等级保护三级测评时间要多久

等保2.0二级、三级区别与测评项详细对比
目录
一、评定要求对比 (2)
二、测评周期对比 (2)
三、详细测评项对比 (2)
（一）技术部分 (3)
（二）管理部分 (13)
四、安全产品对与落地实施建议 (26)
（一）等级保护2.0差异变化 (26)
（二）关键指标与应对产品。

(27)
（三）等级保护2.0通用要求相关产品和措施（三级） (28)
基于等保2.0标准体系，详细对比等保二级、三级之前的区别，包含：评定要求对比、测评周期对比、详细测评项对比、安全产品对比与落地实施建议等内容。

一、评定要求对比
等保二级：等保对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 ;
等保三级：等保对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害 ;
二、测评周期对比
等保二级：一般两年进行一次测评；
等保三级：每年至少进行一次等级测评；
三、详细测评项对比
通用部分等保二级测评和三级测评项数量如下：
标记注释：是否适用：No-不适用
注意：以下所有测评项全部适用于三级系统，最后一列仅标识哪些项二级不适用。

（一）技术部分
（二）管理部分
四、安全产品对与落地实施建议（一）等级保护2.0差异变化
（二）关键指标与应对产品。

（三）等级保护2.0通用要求相关产品和措施（三级）。

等级保护三级要多久完成汇报人：时代新威等级保护组1 324等级保护测评时间最长不会超过几个月等级保护测评时间要求等级保护测评时间最快多久完成等级保护测评 二级要多长时间第一部分l等级保护测评正常情况下不会超过3个月时间，具体时间还要根据您的系统而定l一个二级或三级的系统现场测评周期一般一周左右，具体时间还要根据信息系统数量及信息系统的规模，有所增减。

l小规模安全整改2-3周，出具报告时间一周，整体持续周期1-2个月。

l如果整改不及时或牵涉到购买设备，时间不好说，但总的要求一年内要完成。

l等级保护测评最快多久完成？最快多久完成要根据您系统定级而决定的l整个测评周期包括前期调研、现场测评、后期报告编写等，一般情况下一个二级系统最快用3~4周，一个三级系统最快用4~5周（指初次测评，不包括整改和加固时间）；l其中现场测评（指在被测系统单位现场的测评）的时间根据系统的数量而定：一般一个二级系统会占用3~4个工作日，一个三级系统会占用5~6个工作日（两组同时进行，每组两人）。

等级保护测评时间要求l等级保护测评时间要求多久？对于时间的要求，要根据您系统定级来算，开展等级保护工作分为以下几个阶段：l一步：定级;（根据企业的系统评定办理级别）l二步：修改；（对系统经行大致的修改系统）l三步：评测；（评测商对系统评测，得分）l四步：备案；（在当地的网安部门备案）l五步：维护。

