企業應該在什么時候進行等保測評的工作？

信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。

經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后 30 日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行后 30 日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續�？缡』蛘呷珖�統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

下面列出對不同等級信息系統在測評實施時的不同強度要求

一級：滿足 GB/T22239-2008 中的一級要求。

二級：滿足 GB/T22239-2008 中的二級要求，針對主機、服務器、關鍵網絡設備、安全設備等設備進行漏洞掃描等。

三級：滿足 GB/T22239-2008 中的三級要求，針對主機、服務器、網絡設備、安全設備等設備進行漏洞掃描，針對應用系統完整性和保密性要求進行協議分析，滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊。

四級：滿足 GB/T22239-2008 中的四級要求，針對主機、服務器、網絡設備、安全設備等設備進行漏洞掃描，針對應用系統完整性和保密性要求進行協議分析，滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊。輸出 / 產品：技術安全測評的網絡、主機、應用測評結果記錄，工具測試完成后的電子輸出記錄，備份的測試結果文件。