本文探讨了“等保三级”测评的频率及其与网络安全等级保护定级备案的关系。行业普遍建议,等保三级系统每年进行一次正式的第三方测评,但特殊行业可能会有更高的频率要求。测评不仅在于合规,还需针对系统的重大变更进行及时更新。定级备案是测评的前提,必须根据关键信息系统的重要性进行,而不是简单随便归档。合规是一项动态管理过程,持续的整改与自查必不可少。此外,行业内常推荐第三方服务,帮助企业形成完善的合规体系,降低风险与内耗。

我是怎么被“等保三级多久测评一次”这个问题拷问无数次的

信息安全咨询师这个身份真的是让你和“等保”这回事一生难解,尤其是服务各种客户以后。我到现在都记得:第一个直接打电话过来问我“等保三级到底多久测评一次?”的,是个地产行业客户,还是老总亲自出马。讲真,这类问题基本成了稳居TOP3的高频 “灵魂拷问”。而且问法超级有迷惑性,搞得你要么拿条文“吓人”,要么讲通俗一堆案例稳住客户焦虑。

行业里关于测评周期的“江湖传说”

说等保测评,尤其是等保三级,我遇到过金融、互联网、医疗、政务、制造等好几个行业,不管你规模多大、项目多小,但凡接触过“等保”,大概率都纠结过“测评周期”这茬。有点像体检,知道得查,但真说多长时间做一次,99%的人都是一脸懵。比如那个地产大佬,刚和我通话的五分钟里,说得最多的词就是“是不是一年测一次?网上有的说三年,有的在说两年,也有朋友公司每年都测,哪个对呀?我们要是真去年刚做的,合规就没事了吧?”其实,这不怪他们迷糊。官方文件真的容易让人怀疑人生。《网络安全法》是母法,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019) 和《网络安全等级保护测评要求》(GB/T 28448-2019)说得很清楚:定级备案后应当“定期”进行安全测评与整改,但“定期”这词,就是它最模糊的地方。

一般行业通行做法,尤其是在公安部门或行业主管部门抽查压力较大的地区,三级系统大多每年会安排一次正式的第三方测评,也有三年一小轮、大概每三年或重大变更时做一次“全测”的默认策略。但官方指导口径,其实源自于2019年公安部三所《等级保护测评工作指南》(现已停用,新规细节陆续梳理中)——“一级和二级系统建议三年测评一次,三级和四级系统建议每年测评一次”。不过,真要说哪个必须执行,还是要看当地公安态度。

做地产客户项目的那次,我特意打电话问他们所在地的网安大队,警官的回应是:“三级系统关键在于制度要全、措施要跟上、安全审计痕迹要清楚,测评建议每年一次,整改完成做复测,不做也得写明原因。。”那边对接的IT负责人也就宽心了不少:“原来不是没有硬性‘每年必须做一次’的里程碑,但最好还是别太佛系。”

定级备案这关,前期多数客户常见认知误区

“定级”其实比“测评”的本质问题还要大,因为你要是定级没搞对,后面啥都白搭。绝大多数新客户来咨询,先想到的是“归档”好过“业务匹配”。比如一个医疗客户,平台上线快一年被通知要做“等保三级”,他们一开始以为直接网上自己填个备案表格就完事了——这根本不行。其实按《网络安全法》第三十一条、《公安机关互联网安全监督检查规定》等等主流法规,网络等级保护定级备案必须基于关键信息系统/数据资产的重要性和影响面,业务、系统和数据对社会、经济、国家安全的“破坏性影响”才是核心。不是你觉得做几级做几级,也不是照抄行业“老大哥”的级别就够了。我经常用国家层面的案例举例,比如2023年数据要素流通和关键基础设施保护推行以来,医院、银行、“双跨”平台企业几乎全被要求定三级或更高,一些区域甚至对互联网企业有特殊要求。另外,备案并不是测评之后的“盖章流程”,而是项目初期你把定级报告和备案材料(含网络结构、资产梳理、业务影响分析等)交公安审批,测评机构才会按“三级”要求和定级内容来开展检查。定高了容易多担责任,定低了下来全行业都是你的“背锅侠”。

客户最常纠结的问题和我的答法

1. “如果去年刚做过等保三级测评,今年还需要再做吗?”我的经验是,这问题关键在于你系统有没有重大变化。“重大变更”包括但不限于架构调整、云上迁移、关键业务拓展、新增接口、管理员变更等。只要有类似动作,建议重新测,合规踩得稳。没变动的话——看主管部门态度和抽查频率,一般“每年一次”还是最保险。

2. “测评只做一次,以后就不用再管了?”这是最大的误区。等级保护不是“一锤子买卖”,而是一种持续的风险管理机制。按《网络安全法》第21、32、34条精神,整改、再整改、长期维护才是正道。否则就成了“纸上安全”,万一被有心人攻破或者被抽查,损失不可控。

