重温一篇老文章|等保备案≠等保测评！不做测评仍会被处罚！

许多企业一直认为：

第一步：系统定级。对业务、资产、安全技术和安全管理进行调研，确定定级系统，准备定级报告，提供协助定级服务，辅助用户完成定级报告，组织专家评审。

第二步：系统备案。持定级报告和备案表到当地公安网监进行备案。

第三步：建设整改。参照定级要求和标准，对信息系统整改加固。

第四步：等级测评。测评机构对信息系统等级测评，形成测评报告。

第五步：合规监督检查。向当地公安网监提交测评报告。

最后，公安机关监督检查进行等级保护工作。

关于等保备案和等保测评的区别，首先我们要知道它们各自的概念。

什么是等保备案？

网络安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。

根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网监部门办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网监部门办理备案手续。

什么是等保测评？

等保测评全称是信息安全等级保护测评，是经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

对信息系统安全等级保护状况进行测试评估，包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评。

安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。

只完成了等保备案，不完成后续的测评工作，仍然是违规的，还有可能被相关部门处罚！

让我们一起来看案例：

某地警方在日常工作中发现，某科技有限公司某信息系统于2018年3月上线运行，并于2018年11月4日完成了等保备案（三级），但其后一直没有依法开展等级测评。

为此，相关办案人员前往该公司开展调查。经查，该公司对相关的法律、法规制度不了解，误认为做完等级保护备案就完成了等保工作，因此，在备案后未进一步开展信息安全等级保护测评。随后，某地警方依法给予该公司警告处罚，并责令限期改正。

此案反映了各单位在落实信息安全等级保护的过程中存在的一些认知误区。首先是对等保相关法律法规不了解，部分单位误认为取得了公安机关提供的备案证，就具备了等级保护级别，而没有启动测评流程，没有实质落实安全防护技术措施和管理制度。更有甚者认为进行等级保护备案是通过拿备案证“获取资质”，以便在招标时增加“筹码”，对于法律要求的“网络安全保护各项制度和措施”刻意不执行。如果等级保护相关网络安全技术措施未落实到位，可能导致敏感信息泄露、网络资源被侵占、受控设备瘫痪损坏等严重问题。