（定期对系统经行维护）l注：大致的流程如上述所说，也有先备案，后评测的，根据当地的规定来办理。

l　信息系统的安全保护等级分为以下五级：l 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

l 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

l 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

等保三级评测方案一、背景介绍信息安全是当前各行各业亟需解决的重要问题之一。

为了确保关键信息系统的安全性，国家出台了《信息安全等级保护管理办法》。

其中，等保三级评测是评估信息系统安全性的重要手段之一。

本方案旨在提供一种有效的等保三级评测实施方案，以确保信息系统的安全性能。

二、评测范围本方案适用于所有需要进行等保三级评测的信息系统，包括但不限于政府部门、金融机构、企事业单位等涉及重要国家利益、社会稳定以及公民权益的领域。

三、评测流程等保三级评测的流程分为以下几个阶段：1. 评测准备阶段a) 制定评测计划：根据评测对象的特点和需求，制定详细的评测计划，明确评测的目标和范围。

b) 收集信息：收集评测对象的相关资料，包括系统架构、安全策略、应急预案等。

c) 情况分析：对收集到的信息进行分析，了解评测对象的安全现状和问题。

2. 评估实施阶段a) 安全漏洞扫描：利用相应的安全工具对评测对象进行漏洞扫描，发现存在的潜在安全风险。

b) 安全策略验证：通过对评测对象的安全策略、配置文件等进行验证，确保其符合相关标准和规定。

c) 安全性能测试：对评测对象的安全性能进行测试，包括但不限于防火墙、入侵检测系统的性能测试等。

d) 安全评估报告编制：根据评测结果，编制详细的安全评估报告，汇总存在的安全问题和改进建议。

3. 评测总结与整改a) 评测总结：对评测过程进行总结，总结评测中的亮点和问题，为后续的评测提供参考和借鉴。

b) 安全整改：根据评测结果和建议，及时采取措施进行安全整改，修复发现的漏洞和问题。

四、评测标准等保三级评测基于《信息安全等级保护评估技术要求》及相关法律法规，结合评测对象的实际情况，按照以下标准进行评估：1. 安全策略与管理制度是否健全、是否符合法律法规的要求；2. 系统架构是否满足信息安全保护的需求，是否有恶意代码；3. 安全配置是否合理，是否存在弱口令、未授权访问等漏洞；4. 安全设备和安全防护措施是否有效，是否能及时检测和阻断攻击；5. 应急预案和安全事件处理能力是否完备。

信息系统等级保护测评流程三级标准信息系统等级保护测评流程三级标准1.前言信息系统等级保护测评是评估和验证信息系统在保密性、完整性和可用性方面的安全性能的过程。

在信息时代，保护信息系统的安全性至关重要，可以确保敏感数据的机密性不被泄露、系统的完整性不被破坏，并保证系统的可用性，以满足用户需求。

信息系统等级保护测评流程为信息系统提供了一套科学的、可验证的安全性评估方法和标准。

2.测评流程概览信息系统等级保护测评流程一般包括准备阶段、测评准备、测评实施、测评结果报告及总结几个重要阶段。

其中，测评准备阶段主要是对信息系统进行准备工作，包括确定测评目标、组织人力资源、编制测评计划和设计测评方案等；测评实施阶段则是根据测评方案开展具体的测评活动，包括脆弱性扫描、渗透测试、安全隐患检查等；测评结果报告及总结阶段是对测评结果进行总结和报告，以供决策者参考。

3.三级标准详解在信息系统等级保护测评流程中，三级标准是对信息系统进行评估的基准。

三级标准包括C、B、A三个等级，分别代表了不同的安全性能要求，其中A级要求最高，C级要求最低。

三级标准主要从保密性、完整性和可用性等方面对信息系统进行评估。

3.1 保密性要求保密性是信息系统安全的核心要求之一。

在信息系统等级保护测评中，保密性要求主要是评估信息系统对敏感信息的保护程度。

三级标准中，C级要求信息系统具备基本的敏感信息保护措施，比如访问控制、身份认证等；B级要求信息系统具备中等程度的敏感信息保护措施，比如权限管理、加密传输等；A级要求信息系统具备最高级别的敏感信息保护措施，比如细分权限管理、数据加密等。

3.2 完整性要求完整性是指信息系统数据的完整性和准确性。

在信息系统等级保护测评中，完整性要求主要是评估信息系统数据在传输和存储过程中是否被篡改或丢失。

C级要求信息系统具备基本的完整性保护措施，比如数据备份、日志记录等；B级要求信息系统具备中等程度的完整性保护措施，比如数据验证、完整性校验等；A级要求信息系统具备最高级别的完整性保护措施，比如数字签名、数据完整性检查等。

信息安全等级保护测评流程介绍一、等级保护测评的依据：依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第一级：用户自主保护级，目前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的；第二级：系统审计保护级，二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次；第三级：安全标记保护级，三级信息系统应当每年至少进行一次等级测评；第四级：结构化保护级，四级信息系统应当每半年至少进行一次等级测评；第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进行等级测评。

二、等级保护工作的步骤运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。

运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见第三条）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

测评方案测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：图表1等级测评工作流程图我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中，遵循以下原则：完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；重要性原则，应抽查重要的服务器、数据库和网络设备等；安全性原则，应抽查对外暴露的网络边界；共享性原则，应抽查共享设备和数据交换平台/设备；代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

测评依据信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价），因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下：系统定级使用的主要指标依据有：《计算机信息系统安全保护等级划分准则》（GB 17859-1999）《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）等级保护测评使用的主要指标依据有：《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）《信息安全技术信息系统安全等级保护测评要求》（GBT 28448-2012）《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）现状测评使用的主要指标依据有：制度检查：以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求，检查是否具有相应的制度、记录。

