请问企业必须要做等保吗?

我司给一个客户提供的订餐系统，客户方是要求过等保二级，评测花费大概 4w-5w ，评测机构是广州地区的，仅供参考。

如果收到整改单，那应该是要做等保了吧。

做等保的第一步是做安全定级和确定需要过审的信息系统（如交易系统，邮件系统），二级和三级的区别是当企业出现信息安全问题的时候，对国家和社会社会影响大小来定，可以找一家当地授权的机构做等保咨询先，周期取决于需要过审的系统执行差距整改需要的时间，盲猜最少需要三个月

备案后是要求做等保测评的，不做的话不符合规范，可以随时断你的网

@H0u5er 可以自己做吗？

整改单上说的是：

根据《中华人民共和国网络安全法》等法律法规规定，我单位民警与 2022 年 2 月 1 日对你单位网络安全保护工作进行了监督检查，发现存在下列违规行为：
1.涉及重点敏感数据离线存储安全不达标。
2. 未按期进行网络安全培训工作，无台账。
3. 信息网络安全规章制度缺失

@plusor 看你们是什么类型的企业和系统，如果只是一个规模比较小的企业，且系统不存储一些敏感信息（如公民信息），就可以不做，只要把列出的问题项整改了就可以。

你们单位的网络对外公开提供互联网服务了？
把这部分业务剥离到阿里云上去，是不是就关掉了公开风险，达标了？

我刚配合给公司做过一个三级等保。简单说说，等保是项目要做, 不是企业要做。需要有资质的测评公司给你们的项目软硬件做测评打分，最后上报公安厅局发备案证明, 证明上也是公司名和项目名称, 有多个需要等保的项目要分别做等保。

三级等保每年要做一次，测评费用 5-8 万，硬件费用各大云厂商都有等保套餐，一般必须的是数据库审计，web 防火墙，日志审计，SSL 证书, 可选的堡垒机, 安全中心什么的, 大概十来万每年，整体下来 15 万左右，时间约 3 个月。

@caotian 这么贵的吗😂

@yufeng0681 啥意思，我们服务器是用的阿里云的服务器

这玩意看行业类型，和涉及的信息系统。实际在我看来就是保护费，你交了的话万一出问题，合规合法，那只怪对手太强大；要是不做，出问题了那就。。

@Gamble 保护费也就算了了，主要是那么贵😂

@plusor #11 贵就对了，而且是每隔几年就得做一次，交钱交钱还是交钱😆

三级等报可以到公安部网站上查。 最便宜的应该也要 5w 左右，除了钱，也有几个刚毕业的年轻人运行几个脚本检查基本安全问题，看看你的登录框是不是有二次验证逻辑之类的。

几个月时间可以过，给钱就过。如果有问题需要你整改，整改时间不算进周期。

你们什么系统啊，需要三级等保。。。

@cpstar 有存个人身份信息。 收到了整改单，我也不确定是不是要做三级等保。

等保这个关键字网上搜的全都是软文。

对这个很反感
坐标武汉
大概是前年吧 ，公司的网站被黑 导致用户数据库泄露 黑产给用户打电话 ，被骗了钱，公司决定报警，希望网警能帮忙处理，，结果网警来了 啥也不搞，就下达了这个整改单 ，要罚款 10w ，小公司 才几个人啊，本来行情就不好了，，然后说去做这个保护，要 4 5w 的样子，，询问他们 做了这个 是帮我们保护网站么？答复 不是 就是要一个证书，如果下次还发生这种泄露用户信息的问题 还要继续罚款

然后公司决定注销公司 ，弄了个新公司 ~~~

@lcy630409 你这成本有点大、。。。

@lcy630409 阿～这

保护费，被盯上了就跑不了，要么交钱要么跑路。
合规意义大于安全意义

我们公司是做电网项目的，基本上每个项目都需要进行等保测评。需要第三方有公安部认证资质的公司才能做。价格就是五万块左右。内容其实就是一些常规的安全问题扫描，然后对应着整改一下。

等保确实挺麻烦。更加蛋疼的是公安部组织的红蓝对抗。上海这边我司被抽中了防守方，最近一直在折腾。据安全的同事说，如果被攻破了，网安还得去机房详细检查安全设备和架构，并且购买指定厂商的安全设备。。。。。。

@pinkbook 发个公告，各系统升级维护，网线一拔，仅剩的被指定的网站静态化处理。

整改单没收到过。
做过政府相关的项目，现在基本都要求要过等保三级。一般是找家有资质的测评公司对你们的项目做审计，包含软硬件和一些项目管理，他会一项一项列出看你的项目是否符合要求，然后进行整改，除了必须要整改的项以外，一般综合评分超 80 就能过。
简单来说就是，交钱，按要求整改，实在整改不了的测评公司会帮你想办法。

三级很稀疏平常么？信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

操作错误，补充 25#
三级的重要内容：『信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。』看来楼里的大佬搞的都是涉及国计民生的，三级等保起步那种，甚至还有五级是吧。
二级能够用的，没事自己给自己找麻烦干啥。

等保 是税

部署在阿里云 找阿里云商务谈

发单了那就一定得做，除非不干了。公司项目做过，好像 6w 一次，如果有大量严重问题后续再次送评还要再花钱，评审内容 A4 大小，看着至少 5cm 厚

护网期间, 如果可以, 直接关掉公网访问. 等结束了再打开.

《信息安全等级保护管理办法》第五条规定信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

所以只要用到了网络的企业、事业等单位都必须做等保。

当前等保是由公安负责监管的，公安会给一些三方测评机构颁发等保测评资质，要做等保的单位得去找这些有资质的单位进行等保测评并形成报告，然后再把报告提交给当地公安网安。

各地区的具备资质的测评机构可以在这里找到 http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c
这个是等保的官方网站。

不同地区可能价格不大一样，你可以找到你所在地区的各家机构都谈一谈，我们基本只会采购等保测评服务，有的机构可能会打包其他安全服务或设备卖套餐，你可以根据你们的需求来看。

系统在阿里云上的话，涉及到 IaaS 、PaaS 的测评项目就只需要拿阿里云的测评报告就可以了，你可以联系阿里云客服跟他们要测评报告和白皮书，白皮书里面会写明等保的哪些部分由阿里云负责，哪些由你们负责，然后测评机构只对你们负责的那部分进行测评就可以了。

整改和等保通常是两回事，等保需要每年至少做一次（以你们系统的评级来决定，三级是一年一次），整改通常是限定一段短时间内整改完成并提交相关整改说明报告，除非整改要求就是做等保。

等级保护里面的等级是国家用于衡量各个单位的各个系统被破坏后对国家和社会造成的影响程度的，粗略地来讲，如果你们只有个跟业务运行关系不大的系统可能就是一、二级，如果业务运转依赖网络系统基本就是三级，如果还和 zf 和国家安全有关可能就是四、五级了。首次测评前需要先做定级工作，届时会决定你们的系统属于哪个级别，并在公安进行备案，之后就得按照这个等级的相关要求来做测评了。

如果你们有多个系统，可能就得给每个系统单独做定级、备案、测评，所以能合并成一个的话最好是合并成一个系统来做。

等保基本分技术和人员管理两方面，每次测评的时候，测评机构都会根据相关测评标准（如 GB/T 22239 ）检查一下你们的技术和人员管理是否符合要求，之后会把不符合要求的部分列出来并给出一些整改建议，你们进行整改，然后复测，直到所有高危、中危的问题都改好了，再给你们出具测评报告，然后如果低危的没全改就会扣一些分，一般 70-90 分都是比较正常的，好像也没有所谓及格分，只要没有高危、中危问题就算通过。

另外公安和其他部门的监管风格不大一样，公安多数情况下是直接处罚，然后要求整改；其他像网信、工信、市监等一般是先要求整改，限期内改好了就没事了，逾期就给行政处罚。

网络安全等保只是个开始，北京这边已经整过好几轮个人信息安全了，后面还会有数据安全整顿。

企业不是必须的吧。。事业单位应该是要做。

@libook 受教了

给你看下上个月我了解时随手记的笔记。价格是最最低标准的价格。

涵盖大量个人信息- 三级等保
1.定级 10 工作日：专家评审 1 工作日：专家评审 1500 每人至少一个高级测评师，共三人。交给网安（丰台分局网安治安大队）
2.备案 10 天：备案表，定级报告。。：注册、线上、线下提交材料。得到网安备案证明，交给中介
3.预测评 10 天，高危必须整改，中危低危无需整改
4.整改（不定，不能短于一个月），购买硬件、管理制度（机构提供）
5.复测 3 天：机构评分，70 分以上即可
6.测评机构 出测评报告（ DJCP 章） 15 个工作日左右
7.公安定期开展检查（会找公司监察，可以找他们售后）（三级一年，二级两年）

整体流程两到三个月

费用
1 测评费 2 设备费
1 专家费、咨询费、测评费
2 建设整改费

测评费十万元
上云更便宜 十二三万一年 最低标准光安全产品和服务器 6 、7 万，全部加上测评费十六七万
本地自建 30 万以上

每年复测 这个价格每年一次

@fackVL 具体买哪些设备啊，上云的话买哪些产品呢

@lscho 原则来说都要做的，参考网络安全法，第二十一条，说明网络运营者，同时网安法定义的网络运营者，是指网络的所有者、管理者和网络服务提供者，也就是不管你什么系统内部还是外部的，原则上都是要做的，实际另说，但是做了出问题了报警方便

@timepast #36 直接找专业公司做啊，自己可做不了。人家会给你们详细讲的

等保？前段时间传闻上海当局泄露 10 亿人的信息，结果是喊运营商过来喝茶。

这可是好多公司的财路啊[doge]

他们自己的数据安全都做不好，上次还出了 sh10E 级别的泄露，还指望他们

@hyshuang2006 哦豁，哪个上海当局？愿闻其详，爷记挂 10 亿条公民数据这件事很久了

@plusor #15 你们系统是存了用户什么个人信息啊？还要求坐等保。

想顺便问下各位，如果是一个企业的官网，用户支持微信、手机号、邮箱登录，除此之外没有其他用户信息收集。会突然被要求做等保吗。。。

@rizon 完全有可能

@sexoutsex2011 #44 额，根本没能力做的啊！ 国内大大小小那么多网站，在我看来手机号 微信登录是基本功能吧，，哪可能打开都能做的了等保。。
应该和行业有关系吧，不过也不知道确切的是哪些行业才需要做了

都是些二把刀的测评，拿个工具随便一扫，把你的网站”特性“（提供查询功能）当成高危漏洞（非授权访问、数据泄露风险）。。。。

说白了花钱方便推卸责任，你看我们这么做了，还是被敌人攻破了

长见识，学习了，原来赛博社会的保护费是这么收的（
想问一下现实里消防评定啥的，也要交这么贵的保护费吗？

等保的人贼傻比

上海公安泄露 10b 个人数据，墙内什么事都没有发生，等保 hhh

如果公司产品是 toG 的话，等保还挺重要的，那帮人不懂这玩意儿有没有用，反正你得有。

@lookStupiToForce
这些东西 都一样，和劳动法差不多 惰法惰规 ，没找到你 完事大吉，找到你 啥都是问题

@louzhichen 插一句嘴，上海随申办 4000 多 w 个人信息也 leak 了

要么上云，或者买等保一体机（深信服之类都有）

形式大于实际。流程上必须做的，但实践上没有这个土壤，对各方都是折磨。
总之 ，客户、上级找上门了那么就做，没找上门装不知道。