北京信息安全等级保护测评认证二级等保

等保二级为“系统审计保护级”，是目前使用最多的等保方案，所有“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。”范围内网站均可适用，可支持到地级市各机关、事业单位及各类企业的系统应用，比如：网上各类服务的平台（尤其是涉及到个人信息认证的平台），市级地方机关、政府网站等等。

通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。落实个人及单位的网络安全保护义务，合理规避风险。

1、物理安全：包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。

2、网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。

3、主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。

4、应用安全：包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。

5、数据安全：包括数据完整性和保密性、数据的备份和恢复。

等保包括五个阶段：1、定级、2、备案、3、建设整改、4、等级测评、5、监督检查。定级对象（即需要过等保的对象）建设整改后，需要选择符合国家要求的测评机构，按《网络安全等级保护基本要求》等技术标准进行等级测评，之后向监管单位提交测评报告。

二级等级保护是指根据等级保护定级备案的要求到当地公安部门进行了等级保护备案，刚好符合等级保护二级范围，因此定级为二级等级保护。在等级备案后获得备案证明后，按照规定等保定级二级以上的，网络运营者需要开展等级保护测评，而测评的对象，常见的二级等保测评对象就是信息系统或者网站(当然还有其他等保2.0标准要求的其他对象)。三级等级保护每年需要测评，而二级是两年测评一次。

(1)、企业自己做等级保护

1.在定级备案的步骤，一级不需要备案仅需企业自主定级。二级、三级是大部分普通企业的信息系统定级。四级、五级普通企业不会涉及，通常是与国家相关(如等保四级-涉及民生的，如铁路、能源、电力等)的重要系统。根据地区不同备案文件修改递交通常需要1个月左右的时间。

2.定级备案后，寻找本地区测评机构进行等级测评。

3.根据测评评分(GBT22239-2019信息安全技术网络安全等级保护基本要求。具体分数需要测评后才能给出)对信息系统(APP)进行安全整改，如果企业没有专业的安全团队，需要寻找安全公司进行不同项目的整改。等级保护2.0三级有211项内容，通常企业需要根据自身情况采购安全产品完成整改。

4.进行安全建设整改后，通过测评。当地公安机关会进行监督检查包含定级备案测评、测评后抽查。

整个流程企业自行做等级保护，顺利的话3-4个月完成，如果不熟悉需要半年甚至更久。优势：与第三方企业对比几乎没有优势劣势：时间长、消耗人力成本高、技术人员不足还可能增加安全建设成本

(2)、寻找第三方机构做等级保护

1.在定级备案步骤，有些等保机构会提出指导性意见协助企业提交定级报告。

2.第三方等保机构可以协助企业找到专业测评机构，测评机构提出整改意见，企业根据整改意见购买安全产品，完成测评。

等保二级测评的费用大概是1-4万左右，看你跟当地的等保机构谈判的能力，以及当地对等保要求严不严，以及项目的复杂度。

等保评测机构每个省大概3-10家，这些等保机构都是必须持证上岗的，无证书是无法从事等保评测的工作的，这就是为啥每个省大概3-10家左右的原因。

以上就是等保测评小编为大家整理与分享等保测评的那些事！会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助，可以点个赞，也可以分享给更多的朋友们。