三级等保备案测评流程一、啥是三级等保。

简单说呢，三级等保就是对信息系统安全等级的一种划分，三级算是比较高的等级啦。

就像是给咱的信息系统请了个高级保镖，让它在网络世界里能安安稳稳的。

这个等级的系统啊，一般是那些涉及到比较重要的信息，像金融机构的业务系统、大型企业的核心数据系统之类的。

这些系统要是出了岔子，那可不得了，可能会有好多好多钱的损失，或者好多人的信息泄露，所以得重点保护起来。

二、备案前的准备。

1. 系统梳理。

得先把自己的信息系统摸个透。

知道这个系统都有啥功能，数据是咋存储的，用户咋访问的，就像给系统做个全身检查一样。

把这些信息都整理清楚，这可是备案的基础哦。

要是自己都糊里糊涂的，人家审核的人肯定也不乐意呀。

2. 确定责任人和联系方式。

得有个专门的人来负责这个事儿，就像班级里的小班长一样。

这个人得清楚整个流程，而且联系方式要准确无误。

万一有啥问题，监管部门能找到人问呀。

可不能写个假电话或者老是打不通的电话，那不是在捣乱嘛。

三、备案流程。

1. 填写备案表。

备案表这个东西可重要啦。

就像填个人信息表一样，但是这个是关于咱们信息系统的。

要老老实实地把系统的名称、等级、所属单位、网络环境这些信息都填上去。

可别瞎填哦，要真实准确。

要是发现填的是假的，那可是要被批评的，就像考试作弊一样不光彩。

2. 提交备案材料。

除了备案表，还得准备其他的材料呢。

比如说系统的拓扑图，这就像系统的地图一样，让人一看就知道各个部分是咋连接的。

还有安全管理制度，这个就是告诉别人咱们平时是咋管理系统安全的，是有规章制度的，不是瞎搞。

把这些材料都整理好，然后按照要求提交给相关的部门。

一般是当地的公安网监部门，他们可是这个事儿的“大管家”呢。

四、测评流程。

1. 选择测评机构。

这个就像选医生一样重要。

得找个靠谱的测评机构。

要看看他们有没有资质，就像医生有没有行医资格证一样。

还要看看他们以前做过的项目，有没有口碑好的。

不能随便找个机构就了事，毕竟这个测评关系到咱们系统的安全呢。

等保三级第二年测评流程一、测评前的准备。

咱得先找好原来做等保三级测评的机构呀，如果找不到原来的，也得找个靠谱的新机构。

这就像找对象，得找个合适的呢。

和测评机构联系的时候，要把之前的测评报告找出来给他们看看，让他们心里有数。

这里面有很多之前的信息，像咱的网络结构、安全设备的配置啥的，可重要啦。

还有哦，公司内部得开个小会，把相关的部门都叫上，像网络部门、安全部门这些。

大家一起商量商量，看看这一年里系统有没有啥大的变化。

比如说有没有新上什么业务系统呀，有没有更新网络设备呀。

如果有，就得把这些情况详细地告诉测评机构哦。

二、测评机构的初步检查。

测评机构接到咱们的活之后呢，就会先派几个技术大佬来做个初步检查。

他们就像侦探一样，到处查看。

这时候咱得积极配合呀，人家要啥信息就给啥信息。

他们会看看咱的安全管理制度是不是还在执行，有没有新的漏洞。

比如说之前要求的密码定期更新，是不是真的做到了。

要是没做到，这时候就得赶紧补上啦，可不能让人家觉得咱太不靠谱。

这时候，他们还会检查一下咱们的安全设备是不是还正常工作。

像防火墙呀，入侵检测系统这些。

要是发现有设备出问题了，咱就得赶快修或者换，就像人病了要去看医生一样，设备病了也得赶紧治呀。

三、正式测评。

1. 技术测评方面。

- 网络安全部分呢，测评机构会检查咱的网络拓扑结构是不是还合理。

会不会有一些不安全的网络连接。

比如说有没有不该开放的端口对外开放了。

这就像家里的门，有些门是不能随便开的，开了就可能有小偷进来。

他们还会测试网络的传输安全性，就像看包裹在运输过程中会不会被人偷看或者偷走一样。

- 主机安全也很重要哦。

他们会检查服务器的操作系统配置，看有没有安全漏洞。

像一些默认的管理员账号密码是不是改了，如果没改，那就危险啦。

还会检查主机上安装的软件有没有恶意软件或者病毒啥的。

- 应用安全这块呢，针对咱的业务应用系统，他们会检查登录验证是不是安全。

比如说有没有验证码防止暴力破解密码。

等级保护三级测评等级保护三级测评（以下简称“等保三级”）是中国对非银行机构的最高级别信息安全等级保护认证，通过对不同等级的信息系统进行不同级别的安全保护，保障信息系统的安全稳定运行。

