等保测评

参照《信息安全技术网络安全等级保护定级指南》要求，目前从类型来分可以划分为：基础信息网络（电信网、广播电视传输网、互联网、业务专网等）、信息系统（采用传统技术的和新兴技术的）以及数据资源（传统电子数据及大数据）。从计算环境来看目前包括：通用场景、云计算场景、移动互联场景、物联网场景、工业控制场景（另大数据场景作为附录可做参考）。

比如以下行业类型（包括但不限于，此处仅为部分列举）

政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行、证券、保险公司等；
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；
能源行业：电力公司、石油公司、烟草公司；
企业单位：大中型企业、央企、上市公司等；
其他：有信息系统定级需求的其他行业与单位。

等保工作对企业的意义

提高自身系统安全性，降低企业风险

通过等保测评可以及时发现单位信息系统存在的安全问题，掌握网络的安全状况，排查出网络的安全隐患和薄弱环节，可以降低系统遭受各种网络攻击的风险。
指导投资，降低企业信息化投入成本

及时发现企业信息系统的问题，可以明确网络安全建设或整改的需求，可以在资金投入前期起到指导资金投入方向的作用，帮助单位以最小的信息化成本完成安全建设或整改，同时换来最大化的单位信息系统的安全防护能力。
帮助企业建立自己的安全管理体系

安全策略和安全管理制度的正确制定与有效实施，对任何单位的安全管理都起着非常重要的作用。等保测评的过程就是网络安全等级保护制度实施和落地的过程，可以帮助被测单位清晰网络安全管理体系建立的标准，更新自身对网络安全理论、知识和方法的理解，学会安全建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范。
有利于建立良好企业形象

等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度都要求单位开展等级保护工作，通过等保测评可以衡量单位的网络安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力，更有利于维护单位的良好形象。
能规避企业各方面的核查风险

主动落实个人及单位的网络安全保护义务，通过专业机构的权威证明，尽到单位应尽的维护网络安全基本义务，能从根本上杜绝单位的各项合规风险，确保单位的运营安全。

什么时间是等保测评的时机？

1、新系统规划时	单位在新系统设计规划之时就应该引入等保测评，因为系统设计时基本只是考虑系统的实用性，对系统的安全性设计往往不够周全，这会导致后期在做等级保护测评时，出现好多不符合项，还需要再次整改。
2、新系统上线检测阶段	新系统上线检测时组织开展等保测评是非常有必要的，因为一旦系统上线，有些情况就很难整改了，如三级系统要求机房物理位置避免在建筑物的高层或地下室，以及用水设备的下层或隔壁，如果在一开始机房位置就选择错误后期难以更改。或者客户的应用软件本身开发过程中存在很多不足，或存在高危漏洞，万一那时供应商已不再提供服务或倒闭了，这就很难从软件层面去更改。
3、安全建设整改前	在开展网络安全建设整改之前，网络运营者可以通过等级测评，分析判断目前网络所采取的安全措施与等级保护标准要求之间的差距，分析安全方面存在的问题，查找网络安全保护建设整改需要解决的问题，形成安全建设整改的安全需求。
4、安全建设整改后	网络安全建设整改完成后，网络运营者应通过等级测评对网络的等级保护措施落实情况与《基本要求》的要求之间的符合程度进行评判，形成网络安全等级测评报告，如果发现问题将继续整改。
5、系统有重大变化时	原系统如需发生重大变化，必须在变化前安排等保测评的评估，这和新系统规划或上线前引入等保测评的必要性是一样的，千万不要在这个阶段忽略等保测评的作用，否则导致后期无法整改，或要想达到安全要求，只能通过增加安全设备，从技术设备角度控制全局性的安全，这又无形中增加了经费的投入。
6、定期开展等级测评	网络运行维护期间，应定期进行安全等级测评，及时发现和分析网络存在的安全问题。《管理办法》要求网络建设完成后，网络运营者当选择符合规定条件的测评机构，依据《测评要求》等技术标准，每年定期对网络的安全保护状况开展等级测评。