最近和陕西软件开发行业企业聚会时说到做等级保护测评(也常说等保测评)，发现等保测评在大部分公司看来都是比较繁琐流程多持续时间长，无形之中给企业工作人员带来很多的压力，但事实情况真的这样的？

为什么要做等保测评？

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。

信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等安全监管部门进行信息安全等级保护监督检查时，系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。目前信息安全等级保护主要分为五级，五级是最高级别，目前大部分申请单位申请三级比较常见。

等级保护测评主要测试哪些呢？

等级保护测评主要测以下十个层面：

技术层面：物理安全、主机安全、网络安全、应用安全和数据安全与备份；管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

技术层面具体的对象是：

1、机房，本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评，分析其中的问题以及不符合要求的地方。

2、业务应用软件，本测评单位将对信息系统运营使用单位重要信息系统进行测评，从应用软件的安全机制方向，分析应用系统中存在的安全隐患与问题。

3、主机操作系统，本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评，从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4、数据库系统，本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评，从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5、网络设备，本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评，从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

目前不少安全网络检查在各地开始了，主管单位检查一部分内容就会是有没有开展等级保护工作，开展的情况。而等级保护测评虽不能证明你一定安全，但至少等保是从不同层面对你的信息系统整体性做了一个安全评估。看上去等保测评需要做很多内容，好多用户担心会给自己增加很多工作内容，其实这个担心是多余的也是错误的，真正做等保测评的过程中，一般只需要一到两个对你们单位系统情况，网络设备比较了解的人配合就可以，大部门工作是等保测评机构在做；另外安全工作不是因为做了等保才要去做，如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的，只是通过做等保测评工作把这样的问题集中暴露出来，更早的把这些问题解决，把安全隐患扼杀在摇篮之中。