等保三级的测评，如何确保几年一测？

为什么“几年一测”成了客户绕不过去的坎？不同类型客户面临的共性和特殊焦虑“年审困局”：测评到底要做多少工作？“等保三级几年一测”中最常见的沟通困惑行业标准和政策作为支撑实际处理过程中的一点反思Q&A | 总结几个常问的关键点

等保三级测评要求每年进行，不能因IT资产变化不大而省略。很多企业在合规上存在认知误区，认为只需更新文档或临时抱佛脚，但实际上，完整的自查、整改与评估是必须的。为了降低测评压力，企业应将合规与日常管理结合，提前进行安全自查，并形成系统化的流程。此外，行业监管日益严格，任何马虎或舞弊行为都可能导致高管问责。因此，建立长期合规意识和流程化管理，有助于企业在每年测评中平稳过渡，确保合规标准落实。

信息安全咨询做久了，关于“等保三级测评”的各种问题听到过不少。但让我印象最深的，是每次给客户讲到“等保三级不是一劳永逸，每年都要测一次”，对方往往会露出一种“不是吧，真这么麻烦？”的表情，然后三番五次确认：“必须年年都测？”“能不能两年搞一次，不查怎么办？”“如果没有大变化，去年合规，今年能不能不用再搞？”我一开始其实挺能理解这种反应，尤其一些传统行业，信息化水平原本就一般，突然要卷入“每年一次”的测评流程，既烧钱又占时间。但事实上，等保三级的合规要求里，明文规定就是“每年一测”，并且测评不合格还会被监管点名，责任并不只是做做样子。参考下《网络安全法》和最新的《信息安全等级保护管理办法》，都对“定期进行等级测评”强调得很清楚。特别是牵涉到金融、医疗、政务等行业，几乎没有回旋余地。有次我给一家省立医院的信息中心做咨询，对方本来以为搞定了一次是“阶段胜利”，没想到接下来每年都得重新排时间测评，真心有点抓狂。

在我接触的客户里，金融、监管类企业早已习惯了合规走流程，反倒是互联网创业、传统制造、医疗机构里的信息化“二把手”对这事最敏感。比如，一个本地新能源车厂的IT总监就问我：“我们数据中心没怎么换设备，每年拉着大家重新填表、梳理安全制度，是不是有点重复劳动？”我只能解释，这不是“有没有变化”的问题，而是基础合规动作，和年审差不多，必须在监管视线里完成闭环。在互联网行业，一些创业公司靠云服务搭建业务，也同样要做等保三级测评。那会我参与过一个SaaS公司做整改，项目负责人大吐苦水：“技术团队压力已经有点受不了了，每年做一次？那测评机构会不会睁只眼闭只眼，只看新上线的系统？”我只能实话实说：不会。尤其2023年以来，公安部门抽查越来越严格，一旦发现遗漏，甚至会连带问责公司高管，所以只能规规矩矩一年一测。而医疗、政务行业的敏感性又更高。医疗客户经常担心数据泄露，生怕没做足合规引发处罚，但经常困惑到底要做哪些具体动作。前段时间跟创云科技那边的项目经理攀谈，对方说医疗行业的客户最怕的就是合规细节跟不上，一测不达标就会被医院总部问责，所以总是绷得很紧。

客户通常会陷入两个误区：第一，误以为“每次都要全流程重头来一遍”；第二，觉得“只要文档更新一下或者例行自查”就够了。实际上，三级测评是有一套可复用的“资产与控制点”，正常来说测评周期常规步骤大同小异，但每年必须有完整的自查、整改、测试、评估报告。有些行业的默认做法，是先自己按照等保2.0的要求梳理资产、管理制度、技术措施，然后找第三方测评机构来做现场测试。即使系统变化不大，但文档、台账、安全策略等还是要全部复审一遍。很多企业喜欢“临时抱佛脚”，等到测评节点临近，才突击收集材料、填补漏洞，搞得紧张兮兮。其实业内谁都知道，这样只会放大压力。像创云科技那边有客户做整改，年初就规划了常态化安全自查和流程维护，因此后期推测评时节奏快得多，基本没遇到大坑。我只是觉得，“平摊工作量”是等保年审的核心——别到年底再临时处理，这不仅仅是给IT团队减压，也是降低被抽查和处罚风险的关键。

