请问外资企业，一定要做网络安全等保测评吗（3级，2级...）？信息数据库服务器在中国境外，应如何操作？

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

等保20中等级测评结论：

a)符合：

定级对象中未发现安全问题，等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0，综合得分为100分。

b)基本符合：

定级对象中存在安全问题，部分符合和不符合项的统计结果不全为0，但存在的安全问题不会导致定级对象面临高等级安全风险，且综合得分不低于阈值。

c)不符合：

定级对象中存在安全问题，部分符合项和不符合项的统计结果不全为0，而且存在的安全问题会导致定级对象面临高等级安全风险，或者综合得分低于阈值。

办理等级保护针对企业的作用有：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、落实个人及单位的网络安全保护义务，合理规避风险。

企业最好完成等保测评和备案。

去年100款APP被强制下架已经给企业敲响了警钟，而今年，违规的APP也一直在被相关单位下架整改中。如果还抱着不做等保的态度的话怕是不行了。因为相关处罚制度已经明确责任。

怎么去做，下面分5个阶段说明

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

　　服务器虚拟化的好处包括：硬件汇集，也就是让多个虚拟服务器共享一个硬件平台的资源，实现机构投资利用的最大化;解决硬件利用率不足的问题;安全记录，就是管理程序或虚拟机记录底层客户环境中的事件;安全测试，为服务器和网络行为建立一些标准是安全管理的重要组成部分。

　　同任何新技术一样，虚拟化要求我们改变管理我们信息基础设施的方法。IT经理必要要解决三个潜在的虚拟化风险：虚拟服务器激增;网络基线不断改变;回滚安全漏洞。

　　工程师部署虚拟服务器的方便性既是好事也是坏事。传统的服务器部署需要采购和再利用一些硬件。采用标准的管理流程很容易控制这个过程。虚拟化改变了这个游戏规则。

　　现在，工程师能够在任何虚拟硬件上创建虚拟服务器，仅仅需要部署相关的镜像就可完成。他们不用花更多的钱保证相互制衡就能够完成这个工作。这种能力实际上导致创建更多的需要管理的服务器，在安全分析师和审计人员的检查之下会出现更多的漏洞。

　　当配置监视解决方案的安全和性能的时候，应该假设有一个稳定的网络基线。然而，随意创建-撤销-再创建虚拟服务器的能力将会严重破坏这个基线。这包括已经建立额度基线，从而引起不稳定的监视结果。

　　最后，使用虚拟镜像回滚虚拟服务器，因为更新、升级或者补丁等问题能够让服务器及时回到以前的状态。例如，回到使用重要的安全补丁之前。

　　这三个风险都是由改变服务器部署的管理方式引起的。调整管理控制(也就是改变管理政策和流程)是虚拟化需要考虑的第一步。机构必须利用修改遵守法规的管理流程遵守政策的变化。

　　我们已经看到了一些常见的管理安全漏洞。现在，让我们对虚拟环境发动一些攻击。

　　像Blue Pill、SubVirt和Xensploit等概念证明安全漏洞已经展示了与虚拟机有关的独特的安全漏洞。然而，到目前为止还没有发生已知的攻击。而且，杀毒软件厂商已经显著改善了其产品检测这种类型感染的能力。这个底线是什么使用常识和虚拟化安全问题知识设计合理的和适当的虚拟服务器控制。虽然虚拟化技术可能是新的，但是，保护虚拟化的通用方法没有改变。

　　那么，虚拟化技术值得冒险吗绝对值得。恰当地管理的虚拟化获得的商业价值远远超过任何真实的和想像的风险。更具体地说，当恰当地管理虚拟化技术时，虚拟化额外风险是很小的，同时还可以改善业务持续性并且得到巨大的投资回报。因此，企业可以积极地应用虚拟化。

　　信息系统安全等级保护测评准备活动的工作流程：

　　信息系统安全等级保护测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。 

　　信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见下图：

　　一、项目启动

　　在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。

　　输入：委托测评协议书。

　　任务描述：

　　a) 根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。

　　b) 测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。

　　输出/产品：项目计划书。

　　二、 信息收集和分析

　　测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。

　　输入：调查表格，被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有）。

　　任务描述：

　　a) 测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。

　　b) 测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。

　　c) 测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。

　　d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。

　　输出/产品：填好的调查表格。

　　三、工具和表单准备

　　测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。

　　输入：各种与被测系统相关的技术资料。

　　任务描述：

　　a) 测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。

　　b) 测评人员模拟被测系统搭建测评环境。

　　c) 准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。

　　输出/产品：选用的测评工具清单，打印的各类表单。