二级等保测评(信息系统安全等级保护二级测评)是中国网络安全等级保护制度中的一项评估，旨在确保关键信息基础设施的安全性。我们可以详细解析二级等保测评的内容、流程和相关要求。

　　测评内容

　　二级等保测评的测评内容包括技术和管理两个层面的安全措施，具体涵盖以下方面：

　　1.技术要求：

　　1.1.安全物理环境：包括主机房、配电设备间、消防安全间等有关物理环境的测评。

　　1.2.安全通信网络：涉及网络设备和通信协议的安全性。

　　1.3.安全区域边界：包括防火墙、入侵检测系统等边界防护措施。

　　1.4.安全计算环境：包括服务器、操作系统、数据库管理等。

　　1.5.安全管理中心：涉及安全管理制度、管理机构、管理人员等。

　　2.管理要求：

　　2.1.安全管理制度：包括制定和完善各项安全管理制度。

　　2.2.管理机构和人员：确保有专门的安全管理机构和合格的管理人员。

　　2.3.建设管理和系统运维管理：包括系统的建设和日常运维管理。

　　测评流程

　　二级等保测评的流程一般分为四个基本步骤：

　　1.测评准备活动：包括掌握被测系统的详细情况、准备测试工具等。

　　2.方案编制活动：确定测评对象、指标及内容，并形成测评方案。

　　3.现场测评活动：实际进行测评，检查系统的安全性。

　　4.报告编制活动：根据测评结果编制测评报告并提交。

　　此外，还需要进行系统备案、定级、监督检查等环节。

　　费用

　　二级等保测评的费用通常包括专家评审费、咨询和测评费以及建设整改费。这些费用因企业的信息系统规模、测试范围和服务内容等因素而异，大致在2-5万元之间。

　　评分标准

　　二级等保测评的评分标准一般要求分数达到75分以上为合格，低于70分则不合格。具体的评分细则可能包括项目团队资质、项目经验、证书持有情况等。

　　二级等保测评是一项复杂且全面的评估工作，需要从技术层面和管理层面全面考察信息系统的安全性。其流程包括准备、方案编制、现场测评和报告编制等多个步骤，最终通过测评报告来验证系统的安全性和合规性。企业应根据自身需求选择合适的评估机构，并按照国家相关标准和规范进行操作，以确保系统的长期稳定运行和信息安全。

　　二级等保测评的最新标准和要求是什么?

　　二级等保测评的最新标准和要求主要依据《信息安全技术网络安全等级保护测评要求》(GB/T 28449-2018)，该标准代替了GB/T 28449—2012，于2018年12月28日发布。根据该标准，二级等保测评需要符合GB/T 22239中的二级要求，针对服务器、数据库管理系统、关键网络设备、安全设备、应用系统等进行漏洞扫描等。

　　此外，等级保护2.0(等保2.0)是等保制度的最新版本，它在技术和管理两个维度上计算得分，并单独列出数据安全测评结果。等保2.0将共性安全保护需求列为安全通用要求，针对云计算、大数据、工业控制系统和移动互联技术等不同领域的安全保护需求提出了安全扩展要求。在等保2.0合规要求下，满足基本符合等级保护要求从1.0的60分提高到了2.0的75分。

　　具体到二级等保测评的要求，需要对融媒体系统安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理等方面进行考核。考核权重为30分，需按照二级等保测评要求对融媒体系统进行复测评，测评内容缺少一项扣3分;测评的准确性、完整性视情况可扣除1-3分/项(扣分可累计)，最高可扣除30分。

　　二级等保测评的最新标准和要求包括但不限于：

　　1.符合GB/T 22239中的二级要求，进行漏洞扫描等。

　　2.等保2.0在技术和管理两个维度上计算得分，并单独列出数据安全测评结果。

　　3.针对服务器、数据库管理系统、关键网络设备、安全设备、应用系统等进行漏洞扫描。

　　4.对融媒体系统安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理等方面进行考核。

　　5.考核权重为30分，测评内容缺少一项扣3分;

　　如何选择合格的二级等保测评服务机构?

