等保三级测评流程详解：从定级备案到测评通过全指南

在数字化转型浪潮席卷各行各业的当下，网络安全已从可选项变为必选项。根据《中华人民共和国网络安全法》第二十一条的规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。对于涉及大量用户数据、核心业务系统以及关键信息基础设施的企业而言，通过等保三级测评不仅是法律合规的基本要求，更是保障业务稳健运行的关键举措。

本文将结合信息安全等级保护2.0标准体系，系统梳理等保三级测评的完整流程，从系统定级、备案、安全整改到正式测评，帮助读者建立起清晰的全景认知。

一、等保三级测评概述

1.1 什么是等保三级测评

等保三级测评，全称为信息安全等级保护第三级测评，是指针对安全保护等级为第三级的信息系统，由具备资质的测评机构依据国家网络安全等级保护标准规范，对系统的安全保护状况进行全面检测评估的活动。第三级属于"监督保护级"，适用于一旦遭到破坏后会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害的信息系统。

在实际应用中，等保三级测评主要适用于以下类型的信息系统：涉及大量公民个人信息的平台、金融交易系统、在线支付系统、电子政务平台、医疗信息系统、教育核心业务系统、企业资源计划系统以及各类涉及敏感数据的网络应用。这些系统由于承载了重要业务和大量敏感数据，一旦出现安全事件，将产生严重的社会影响和经济损失。

1.2 等保三级测评的重要性

从法律层面看，开展等保三级测评是贯彻落实《网络安全法》的法定要求。未依法开展等保工作的单位，将面临由主管部门责令整改、处以罚款甚至暂停业务等处罚措施。从业务层面看，通过等保三级测评意味着企业的信息系统安全防护能力达到了国家标准要求，能够有效抵御常见网络安全威胁，降低数据泄露、系统入侵等安全事件的发生概率。此外，对于向外部客户提供服务的平台型企业而言，等保三级测评报告也是展示自身信息安全管理水平、增强客户信任的重要证明文件。

二、等保三级测评的核心标准

等保三级测评的技术依据主要来源于国家标准化管理委员会发布的一系列标准文件，其中最为核心的是以下两部标准。

2.1 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 22239-2019是等保2.0体系中的基础性标准，自2019年12月1日起正式实施。该标准针对不同安全保护等级的信息系统，分别提出了安全通用要求和安全扩展要求。安全通用要求涵盖十个方面：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。对于第三级信息系统，该标准在身份鉴别、访问控制、安全审计、入侵防范、数据完整性、数据备份与恢复等关键控制点提出了严格的技术要求。

2.2 GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T 28448-2019是与GB/T 22239-2019配套使用的测评标准，它规定了等级测评的基本原则、测评工作流程以及测评方法。该标准将测评工作分为单项测评和整体测评两个层次：单项测评针对每个安全测评项，判断系统是否满足预期要求并给出符合程度得分；整体测评则是在单项测评结果的基础上，分析各测评项之间的关联关系，对系统的整体安全保护能力做出综合判断。最终测评结论分为"符合""基本符合"和"不符合"三种等级。

此外，GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》为测评工作的具体实施提供了过程性指导，涵盖了从测评准备到报告编制的全流程操作规范。

三、等保三级测评完整流程

等保三级测评并非一次性的技术检测工作，而是一个涵盖多个环节的系统工程。完整的实施流程包括系统定级、备案、安全建设整改、等级测评和持续监督五个阶段。

3.1 第一阶段：系统定级

系统定级是等保工作的起点，也是整个流程中最关键的环节之一。定级结果直接决定了后续安全整改的深度、测评的范围以及长期运维的工作量。

定级工作遵循"自主定级、专家评审、主管部门核准、公安机关审核"的原则。具体步骤如下：

第一步，确定定级对象。企业应全面梳理自身的信息系统，明确哪些系统需要纳入等保范畴。一般来说，所有对外提供服务、存储重要数据、支撑核心业务的信息系统均应为定级对象。

第二步，初步确定安全保护等级。根据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》，定级由两个核心要素决定：受侵害的客体（国家安全、社会秩序和公共利益、公民法人合法权益）和对客体的侵害程度（一般损害、严重损害、特别严重损害）。定级对象的安全保护等级由业务信息安全和系统服务安全两方面综合确定。