以下是关于等保三级的详细介绍：一、等保三级的概念等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等级保护的核心思想是“分等级保护、分等级响应、分等级处理”。

等保三级是国家对非银行机构的最高级别信息安全等级保护认证，依据《信息系统安全等级保护基本要求》，对信息系统的安全保护能力进行检验和认证，一共包含五个定级要素，分别是：信息系统的重要性、受侵害后的危害性、涉及的秘密信息、业务峰值和人力投入。

等保三级测评包含：安全技术测评和安全管理测评两大方面。

二、等保三级的重要性随着信息化程度的提高，信息系统已经成为社会发展的重要支撑。

然而，信息系统的安全问题也日益突出，如黑客攻击、病毒传播等，给企业和个人带来了巨大的经济损失和隐私泄露风险。

因此，加强信息系统的安全保护已成为企业和个人必须面对的重要问题。

等保三级作为最高级别的信息安全等级保护认证，其重要性主要体现在以下几个方面：1. 保障信息安全：通过等保三级认证的信息系统，其安全保护能力得到了国家相关部门的认可和检验，可以有效地抵御各类网络攻击和数据泄露等安全事件，保障信息安全。

2. 提高企业竞争力：通过等保三级认证的企业，可以证明其具备高水平的信息安全保障能力，提高企业的信誉度和竞争力。

3. 满足法律法规要求：根据国家相关法律法规要求，某些特定行业或特定业务必须通过等保三级认证，否则将无法开展相关业务。

因此，通过等保三级认证也是企业合规经营的必要条件。

4. 提升员工安全意识：通过等保三级认证，可以提升企业员工的信息安全意识，加强企业的安全管理水平，提高企业的整体安全性。

三级等保测评介绍一、啥是三级等保测评呢？哎呀，宝子们，三级等保测评可有意思啦。

简单说呢，就是对信息系统安全等级保护状况进行的一种检测评估。

就像是给咱们的信息系统做个全面的健康检查一样。

在现在这个网络超级发达的时代，到处都是各种信息系统，像企业的办公系统啊，电商平台啊之类的。

这些系统里面存着好多重要的数据，有用户的信息，有企业的商业机密，要是不安全可就惨啦。

三级等保测评就是来确保这些系统能达到一定的安全标准的。

二、三级等保测评都测啥？这里面可多东西要测啦。

比如说物理安全方面，就看那些放服务器的机房是不是安全，有没有防火、防水、防盗这些措施。

机房的温度、湿度是不是合适，要是服务器在一个又热又潮的环境里，那肯定容易出问题呀。

还有网络安全方面，看看网络结构是不是合理，有没有防范网络攻击的能力。

像那种黑客入侵的事情，要是没有防范措施，那就像家里没安门一样，谁都能随便进。

再就是应用安全啦，应用程序有没有漏洞，会不会被恶意利用。

数据安全也超级重要呢，数据的备份、恢复机制是不是完善，要是数据丢了，那对企业来说可能就是灭顶之灾。

三、为啥要做三级等保测评？这可太重要啦。

从企业自身的角度来说，能保障自己的信息资产安全呀。

要是系统老是出安全问题，用户可就不敢用这个企业的产品或者服务了。

从法律法规的角度来看，有些行业是必须要做的呢。

就好比有些行业就像在马路上开车必须要遵守交通规则一样，不做三级等保测评就是违规啦。

而且做了这个测评，还能提高企业的信誉度呢。

用户看到企业这么重视安全，就会觉得这个企业靠谱，就更愿意跟企业打交道啦。

四、三级等保测评的流程是啥样的？首先呢，企业得先确定自己的信息系统是不是需要做三级等保测评。

确定需要做之后呢，就得找一个有资质的测评机构。

这个测评机构可不能随便找，得是那种经过官方认可的才行。

然后测评机构就会来对企业的信息系统进行详细的检查评估啦。

他们会根据一系列的标准，一项一项地看，哪里有问题就会指出来。

网络安全等级保护之等级测评460500587本文主要介绍测评工作的内容、流程、方法，介绍测评机构和测评人员，测评工作中的风险及其控制，最后介绍等级测评报告主要内容及说明。

