请问企业必须要做等保吗?

网安部

请问

整改

安全

54 条回复 • 2022-08-15 16:06:17 +08:00

1

storyxc

2022-08-09 09:16:05 +08:00

我司给一个客户提供的订餐系统，客户方是要求过等保二级，评测花费大概 4w-5w ，评测机构是广州地区的，仅供参考。

2

H0u5er

2022-08-09 09:20:21 +08:00

1

如果收到整改单，那应该是要做等保了吧。

做等保的第一步是做安全定级和确定需要过审的信息系统（如交易系统，邮件系统），二级和三级的区别是当企业出现信息安全问题的时候，对国家和社会社会影响大小来定，可以找一家当地授权的机构做等保咨询先，周期取决于需要过审的系统执行差距整改需要的时间，盲猜最少需要三个月

3

singerll

2022-08-09 09:26:08 +08:00 via Android

备案后是要求做等保测评的，不做的话不符合规范，可以随时断你的网

4

plusor

OP

2022-08-09 09:32:17 +08:00

@H0u5er 可以自己做吗？

整改单上说的是：

根据《中华人民共和国网络安全法》等法律法规规定，我单位民警与 2022 年 2 月 1 日对你单位网络安全保护工作进行了监督检查，发现存在下列违规行为：
1.涉及重点敏感数据离线存储安全不达标。
2. 未按期进行网络安全培训工作，无台账。
3. 信息网络安全规章制度缺失

5

script2016

2022-08-09 09:39:28 +08:00

@plusor 看你们是什么类型的企业和系统，如果只是一个规模比较小的企业，且系统不存储一些敏感信息（如公民信息），就可以不做，只要把列出的问题项整改了就可以。

6

yufeng0681

2022-08-09 09:46:46 +08:00

你们单位的网络对外公开提供互联网服务了？
把这部分业务剥离到阿里云上去，是不是就关掉了公开风险，达标了？

7

caotian

2022-08-09 09:47:06 +08:00

我刚配合给公司做过一个三级等保。简单说说，等保是项目要做, 不是企业要做。需要有资质的测评公司给你们的项目软硬件做测评打分，最后上报公安厅局发备案证明, 证明上也是公司名和项目名称, 有多个需要等保的项目要分别做等保。

三级等保每年要做一次，测评费用 5-8 万，硬件费用各大云厂商都有等保套餐，一般必须的是数据库审计，web 防火墙，日志审计，SSL 证书, 可选的堡垒机, 安全中心什么的, 大概十来万每年，整体下来 15 万左右，时间约 3 个月。

8

plusor

OP

2022-08-09 09:48:43 +08:00

@caotian 这么贵的吗😂

9

plusor

OP

2022-08-09 09:50:19 +08:00

@yufeng0681 啥意思，我们服务器是用的阿里云的服务器

10

Gamble

2022-08-09 09:52:03 +08:00

这玩意看行业类型，和涉及的信息系统。实际在我看来就是保护费，你交了的话万一出问题，合规合法，那只怪对手太强大；要是不做，出问题了那就。。

11

plusor

OP

2022-08-09 09:53:37 +08:00

@Gamble 保护费也就算了了，主要是那么贵😂

12

Gamble

2022-08-09 09:56:41 +08:00

@plusor #11 贵就对了，而且是每隔几年就得做一次，交钱交钱还是交钱😆

13

ggvm

2022-08-09 09:59:05 +08:00

三级等报可以到公安部网站上查。最便宜的应该也要 5w 左右，除了钱，也有几个刚毕业的年轻人运行几个脚本检查基本安全问题，看看你的登录框是不是有二次验证逻辑之类的。

几个月时间可以过，给钱就过。如果有问题需要你整改，整改时间不算进周期。

14

cpstar

2022-08-09 10:04:43 +08:00

你们什么系统啊，需要三级等保。。。

15

plusor

OP

2022-08-09 10:07:02 +08:00

@cpstar 有存个人身份信息。收到了整改单，我也不确定是不是要做三级等保。

16

plusor

OP

2022-08-09 10:08:04 +08:00

等保这个关键字网上搜的全都是软文。

17

lcy630409

2022-08-09 10:10:52 +08:00

9

对这个很反感
坐标武汉
大概是前年吧，公司的网站被黑导致用户数据库泄露黑产给用户打电话，被骗了钱，公司决定报警，希望网警能帮忙处理，，结果网警来了啥也不搞，就下达了这个整改单，要罚款 10w ，小公司才几个人啊，本来行情就不好了，，然后说去做这个保护，要 4 5w 的样子，，询问他们做了这个是帮我们保护网站么？答复不是就是要一个证书，如果下次还发生这种泄露用户信息的问题还要继续罚款

然后公司决定注销公司，弄了个新公司 ~~~

18

plusor

OP

2022-08-09 10:30:19 +08:00

@lcy630409 你这成本有点大、。。。

19

YSMAN

2022-08-09 10:41:59 +08:00

@lcy630409 阿～这

20

yedanten

2022-08-09 10:44:37 +08:00 via Android

保护费，被盯上了就跑不了，要么交钱要么跑路。
合规意义大于安全意义

21

zjq07

2022-08-09 10:47:56 +08:00

我们公司是做电网项目的，基本上每个项目都需要进行等保测评。需要第三方有公安部认证资质的公司才能做。价格就是五万块左右。内容其实就是一些常规的安全问题扫描，然后对应着整改一下。

22

pinkbook

2022-08-09 10:50:17 +08:00

等保确实挺麻烦。更加蛋疼的是公安部组织的红蓝对抗。上海这边我司被抽中了防守方，最近一直在折腾。据安全的同事说，如果被攻破了，网安还得去机房详细检查安全设备和架构，并且购买指定厂商的安全设备。。。。。。