第三步，组织专家评审。对于初步定为第二级及以上的信息系统，企业需组织网络安全专家和业务专家对定级结果的合理性进行评审，出具评审意见。

第四步，主管部门核准。定级结果需报请行业主管或监管部门核准。不同行业可能有各自的定级细则和要求，企业应结合行业主管部门的指导文件开展定级工作。

通过这一套严谨的定级流程，能够确保信息系统的安全保护等级与业务实际风险水平相匹配。

3.2 第二阶段：备案

完成定级工作后，企业应在安全保护等级确定后三十日内（等保2.0相关标准已将备案时限调整为十日内），到所在地设区的市级以上公安机关办理备案手续。

备案所需材料主要包括：信息安全等级保护备案表、定级报告、专家评审意见、系统拓扑图、系统基本情况说明等。对于第三级信息系统，还需提供系统安全保护设施设计方案、系统安全保护等级测评报告等补充材料。

公安机关对备案材料进行审核，符合条件的，颁发信息系统安全等级保护备案证明。该证明是后续开展等级测评的重要前提文件。

在深圳，企业可前往深圳市公安局网警支队或辖区公安分局办理备案手续。备案过程中如有疑问，也可咨询熟悉等保流程的专业信息安全服务机构，确保备案材料准确齐全，避免因材料问题影响备案进度。

3.3 第三阶段：安全建设整改

安全建设整改是等保工作中投入最大、周期最长的阶段，也是决定测评能否通过的核心环节。整改工作依据GB/T 22239-2019中的安全要求，分为技术整改和管理整改两大维度。

3.3.1 技术整改

技术整改覆盖物理安全、网络安全、主机安全、应用安全和数据安全等多个层面。

在安全物理环境方面，机房应配备门禁系统、视频监控、温湿度控制、消防系统、UPS不间断电源等基础设施。服务器机柜应上锁管理，机房出入应有严格登记制度。

在安全通信网络方面，应合理划分网络区域，部署防火墙、入侵检测或入侵防御系统、上网行为管理系统等安全设备。核心网络设备应开启日志记录功能，网络架构应满足冗余设计要求，关键链路应有备份。

在安全区域边界方面，应在网络边界部署访问控制策略，对进出网络的数据流进行严格管控。应能够检测和防范针对边界的网络攻击行为，包括端口扫描、暴力破解、拒绝服务攻击等。

在安全计算环境方面，服务器和终端设备应部署防病毒软件，操作系统和应用系统应及时更新安全补丁。应配置严格的身份鉴别策略，三级等保要求采用双因素认证方式，例如密码加动态口令、密码加USBKey或密码加生物特征等多种组合。访问控制应遵循最小权限原则，对重要数据的访问和操作应有详细审计记录。

在数据安全方面，应建立数据分类分级管理制度，对重要数据进行加密存储和加密传输，制定数据备份与恢复策略，确保备份数据的完整性和可用性。

3.3.2 管理整改

管理整改是等保工作中容易被忽视但同样重要的部分。安全管理体系文件建设是管理整改的核心内容，包括制定信息安全总体方针政策、明确安全管理组织机构职责分工、建立人员安全管理制度（包括录用、离岗、培训、外部人员访问管理等）、制定系统建设管理制度（包括系统定级备案、方案评审、产品采购、自行软件开发等）、建立系统运维管理制度（包括日常巡检、监控预警、变更管理、应急响应、备份恢复、安全事件处置等）。

此外，企业还应建立定期的安全培训和意识教育活动机制，确保所有员工了解基本的安全操作规范。应制定网络安全应急预案，并定期组织演练，验证应急预案的可行性和有效性。

华南腾飞科技在多年的信息安全服务实践中积累了大量成功案例，能够为企业提供从差距分析、整改方案设计到落地实施的一站式安全整改服务，帮助企业高效完成等保三级测评的准备工作。

3.4 第四阶段：等级测评

完成安全建设整改后，企业可委托具备等级测评资质的测评机构对系统进行正式测评。测评机构应持有公安部颁发的等级测评推荐证书，企业可通过中国网络安全等级保护网查询具备资质的测评机构名单。

等级测评的工作流程包括以下几个步骤：

第一，测评准备。测评机构组建测评项目组，与企业沟通测评范围和内容，收集系统相关资料，准备测评工具。

第二，方案编制。测评机构根据系统的实际情况编制测评方案，明确测评对象、测评指标、测评内容以及工具测试方法。

第三，现场测评。测评人员到现场对系统进行技术测试和管理核查。技术测试包括漏洞扫描、渗透测试、安全配置检查等；管理核查包括查阅安全管理制度文件、访谈安全管理人员、现场观察物理环境等。

