信息安全等级保护三级每年测评一次的依据主要是《信息安全等级保护管理办法》和《网络安全法》。

《信息安全等级保护管理办法》第三章第十四条规定，第三级信息系统应当每年至少进行一次等级测评。

《网络安全法》第二十一条规定，关键信息基础设施运营者应当依照国家有关网络安全等级保护制度的要求，落实安全保护措施，定期对本单位的网络进行安全检测和风险评估，并及时整改安全隐患。虽然《网络安全法》没有明确指出等保三级系统每年测评一次，但结合等保管理办法，其要求与等保三级每年测评一次的规定是一致的。

云南省内等保测评公司目前全国省份中比较多，如有云南省内需要等保相关服务可以询问.