等級保護測評到底測什麼，最終的成果是什麼

等級保護測評到底測哪些內容呢？今天不得不等簡單分享下， 主要測以下十個層面：技術層面：物理安全、主機安全、網路安全、應用安全和資料安全與備份；管理層面：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。 技術層面具體的物件是：

1、機房， 本測評單位將對資訊系統運營使用單位重要資訊系統的機房、配電間、消防間等相關物理環境進行測評， 分析其中的問題以及不符合要求的地方。

2、業務應用軟體， 本測評單位將對資訊系統運營使用單位重要資訊系統進行測評，

從應用軟體的安全機制方向， 分析應用系統中存在的安全隱患與問題。

3、主機作業系統， 本測評單位將對資訊系統運營使用單位重要資訊系統相關的伺服器的作業系統進行測評， 從存取控制、安全審計、剩餘資訊保護、入侵防範、惡意程式碼防範、資源控制等方向分析其中的安全隱患與問題。

4、資料庫系統， 本測評單位將對資訊系統運營使用單位重要資訊系統所使用的資料庫進行測評， 從身份鑒別、存取控制、安全審計、資源控制方向分析其中的安全隱患與問題。

5、網路設備， 本測評單位將對資訊系統運營使用單位重要資訊系統的網路設備進行測評， 從存取控制、安全審計、網路設備防護等方向分析其中的安全隱患與問題。

具體測評內容控制點及要求項比較多， 統計如下：二級系統控制點66個， 要求項175；三級系統控制點73個， 要求項290個 最終經過等級保護測評之後， 我們獲得的成果主要是：被測系統取得的備案證明資料、等級保護測評報告和安全建設整改方案。 補充一項重要的成果：通過等級保護測評之後我們的系統資訊安全防護能力得到了提高， 安全風險被有效降低， 前提是我們在發現問題後進行一定的安全整改。 最近不少安全檢查在全國各地開始了， 主管單位上門檢查一部分內容就會是有沒有開展等級保護工作， 開展的情況， 我們把這些資料給他們看， 他們就知道我們做了等保， 在資訊安全上工作上做了不少。 因為很難通過你買了什麼安全設備就判斷你安全工作做好了， 沒有安全風險了， 而等保雖不能證明你一定安全， 但至少等保是從不同層面對你的資訊系統整體性做了一個安全評估， 相對更可信， 而且也是書面性的資料。 最後補充一句， 看上去等保需要做很多內容， 好多使用者擔心會給自己增加很多工作內容， 其實這個擔心是多餘的也是錯誤的， 真正做等保的過程中， 一般只需要一到兩個對你們單位系統情況， 網路設備比較瞭解的人配合就可以， 大部門工作是測評機構在做；另外安全工作不是因為做了等保才要去做， 如果單位不做等保這樣的工作也是應該貫徹在我們日常工作之中的， 只是通過做等保， 我們把這樣的問題集中暴露出來， 更早的把這些問題解決， 把安全隱患扼殺在搖籃之中。

這是一篇之前的老文章， 稍微修改了一點點， 再次發出來， 供新來的沒有看過的朋友們學習。 另外最近建了三個群， 現在掃群二維碼進不來了， 想進群的朋友需要加我好友， 我拉你們進來， 我的微信號是：djbhcp

三個群分別是：

等級保護測評機構群， 進此群要求：必須是全國各地測評機構工作人員， 需要認證到具體測評機構

等級保護測評使用者及主管單位交流群， 進此群要求：必須是使用者及主管單位人員， 需要認證

等級保護測評之安全廠商及集成商群， 進此群要求：必須是IT廠商、服務商或集成商