23

yedanten

2022-08-09 10:56:09 +08:00 via Android

4

@pinkbook 发个公告，各系统升级维护，网线一拔，仅剩的被指定的网站静态化处理。

24

spacebound

2022-08-09 11:09:38 +08:00

整改单没收到过。
做过政府相关的项目，现在基本都要求要过等保三级。一般是找家有资质的测评公司对你们的项目做审计，包含软硬件和一些项目管理，他会一项一项列出看你的项目是否符合要求，然后进行整改，除了必须要整改的项以外，一般综合评分超 80 就能过。
简单来说就是，交钱，按要求整改，实在整改不了的测评公司会帮你想办法。

25

cpstar

2022-08-09 11:13:57 +08:00

三级很稀疏平常么？信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

26

cpstar

2022-08-09 11:18:09 +08:00

操作错误，补充 25#
三级的重要内容：『信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。』看来楼里的大佬搞的都是涉及国计民生的，三级等保起步那种，甚至还有五级是吧。
二级能够用的，没事自己给自己找麻烦干啥。

27

skkk

2022-08-09 11:18:49 +08:00 via iPhone

1

等保是税

28

PMR

2022-08-09 11:21:11 +08:00

部署在阿里云找阿里云商务谈

29

Vindroid

2022-08-09 11:25:41 +08:00

发单了那就一定得做，除非不干了。公司项目做过，好像 6w 一次，如果有大量严重问题后续再次送评还要再花钱，评审内容 A4 大小，看着至少 5cm 厚

30

Jooooooooo

2022-08-09 11:28:07 +08:00

护网期间, 如果可以, 直接关掉公网访问. 等结束了再打开.

31

libook

2022-08-09 11:34:22 +08:00

《信息安全等级保护管理办法》第五条规定信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

所以只要用到了网络的企业、事业等单位都必须做等保。

当前等保是由公安负责监管的，公安会给一些三方测评机构颁发等保测评资质，要做等保的单位得去找这些有资质的单位进行等保测评并形成报告，然后再把报告提交给当地公安网安。

各地区的具备资质的测评机构可以在这里找到 http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c
这个是等保的官方网站。

不同地区可能价格不大一样，你可以找到你所在地区的各家机构都谈一谈，我们基本只会采购等保测评服务，有的机构可能会打包其他安全服务或设备卖套餐，你可以根据你们的需求来看。

32

libook

2022-08-09 11:54:57 +08:00

5

系统在阿里云上的话，涉及到 IaaS 、PaaS 的测评项目就只需要拿阿里云的测评报告就可以了，你可以联系阿里云客服跟他们要测评报告和白皮书，白皮书里面会写明等保的哪些部分由阿里云负责，哪些由你们负责，然后测评机构只对你们负责的那部分进行测评就可以了。

整改和等保通常是两回事，等保需要每年至少做一次（以你们系统的评级来决定，三级是一年一次），整改通常是限定一段短时间内整改完成并提交相关整改说明报告，除非整改要求就是做等保。

等级保护里面的等级是国家用于衡量各个单位的各个系统被破坏后对国家和社会造成的影响程度的，粗略地来讲，如果你们只有个跟业务运行关系不大的系统可能就是一、二级，如果业务运转依赖网络系统基本就是三级，如果还和 zf 和国家安全有关可能就是四、五级了。首次测评前需要先做定级工作，届时会决定你们的系统属于哪个级别，并在公安进行备案，之后就得按照这个等级的相关要求来做测评了。

如果你们有多个系统，可能就得给每个系统单独做定级、备案、测评，所以能合并成一个的话最好是合并成一个系统来做。

等保基本分技术和人员管理两方面，每次测评的时候，测评机构都会根据相关测评标准（如 GB/T 22239 ）检查一下你们的技术和人员管理是否符合要求，之后会把不符合要求的部分列出来并给出一些整改建议，你们进行整改，然后复测，直到所有高危、中危的问题都改好了，再给你们出具测评报告，然后如果低危的没全改就会扣一些分，一般 70-90 分都是比较正常的，好像也没有所谓及格分，只要没有高危、中危问题就算通过。

另外公安和其他部门的监管风格不大一样，公安多数情况下是直接处罚，然后要求整改；其他像网信、工信、市监等一般是先要求整改，限期内改好了就没事了，逾期就给行政处罚。

网络安全等保只是个开始，北京这边已经整过好几轮个人信息安全了，后面还会有数据安全整顿。

33

lscho

2022-08-09 11:55:13 +08:00

企业不是必须的吧。。事业单位应该是要做。

34

plusor

OP

2022-08-09 12:46:12 +08:00

@libook 受教了

35

fackVL

2022-08-09 13:31:06 +08:00

给你看下上个月我了解时随手记的笔记。价格是最最低标准的价格。

涵盖大量个人信息- 三级等保
1.定级 10 工作日：专家评审 1 工作日：专家评审 1500 每人至少一个高级测评师，共三人。交给网安（丰台分局网安治安大队）
2.备案 10 天：备案表，定级报告。。：注册、线上、线下提交材料。得到网安备案证明，交给中介
3.预测评 10 天，高危必须整改，中危低危无需整改
4.整改（不定，不能短于一个月），购买硬件、管理制度（机构提供）
5.复测 3 天：机构评分，70 分以上即可
6.测评机构出测评报告（ DJCP 章） 15 个工作日左右
7.公安定期开展检查（会找公司监察，可以找他们售后）（三级一年，二级两年）

整体流程两到三个月

费用
1 测评费 2 设备费
1 专家费、咨询费、测评费
2 建设整改费

测评费十万元
上云更便宜十二三万一年最低标准光安全产品和服务器 6 、7 万，全部加上测评费十六七万
本地自建 30 万以上

每年复测这个价格每年一次