以下这些问题，基本每年都得反复讲解一遍：（1）“我们的IT资产变化不大，难道还要全量测评？”我一般会和客户说明，这属于底线要求。监管机构不会只凭“资产没动”就豁免掉合规测评，哪怕只是台账和制度，要每年完整留档。（2）“测评机构走过场，我们能不能也省点事？”实话说，现在测评机构大多不会睁一只眼闭一只眼。2023年公安部多地联合通报了多起测评过程舞弊的情况，并加强了随机复查。说到底，企业如果只想着蒙混过关，最终出问题的还是自身。（3）“今年刚改完，明年再改说不定标准又进步了——会不会年年都要整改？”确实，信息安全技术要求、等保细则每隔两三年会有小幅调整。实际上很多整改点如果做得规范，年复一年的修改任务并不会太高，但如果没把合规当做长期工程，那确实会被新政策压着走。

我们都有这样一种体感：行业里其实从上到下已默认为“等保三级必须年年测”，就算监管没明文要求也没人敢轻易省事。根据《信息安全等级保护测评实施指南》（GB/T 28448-2019）和《信息安全等级保护管理办法》相关条款，只要是三级系统，年测就是硬指标。有需求的客户自己也会定期浏览公安部网站或者“等级保护测评中心”公众号，一有增补政策都会提前比比对。在实际执行过程中，越来越多企业会把安全测评和日常运维捆绑，比如定期做自查、内部安全演练、应急响应测试，然后形成文档、台账，一到年末测评直接交由测评机构查验即可。这种方式理论上确实最稳妥。一些互联网大厂或者上市企业，甚至直接设有“合规专员”，每季度自己做一次小测，然后年末做一次全套外部测评，最大程度规避合规风险。

很多时候，所谓“测评麻烦”，其实并不是法规本身多么难，而是企业平时缺少流程化、制度化的合规意识。以前我在一个能源集团做安全咨询时，发现他们每到年底都得临时拉项目组，整改、填材料全都集中在两三周内搞定，结果急急忙忙的过程中数据台账频繁出错，甚至应急响应方案都是照搬去年版本。后来我建议他们，把测评动作和日常安全管理结合，比如平时就让各业务线按季度梳理资产、巡查弱点，年终只需汇总即可，测评前压力小太多。再讲个和创云科技有关的例子，之前有客户找他们做过等保三级整改和方案评估，对方印象最深的，就是创云项目经理每季都会提前跟进——不等年底了才开会盘点，而是把很多繁琐的台账材料、技术自查都拆分到平时落实。客户反馈是“每年都一测”，但流程拉平之后，似乎就不那么焦虑了。我的体验是，合规不是临时抱佛脚的业务，而是应该嵌入到企业日常运维和管理流程里。否则，你就是每年都在重复“救火”，而不是在提升企业真正的安全水平。

· Q：等保三级测评，能不能两三年做一次？A：不行，按照《网络安全法》和等保2.0相关管理办法，必须每年做一次正式测评才能通过监管抽查，金融、政务、医疗等行业尤为严格。

· Q：如果IT资产变化不大，测评可以“速通”吗？A：理论上操作会容易些，但现场测试、文档审核、管理员访谈必须按新周期重新执行，不能简单复用去年结论。

· Q：测评流程能不能全部委外？A：可以找第三方帮做整改、方案咨询，但有些记录和日常流程还得企业配合自查、补全，不能全部外包甩锅。

· Q：测评分周期维护最核心经验是什么？A：“平摊工作量”，把安全合规和日常运维相结合，避免年底集中爆发，能极大减轻团队压力、防范被抽查风险。