一、等保是什么

“等保”即网络安全等级保护，是指对网络信息和信息载体按照重要程度划分等级，并基于分级，针对性地开展安全保护工作。网络安全等级保护制度是我国网络安全领域现行的基本制度。

等保测评是指由具有资质的测评机构，依据国家网络安全等级保护规范规定，按照有关管理规范和技术标准，对等保对象（如信息系统、数据资源、云计算、物联网、工业控制系统等）的安全等级保护状况进行检测评估的活动。简单来说，等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求，是落实等保制度的关键活动之一。

等保的实施流程分为5个环节：系统定级、备案、建设整改、等级测评和监督检查；而等保测评（也称等级测评）正是其中的一个重要环节。

公通字【2007】43号文-等级保护“规定动作”

 

• 定级：确定定级对象，初步确认定级对象，专家评审，主管部门审核、公安机关备案审查。
• 备案：持定级报告和备案表到当地公安机关网监部门进行备案。
• 建设整改：参照信息系统当前等级要求和标准，对信息系统进行整改加固。
• 等级测评：委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。
• 监督检查：向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。

 

 

 

二、为什么要做等保测评

2.1识别网络潜在风险，提升自身防护能力

日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战，网络运营者可以通过等保测评了解系统的安全防护现状，识别系统内、外部存在的安全隐患，并在此基础上通过加固整改提高系统的网络安全防护能力，降低被攻击的风险。

2.2满足国家相关法律法规的要求

法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、警告等惩罚措施。

2.3提升行业竞争力

是否开展等保工作是衡量企业信息安全水平的一个重要标准。进行等保测评不仅能够有效地提高信息系统安全建设的整体水平，还能够在向外部客户提供业务服务时给出信息系统安全性承诺，增强客户、合作伙伴的信心。

 

 

三、等保测评等级划分

等保工作的核心在于“分级”，对于重要程度不同的网络系统，安全防护能力要求也有所不同。在进行等保测评之前，网络运营者需要先完成待测评对象的定级，以明确测评的维度和标准。

定级标准

当前我国实行的网络安全等级保护制度，将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度，从低到高划分了五个安全保护等级：

(1) 第一级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

(2) 第二级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

(3) 第三级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

(4) 第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

(5) 第五级：等级保护对象受到破坏后，会对国家安全造成特别严重损害。

在实际应用中，定级主要参考行业要求和业务的发展体量，例如普通的门户网站，定为二级已经足够，而存储较多敏感信息（如公民个人信息）的系统则需要定为三级或三级以上。大部分信息系统的安全保护等级处于二级或三级。

★常见定级对象

★定级流程

等保对象定级的一般工作流程包括：确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。

对于安全保护等级初步确定为第二级及以上的等级保护对象，网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审，将定级结果报请行业主管（监管）部门核准，并按照相关管理规定，将定级结果提交公安机关进行备案审核。

 

四、等保测评具体流程

等保测评流程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动和报告编制活动

 

 

五、等级保护的内容（三级）

 

 

六、谁要做等保

国家信息安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围：

一是覆盖各地区、 各单位、 各部门、 各企业、 各机构， 即是覆盖全社会。

二是覆盖所有保护对象， 包括网络、 信息系统、 信息， 以及云平台、 物联网、 工控系统、 大数据、 移动互联等各类新技术应用。

也就是说，只要企业涉及到网络、信息系统等相关的事宜，都需要进行安全等保。尤其是涉及到众多用户信息安全相关的企业，更是是公安网安部门检查的重点。