等保三級測評是信息安全等級保護(hù)制度的第三級，涉及重要信息的保護(hù)，系統(tǒng)需每年至少測評一次。系統(tǒng)需達(dá)到70分及以上才能合格，這一標(biāo)準(zhǔn)不僅是對系統(tǒng)安全性的量化評估，更是對物理安全、網(wǎng)絡(luò)安全、主機(jī)安全以及應(yīng)用安全等多個維度安全策略與措施的綜合考量。這要求系統(tǒng)不僅在技術(shù)層面構(gòu)建堅固的防御體系，還需在管理層面形成規(guī)范、高效的運維流程。

一、三級等保測評分值范圍

1、90分及以上：

評估結(jié)果：優(yōu)秀

含義：被測對象在信息安全方面表現(xiàn)出色，系統(tǒng)綜合得分達(dá)到或超過90分，表明其安全措施非常完善，能夠有效抵御各種網(wǎng)絡(luò)威脅，保障信息資產(chǎn)的安全。

2、80分至89分（含80分）：

評估結(jié)果：良好

含義：被測對象雖然存在一些安全問題，但這些問題不會導(dǎo)致被測對象面臨高等級安全風(fēng)險。系統(tǒng)綜合得分在80分以上，表明其安全措施較為完善，但仍有一定的提升空間。

3、70分至79分（含70分）：

評估結(jié)果：合格

含義：被測對象的綜合得分達(dá)到或超過70分，是三級等保測評的及格線。這表示被測對象在信息安全方面基本符合要求，但可能仍存在一些需要改進(jìn)的安全隱患。

4、70分以下：

評估結(jié)果：不合格

含義：被測對象的綜合得分低于70分，表明其在信息安全方面存在較為嚴(yán)重的問題，可能面臨中、高等級安全風(fēng)險。這種情況下，被測對象需要立即進(jìn)行整改，以提升其信息安全水平。

二、三級等保測評的內(nèi)容

1、安全技術(shù)測評

（1）安全物理環(huán)境：

評估機(jī)房設(shè)施的物理安全要求，如區(qū)域劃分、門禁系統(tǒng)、防盜報警等。

檢查機(jī)房環(huán)境是否滿足設(shè)備運行要求，包括溫濕度控制、防塵、防靜電等措施。

（2）安全通信網(wǎng)絡(luò)：

評估網(wǎng)絡(luò)架構(gòu)的合理性，確保滿足業(yè)務(wù)和安全需求。

檢查網(wǎng)絡(luò)設(shè)備的安全策略配置，如訪問控制、流量控制、IP/MAC綁定等。

驗證網(wǎng)絡(luò)安全設(shè)備的部署情況，如防火墻、入侵檢測/防御系統(tǒng)、網(wǎng)絡(luò)審計設(shè)備等。

（3）安全區(qū)域邊界：

評估區(qū)域邊界的劃分和保護(hù)措施，確保不同安全區(qū)域之間的有效隔離。

檢查邊界保護(hù)設(shè)備的配置和運行情況，如邊界防火墻、入侵防御系統(tǒng)等。

（4）安全計算環(huán)境：

評估主機(jī)系統(tǒng)的安全配置要求，如身份鑒別、訪問控制、安全審計等。

檢查主機(jī)系統(tǒng)的漏洞掃描和風(fēng)險評估情況，確保及時修復(fù)安全漏洞。

驗證主機(jī)入侵檢測/防御系統(tǒng)的部署和監(jiān)控情況。

（5）安全管理中心：

評估安全管理平臺的建設(shè)情況，包括安全審計、安全事件處理、安全運行監(jiān)控等功能。

檢查安全管理中心與其他安全組件的集成和協(xié)同工作情況。

2、安全管理測評

（1）安全管理制度：

評估企業(yè)是否制定和完善了信息系統(tǒng)的安全管理制度和規(guī)范，如信息安全政策、信息安全目標(biāo)、信息安全責(zé)任分配等。

（2）安全管理機(jī)構(gòu)：

檢查企業(yè)是否建立和完善了信息系統(tǒng)的安全管理機(jī)構(gòu)和人員，如信息安全委員會、信息安全部門、信息安全專職人員等。

（3）安全管理人員：

評估對信息系統(tǒng)的安全管理人員進(jìn)行培訓(xùn)和考核的情況，以提高其信息安全意識和能力。

（4）安全建設(shè)管理：

檢查信息系統(tǒng)的安全建設(shè)是否規(guī)范和監(jiān)督，確保其符合等保要求，如信息系統(tǒng)建設(shè)方案審批、信息系統(tǒng)建設(shè)過程監(jiān)督等。

（5）安全運維管理：

評估信息系統(tǒng)的安全運維是否規(guī)范和監(jiān)督，確保其符合等保要求，如信息系統(tǒng)運維方案審批、信息系統(tǒng)運維過程監(jiān)督等。

3、其他重要方面

（1）應(yīng)用安全：

評估應(yīng)用系統(tǒng)是否滿足安全功能要求，如身份鑒別、通信加密、數(shù)據(jù)存儲加密等。

檢查應(yīng)用系統(tǒng)是否定期進(jìn)行安全評估，包括應(yīng)用安全掃描、滲透測試等。

驗證應(yīng)用安全設(shè)備的部署情況，如網(wǎng)頁防篡改設(shè)備、應(yīng)用防火墻等。

（2）數(shù)據(jù)安全：

評估數(shù)據(jù)是否進(jìn)行分類和分級保護(hù)，根據(jù)數(shù)據(jù)的重要性和敏感性采取不同的保護(hù)措施。

檢查數(shù)據(jù)備份和恢復(fù)機(jī)制的建立情況，確保數(shù)據(jù)的可用性和完整性。

驗證加密技術(shù)在數(shù)據(jù)傳輸和存儲安全中的應(yīng)用情況。

（3）應(yīng)急響應(yīng)：

評估企業(yè)是否建立健全的應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案和處置流程。

檢查應(yīng)急演練和培訓(xùn)的組織情況，提高應(yīng)對安全事件的能力和水平。

在信息安全領(lǐng)域，三級等保測評是衡量重要信息系統(tǒng)安全防護(hù)能力的重要標(biāo)尺。為了通過這一嚴(yán)格的評估，系統(tǒng)必須達(dá)到一定的分?jǐn)?shù)要求，即綜合得分需在70分及以上。這一分?jǐn)?shù)門檻不僅是對系統(tǒng)技術(shù)防護(hù)措施的直接考量，更是對企業(yè)整體信息安全管理體系的全面檢驗。