不可能的。

通过测评、整改、落实等级保护制度，确实可以规避大部分的安全风险。不过就目前测评的结果来讲，几乎没有任何一个被测系统能全部满足等保要求。目前，等级保护测评一般情况下只要不存在高危安全风险，都可以通过测评。

且安全是一个动态调整、跟进的过程，而不是通过一次测评，就可以一劳永逸的。

3、内网系统需不需要做等保测评？

需要，无论系统在内网还是外网都需要开展等保工作。

实际上，所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系。而且，在内网的系统往往其网络安全技术措施做的并不是很好，甚至不少系统已经中毒了。

内网一旦中毒，扩散很快，而且难以清除，因为很多技术措施都没有，几乎属于裸奔的状态，一旦中毒很容易垮掉。

4、等保测评结论不符合标准要求，是不是等级保护工作白做了？

等级保护测评结论不符合标准要求，表示目前该信息系统存在高危风险或者整体安全性较差，不符合等保的相应标准要求，但这不代表等级保护工作白做了。

即便你拿着不符合标准要求的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前问题较多，没有达到相应标准。

5、等保测评是给整个单位做测评吗？

不是的，虽然各单位要根据相关体系做好等级保护工作，但其实等保测评是按照信息系统来的，并不是以单位为一个测评整体。一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等。

当然，除了测评这些具体的实体对象，还会测评相对应的安全管理制度。

就目前而言，定级为二级的系统需要测评的对象有175项，定级为三级的系统需要测评的对象有23项。

许多企业只为过等保才开展等保工作，开展等保工作也只是采用信息系统安全的最低标准方案，甚至有些企业在开展等保工作时也是非常不情愿的，从而忘记了等保工作的真正意义。

我们经常听到或看到XX网站的网页被篡改，用户敏感信息被泄露，还有更多我们不知道的小规模安全事件，但仍然在发生。 总而言之，企业开展等保工作不仅只是为了响应号召，配合政策，最主要的还是为企业自身信息安全做考虑，受益方也是企业自身。