国家对于等保测评的要求主要体现在法律法规、测评流程、测评标准等多个方面，具体如下：

法律法规要求：

• 《网络安全法》：明确国家实行网络安全等级保护制度，网络运营者需按照制度要求，履行安全保护职责，采取技术措施和其他必要措施，确保网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

• 《信息安全等级保护管理办法》：规定信息系统运营、使用单位应履行安全保护义务，在信息系统建设完成后，依据相关技术标准定期进行等级测评，其中第三级信息系统要求每年至少进行一次测评。

测评流程要求：

• 系统定级：信息系统运营、使用单位依据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的单位，定级结果需经主管部门审批，拟确定为四级及以上信息系统还需专家评审会评审。

• 等级备案：运营、使用单位在确定等级后到所在地的市级及以上公安机关进行备案，提交《信息系统安全等级保护备案表》等备案材料，公安机关审核符合要求的，颁发等级保护备案证明。

• 选择测评机构：运营、使用单位或者主管部门应选择具有资质的测评机构开展测评工作。

• 开展测评：测评机构按照相关管理规范和技术标准，对信息系统安全等级状况进行检测评估，出具测评报告和测评结果通知书，指出系统的安全等级及测评结果，对于测评中发现的安全问题和漏洞，运营、使用单位需及时整改并复测。

测评标准要求：

• 技术安全测评

• 物理安全：对机房环境、设备设施的物理保护等方面进行评估，如机房的防火、防水、防盗、温湿度控制等措施是否到位。

• 网络安全：检查网络架构、访问控制、网络安全审计、边界防护等方面，例如是否合理划分网络区域，是否设置有效的防火墙策略等。

• 主机安全：针对服务器等主机设备的身份鉴别、访问控制、安全审计、入侵防范等进行测评，像是否设置强密码策略，是否安装防病毒软件等。

• 数据安全：评估数据的保密性、完整性、备份与恢复等，如数据传输和存储过程中是否加密，是否定期进行数据备份等。

• 应用安全：对应用系统的身份认证、授权管理、数据校验、安全审计等功能进行检测，比如应用系统是否存在 SQL 注入、跨站脚本攻击等漏洞。

  
  

管理安全测评：




• 安全管理制度：考查是否制定了完善的安全策略、管理制度、操作规程等，以及制度是否得到有效执行。

• 安全管理机构：评估是否建立了专门的安全管理组织，人员职责是否明确，是否定期进行安全培训等。

• 人员安全管理：对人员的录用、离岗、考核等环节的安全管理进行检查，如是否对员工进行背景审查，是否签订保密协议等。

• 系统建设管理：检查系统建设过程中的安全方案设计、产品采购、工程实施、测试验收等环节是否符合安全要求。

• 系统运维管理：考查系统的日常运维管理，包括设备维护、漏洞管理、安全事件处置等方面，如是否建立了应急响应机制，是否及时处理安全漏洞等。

测评频率要求：

• 二级信息系统：每两年至少进行一次测评。

• 三级信息系统：每年至少进行一次测评。

• 四级、五级信息系统：通常要求更为严格，四级系统一般需要半年或更短时间进行一次测评，五级系统根据实际情况可能需要更频繁的测评和监督，但具体频率可能因行业和特殊要求有所不同。