怎么做等保，有哪些流程？

为什么要做等保测评？

很多企业不明白为什么要花费巨额资金来做等级保护测评，做完等保测评，表明企业在信息安全等级保护、风险控制和系统整体化建设方面，得到了权威机构的认可，标志着平台在网络攻击防范能力、内部系统和制度的完善程度、用户隐私保护、资金安全漏洞等合规方面全面升级，为保障用户信息与维护资金安全筑起了一道坚实的高墙。

1.国家信息安全政策推进的要求

2017年，《网络安全法》首次将等保制度上升到法律层面。网络安全法第二十一条规定：网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2. 主管单位对相关行业的要求

根据《网络安全法》，一切具有联网功能的网络信息系统的运营、使用单位或者其主管部门（参照《信息安全等级保护法》规定，统称为“备案主体”），都必须执行网络安全等级保护制度，并根据定级情况履行等定级保备案义务。

3. 企业安全困境亟待解决

不管是政府还是企业网站/系统，面临着各种各样的安全问题，如网站遭遇黑客攻击、网上信息泄密、数据丢失、病毒感染、不良信息的迅速传播，且运维不规范，导致数据在存储、传输、处理过程中被泄漏、破坏和受未授权修改，缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

等保测评实施流程

1. 系统定级

信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护指南》，初步确定定级对象的安全保护等级，起草《网络安全等级保护定级报告》；三级以上系统，定级结论需要进行专家评审。

2. 系统备案

信息系统安全保护等级为第二级以上时，备案时应当提交《网络安全等级保备案表》和定级报告；第三级以上系统，还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。

3. 系统初测

测评机构按照管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行初步检测评估，针对安全不符合项提出安全整改建议。

4. 等保整改

依据《网络安全等级保护基本要求》，利用自有或第三方的安全产品和专家服务，对信息系统进行安全建设和整改，同时制定相应的安全管理制度。

5. 复测获得报告

运营使用单位应当选择合适的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。公安机关及其他监管部门会在整个过程中，履行相应的监管、审核和检查等职责。