三级等保测评流程五步走

1、定级备案

定级依据：金融、医疗、政务系统通常定为三级。

备案材料：提交《定级报告》《备案表》及系统架构图至市级公安机关。

时效要求：新建系统需在 30 日内完成备案。

2、安全建设与差距分析

技术措施：完善物理安全（防火、防雷）、网络安全（防火墙、WAF）、数据安全（备份加密）。

管理措施：建立安全管理制度，明确人员权限和应急响应流程。

工具辅助：使用云 WAF（成本降低 50%）和日志审计 SaaS 工具提升效率。

3、现场测评与风险评估

技术测评：漏洞扫描、渗透测试、代码审计。

管理测评：审查安全制度、人员培训记录、权限分配合理性。

输出报告：形成《差距分析报告》，明确整改优先级。

4、整改加固与复测

高危漏洞优先修复：如 SQL 注入、未授权访问。

数据合规要求：核心数据加密存储，一般数据权限控制。

复测通过标准：符合率≥90%，无重大风险项。

5、监督检查与年度复测

持续监控：公安机关定期检查，企业需提交年度安全报告。

复测周期：三级系统每年复测一次，二级系统每两年复测一次。