企业应该在什么时候进行等保测评的工作？

信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后 30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后 30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

下面列出对不同等级信息系统在测评实施时的不同强度要求

一级：满足 GB/T22239-2008 中的一级要求。

二级：满足 GB/T22239-2008 中的二级要求，针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。

三级：满足 GB/T22239-2008 中的三级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

四级：满足 GB/T22239-2008 中的四级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。输出 / 产品：技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件。