总的来说,等保复测可以分为两种情况:一种是测评不合格,企业就需要进行整改,然后在整改结束后重新进行一次测评,并提交测评报告;另外一种复测是根据测评周期来的。根据规定,二级及以上的信息系统都需要进行测评工作,且测评周期如下所示:
级别 |
测评周期 |
第一级(自主保护级) |
不需要 |
第二级(指导保护级) |
每两年至少一次 |
第三级(监督保护级) |
每年一至少次 |
第四级(强制保护级) |
每半年至少一次 |
第五级(专控保护级) |
超出等保范畴 |
特别需要注意的是,考虑到实际等级保护工作所面临的复杂情况,等保2.0时代,四级及以上的信息系统的复测评周期延长,改为一年为复测评周期。
等保复测需要重新定级吗?
根据2020年4月28日发布的国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》,当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,企业需根据该标准重新确定定级对象和安全保护等级。
也就是说,等保复测需不需要重新定级是根据等级保护对象所处理的业务信息和系统服务范围是否发生变化来确定的。根据青莲网络的等保服务经验,由于系统扩展需要,用户量增加,二级等保在复测的时候一般需要重新定级;三级和四级等保则比较稳定,一般不需要重新定级。
企业等保测评/复测怎么做?
无论是第一次测评还是复测评,企业都应当委托具有资质的、当地公安网安部门认可的等保测评机构开展测评。等保测评机构名单可登陆中国网络安全等级保护网进行查询。实践中每家测评机构提供的服务范围各不相同,部分测评机构仅提供测评服务,不负责代理备案申报、整改等事务。测评服务费也各有差异,通常情况下二级等保测评约为6-8万(不含整改费用,下同),三级等保测评约为10-15万,具体根据委托企业的行业、系统数量各有差异。
具体测评中,测评机构重点关注信息系统的“技术标准”和“管理标准”两项指标。例如“管理标准”指标中,根据等级不同,重点关注企业是否有合规的安全策略、管理制度、应急预案等,以及企业是否有配置合规的网络安全管理岗位、人员,并开展相应的教育培训等。