　　选择合格的二级等保测评服务机构需要综合考虑多个因素，确保所选机构具备相应的资质和能力。以下是详细的步骤和注意事项：

　　可以通过公安部第三研究所(认证中心)发布的《网络安全等级保护测评机构服务认证获证机构名录》来查询符合资质的测评机构。

　　测评机构必须具有公安部认可的评估服务单位资质认证，这是确保其评估报告有效性的关键条件。此外，还应确认测评人员是否也获得了公安部认可的等级保护评估服务人员资格认证。

　　企业应优先选择本地或本市的测评机构，这样可以减少沟通成本和时间，并且更方便进行现场测评和后续整改工作。

　　详细了解测评机构提供的服务内容，包括测评范围、标准、方法、周期等。同时，询问机构的服务流程，如项目启动、现场测评、报告编制、问题整改等环节，确保流程规范、透明。

　　可以参考网络安全等级保护网公布的全国网络安全等级保护测评机构推荐目录及名单，这些目录中的机构通常经过了严格的审核和评估。

　　在选择测评机构时，应要求其提供充分的系统调研报告，并根据风险评估目标和调研结果确定评估依据和方法，形成完整的风险评估实施方案。

　　在正式合作前，应与测评机构签订相关协议，明确双方的责任和义务，包括测评费用、常见问题处理方式等。

　　在二级等保测评中，技术和管理措施都是关键的安全要素。

　　具体来说：

　　技术措施：

　　1.物理和环境安全：包括物理位置的选择、物理访问控制、防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。

　　2.网络和通信安全：涉及结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。

　　3.设备和计算安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。

　　4.应用和数据安全：涵盖身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。

　　5.数据完整性和保密性：包括数据的备份和恢复。

　　管理措施：

　　1.安全策略和管理制度：制定并执行安全策略，确保系统符合国家规定的安全保护等级要求。

　　2.安全管理机构和人员：建立专门的安全管理机构，配备足够的安全管理人员，并进行相关培训。

　　3.安全建设管理：包括安全整体规划和方案设计、论证审定、产品采购与使用、开发环境控制、软件开发管理、外包软件开发、工程实施、测试验收和系统交付等。

　　4.安全运维管理：包括漏洞管理、事件管理、应急响应等方面，确保系统安全稳定运行。

　　在二级等保测评过程中，如何有效地准备和执行现场测评活动?

　　在二级等保测评过程中，有效地准备和执行现场测评活动需要遵循以下步骤：

　　1.测评准备活动：

　　1.1.掌握被测系统的详细情况：这是整个测评工作的前提和基础，直接关系到后续工作能否顺利开展

　　1.2.准备测试工具：确保有必要的工具来执行测评任务。

　　1.3.签订《测评服务合同》：与被测评单位签订合同，明确项目范围、内容、周期、实施方案、人员、验收标准、付款方式和违约条款等。

　　2.方案编制活动：

　　2.1.确定测评对象、指标及内容：根据被测信息系统的具体情况，确定适合的测评对象、测评指标和测评内容。

　　2.2.开发或重用测评指导书：根据需要开发或重用测评指导书，形成详细的测评方案。

　　2.3.评审和确认测评方案文本：与被测评单位沟通，评审并确认测评方案文本。

　　3.现场测评活动：

　　3.1.实施测评工作：根据前期编写的测评方案进行实际的测评工作，记录相关结果。

　　3.2.结果确认：完成测评后，与信息系统方进行结果确认，并进行资料归还工作。

　　4.报告编制活动：

　　4.1.整体评价和风险分析：完成判定测评结果后，进行整体评价并对安全问题进行深入分析。

　　4.2.编写全面的测评报告：根据测评结果，编写详细的评估报告，提出改进意见和建议。

　　二级等保测评费用中的建设整改费是如何计算的，有哪些常见的费用构成?

　　二级等保测评费用中的建设整改费是根据企业的实际情况来确定的，具体费用会因企业信息系统的规模、复杂度以及所需安全产品数量和整改服务的复杂度而有所不同。以下是一些常见的费用构成：

　　1.系统漏洞修复：在测评过程中发现的信息系统漏洞需要进行修复，这部分费用用于系统漏洞的修补。

　　2.安全策略调整：为了满足等保要求，可能需要对现有的安全策略进行调整和优化，这也涉及到一定的费用。

　　3.安全产品采购：根据整改需求，可能需要购买新的安全产品或升级现有产品，这些产品的采购费用也会包含在内。

　　4.人工成本：包括测评人员的工资、福利等。

　　5.材料成本：用于购买必要的硬件设备或软件工具。

　　6.差旅费用：如果测评团队需要到企业现场进行评估，差旅费用也会计入整改费用中。

　　需要注意的是，建设整改费用不包括在测评费用中，因此企业在预算时应单独考虑这部分费用。