请问企业必须要做等保吗?

我们公司是做电网项目的，基本上每个项目都需要进行等保测评。需要第三方有公安部认证资质的公司才能做。价格就是五万块左右。内容其实就是一些常规的安全问题扫描，然后对应着整改一下。

等保确实挺麻烦。更加蛋疼的是公安部组织的红蓝对抗。上海这边我司被抽中了防守方，最近一直在折腾。据安全的同事说，如果被攻破了，网安还得去机房详细检查安全设备和架构，并且购买指定厂商的安全设备。。。。。。

@pinkbook 发个公告，各系统升级维护，网线一拔，仅剩的被指定的网站静态化处理。

整改单没收到过。
做过政府相关的项目，现在基本都要求要过等保三级。一般是找家有资质的测评公司对你们的项目做审计，包含软硬件和一些项目管理，他会一项一项列出看你的项目是否符合要求，然后进行整改，除了必须要整改的项以外，一般综合评分超 80 就能过。
简单来说就是，交钱，按要求整改，实在整改不了的测评公司会帮你想办法。

三级很稀疏平常么？信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

操作错误，补充 25#
三级的重要内容：『信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。』看来楼里的大佬搞的都是涉及国计民生的，三级等保起步那种，甚至还有五级是吧。
二级能够用的，没事自己给自己找麻烦干啥。

等保 是税

部署在阿里云 找阿里云商务谈

发单了那就一定得做，除非不干了。公司项目做过，好像 6w 一次，如果有大量严重问题后续再次送评还要再花钱，评审内容 A4 大小，看着至少 5cm 厚

护网期间, 如果可以, 直接关掉公网访问. 等结束了再打开.

《信息安全等级保护管理办法》第五条规定信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

所以只要用到了网络的企业、事业等单位都必须做等保。

当前等保是由公安负责监管的，公安会给一些三方测评机构颁发等保测评资质，要做等保的单位得去找这些有资质的单位进行等保测评并形成报告，然后再把报告提交给当地公安网安。

各地区的具备资质的测评机构可以在这里找到 http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c
这个是等保的官方网站。

不同地区可能价格不大一样，你可以找到你所在地区的各家机构都谈一谈，我们基本只会采购等保测评服务，有的机构可能会打包其他安全服务或设备卖套餐，你可以根据你们的需求来看。

系统在阿里云上的话，涉及到 IaaS 、PaaS 的测评项目就只需要拿阿里云的测评报告就可以了，你可以联系阿里云客服跟他们要测评报告和白皮书，白皮书里面会写明等保的哪些部分由阿里云负责，哪些由你们负责，然后测评机构只对你们负责的那部分进行测评就可以了。

整改和等保通常是两回事，等保需要每年至少做一次（以你们系统的评级来决定，三级是一年一次），整改通常是限定一段短时间内整改完成并提交相关整改说明报告，除非整改要求就是做等保。

等级保护里面的等级是国家用于衡量各个单位的各个系统被破坏后对国家和社会造成的影响程度的，粗略地来讲，如果你们只有个跟业务运行关系不大的系统可能就是一、二级，如果业务运转依赖网络系统基本就是三级，如果还和 zf 和国家安全有关可能就是四、五级了。首次测评前需要先做定级工作，届时会决定你们的系统属于哪个级别，并在公安进行备案，之后就得按照这个等级的相关要求来做测评了。

如果你们有多个系统，可能就得给每个系统单独做定级、备案、测评，所以能合并成一个的话最好是合并成一个系统来做。

等保基本分技术和人员管理两方面，每次测评的时候，测评机构都会根据相关测评标准（如 GB/T 22239 ）检查一下你们的技术和人员管理是否符合要求，之后会把不符合要求的部分列出来并给出一些整改建议，你们进行整改，然后复测，直到所有高危、中危的问题都改好了，再给你们出具测评报告，然后如果低危的没全改就会扣一些分，一般 70-90 分都是比较正常的，好像也没有所谓及格分，只要没有高危、中危问题就算通过。

另外公安和其他部门的监管风格不大一样，公安多数情况下是直接处罚，然后要求整改；其他像网信、工信、市监等一般是先要求整改，限期内改好了就没事了，逾期就给行政处罚。

网络安全等保只是个开始，北京这边已经整过好几轮个人信息安全了，后面还会有数据安全整顿。

企业不是必须的吧。。事业单位应该是要做。

@libook 受教了

给你看下上个月我了解时随手记的笔记。价格是最最低标准的价格。

涵盖大量个人信息- 三级等保
1.定级 10 工作日：专家评审 1 工作日：专家评审 1500 每人至少一个高级测评师，共三人。交给网安（丰台分局网安治安大队）
2.备案 10 天：备案表，定级报告。。：注册、线上、线下提交材料。得到网安备案证明，交给中介
3.预测评 10 天，高危必须整改，中危低危无需整改
4.整改（不定，不能短于一个月），购买硬件、管理制度（机构提供）
5.复测 3 天：机构评分，70 分以上即可
6.测评机构 出测评报告（ DJCP 章） 15 个工作日左右
7.公安定期开展检查（会找公司监察，可以找他们售后）（三级一年，二级两年）

整体流程两到三个月

费用
1 测评费 2 设备费
1 专家费、咨询费、测评费
2 建设整改费

测评费十万元
上云更便宜 十二三万一年 最低标准光安全产品和服务器 6 、7 万，全部加上测评费十六七万
本地自建 30 万以上

每年复测 这个价格每年一次

@fackVL 具体买哪些设备啊，上云的话买哪些产品呢

@lscho 原则来说都要做的，参考网络安全法，第二十一条，说明网络运营者，同时网安法定义的网络运营者，是指网络的所有者、管理者和网络服务提供者，也就是不管你什么系统内部还是外部的，原则上都是要做的，实际另说，但是做了出问题了报警方便

@timepast #36 直接找专业公司做啊，自己可做不了。人家会给你们详细讲的

等保？前段时间传闻上海当局泄露 10 亿人的信息，结果是喊运营商过来喝茶。

这可是好多公司的财路啊[doge]