嚴格意義上來說，二級等保測評不是在哪里做的問題，是怎么做的問題。就等級保護測評這一項工作而言，其至少涉及三方：第一方是申辦等級保護的單位，就是企業(yè)自己；第二方式測評機構(gòu)，負責給企業(yè)的信息系統(tǒng)進行測評；第三方是整改機構(gòu)，負責整改企業(yè)信息系統(tǒng)中存在的安全問題，使得企業(yè)信息系統(tǒng)的安全防護符合等級保護要求，能夠通過等級測評。所以二級等保測評怎么做，得把這三方分開說。
 
1.企業(yè)做等級保護測評需要：
根據(jù)公安機關(guān)推薦的測評機構(gòu)名單選擇具備資質(zhì)的，且離自己公司距離近的測評機構(gòu)來進行測評，并和測評機構(gòu)談好合作事宜，包括測評費用多少，測評注意事項等；選擇合適的等保咨詢整改機構(gòu)，對企業(yè)等級保護工作進行指導，同時安排技術(shù)人員給企業(yè)的信息系統(tǒng)進行整改，靠譜的等保咨詢整改比如。是等保標準制定的參與者之一，自2018年開始就為企業(yè)提供定制化的等保服務(wù)，最快情況下，能幫助企業(yè)一個月內(nèi)落實等級保護，成功拿證。
 
2.等級保護測評機構(gòu)需要：
嚴格按照等級保護標準對各個級別信息系統(tǒng)的要求來對企業(yè)的信息系統(tǒng)進行測評，測評流程是：測評準備、方案編制、現(xiàn)場測評、分析及報告編制。測評內(nèi)容如下所示：
 

 
測評技術(shù)層面具體的對象是：
①機房：本測評單位將對信息系統(tǒng)運營使用單位重要信息系統(tǒng)的機房、配電間、消防間等相關(guān)物理環(huán)境進行測評，分析其中的問題以及不符合要求的地方。
②業(yè)務(wù)應(yīng)用軟件：本測評單位將對信息系統(tǒng)運營使用單位重要信息系統(tǒng)進行測評，從應(yīng)用軟件的安全機制方向，分析應(yīng)用系統(tǒng)中存在的安全隱患與問題。
③主機操作系統(tǒng)：本測評單位將對信息系統(tǒng)運營使用單位重要信息系統(tǒng)相關(guān)的服務(wù)器的操作系統(tǒng)進行測評，從訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等方向分析其中的安全隱患與問題。
④數(shù)據(jù)庫系統(tǒng)：本測評單位將對信息系統(tǒng)運營使用單位重要信息系統(tǒng)所使用的數(shù)據(jù)庫進行測評，從身份鑒別、訪問控制、安全審計、資源控制方向分析其中的安全隱患與問題。
⑤網(wǎng)絡(luò)設(shè)備：本測評單位將對信息系統(tǒng)運營使用單位重要信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備進行測評，從訪問控制、安全審計、網(wǎng)絡(luò)設(shè)備防護等方向分析其中的安全隱患與問題。
 
測評機構(gòu)結(jié)束測評之后，需要按照公安機關(guān)提供的模板，出具《測評報告》。需要注意的是，一般測評都有兩次，第一次是差距測評，第二次是驗收測評（整改之后進行），無論是第一次還是第二次，測評機構(gòu)都需要出具《測評報告》。測評機構(gòu)對測評結(jié)果負責。
 
3.等級保護整改機構(gòu)需要：
結(jié)合等級保護標準，以測評機構(gòu)提供的整改清單或者測評發(fā)現(xiàn)的問題為依據(jù)，對這些安全問題一一進行整改，滿足等級保護對企業(yè)信息系統(tǒng)的安全要求。具體來說，等保整改機構(gòu)提供的整改服務(wù)包括：
 
①信息系統(tǒng)加固落地實施
依據(jù)差距分析，提供專業(yè)的系統(tǒng)安全加固建議意見，并采用技術(shù)手段，從網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)庫層面進行技術(shù)加固實施落地。
 
②主機基線核查與配置
對信息系統(tǒng)的主機基線進行配置及加固，消除弱口令與權(quán)限風險，防止?jié)撛陲L險攻擊與數(shù)據(jù)泄露。
 
③主機漏洞掃描服務(wù)
用專業(yè)掃描工具以及人工驗證等手段，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)路設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患，風險隱患和漏洞，形成《漏洞掃描報告》，給出漏洞修復意見并落地修復高危風險項。
 
④網(wǎng)絡(luò)架構(gòu)升級加固
對網(wǎng)絡(luò)架構(gòu)進行安全加固升級，完善網(wǎng)絡(luò)配置(含云上安全產(chǎn)品的測試與配置)，以及適應(yīng)等級保護網(wǎng)絡(luò)安全的要求并修正運維環(huán)境下的不符合項目。
 
⑤管理制度與文檔體系的完善
按照等級保護管理部分標準，從5個方面幫助企業(yè)補充及完善等級保護要求的管理體系建設(shè)中涉及到的制度文檔，以及相關(guān)記錄的完善。