【重点】：等保测评几年做一次，根据规定，第三级信息系统应当每年至少进行一次等

　　级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据
特殊

　　安全需求进行等级测评

　　1.等保测评是一项周期性、连续性的工作，不同

　　等级要求0.5-2年做一次。概述：许多企事业单位认为等级保护是一项正式的工作，抱
着应

　　对的态度，觉得做完这个就拉倒。正确做法：需要持续进行等级保护，尤其是等保测评
。不

　　同级别的系统会有不同的评价周期要求：4级00.5年一次，3年一次，2年一次，2年一次
(有

　　行业差异，但都明确或建议2年一次)扩展知识：等级保护评估是对系统保护水平的测试
，不

　　应处理。如果企业事业单位的制度按照等保险要求认真做好，同时也能有效地做好网络
安全

　　工作。2.如果你不做等级保护，你可能会面临惩罚概述：很多企事业单位认为，只要不
涉及

　　网络安全、网络攻击事件，就可以不做等级保护，没有事故。正确做法：《中华人民共
和国

　　网络安全法》第二十一条已作出相关规定（具体内容不再重复）。如果系统运营商未能
进行

　　等级保护，则属于违反其他义务的行为，可能会受到处罚。以前也有类似的报告，所以
及时

　　进行等级保护。不要等到受到惩罚。拓展知识：安全总是相对的，但要及时做好。严格
执行

　　政策法规的要求，也是保护企事业单位安全的一项措施。3.即使系统在内网，也需要及
时进

　　行等级保护概述：很多企事业单位将系统存在于单位内网或专网中，认为不对外=安全
，这

　　样就不能进行等级保护工作。正确的方法：只要不是机密系统，就需要等级保护，这与
网络

　　无关。此外，内部网络的保护措施可能比外部网络弱，但容易中毒和攻击。因此，即使
是内

　　部网络系统也应及时进行等级保护！扩展知识：内部网络并不意味着安全，现在很少有
纯粹

　　的物理内部网络，其中大部分或多或少与互联网相连。一旦内部网络中毒，它会迅速传
播，

　　很难清除，因为没有许多技术措施，几乎处于裸奔状态。一旦中毒，它很容易交叉。4
、等

　　保测评以系统为单位，不能针对单位整体进行概述：在现实中，许多企业事业单位不了
解等

　　级保护的意义。他们错误地认为这是为单位开展的业务，并觉得对自己的单位进行等级
保护

　　评估已经完成。正确做法：等保测评如果以系统为单位，需要做多少次信息系统等保测
评。

　　拓展知识：信息系统通常由服务器、主机、数据库、设备等多种物体组成，等保测评除
实物

　　测量外，还需要测量相关的安全管理制度。5、等保测评整改后的费用由系统的等级、
措施

　　等决定，不一定很高概况：总有企事业单位担心等保测评安全建设整改需要花费大量资
金。

　　正确的做法：等待整改需要花多少钱，与信息系统的水平、现有的安全保护措施和网络
运营

　　商对评估分数的期望有关，不一定很高，可能不会花钱！等保测评项目中遇到的六大误
区误

　　区一：系统已上云或托管，就不用做等保系统责任主体是属于网络运营者自己，需要承
担相

　　应的网络安全责任误区二：系统定级越低越好系统定级需要合理，安全责任没有履行到
位会

　　被处罚误区三：等保工作做测评就可以测评只是等级保护工作中的一项误区四：等保测
评做

　　过一次就可以了等保工作需要根据具体的行业规定需求安排合理的评测时间误区五：系
统在

　　内网，不需要做等保所有非涉密系统都属于等级保护范畴误区六：单位整体做一个等保
测评

　　等保测评是按照信息系统来的，而不是单位