一、基本工作1、测评概念测评（简称“等级测评”）是指测评机构依据国家网络安全等级保护管理制度规定，按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。

等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上网络安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

等级测评是合规性评判活动，基本依据不是个人或者测评机构的经验，而是网络安全等级保护的国家有关标准，无论是测评指标来源，还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。

2、测评作用和目的通过进行测评，能够对信息系统体系能力的分析与确认；发现存在的安全隐患；帮助运营使用单位认识不足，及时改进；有效提升其防护水平；遵循国家有关规定的要求，对信息系统安全建设进行符合性测评。

测评的作用如下：① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。

② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。

③ 等级测评结果，为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。

为了达到上述目的，开展等级测评的最好时期是安全建设整改前、安全建设整改后，及其常规性定期开展测评，如三级系统每年至少开展一次等级测评。

3、测评标准依据《管理办法》第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评；第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

等保三级测评时间要求等保三级测评，听起来像是个高深莫测的东西，乍一听有点让人头疼的感觉，感觉就像是个枯燥的考试，不知道咋准备、咋去做。

其实不然，它并没有你想象中的那么复杂。

只要了解了基本要求，摸清楚了标准，心里就不那么打鼓了。

好了，不说废话，我们来聊聊等保三级测评的时间要求，到底是个啥样的考验，怎么应对才轻松。

你要明白，等保三级测评的时间并不是“像你想象的那样，随便定定就好”。

它有严格的规定，不能随便拖拖拉拉，必须按计划进行。

你要知道，等保三级是对信息安全的一种非常重要的审核，它基本上涉及到的是你公司、你单位的安全防护能力。

如果这部分没做好，整个企业的信息安全就等于“裸奔”。

听着有点严肃，但又不得不承认，确实得重视。

测评时间一般要分成两个阶段，第一个是准备阶段，第二个是正式测评阶段。

准备阶段的时间嘛，通常是根据你单位现有的安全环境、设施、人员等情况来确定的。

简单来说，你准备得越好，花的时间就越短。

反之，如果你一开始对等保三级的理解不清楚，那你可能要花更多时间去理清楚整改的内容，搞清楚各种安全设施需要怎样达到要求。

所以说，准备阶段的时间，有点“看你自己了”。

提前准备，提前规划，提前搞定，时间当然就能省不少。

正式测评阶段的时间呢？这个就得看你的单位有多复杂了。

如果你公司有很多分支机构，很多系统需要逐一检查，那测评时间肯定要拉长，像是走进迷宫，找出口需要点时间。

这个阶段，大部分公司会安排1到2周的时间进行正式评估。

因为评估人员得逐一对照等保三级的各项安全要求，对你的网络架构、数据安全、信息系统管理等方面进行细致检查。

其实这和体检有点像，医生会详细检查每一个部位，看看是不是有潜在的风险或是问题，需要修复的地方。

这一阶段，时间上大多数企业还是比较宽裕的，但你要做好准备，遇到一些问题或者需要修复的地方，可能会让测评时间稍微延长。

大家应该能感受到时间的紧迫性。

要是你没有做好充分的准备，等到最后一刻才开始动手，那时间肯定就不够用，问题就会堆积成山。

1测评方案1.1 测评流程依据《 GBT 28448-2012 信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：图表 1 等级测评工作流程图1.2 测评力度信息系统安全保护等级测评力度二级系统三级系统测评对象在种类和数量上抽样，种类测评对象在数量上抽样，在种类上基本覆访广度和数量都较多盖谈深度充分较全面测评对象在种类和数量上抽样，种类测评对象在数量上抽样，在种类上基本覆检广度和数量都较多盖查深度充分较全面测评对象在种类和数量、范围上抽测评对象在数量和范围上抽样，在种类上测广度样，种类和数量都较多，范围大基本覆盖试深度功能测试 / 性能测试功能测试/性能测试，渗透测试1.3 测评对象我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中，遵循以下原则：完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；重要性原则，应抽查重要的服务器、数据库和网络设备等；安全性原则，应抽查对外暴露的网络边界；共享性原则，应抽查共享设备和数据交换平台/ 设备；代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。