你知道吗 ？上市企业必须做等保！

等级保护，这个词汇可能对大多数人来说比较陌生，等级保护全称信息安全等级保护，是指针对信息系统本身所存在的物理环境、网络环境、计算环境以及管理方面的安全程度进行评估和测试，判断信息系统整体安全性，并根据得出的结果进行整改建设解决处理系统目前存在的问题，从而确保信息系统的安全。

那么哪些企业是强制性的必须要过信息安全等级保护测评的呢？

金融行业：保险、证券、银行、网贷、金融监管机构等；

能源行业：电力公司、石油公司、新能源公司等；

企业单位：大中型企业、央企、国企、上市公司；

政府机关单位：各部位、各省级地市级政府机关、各事业单位等；

电信行业：电信运营商、各省级电信公司、各地市级电信公司、各类涉及电信服务的服务商；

其他：有需求或者网监特别规定的要求定级的企业。

以上这些企业或者政府机构是必须要通过信息系统等级保护测评的，那么具体的流程是什么样的，企业如何做等保，下面给大家科普一下。

一般企业做等保有五个步骤，定级-备案-测评-整改-监督几个环节。

1、定级备案：这两项一般放在一起，系统定级是等级保护测评的第一步，无论是在建系统或已建系统，合理定级是关键，应参照“定级过低不允许、定级过高不可取”的原则来定级。如同为等级保护第三级可细分为S2A3、S3A3、S3A2三种类型，与之相对应的等级保护测评控制项就相差不少，将直接影响系统设计、建设、运维的方方面面。

定级完成后需由安全专家与业务专家共同对定级报告中涉及的系统业务描述、业务网络拓扑、业务受影响的风险分析进行专家评审并形成书面专家评审意见。最后定级报告与专家评审意见需上传到公安网警的等级保护备案系统中。

2、测评（三种）：

（1）自建机房过等保，首先需要专业人员进行基线检查，包括机房整体的物理环境、网络设备交换设备的基本连接情况以及使用情况，是否具备相应的安全设备（针对不同系统不同级别所需的安全设备会产生差异），针对存在的问题由专业人员给出相应的建议，根据建议解决存在的相应的问题（高危必须处理，中危低危自行判断处理，判别依据由专业人员给出），合格后，测评机构入场对所测评系统进行详细完整调查，依据等级保护2.0要求，通过渗透测试等相关手段岁系统安全性进行综合安全评估，出具整改建议，根据整改建议进行整改，无高危项70分以上即可通过测评，并由测评机构出具专业的等级保护测评报告。

（2）等保托管，此类测评是针对没有能力进行自建机房的中小企业或机构，由第三方拥有专业数据中心符合三级等保并配备有安全设备的企业，提供等保安全合规环境，被测评单位无需担心等级保护标准中对信息系统安全方面的要求，只需要将系统迁移到第三方等保合规机房中就可以，这种基本上最终测评分数都能达到80分以上。

（3）云上等保，此类等保适合信息系统在云上的企业，类似于我们开发的等保云综合安全评估平台，提供云上等保安全环境，安全资源全部取自国内顶尖安全厂商资源池，为用户提供定制化安全服务，针对不同需求提供云上安全资源，用户可弹性调整所用安全资源，范围全面覆盖等级保护2.0的要求。

3、整改：这个步骤主要是针对系统所存在的风险，包括物理环境、网络环境、计算环境、管理方面在内的风险，只要有一个高危项，即使其他全都合格，也是无法通过测评的，一般此类情况多会出现在自建机房中，而且是在测评机构初次入场之后给出的建议，根据测评机构给出的建议出具相应整改方案，整改后继续进行测评。

4、监督检查：网监部门后续会针对做完测评的系统进行监督检查，防止出现网络安全问题，三级系统每年复测，二级系统每两年复测。

亿林能够为您提供安全、高速、省心、符合国家要求的合规等保云产品，云平台+等保安全防护”整体解决方案，一站式解决您的上云需求和安全需求，帮助您实现等保合规的安全运营，详情请点击链接 http://www.dengbaocloud.cn/