数据中心三级等保测评是验证数据中心是否符合《网络安全等级保护基本要求》（GB/T 22239-2019）的关键环节，需遵循 “准备 - 实施 - 报告 - 整改 - 复测” 的闭环流程。整个过程需第三方测评机构与数据中心运营方协同配合，确保测评结果真实、合规。本文详细拆解三级等保测评的具体流程，同步说明各环节的关键动作与衔接要点，助力数据中心完成测评。

一、测评准备阶段（1-2 周）：奠定测评基础

准备阶段的核心是明确测评范围、梳理相关材料，为现场测评扫清障碍，避免因准备不足导致流程延误。

明确测评范围与目标

运营方需界定数据中心的测评边界，包括物理机房、网络设备、服务器、存储设备、应用系统、数据资源等；

明确测评目标（如初次合规测评、年度复测、整改后验证测评），同步梳理数据中心承载的业务类型、数据敏感程度（如政务数据、金融数据）。

材料收集与整理

基础材料：数据中心网络拓扑图、机房布局图、设备清单（含型号、版本）、安全管理制度汇编（如安全责任制、应急预案）；

技术材料：网络设备配置文件、防火墙访问控制规则、数据备份策略、加密技术应用说明、漏洞修复记录；

管理材料：人员资质证明、安全培训记录、运维操作日志、等级保护备案证明。

测评方案编制

第三方测评机构（如北京中测信通）根据收集的材料，结合 GB/T 28448-2019《网络安全等级保护测评要求》，编制专项测评方案；

方案内容包括测评范围、测评指标、检测方法、人员分工、时间安排（通常现场测评 3-5 天），需经运营方确认后执行。

北京中测信通服务衔接

提前开展差距分析，通过数据中心检测验证、机房验收检测，初步排查物理环境、网络架构等层面的合规隐患，某政务数据中心在该阶段提前整改了门禁日志留存不足 90 天的问题。

二、现场测评阶段（3-5 天）：全方面核查合规性

现场测评是核心环节，采用 “文档核查 + 技术检测 + 人员访谈” 相结合的方式，逐项验证数据中心是否符合三级等保要求。

文档核查

测评人员对照测评方案，核查提交的材料完整性与合规性：如安全管理制度是否覆盖 10 大领域、备份记录是否完整、漏洞修复是否及时；

核查材料的一致性：如网络拓扑图与实际部署是否一致、设备配置文件与访问控制规则是否匹配。

技术检测（核心环节）

物理环境安全：核查机房选址合规性、门禁系统（双人双锁、日志留存≥90 天）、消防系统（气体灭火、联动逻辑）、温湿度监控（18-27℃）；

网络与通信安全：用网络扫描器检测端口开放情况、用漏洞扫描器排查高危漏洞、验证防火墙访问控制规则有效性、测试敏感数据传输加密情况；

主机与应用安全：检查操作系统补丁安装情况、账号权限分配（是否ZUI小权限）、应用系统双因素认证启用情况、Web 应用防火墙（WAF）防护效果；

数据安全与备份：测试数据加密存储有效性、核查异地备份部署（距离≥100 公里）、开展备份恢复测试（成功率≥99%）。

人员访谈

与数据中心安全负责人、运维人员、系统管理员等开展访谈，了解安全管理制度执行情况、应急响应流程掌握程度、安全培训效果；

验证关键岗位人员是否具备相应资质，是否落实轮岗制度（周期≤2 年）。

北京中测信通技术支撑

采用专业检测设备（如漏洞扫描器、流量分析仪、加密测试仪）开展技术检测，同步记录原始数据；某金融数据中心测评时，通过流量分析发现敏感数据传输未加密，现场提供临时防护建议。

三、报告编制阶段（1-2 周）：输出测评结论与整改建议

现场测评结束后，测评机构需整理数据、分析结果，形成正式测评报告，为运营方提供明确的整改方向。

数据整理与分析

汇总文档核查、技术检测、人员访谈的结果，对照三级等保指标逐项判定 “符合”“基本符合”“不符合”；

分析不符合项的风险等级（高、中、低），明确问题根源（如技术缺陷、管理漏洞）。

测评报告编制

报告核心内容包括：测评概况、测评范围与方法、各领域测评结果、不符合项清单、整改建议、合规结论；

不符合项需详细说明问题描述、违反的标准条款、风险影响，整改建议需具体可落地（如 “部署 WAF 防范 SQL 注入攻击”“完善数据备份策略，增加异地备份节点”）。

报告审核与交付

测评报告需经内部多级审核，确保数据准确、结论客观；审核通过后，正式交付运营方，并提供报告解读服务，解答运营方疑问。

四、整改与复测阶段（2-4 周）：闭环合规漏洞

运营方需根据测评报告的整改建议，完成不符合项整改，必要时开展复测，确保所有问题闭环。

制定整改计划

运营方针对不符合项，按风险等级排序（高风险优先整改），明确整改责任人、整改措施、完成时限；

整改措施包括技术整改（如部署安全设备、优化网络架构）、管理整改（如完善制度、开展培训）。

实施整改

技术整改：如针对 “缺乏双因素认证”，部署动态口令系统；针对 “备份恢复成功率低”，优化备份策略并开展多次测试；

管理整改：如补充缺失的安全管理制度、组织全员安全培训并留存记录。

复测验证

若存在高风险不符合项，整改完成后需委托测评机构开展专项复测；

复测要点验证整改项是否符合标准要求，确保无遗漏风险。

北京中测信通整改支持

为运营方提供整改技术指导，如协助优化网络分区隔离策略、配置防火墙访问控制规则；整改后的数据可直接复用至数据中心基础设施运维评价，减少重复工作。

五、持续合规阶段：长效保障安全

三级等保测评并非 “一劳永逸”，需建立持续合规机制，确保数据中心长期符合要求。

年度复测：按监管要求，数据中心需每年开展一次三级等保测评，及时发现新的安全风险；

动态优化：结合业务变化、技术升级、新安全威胁，持续更新安全策略与防护措施；

日常运维：规范运维操作日志记录、定期开展漏洞扫描与补丁更新、组织应急演练（每年至少 2 次）。