等保测评是对信息和信息载体按照重要性等级分级别进行保护的一种工作，也是一项网络安全测评的方法。等保测评是对于需要进行等级保护的信息或信息系统根据等级保护测评指南开展相关的测评活动，是由公安部主导的这项网络安全测评活动。

等保测评是由具有等级保护测评资质的测评机构来完成这个测评工作，开展等级保护测评的机构需要获得等保备案运营单位或者公司所在当地的公安认可，否则测评报告也许会被判无用。

为了提高保障水平以及优化资源分配，以等保为契机，统一系统化进行安全规划和建设，能有效的提高信息安全保障工作的整体水平，有效解决信息系统面临威胁和存在的主要问题，将有限的财力、物力、人力投入到重点工作当中，发挥最大的安全经济效益。

再次就是因为国家发布《网络安全法》，根据相关规定有义务的不做相关等保测评的进行罚款，企业罚款相关负责人也要罚款。

首先第一步就是系统定级，进行这个系统定级需要完成定级对象、系统等级、定级报告这个三个东西。

根据要求第二级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。

备案表模板：

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。其实这个建设整改说白了就是等保测评机构先给你看看有哪些不满足要求的，然后给你说一下让你先改改，后面再进行测评，省的一次一次又一次的测麻烦。

信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态，这个就是到了他们测评机构真正上场的时候了，他们会根据信息系统情况去出一份测评报告和整改报告，根据这些报告然后再去公安部进行报备最后发放证书。

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。这个监督检查吧说白了就是怕有人拿假的东西来糊弄他，然后每年进行一次抽查，这个抽查是在一个行业里面抽查几家，然后他们去做测评工作，看看是否和测评报告写的一致，一致的话就平安无事，不一致的话直接系统当场停掉，然后交罚款，当时测评的测评机构也面临着摘牌的风险。

· 调研访谈（业务、资产、安全技术和安全管理）；

· 查看资料（管理制度、安全策略）；

· 现场观察（物理环境、物理部署）；

· 查看配置（主机、网络、安全设备）；

· 技术测试（漏洞扫描）；

· 评价（安全测评、符合性评价）。

安全技术测评包括：物理安全、网络安全、主机安全、应用安全、数据安全。

补充： 网络安全、数据安全部分，通过用WAF实现防护，如：ShareWAF 主机安全通常用防火墙实现防护，防病毒，防DDOS等，可选择绿盟、启盟之类的防火墙。

安全管理测评包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。