在信息安全領(lǐng)域，企業(yè)申請“等?！保ňW(wǎng)絡(luò)安全等級保護(hù)）測評時(shí)，經(jīng)常面臨一個困惑：測評的重點(diǎn)究竟在于設(shè)備還是軟件？實(shí)際上，這一問題的答案遠(yuǎn)非表面看起來那么簡單。根據(jù)《網(wǎng)絡(luò)安全法》及相關(guān)行業(yè)標(biāo)準(zhǔn)，如《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019），等保測評的核心在于整個“信息系統(tǒng)”，這涵蓋了從硬件設(shè)備到操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)乃至云服務(wù)等各個層面。

不少企業(yè)在初次申請等保測評時(shí)，往往將注意力過多地集中在硬件設(shè)備，如服務(wù)器、交換機(jī)等，而忽視了軟件層面的安全評估。然而，現(xiàn)實(shí)是，無論是硬件還是軟件，只要構(gòu)成信息系統(tǒng)的一部分，都需納入等保測評的范疇。例如，某知名制造企業(yè)初次申報(bào)時(shí)僅考慮了物理機(jī)，但在測評機(jī)構(gòu)的指導(dǎo)下，發(fā)現(xiàn)其核心業(yè)務(wù)實(shí)際上運(yùn)行在虛擬機(jī)和第三方軟件平臺上，最終導(dǎo)致整改工作大幅增加。

在申請等保測評的過程中，企業(yè)還需特別注意幾個關(guān)鍵點(diǎn)，以避免掉入合規(guī)陷阱。首先，測評并非簡單地填寫幾張表格，而是需要全面梳理信息系統(tǒng)邊界，這包括物理設(shè)備、應(yīng)用服務(wù)以及云端資產(chǎn)等。一家頭部互聯(lián)網(wǎng)公司在申報(bào)時(shí)，就因自建數(shù)據(jù)中心和外采云服務(wù)之間的邊界劃分問題產(chǎn)生了分歧。企業(yè)在申請時(shí)還需參考工信部和國家信息安全測評中心發(fā)布的指引，確保內(nèi)部各部門達(dá)成共識，以免因部門間推諉導(dǎo)致測評流程拖延。

隨著產(chǎn)業(yè)互聯(lián)網(wǎng)的快速發(fā)展，系統(tǒng)邊界日益模糊，資源池化、微服務(wù)、分布式架構(gòu)等新技術(shù)使得軟硬件之間的界限愈發(fā)難以界定。針對這一問題，許多行業(yè)領(lǐng)軍企業(yè)采取了“資產(chǎn)清單+業(yè)務(wù)流程圖”的雙重申報(bào)方式，將所有涉及數(shù)據(jù)處理的組件，無論軟硬，都納入申報(bào)范圍，并明確相關(guān)責(zé)任人。這種做法不僅降低了審核遺漏的風(fēng)險(xiǎn)，也符合工信部等相關(guān)部門的要求。

據(jù)國家信息安全測評中心2023年的調(diào)研數(shù)據(jù)顯示，國內(nèi)TOP20的大廠在合規(guī)測評時(shí)，約有89%的企業(yè)采用了軟硬件一體申報(bào)的方式，僅有不足8%的企業(yè)還在單純申報(bào)設(shè)備。這一趨勢表明，行業(yè)普遍已經(jīng)將軟件部分納入日常合規(guī)運(yùn)維，等保測評也更加注重系統(tǒng)整體的安全性。

在實(shí)際操作中，企業(yè)最擔(dān)心的莫過于測評過程中被“補(bǔ)刀”，如因系統(tǒng)邊界不清、軟件資產(chǎn)遺漏等問題導(dǎo)致整改推遲，甚至因合規(guī)責(zé)任不明被通報(bào)罰款。因此，企業(yè)在申請等保測評前，應(yīng)全面梳理資產(chǎn)，明確系統(tǒng)邊界，確保軟硬件及業(yè)務(wù)流程都納入安全管理范疇。只有這樣，才能在面對測評機(jī)構(gòu)時(shí)，做到胸有成竹，順利通過測評。

創(chuàng)云科技（廣東創(chuàng)云科技有限公司），作為一站式等保行業(yè)的領(lǐng)導(dǎo)者，深知企業(yè)在等保測評中面臨的挑戰(zhàn)。公司自2015年成立以來，已在北京、上海、深圳、香港等地設(shè)立辦事處，業(yè)務(wù)覆蓋全國34個省級行政區(qū)，服務(wù)客戶超過1500家。創(chuàng)云科技提供定級備案、差距測評、整改、安全檢查等全流程專業(yè)服務(wù)，擁有ISO9001/27001/20000認(rèn)證及CCRC等資質(zhì)，服務(wù)團(tuán)隊(duì)由資深安全測評師、滲透工程師等專家組成，能夠?yàn)槠髽I(yè)提供高效、靈活的合規(guī)解決方案。

等保測評并非簡單的軟硬件二選一問題，而是需要企業(yè)從系統(tǒng)整體安全性的角度出發(fā)，全面梳理資產(chǎn)，明確系統(tǒng)邊界，確保軟硬件及業(yè)務(wù)流程都符合等保要求。只有這樣，企業(yè)才能在日益復(fù)雜的信息安全環(huán)境中立于不敗之地。