关于等级保护的疑问

我们公司一个客户要求过等保二级，项目去年 11 月上线的，客户内网部署，上个月我们才找测评的机构，这周一测评的结果已经出来了。

@storyxc #1 我们的服务必须的面向公网，而且十分紧迫，而且本地的测评机构测评效率和排队情况看，三个月是乐观的，头疼。。。

首先，你对等保测评工作不熟悉，等保测评中技术测评只是一小部分
其次，运行≠上线，通过封闭外部访问的途径，一样可以投入运行，但并没有上线
最后，不做完等保不能上线，这是硬规定，时间紧迫是另外一个管理问题，并不是技术问题，是需要甲方自己完成的工作等保的责方是甲方

@cpstar 能分清楚技术问题、项目问题和管理问题的明白人不多啦，给老哥个赞：）我见过太多搞技术的钻牛角尖了

@cpstar #3 嗯。。。。专业

@ixiaofeng 看你测评公司和当地网安的关系，如果和你说要排队，你就换一家就是了，当然，小地方的话，基本就一家，没有的换。

@liuliangyz #6 看来也是过来人

先试运行（还未验收前的运行都可以算是试运行，不算正式上线，虽然实际上和上线没区别），然后试运行过程中做等保测评，拿到测评报告后报客户验收，然后正式上线。一般是这么操作的，可以和客户沟通一下。

@unclemcz #8 这个就得看甲方是不是愿意担责了，其实就是个概念的问题，如果甲方本身很敏感，这个就很难办

系统不复杂的话，现场的技术，一周就能搞完，然后就是写报告，和在网安排队走流程的时间，和测评机构商量，1 个月差不多就能出来。

换个思路，让他们把业务系统布在可信云上做个异地双活，有预算的话再上两地三中心。数据库安全评测就直接可以过，整个工期至少可以缩短一半。顺便做个广告，BC/DR 我司湖北最牛逼，需要方案可以给你赶 MTU5Mjc0NDA4NzE=
（ 9:00-17:30 ）

我之前跟等级保护测评机构的人聊过，谈下我的理解。
首先你的客户已经要求做等级保护测评了，这个没得商量，具体几级要测评机构帮忙找专家评估（一般面向互联网的基本都得三级，等级越高要做的东西越多）；
其次其实你的问题找测评机构就行了，网络上一群服务商 js 说这说那儿，都是从自己的角度出发（不是想卖产品就是想卖服务），都没有测评机构专业和客观。
关于时间上的问题：当地网安部门对待大家都是一样的，这个不可能优化，唯一能优化的就是这个测评机构的时间安排，这个就需要你认识的测评机构销售去安排了，让他签合同或卖个人情，一般 2 个月不是问题，如果整改得快 1 个月也不是不可能。注意这里签合同的可以限制测评机构的测评时间，比如第一次测评签合同后几天来，几天内完成，整改后几天内来第二次测评。（当然整改这个时间就看你们自己了）
关于系统未上线的问题：可以先部署在内网不发布在公网先做测评的，这都是基本操作，一问测评机构就知道了；
关于测评机构的选择：
1 、当地测评中心（事业单位）基本只给政府单位测评，其它单位和私企没戏，人家大爷得很。
2 、当地具有测评资质的私有企业（优先选择，当地人多，服务速度，专业性也会比外地的好，但有些本地机构可能接单很多排班排不过来，可以按我上面说的签合同要求他们，虽然他们大概率选择讨价还价）
3 、外地具有测评资质的私有企业（首先差旅是个问题，其次有些地方需要测评机构先在网警那儿备案过，所以要核实外地机构是不是在你们当地做过项目；但这种外地机构为了扩张你们的要求基本都会应下来，至于能不能完成就不得而知了）
等保测评这东西很复杂的，测评机构的基层也不见得能完全吃透，还要回去各种请示中高层和查资料，所以趁早找测评机构去吧！

三个月也太久了，等保测评我们可以做

@Sor 能否大概说一下费用呢 ？

可以部署测试环境，然后测评的时候驻场或连 VPN 测评。

等保测评内容涵盖开发和运营的单位，客户运营的话其实很多关于安全管理方面的测评都是测你的客户；网站技术部分扫一扫漏洞，密码策略之类的符合要求就行。当然开发方还得提供一些开发管理制度和设计文档。

客户着急上线，客户要求过等保，其实是客户自己赶自己。如果客户在管理制度方面不完善，那得让客户自己去完善，或者让客户自己找咨询公司去完善，你们记住不要替客户去做就行，这应该不属于你们的合同范围。

等保到底是啥东西？有段时间在公司经常听别人说

过个等保 10 万吧

需要等那么久吗，如果放我们机房，一个月内拿证了，费用的话，安全服务加测评费都不到十万。

过的速度主要还是跟安全策略到底做的怎样有关系，不然整改就会耗费很多时间，当然还有系统的大小，服务器数量也有关系

三级等保做过三年了，只要你的业务系统符合等保的要求就可以了，至于能不能过等保，并不是你的业务系统能说了算，因为这个等保测评还有一部分跟你业务系统没关系。

等保、密保、关保、分保都有专业机构在做，有经验的和监管机构关系密切的更容易过