第四，分析与报告。测评机构对测评数据进行分析处理，判断各测评项的符合程度，进行整体测评和风险分析，最终出具信息系统安全等级测评报告。

测评结论分为三种：符合，表示所有测评项均为符合，综合得分为一百分；基本符合，表示存在部分不符合或部分符合项，但不会导致高等级安全风险且综合得分不低于规定阈值；不符合，表示存在导致高等级安全风险的项或综合得分低于规定阈值。

对于第三级信息系统，测评综合得分需达到七十分以上方为基本符合。未达到要求的系统需根据测评报告中提出的整改建议开展新一轮整改，整改完成后申请复测。

3.5 第五阶段：持续监督

通过等保三级测评并非终点，而是信息安全工作的新起点。根据相关规定，第三级信息系统应当每年至少进行一次等级测评。企业应建立常态化的安全监测和运维机制，定期进行漏洞扫描、渗透测试和安全审计，确保系统安全状态的持续合规。

同时，当系统发生重大变更（如网络架构调整、业务功能重大升级、部署环境变化等）时，应及时向公安机关和测评机构报告，必要时重新进行等级测评。

四、等保三级测评中的常见问题与解决方案

在实际的等保三级测评工作中，大多数企业在初次测评时都会遇到不同程度的不符合项。了解这些常见问题并提前做好应对准备，可以大幅缩短整改周期，降低测评成本。

4.1 物理安全方面的常见问题

物理安全是测评中相对容易通过的领域，但也存在不少容易被忽视的问题。常见问题包括：机房门禁记录不完整或未定期审计、机房温湿度未实现实时监控和告警、消防设备未定期检测、缺少防雷接地措施、机房线缆杂乱未进行规范布线等。解决方案是针对每个物理安全控制点建立制度化的管理流程，如制定机房出入审批制度、建立设备巡检台账、部署环境监控系统等。

4.2 网络安全方面的常见问题

网络安全是等保三级测评中问题最集中的领域之一。常见问题包括：网络区域划分不合理，核心业务区与办公区未有效隔离；防火墙访问控制策略过于宽松，未按最小权限原则配置；未部署入侵检测或入侵防御系统；缺乏对恶意代码的集中防范机制；网络设备日志未开启或日志保存期限不足六个月；缺少网络审计措施等。

针对这些问题，企业应按照安全区域边界和安全通信网络的要求，重新梳理网络架构，合理划分安全区域，部署必要的安全防护设备，配置严格的访问控制策略，并建立日志集中审计平台。

4.3 主机安全方面的常见问题

主机安全方面，常见问题包括：操作系统默认口令未修改或口令强度不足；未启用锁定策略，允许无限次登录尝试；未部署防病毒软件或病毒库长期未更新；系统补丁更新不及时，存在已知高危漏洞；多余服务和端口未关闭；未启用安全审计功能等。

解决这些问题的关键在于建立标准化的主机安全基线配置方案，对所有服务器和终端设备统一实施安全加固，并建立定期的安全巡检和漏洞修复机制。

4.4 应用安全方面的常见问题

应用安全方面，常见问题包括：应用系统存在SQL注入、跨站脚本等常见Web漏洞；身份认证机制薄弱，仅使用单一口令认证方式；会话管理不安全，存在会话固定或会话劫持风险；权限控制不严格，存在越权访问漏洞；敏感数据明文传输或明文存储等。

应用安全整改需要开发团队和安全团队的紧密配合，建议在应用系统开发阶段就融入安全设计理念，遵循安全编码规范，在上线前进行安全测试。

4.5 数据安全方面的常见问题

数据安全是等保2.0新增的重点关注领域。常见问题包括：未建立数据分类分级管理制度；重要数据未进行加密存储；数据传输未采用加密协议；数据备份策略不完善，未对备份数据的完整性进行验证；缺少数据恢复测试机制；剩余信息保护措施不足等。

企业应根据数据的敏感程度和重要程度，制定差异化的数据安全保护策略，同时建立数据全生命周期的安全管理机制。

4.6 安全管理方面的常见问题

安全管理方面，常见问题包括：安全管理制度体系不完整，缺少部分关键制度文件；制度与实际执行脱节，存在"有制度不执行"的情况；安全管理人员配置不足，未明确安全管理岗位和职责；安全培训记录不完整；未定期组织应急演练等。

安全管理整改的核心在于"建制度、抓落实、留记录"。不仅要建立完整的制度体系，更要确保制度的可执行性和持续性，同时做好各类安全活动的记录归档工作。

五、对深圳企业的价值

深圳作为中国科技创新的前沿城市，汇聚了大量互联网、金融科技、电子商务、智能制造等领域的优秀企业。这些企业在数字化进程中积累了海量数据和核心业务系统，面临着日益复杂的网络安全威胁。在此背景下，开展等保三级测评对深圳企业具有尤为重要的现实意义。

