做过等保测评的信息系统升级更新后，如何进行测评？

     根据中国网络安全等级保护制度（等保2.0）及相关规定，系统在更新后是否需要重新进行等保测评，主要取决于更新的内容和影响范围。以下是需要重新测评的典型情况：

• 系统架构变化：如网络拓扑结构、安全区域划分、关键设备（防火墙、入侵检测系统等）的调整。

• 业务功能重大调整：核心业务逻辑变更、新增高风险功能（如支付、用户实名认证等）。

• 数据处理变化：新增或修改个人信息/重要数据的收集、存储、传输方式（例如引入跨境传输）。

• 系统范围扩大：新增子系统、模块或接入第三方系统，导致原安全边界变化。

• 物理环境变更：数据中心迁移、机房扩容或云服务提供商更换。

• 安全设备/技术替换：更换加密算法（如从RSA改为SM2）、撤销或新增身份认证机制（如引入生物识别）。

• 安全漏洞修复：因高危漏洞对系统进行大规模补丁更新，可能影响原有安全配置。

• 责任主体变更：系统运营单位或管理团队更换，可能影响原有安全管理制度的连续性。

• 云服务模式调整：例如从私有云迁移至公有云，或混合云架构变化。

• 等保要求升级：系统原定等级调整（如从二级升至三级），需按新等级要求重新测评。

• 新规出台：例如《数据安全法》《个人信息保护法》实施后，涉及数据处理的关键系统需补充测评。

无需重新测评的情况

• 一般性维护：界面优化、性能提升等不影响安全功能的更新。

• 补丁更新：常规漏洞修复且未改变系统安全架构。

• 设备冗余扩容：新增服务器/存储设备，但未改变网络架构和安全策略。

信息系统升级更新后进行等保测评，通常包括以下几个步骤：

首先，需明确升级更新的内容和范围，包括系统功能、架构、网络拓扑、应用程序及数据等方面的变化。分析这些变化可能对系统安全造成的影响，判断是否会影响系统的安全等级。如果升级涉及关键业务功能的增加、数据敏感度的提高或网络架构的重大变更，则可能需要重新对系统的安全级别进行评估。

虽然没有统一的时间规定，但应尽快安排测评。对于金融、电力、通信等关键行业的重点信息系统，相关行业标准或监管要求通常会对测评时间有更具体的规定，比如要求在变更后几个月内完成测评。

需选择具备相应资质和专业能力的第三方测评机构。在选择时，可以参考测评机构的历史业绩、信誉及其专业技术人员的配备情况等因素。

通常需要提供详细的升级更新说明，包括更新的内容、目的和影响范围等文档，以及系统的相关技术文档，如系统架构图、网络拓扑图和安全策略配置文件等。此外，还需准备之前的等保测评报告和备案证明等资料。

在测评准备阶段，测评机构将与被测评单位进行沟通，了解系统升级更新后的情况，并确定测评的范围、目标和重点，准备必要的测评工具和文档。方案编制活动根据系统的具体情况和等级保护测评要求，制定详尽的测评方案，明确测评对象、指标、方法和步骤。

现场测评活动按照测评方案，通过访谈、检查、测试等手段，对系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管理等方面进行全面评估，以获取系统安全状况的证据和数据。分析与报告编制活动对现场测评获取的数据和证据进行综合分析，判断系统是否符合相应等级的等级保护要求，识别出存在的安全问题和不足，并形成测评报告，提出整改建议。整改与复测阶段，被测评单位需根据测评报告中的问题和建议进行整改，整改完成后可申请测评机构进行复测，以确保系统满足等级保护要求。如果系统的安全等级因升级而变化，还需按照新的等级要求进行备案和测评。