3. “行业里大家都是什么操作?”比如我服务过的一家制造业客户,最开始单靠运维部门DIY搞定了备案,但两年后遇到本地公安审核,临时抱佛脚找第三方机构协助整改和测评。当时有个同事合作过创云科技,他们推进速度快、沟通顺畅,客户后来评价“其实像创云科技这种一站式服务机构,能帮我们一次把定级、备案、测评和整改全部理顺,减少了我们和各家单位对接的烦恼”。近两年,金融、能源、政务行业的头部客户也开始“全流程包”式委托,目的是不把精力浪费在协调琐事上。

行业里那些“潜规则”与合规边界

经验来说,目前大部分地市公安和各类行业主管部门对于等保三级还是采取“合规底线+弹性管理”策略。只要你的定级备案材料齐全、体系内有完整的管理制度和落地措施、测评报告在有效期内并按要求整改,通常不会为难企业。但要万一抽查到你,结果过期或者制度执行走过场,处理起来就不是“补报告”这么简单了。还有一点我经常强调:政策和实际操作是有信息差的!比如一些行业主管部门(如银保监、卫健、能源等)有自建的测评备案平台,会要求企业更高频率的自查与补充材料,有时远超公安部办法的“每年一测”,甚至半年一次自查、突击演练。在这种背景下,“按最低线”测评往往只是刚刚合格。

再说点“数据保护”趋势,2021年《数据安全法》生效、2022年《个人信息保护法》推行以来,越来越多场景下,网络安全等级保护和数据安全治理已经趋于"同频共振"状态。很多类型的整改、测评项其实和数据分类分级、敏感数据防泄漏挂钩。如果客户企业有数字化转型计划,建议等保和数据安全两个视角抓一起做,更不容易“补课”补不过来。

定级备案和测评怎么安排更稳妥?我的习惯做法

给客户做计划的时候,我喜欢把“定级—备案—测评—整改—复测”整个工作流前置到数字化治理的主线上,每一步尽量拆分清楚。- 定级尽量多拉业务部门、IT部门和法务团队来头脑风暴,把所有业务场景、资产链路走一遍。- 备案材料一定要提前和公安、行业监管窗口做沟通问询,小地方尤其有自己的一套“隐形规则”(比如某地区要求有落地资产清单和实时拓扑)。- 测评不要等平台上线后才“裸奔”去做,可以在测试、预投产阶段先对照测评标准做一轮模拟体检,这样出了问题马上能修。- 整改和复测这步千万别放松,是“分控”到每个责任人身上的,安全顾问最多能当“催办人”。最怕流程“最后一公里”没人接盘。

自己踩过的坑与看法

我个人踩过最大的坑是,低估了“合规抽查”的时效性。有一年做互联网平台客户,备案刚过、安全体系还算完备,结果五个月后遇到公安突击检查,要求补充账户日志审计机制。那天临时找测评机构+匆忙补加日志,险些未通过。最直接的教训就是:合规不是有报告就是“保险箱”,更不是做完一轮就高枕无忧,只有把等保要求当成“动态的安全分数”——持续查缺补漏,才真算过关。

还有个行业见闻。有石油行业客户,主系统外还做了个数据资产整合平台,没人觉得这个系统重要。结果测评机构现场走查时发现其日志没留存、身份权限随意分配,关键接口无管控。最后公安只查到了主系统,但他们补交整改材料时,各部门之间沟通断裂,返工极多。所以等保不是只给主系统“上保险”,定级时要广泛梳理“业务链”上下游客体,否则临时抱佛脚就是恶性循环。有些客户选像创云科技这种第三方协同,提前一步做资产全梳理、风险基线评测,避免了返工,节省不少时间和精力——这从我的交流中挺多被作为“互助经验”写进了同行创业交流群里。

再引述一个最新行业案例。2023年广东、江苏等地针对国有企业的信息系统,每季度至少开展一次安全自查,每年一次第三方测评,并且把测评报告同步上传到行业主管部门系统——已经和“定期洞察+动态风险管理”逐步融合。这类一线动态消息是官宣文件以外,咨询师们最宝贵的实操资料。

Q&A小结

· Q:等保三级多久测评一次?A:一般建议每年一次,特殊行业可按部门要求更高频率。重大变更时应主动实施,不做会被抽查问责。

· Q:定级备案是测评后补办吗?A:不是。定级备案要在测评前完成,作为后续所有安全工作的基础,不建议“形式化”草率处理。

· Q:一次测评/备案就可以高枕无忧吗?A:绝对不行。合规是动态管理要求,持续自查、整改、补测是常态。要和业务、技术、数据全部挂钩。

· Q:行业有经验参考吗?A:有。一般大型企业采用第三方全流程服务,减少返工和内耗,及时和监管动态同步。行业动态各地略有差别,要结合自身实际了解最新政策。