关于我们

三级等保评测有哪些内容？三级等保评测的内容和标准概览

网络安全等级保护（简称等保）是国家为了保障信息系统安全，制定的一套基本制度、基本策略和基本方法。根据《网络安全法》的规定，所有涉及公民个人信息、重要数据和关键信息基础设施的网络运营者，都应当按照等保的要求，进行自主或者第三方的安全测评，并将测评结果报送相关部门备案。

等保将信息系统分为五个等级，从低到高分别是第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）和第五级（专控保护级）。其中，第一级是建议性的，不强制执行；第五级是涉及国家秘密的，不适用于普通企业。因此，对于大多数网络运营者来说，需要关注的是第二级、第三级和第四级的测评要求。

本文将重点介绍三级等保的测评内容和标准，帮助您了解三级等保的基本概念、测评流程、测评范围、测评要求和测评方法，以及如何通过合规建设和整改措施，顺利通过三级等保的认证。

什么是三级等保？

三级等保是指对于信息系统安全等级为第三级的网络运营者，需要进行的安全测评和认证。根据《网络安全等级保护定级指南》，信息系统安全等级由两个方面确定：业务信息安全（S）和系统服务安全（A）。业务信息安全是指信息系统处理的数据或信息的重要性和受到破坏后的危害性；系统服务安全是指信息系统提供的服务或功能的重要性和受到破坏后的危害性。两者都分为五个等级，从低到高分别为S1、S2、S3、S4、S5和A1、A2、A3、A4、A5。信息系统安全等级由两者中较高者确定，即：

如果S=A，则信息系统安全等级=S=A；

如果S>A，则信息系统安全等级=S；

如果S<A，则信息系统安全等级=A。

例如，如果一个信息系统的业务信息安全为S3，系统服务安全为A2，则该信息系统的安全等级为S3。

那么，如何判断一个信息系统的业务信息安全和系统服务安全呢？这就需要根据受侵害客体和对客体侵害程度两个定级要素来确定。受侵害客体是指在信息系统中可能受到侵害或破坏的对象，包括国家利益、社会公共利益、公民合法权益、组织合法权益和其他利益。对客体侵害程度是指在信息系统受到破坏后，对受侵害客体造成的损害程度或影响程度。两者都分为五个等级，从低到高分别为L1、L2、L3、L4、L5。

例如，如果一个信息系统处理的数据或信息涉及国家秘密或国家重要战略资源，并且受到破坏后会对国家造成特别严重损害，则该数据或信息的受侵害客体为国家利益（L5），对客体侵害程度也为特别严重（L5），因此，该数据或信息的业务信息安全为S5。

具体的定级标准和示例，可以参考《网络安全等级保护定级指南》的附录。

那么，什么样的信息系统需要进行三级等保呢？根据《网络安全等级保护定级指南》，三级等保适用于以下情况：

业务信息安全或系统服务安全为第三级的信息系统；

业务信息安全或系统服务安全为第四级或第五级的信息系统，但经专家评审、主管部门审批、公安机关备案审查后，确定为第三级的信息系统。

一般来说，三级等保适用于以下类型的信息系统：

涉及国家重要经济社会信息基础设施的信息系统，如电力、交通、水利、金融、公共服务等；

涉及国家重要政务活动和社会管理活动的信息系统，如政府网站、政务服务平台、社会信用体系等；

涉及大量公民个人信息和重要数据的信息系统，如电子商务、社交媒体、互联网医疗等；

涉及国家重要科研项目和技术创新活动的信息系统，如国家重点实验室、高校科研机构、高新技术企业等。

三级等保测评流程是什么？

三级等保测评流程是指网络运营者为了通过三级等保认证，需要遵循的一系列步骤和规范。根据《网络安全等级保护管理办法（征求意见稿）》，三级等保测评流程主要包括以下几个环节：

等级确定：网络运营者根据《网络安全等级保护定级指南》，对自身的信息系统进行初步定级，并提交相关材料给主管部门；

专家评审：主管部门组织专家对网络运营者提交的材料进行评审，并出具评审意见；

审批备案：主管部门根据专家评审意见，对网络运营者的初步定级进行审批，并将审批结果报送公安机关进行备案审查；

安全测评：网络运营者委托具有资质的第三方测评机构，对自身的信息系统进行安全测评，并出具测评报告；

测评备案：网络运营者将测评报告报送主管部门和公安机关进行备案，并按照要求进行整改和复查；

测评更新：网络运营者应当每年对自身的信息系统进行一次安全测评，并将测评结果报送相关部门备案。

三级等保测评范围有哪些？

三级等保测评范围是指在进行三级等保测评时，需要涵盖的信息系统的各个方面和层面。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），三级等保测评范围主要包括以下五个方面：

组织管理：是指网络运营者在组织结构、人员管理、制度建设、培训教育、应急预案等方面，建立和完善相应的管理措施和流程，确保信息系统安全运行；

物理环境：是指网络运营者在物理设施、

物理环境：是指网络运营者在物理设施、电力供应、环境控制、防火防水、防雷防静电等方面，采取有效的保护措施，防止信息系统受到物理因素的损害；

网络安全：是指网络运营者在网络架构、网络设备、网络协议、网络接入、网络隔离、网络监控等方面，采取合理的技术手段，保障信息系统的网络连通性和可用性，防止信息系统受到网络攻击和威胁；

系统安全：是指网络运营者在操作系统、数据库系统、应用系统、中间件系统等方面，采用规范的配置管理、漏洞管理、补丁管理、日志管理等方法，确保信息系统的正常运行和数据完整性，防止信息系统受到恶意软件和非法操作的影响；

数据安全：是指网络运营者在数据分类、数据加密、数据备份、数据销毁、数据传输等方面，遵循最小权限原则和最低风险原则，实施有效的数据保护措施，保护信息系统中的数据或信息不被泄露、篡改或丢失；

安全审计：是指网络运营者在安全策略、安全规范、安全检查、安全评估等方面，建立和执行相应的安全审计制度和程序，定期对信息系统的安全状况进行检查和评估，并及时发现和处理安全问题。

以上五个方面构成了三级等保测评的基本范围，每个方面都有相应的测评要求和测评方法。具体的测评要求和测评方法，可以参考《信息安全技术网络安全等级保护技术要求》（GB/T22240-2019）和《信息安全技术网络安全等级保护测评方法》（GB/T28448-2019）。

三级等保测评要求有哪些？

三级等保测评要求是指在进行三级等保测评时，需要满足的具体的安全标准和规范。根据《信息安全技术网络安全等级保护技术要求》（GB/T22240-2019），三级等保测评要求主要包括以下几个方面：

组织管理要求：是指网络运营者需要建立健全的组织管理体系，包括：

建立专门的信息安全管理机构或部门，并明确其职责和权限；

制定完善的信息安全管理制度和规范，并进行有效的实施和监督；

对涉及信息系统安全的人员进行必要的背景调查和身份验证，并进行定期的培训和考核；

建立健全的信息系统资产管理制度，并对资产进行分类和标识；

建立健全的信息系统变更管理制度，并对变更进行记录和审批；

建立健全的信息系统外包管理制度，并对外包服务提供商进行严格的选择和监督；

建立健全的信息系统应急管理制度，并制定应急预案和应急演练计划；

建立健全的信息系统风险管理制度，并进行定期的风险分析和评估；

建立健全的信息系统安全事件管理制度，并进行有效的事件报告和处置；

建立健全的信息系统安全审计制度，并进行定期的审计检查和评估。

物理环境要求：是指网络运营者需要采取有效的物理保护措施，包括：

对信息系统的物理设施进行合理的布局和隔离，并设置必要的门禁和监控设备；

对信息系统的电力供应进行稳定和可靠的保障，并设置必要的备用电源和防雷设备；

对信息系统的环境控制进行适宜和舒适的调节，并设置必要的温湿度、灰尘、噪音等监测设备；

对信息系统的防火防水进行有效和及时的预防和应对，并设置必要的消防、排水等设备；

对信息系统的防静电进行规范和安全的操作和维护，并设置必要的接地、防静电等设备。

网络安全要求：是指网络运营者需要采取合理的网络保护措施，包括：

对信息系统的网络架构进行合理的设计和优化，并设置必要的网络分区和隔离；

对信息系统的网络设备进行规范的配置和管理，并设置必要的网络接口和访问控制；

对信息系统的网络协议进行合规的选择和使用，并设置必要的网络加密和认证；

对信息系统的网络接入进行严格的控制和审计，并设置必要的网络认证和授权；

对信息系统的网络隔离进行有效的实施和监督，并设置必要的网络防火墙和隔离器；

对信息系统的网络监控进行持续的执行和分析，并设置必要的网络流量和日志采集。

系统安全要求：是指网络运营者需要采用规范的系统保护措施，包括：对信息系统的操作系统进行合法

现在，为了帮助企业用户快速满足等保合规的要求，一*万*网*络推出了等级保护测评解决方案，能为你的等保测评提供关键服务。电话400-069-8-869，官网：www.idc10000.net