无论是第一次测评还是复测评,企业都应当委托具有资质的、当地公安网安部门认可的等保测评机构开展测评。等保复测可登陆中国网络安全等级保护网进行查询。实践中每家测评机构提供的服务范围各不相同,部分测评机构仅提供测评服务,不负责代理备案申报、整改等事务。测评服务费也各有差异,通常情况下二级等保测评约为6-8万(不含整改费用,下同),三级等保测评约为10-15万,具体根据委托企业的行业、系统数量各有差异。
具体测评中,测评机构重点关注信息系统的“技术标准”和“管理标准”两项指标。例如“管理标准”指标中,根据等级不同,重点关注企业是否有合规的安全策略、管理制度、应急预案等,以及企业是否有配置合规的网络安全管理岗位、人员,并开展相应的教育培训等。
根据2020年4月28日发布的国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》,当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,企业需根据该标准重新确定定级对象和安全保护等级。
等保复测可以分为两种情况:一种是测评不合格,企业就需要进行整改,然后在整改结束后重新进行一次测评,并提交测评报告;另外一种复测是根据测评周期来的。根据规定,二级及以上的信息系统都需要进行测评工作,且测评周期如下所示:
