雪糕刺客。 哎， 说起这个三级等保，真的是头大，之前我们公司要搞这个认证，搞了好久，天天加班，人都快没了。不过现在总算搞明白了 今天就随便聊聊，大家随便看看，别太认真，我也是听别人说的，可能有不对的地方，凑合看吧。

三级等保到底是啥？

三级等保啊， 说白了就是国家搞的一个平安认证，就是说你这个信息系统，如果很重要，就得达到这个标准。比如说你们公司的系统， 存了很多用户信息，或者是一些重要的数据，万一被黑客攻击了出了问题，那就麻烦了所以国家要求你必须做这个三级等保。这个等级分五级， 一级是最低的，五级是最高的，三级在中间，不高不低，但是要求也不低，很多单位都得做，比如银行啊、医院啊、政府的一些系统什么的。

五级等保都是啥意思？

这个五级等保啊， 我听说是这样的：一级就是你自己保护一下随便搞搞就行；二级呢，就是有人指导你一下让你别搞得太差；三级就是监督保护，意思就是有人盯着你，你得好好做，不能偷懒；四级就是强制保护， 不堪入目。 要求更高了必须严格按来；五级就是专控保护，最厉害的，一般单位也用不上。所以三级啊，就是那个“监督保护”级别，你得让国家放心，说你这个系统是平安的，不会随便出事。

为啥要做三级等保？不做不行吗？

站在你的角度想... 这个问题问得好，为啥要做呢？其实原因挺多的。先说说 律法规定了如果你的系统很重要，不做这个认证，出了事，政府会找你麻烦，比如罚款啊，让你停业整顿啊，那损失就大了。所以做这个认证，主要是为了满足合规要求，别被政府罚钱。接下来 做了这个认证，你的系统平安性肯定会提高，毕竟要搞一堆平安措施，什么防火墙啊、入侵检测啊什么的，这样你的数据就平安了不容易被偷或者被破坏。再说说 就是你客户信任的问题，现在大家都重视平安，你有这个认证，客户就觉得你靠谱，愿意和你合作，特别是政府啊、大企业啊，他们招标的时候，可能会优先选有三级等保的公司，这样你业务就好做了。

满足合规， 避免被罚

雪糕刺客。 这个真的太重要了我听说有家公司没做三级等保，后来啊系统被黑了用户信息泄露了政府直接罚了好多钱，还让他们停业整改了一个月，损失惨重。所以说别想着不做，不做风险太大，万一出事了哭都来不及。做了这个认证，你就有了“护身符”，至少在合规方面没问题了。

提升系统平安性， 别出事

虽然是为了合规，但做了之后你系统的平安性确实会提高很多。三级等保要求搞很多东西， 比如你要控制谁能访问系统，不能随便让人进来；你要记录谁做了什么操作，万一出了事能查到；你要防止黑客攻击，搞个入侵检测什么的；你还要备份数据，万一系统坏了能恢复回来。这些措施搞好了你的系统就平安多了不容易出问题，我emo了。。

客户信任， 好做生意

是个狼人。 现在这个社会，大家都怕自己的信息被泄露，所以找合作方的时候，肯定会选那些平安的。如果你有三级等保认证，就说明你的系统是经过国家认可的，是平安的，客户就会觉得你靠谱，愿意和你合作。特别是政府项目、 金融项目，他们要求特别高，没有这个认证，你可能连投标的资格都没有，所以这个认证真的是个“敲门砖”，能帮你拿到更多生意。

三级等保到底有哪些平安要求？

这个才是重点， 三级等保的要求还挺多的，我大概分了技术和管理两个方面虽然我也不知道分得对不对，反正就这么说说吧。技术方面就是搞一些设备啊、 往白了说... 软件啊什么的，管理方面就是搞一些制度啊、人员啊什么的，两方面都得做好，才能通过认证。

技术层面的要求， 搞得头疼

技术层面的东西真的挺麻烦的，要搞一堆设备和系统。比如说身份鉴别， 就是你登录系统的时候，不能光靠一个密码，最好搞个多因素认证，比如密码加手机验证码，或者指纹什么的，这样别人就算偷了你的密码，也进不来。还有访问控制，就是谁能看什么数据，谁能改什么数据，都得控制好，不能随便让用户越权操作。平安审计也很重要， 你要把所有重要操作都记录下来比如谁登录了改了什么数据，万一出了事，能系统，看看有没有黑客在攻击你，还有防火墙，防止外面的坏人进来。数据备份和恢复也必须搞， 你要定期备份数据，最好能异地备份，万一本地系统坏了还能从别的地方恢复回来不然数据丢了那就完了。还有通信网络的平安，比如数据传输的时候要加密，别让中间人截获了。平安区域边界，就是你系统内部和外部的边界，要搞点防护措施，比如访问控制列表什么的，我是深有体会。。

管理层面的要求， 比技术还麻烦

如果说技术是“硬件”，那管理就是“软件”，管理层面的东西有时候比技术还麻烦。你得有一套完整的平安管理制度， 比如人员怎么管理，设备怎么管理，出了平安事件怎么处理，这些都得写清楚，还要让大家都遵守。你还得有专门的平安管理团队，不能没人管这个事，最好是有专人负责，定期开会，研究平安问题。还有平安培训和应急演练， 你得告诉员工哪些操作是凶险的，不能随便做，万一真的出了平安事件，比如被黑客攻击了你得知道怎么处理，所以得定期搞演练，让大家熟悉流程。这些管理措施做好了才能和技术层面配合起来。

做三级等保的具体流程， 一步一步来

流程也挺多的，不是你想做就能做的，得一步一步来不能着急。我大概记得有这么几步：先准备， 太刺激了。 再备案，然后测评，接着整改，再说说复查。每一步都不能少，不然就走不下去。

第一步：前期准备， 梳理自己的系统

刚开始的时候，你得先搞清楚自己有哪些信息系统，哪些是需要做三级等保的。不是所有系统都要做，只有那些重要的，比如存了用户敏感信息、关系到公司核心业务的系统才需要。 对，就这个意思。 然后你要把这些系统的范围、功能、数据都梳理清楚，形成一个清单，这样才能知道要保护什么。这一步是基础，很重要，不然后面都不知道从哪里开始搞。

第二步：备案， 去公安局申请

脑子呢？ 梳理完系统之后你就得去当地的公安局网安部门备案。备案的时候要提交一些材料，比如系统清单、定级报告什么的，证明你的系统确实需要做三级等保。公安局审核通过之后会给你一个备案证明，有了这个证明，你才能进入下一步的测评。备案这一步挺关键的，没有备案，后面的测评机构都不会给你做。

第三步：找测评机构， 让他们来测评

动手。 备案完了之后你就得找第三方测评机构了。这个测评机构必须是有资质的，不是随便找个公司就能测的。他们会派人来你的公司，看你的技术措施和管理措施有没有达到三级等保的要求。他们会检查你的设备啊、制度啊、日志啊什么的，然后出一个测评报告。如果测评通过了 恭喜你，就差再说说一步了；如果没通过那你就得整改，把问题都解决了再让他们来测，直到通过为止。这一步可能会反复好几次主要原因是测评机构很严格，一点小问题都不放过。

第四步：整改优化， 补漏洞

整一个... 测评机构肯定会发现一些问题，比如你的防火墙策略没配好，或者管理制度没写全，这时候你就得赶紧整改。比如买新的设备，修改配置，补充制度文件，培训员工等等。整改的时候要认真，把每个问题都解决掉，不然下次测评还是过不了。整改完了之后要 提交给测评机构，让他们复查，复查通过了才算测评环节结束。这个过程真的很费时间，可能要搞几个月， depending on 你公司的情况。

第五步：定期复查，不是一劳永逸

你以为做完测评就完了？No，三级等保不是一劳永逸的，你还得定期复查。规定是每两年要搞一次复评，就是让测评机构再测一次看看你的系统还是不是符合三级等保的要求。主要原因是技术在发展，新的漏洞和攻击手段不断出现，所以你的平安措施也得跟着更新。平时你也要持续维护，及时修复发现的漏洞，更新防护策略，确保系统一直平安。如果平时不维护，等复评的时候发现问题，那就麻烦了可能又要重新整改一遍。所以说三级等保是个长期的工作，得一直搞下去，不能松懈。

做三级等保的时候，有哪些关键点要注意？

虽然前面说了很多， 但还是有一些关键点需要特别注意，不然很容易踩坑，浪费时间又浪费钱。我根据我们公司的经验，了几个点，大家做的时候可以参考一下，原来小丑是我。。

别想着走捷径， 踏踏实实做

有些人可能觉得三级等保就是个形式，随便搞搞就能过这种想法是大错特错的。测评机构很专业，一眼就能看出你是不是在走捷径。如果你真的敷衍了事，他们肯定不会给你通过到时候整改起来更麻烦。所以踏踏实实按照要求来该买设备就买设备，该搞制度就搞制度，虽然前期投入大，但长远来看是值得的，你猜怎么着？。

重视管理， 别只盯着技术

我舒服了。 很多人做三级等保的时候，只关注技术层面比如买防火墙、搞入侵检测，觉得只要设备到位了就行。其实管理和技术同等重要，甚至更重要。主要原因是再好的技术，如果没人管，或者管理制度不健全，照样会出问题。比如你的员工平安意识差，随便泄露密码，再好的防火墙也没用。所以一定要重视管理，建好制度，培训好员工，形成“人防+技防”的双重保障。

提前规划， 别临时抱佛脚

三级等保的流程很长，可能需要几个月甚至更长时间，所以一定要提前规划。不要等到要投标了或者被政府催了才开始着急忙慌地做。提前半年或者一年就开始准备，梳理系统，备案，找测评机构，一步步来这样才不会手忙脚乱。临时抱佛脚不仅做不好，还可能主要原因是时间紧张而忽略一些重要问题，导致认证失败，CPU你。。

找靠谱的测评机构， 别被骗

现在市场上有很多测评机构，但不是所有机构都靠谱。有些机构可能资质不够，或者为了让你通过测评，帮你“做假”，这种机构千万不要找。帮你做假本身就是违规行为，一旦被发现，后果更严重。所以一定要找有资质、口碑好的正规测评机构，虽然可能贵一点，但值得，别纠结...。

一下 三级等保真的挺麻烦的

盘它... 总的三级等保认证真的挺麻烦的，要花很多时间、精力和钱。但没办法，现在这个社会，平安是第一位的，不做真的不行。通过做三级等保，不仅能满足合规要求，提升系统平安性，还能增强客户信任，对公司的业务发展也有好处。虽然过程很痛苦，但后来啊还是好的。所以如果你公司需要做三级等保，别犹豫，赶紧开始准备吧，早点做，早点安心。反正我们公司是搞完了虽然累个半死，但现在总算不用担心被政府罚了客户也觉得我们更靠谱了。希望这篇文章能帮到大家，虽然写得乱七八糟的，但都是大实话，别介意啊。

哦对了 我再说一句，三级等保这个东西，不同行业可能有不同的侧重点，比如金融行业可能更注重数据平安，政府行业可能更注重访问控制，所以做的时候最好结合自己的行业特点来搞，别生搬硬套。还有就是 做的时候一定要让领导重视起来不然下面的人很难推动，主要原因是要花钱、要花时间，领导不点头，根本搞不了。好了不说了再说下去就成啰嗦鬼了大家再见吧！