等级保护测评是指测评机构依据国家网络安全等级保护管理制度规定，按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。
 
等级保护测评是合规性评判活动，基本依据不是个人或者测评机构的经验，而是网络安全等级保护的国家有关标准，无论是测评指标来源，还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
 
等保2.0时代，二级及以上的信息系统都必须做等级保护测评。为了让需要申办等级保护测评的企业能够更好地开展等级保护测评，本篇文章将为大家详细说明等级保护测评的作用和目的、测评标准依据、测评工作内容、测评结论以及测评机构。
 
一、等级保护测评谁来做？
 
等级保护测评分为自测评和委托测评机构开展，但由于测评需要具备专业资质，企业一般都是委托专业测评机构来进行测评。测评机构是指具备测评规范的基本条件，经能力评估和审核，由省级以上网络安全等级保护工作协调（领导）小组办公室推荐，从事测评工作的机构。
 
每个省份都有几家或者几十家具备资质的测评机构，需要申办等级保护测评的企业可以结合实际情况进行选择，名单可在中国网络安全等级保护网进行查询。
 
二、为什么要做等级保护测评？
 
等级保护测评将排查系统安全隐患和薄弱环节，明确信息系统安全建设整改需求。因此，通过等级保护测评，企业可以确认自己信息系统的安全防护状况，发现存在的安全隐患并获得专业的整改方案，整改之后，企业信息系统的安全防护水平可以得到极大提高。
 
同时，等级保护测评会衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。等级保护测评结论将为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。如果企业没有做等级保护测评，将面临罚款、责令整改、停业等严重后果。
 
三、等级保护测评以什么为标准依据？
 
对于测评机构来说，测评机构应当依据《管理办法》、《测评机构管理办法》、《测评要求》、《测评过程指南》等国家标准进行等级测评，并在测评结束后按照公安机关给出的测评报告模板出具测评报告。
 
对于企业来说，其信息系统的运营、使用单位或者其主管部门应当选择符合规定条件的测评机构，依据《测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。等保2.0时代，三级及以上的信息系统，每年至少开展一次等级保护测评。
 
四、等级保护测评工作内容有哪些？
 
等级保护测评主要分为技术测评和管理测评。技术层面的测评主要是测评和分析在网络和主机上存在的安全技术风险，包括物理环境、网络设备、主机系统、应用系统等软硬件设备；管理层面的测评包括从组织的人员、组织结构、管理制度、系统运行保障措施，以及其他运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。
 
总的而言，等级保护测评的测评步骤为：测评准备→方案编制→现场测评→分析及报告编制。
 
测评机构在测评完毕后，还需给出相应的安全整改建议，让企业查缺补漏，对信息系统不符合规范的地方进行整改。
 
五、等级保护测评结论说明
 
对于企业而言，其需要重点关注测评机构在测评结束后给出的测评报告中的两个内容：
 
1.测评结论、测评结论直接关乎着企业是否合规通过了等级保护测评。等保2.0时代，等级测评得分要在70分以上，且信息系统没有高风险项，企业才算是通过等级保护测评；
 
2.安全建设和整改意见。企业将以此为主要依据，对信息系统进行整改工作。