网络安全等级保护测评（等保测评）常见问答

Q1: 等级保护是否是强制性的，可以不做吗？

A：根据《网络安全法》，网络运营者必须履行等级保护相关义务。虽然具体标准是推荐性的，但开展等级保护工作是强制要求，不可不做。

Q2: 系统已上云或托管，还需要做等保吗？

A：是的。根据“谁运营谁负责”原则，即使系统托管，网络运营者仍需承担网络安全责任，包括系统定级和等保工作。

Q3: 等级保护工作就是做个测评就可以？

A：不是。等级保护包括定级、备案、测评、建设整改和监督审查五个方面，测评只是其中之一。

Q4: 内网系统是否需要做等保？

A：需要。所有非涉密系统都属于等级保护范畴，不论内外网。内网系统同样需要及时开展等保工作。

Q5: 等保测评做一次就够了吗？

A：不够。等保是持续性工作，测评需定期进行。三级系统每年一次，四级每半年一次，二级建议至少两年一次。

Q6: 不做等保没关系，只要不出事就行？

A：不行。根据《网络安全法》，不做等保属于违法行为，已有因此被处罚的案例。建议及时开展等保工作。

Q7: 系统定级是否越低越好？

A：不是。应根据实际情况合理定级，既不能过低也不宜过高。定级过低可能导致安全责任履行不到位的风险。

Q8: 等级保护测评一般多长时间能测完？

A：一个二级或三级的系统整体持续周期大约为1-2个月。现场测评周期一般为1周左右，具体时间还要根据信息系统数量及规模，以及测评方与被测评方的配合情况等有所增减。

Q9: 等级保护测评做一次要多少钱？

A：等级保护工作属于属地化管理，测评收费非全国统一价，测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。

Q10: 等保测评后就要花很多钱做整改吗？

A：这取决于测评结果和系统当前的安全状况。如果系统已经符合等保要求，整改成本可能较低。如果存在较多安全问题，整改成本可能较高，但这也是提升系统安全性的必要投资。

Q11: 如何判定属于移动安全扩展要求？

A：当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。

Q12: 等级保护测评结论不符合是不是等级保护工作就白做了？

A：不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

Q13: 拿什么证明开展过等级保护工作？

A：一般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专用章。

Q14: 系统在云上，还要做等保吗？

A：要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

Q15: 等保的测评内容有哪些？

A：通用要求包含技术要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心）和管理要求（安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理）；云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

Q16: 《等保》和《网络安全法》什么关系？

A：等级保护工作是国家网络安全的基础性工作，是《网络安全法》要求我们履行的一项安全责任。《网络安全法》是网络安全领域的基本法，从国家层面对等级保护工作的法律认可。

在数字化时代，网络安全等级保护测评（等保测评）对于维护国家网络安全和保护企业信息资产至关重要。本文深入探讨了等保测评的常见问题，并提供了详尽的解答，旨在帮助读者理解等保测评的必要性。等保测评是一个全面的过程，包括定级、备案、测评、建设整改和监督审查等环节，要求网络运营者持续关注和提升网络安全措施。通过这些解答，我们希望读者能够更加明确地认识到等保测评的重要性，并有效地实施网络安全等级保护，以确保信息系统的安全和稳定，符合法律法规的要求。