很多客户刚接触三级等保测评，一听到“要准备材料”就头大：“到底要交啥？会不会很复杂？”其实真不用慌！测评时客户要配合提供的材料，大多是企业日常能找到的文件，今天按“3大类”整理成清单，每类都讲清楚“要啥、为啥要、怎么找”，小白也能轻松准备。

一、先备“基础资质材料”：证明企业和系统的“身份”

    这些材料主要是让测评机构确认“你是谁、要测的系统是啥”，都是企业本来就有的，找出来复印或打印就行：

企业基础证件

    要啥：营业执照复印件（盖公司公章）、法人身份证复印件（可选，若需备案用）。

    为啥要：证明企业是合法主体，避免“替别人测系统”的情况。

    怎么找：找行政或财务部门要，复印件记得盖公章，不然可能无效。

系统基础信息表

    要啥：填清楚要测评的系统名字（比如“XX电商交易系统”）、系统用途（卖货/存数据/办公）、服务器数量和位置（比如“3台服务器，都在公司自建机房”）、数据类型（比如“客户手机号、交易记录”）。

    为啥要：让测评机构知道“测什么、系统长啥样”，好制定测评计划。

    怎么找：问负责系统的技术同事，按实际情况填，不用写太复杂，说清关键信息就行。

定级备案证明（若已有）

    要啥：如果之前做过定级，有公安部门发的《信息系统安全等级保护备案证明》，就提供复印件；没做过也没关系，测评机构会帮你补定级。

    为啥要：证明系统确实该按三级测，符合监管要求。

    怎么找：找之前负责等保的同事（我们协助），或查公司的资质文件柜。

二、再备“技术配置材料”：证明系统“安全措施到位”

    这些材料是看系统的“防护装备”够不够，技术同事帮忙整理就行，不用客户懂技术细节：

网络拓扑图

    要啥：一张画清楚系统网络连接的图（比如“服务器→防火墙→路由器→公网”），标清楚设备名字（比如“防火墙型号：XXX”）、区域划分（比如“业务区、数据库区”）。

    为啥要：测评机构看网络有没有按要求隔离，比如核心数据库没直连公网。

    怎么找：让技术同事画，简单手绘或用Visio做都可以，重点是“连接关系和区域”要对。

安全设备清单和配置截图

    要啥：列个表，写清楚有哪些安全设备（比如“防火墙1台、堡垒机1台、杀毒软件X套”），再给每个设备拍张配置截图（比如防火墙的“访问控制规则”截图、堡垒机的“操作日志”截图）。

    为啥要：证明有三级等保要求的设备，且设备在正常用。

    怎么找：技术同事查设备型号，截几张关键配置页面，不用全截，能看清“设备在用、规则有效”就行。

数据备份和恢复记录

    要啥：近3个月的数据备份记录（比如“2025年5月10日，数据库全量备份，存在本地+异地”）、最近1次的恢复演练记录（比如“2025年4月20日，恢复测试成功，耗时30分钟”）。

    为啥要：三级等保要求核心数据“本地+异地双备份”，得证明你做到了。

    怎么找：技术同事查备份软件的日志，或找之前的演练报告，没记录的话补做一次简单演练，写个说明就行。

三、最后备“管理文档”：证明“安全制度落地”

    这些是看企业有没有“管安全的规矩”，行政或运维同事整理，大多是公司已有的制度文件：

安全管理制度

    要啥：至少准备3个核心制度：《网络安全管理制度》（比如“谁能登服务器、密码要多久换”）、《数据安全管理制度》（比如“客户数据怎么存、谁能看”）、《应急响应预案》（比如“系统被攻击了，第一步找谁、怎么处理”）。

    为啥要：证明企业不是“只装设备不管制度”，有完整的安全管理流程。

    怎么找：找行政或运维部门要，没有的话简单写一份，不用太长，把“谁负责、做什么、怎么做”写清楚就行。

员工安全培训记录

    要啥：近半年的培训记录，比如“2025年3月15日，全体员工安全培训，讲了防钓鱼邮件，有签到表和培训课件”。

    为啥要：证明员工懂基本的安全操作，避免因操作失误导致安全问题。

    怎么找：找HR或行政要签到表，没有的话补做一次简短培训，拍张签到照、写个简单课件就行。

安全事件记录（若有）

    要啥：如果近1年发生过安全问题（比如“服务器被扫描、数据误删”），就提供处理记录（比如“2025年1月20日，发现扫描后，用防火墙拦截，后续没再出现”）；没发生过就写“无安全事件”并盖章。

    为啥要：看企业遇到安全问题时，能不能及时处理。

    怎么找：问技术同事有没有处理过类似问题，有就整理成文字，没有就简单出个说明。

最后：3个小提醒，帮你少跑腿

    材料不用全纸质：除了营业执照要盖章复印件，其他材料（比如拓扑图、配置截图）电子版就行，发邮件给测评机构更方便。

    不确定就问：不知道某份材料有没有、怎么弄，直接问测评机构对接人，别自己瞎凑，省得来回改。

    提前1周准备：别等测评当天才找材料，提前1周让技术和行政同事配合整理，来得及查漏补缺。

阅读原文：原文链接