首先，深圳是改革开放的前沿阵地，企业的信息化程度普遍较高，业务系统的重要性也相应提升。无论是面向C端用户的互联网平台，还是支撑B端业务的SaaS系统，都往往承载着大量敏感信息，依法开展等保三级测评是企业履行法定义务的必然要求。

其次，深圳企业普遍具有较强的创新意识和国际化视野，在拓展业务过程中需要向合作伙伴、投资方和监管机构展示自身的信息安全保障能力。通过等保三级测评并获得测评报告，是证明企业网络安全防护水平的有力凭证。

再次，深圳市公安局网警支队等监管机构定期开展网络安全执法检查，对辖区内未按规定开展等保工作的单位依法进行查处。主动开展等保三级测评工作，能够有效规避合规风险，避免因网络安全事件或合规问题导致的业务中断和经济损失。

作为扎根深圳本地的信息安全服务企业，深圳市华南腾飞科技有限公司长期专注于为各类企事业单位提供等保咨询、安全整改、渗透测试和应急响应等专业服务，对深圳地区的监管要求和测评实践有着丰富的理解与经验积累。

六、费用与周期

等保三级测评的整体费用由测评服务费和安全整改费用两部分构成。

测评服务费是指向具备资质的测评机构支付的测评费用。根据行业公开信息，三级信息系统的测评费用一般在八万元至十五万元之间，具体价格因测评机构的资质等级、测评范围的复杂程度、系统数量的多少以及所在地区的市场行情而有所差异。深圳地区的测评服务费用可能略高于其他地区，这与当地的人力成本和市场需求有关。

安全整改费用的浮动范围较大，从几万元到几十万元不等，具体取决于信息系统的现有安全状况、需要整改的内容和规模。如果企业的基础设施建设较为完善、安全防护措施基本到位，整改费用主要涉及安全设备的补充采购、制度文件的编写完善和安全培训等方面，整体投入相对可控。如果系统从零开始建设，或现有安全环境与三级等保要求差距较大，则整改投入会相应增加。

从周期来看，等保三级测评的完整周期通常为四至六个月。其中，系统定级和备案阶段约需两至四周，安全整改阶段约需两至四个月，等级测评阶段约需两至四周。实际周期受企业配合度、整改复杂程度、测评机构排期等因素影响而有所不同。建议企业提前规划，预留充足的时间窗口。

七、结语

等保三级测评是一项系统性、专业性较强的工作，涉及技术和管理多个维度的综合考量。从系统定级到备案，从安全整改到正式测评，再到后续的持续监督，每个环节都需要投入足够的重视和资源。对于企业而言，开展等保三级测评不应仅仅被视为满足监管要求的合规任务，更应将其视为提升自身网络安全防护能力、保障业务稳健发展的重要契机。

网络安全形势持续变化，威胁手段不断升级，企业需要建立长效的安全管理机制，持续投入资源进行安全能力的建设和优化。深圳市华南腾飞科技有限公司始终积极参与本土企业的网络安全建设，致力于提供务实、高效的信息安全服务，帮助企业构建符合国家标准要求的安全防护体系，为数字化业务的健康发展保驾护航。

希望本文能够帮助读者全面了解等保三级测评的完整流程和关键要点，为实际开展等保工作提供有价值的参考。无论您的企业正处于安全建设的哪个阶段，理清等保三级测评的流程框架，提前做好规划准备，都将为顺利通过测评奠定坚实基础。

八、常见问题FAQ

Q1：等保三级测评流程详解：从定级备案到测评通的核心要点是什么？

A：本文系统梳理了等保三级测评流程详解：从定级备案到测评通过全指南的关键内容，包括需求分析、方案设计、产品选型、实施要点和成本分析，帮助企业以合理的投入获得最佳效果。

Q2：等保三级测评流程详解：从定级备案到测评通过全指南需要多少预算？

A：根据企业规模和需求的复杂度，预算通常在50-150万元之间。建议先进行需求调研和方案设计，再根据实际情况调整预算范围。

Q3：实施周期一般多长？

A：一般项目实施周期为2-4个月，具体取决于项目规模和复杂度。建议分阶段实施，降低风险和一次性投入。

Q4：如何选择合适的供应商？

A：建议从企业资质、项目案例、技术团队、售后服务和价格五个维度进行综合评估。华南腾飞科技14年服务500+政企客户，是值得您信赖的合作伙伴。