带你了解网络安全等级保护制度

01  什么是等级保护

等保的全称是信息安全等级保护，是《网络安全法》规定的必须强制执行的，保障公民、社会、国家利益的重要工作，随着2019年《基本要求》的实施及2020年《定级指南》Zui新发布，名称改为网络安全等级保护，然而很多人常常被信息安全等级保护和网络安全等级保护这两个术语困扰，以前的信息安全等级保护与现在谈到的网络安全等级保护是不是一回事？那么如何区分呢？

我们先聊一下等级保护的概念：2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部门发布的《关于印发<关于信息安全等级保护工作的实施意见>的通知》（公通字[2004]66号）中，定义了信息安全等级保护：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。又从《网络安全法与网络安全等级保护制度培训教程》（2018版）中，是这样告诉我们的：多年来，对信息安全、网络安全、信息网络安全、网络信息安全等概念，我国在有关法律法规和文件中通常采用“信息安全”这个关键词。《网络安全法》出台之后，国家有关法律法规和文件中将“信息安全”调整为“网络安全”，将“信息安全等级保护制度”调整为“网络安全等级保护制度”。介绍信息安全等级保护制度、网络安全等级保护制度及网络、信息系统，虽然称谓不同，但本质是一致的。

02  为什么要做等级保护

1.从法律要求层面来说，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

2.从行业要求层面来说，等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作，比如金融、电力、广电、医疗、教育等行业。

3.从安全要求层面来说，信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

03  等级保护流程

第一步：系统定级。对业务、资产、安全技术和安全管理进行调研，确定定级系统，准备定级报告，提供协助定级服务，辅助用户完成定级报告，组织专家评审。

第二步：系统备案。持定级报告和备案表等材料到当地公安网监进行备案，提供备案指引服务、辅导用户准备材料、完成备案。

第三步：建设整改。参照定级要求和标准，对信息系统整改加固，可以辅导用户进行系统的安全加固，协助用户建设安全管理体系，指导建立健全符合等保合规需求的安全产品。

第四步：等级测评。测评机构对信息系统等级测评，形成测评报告，如出现相关问题，整改后，测评机构对系统等级符合性状况进行测评，出具测评报告。

第五步：合规监督检查。向当地公安网监提交测评报告，用户配合完成检查，公安机关监督检查进行等级保护工作。

04  等级保护的重要性

等级保护就像人要做体检一样。有的人偶尔做一次体检，有的人一年、两年、三年、甚至五年做一次，你不能说人做的频率越高出现问题的几率越多吧，肯定是做的频率越高出现问题的几率越小。这就涉及到不同的人对身体的健康要求一样。

对应的三级业务系统等保测评每年做一次，二级业务系统测评每两年做一次。

这和对网络安全性要求特别高、极高、较高、一般、较差是一样的，体检的多了，及时发现问题，及早解决问题。

然后，体检的时候我们肯定会查心肝脾肺肾对应着我们等保的物理、应用、数据、主机、网络等，你不能说这些不重要吧，所以重要程度可想而知。

为什么要做等保？这和你为什么要体检是一样的道理

你担心自己的身体出问题，所以你要花钱主动体检。那等保呢，等保是国家明文规定你要进行体检，不体检就是违反法律，违反法律就是要受处罚，处罚完还是要去进行体检。

工作流程：

预约挂号(预测评前期工作)---见到医生描述清楚症状特征（信息系统整理）----医生根据描述判断症状（专家评审环节）----有什么问题去哪哪做检查（测评机构看看问题出在哪里）---建立病历（出局测评报告）----是否要住院观察（差距整改阶段）-------出院（复评阶段）。

通过等保后会有一个年度测评备案证

从某年某月某天至某年某月某天对某单位2级或者3级信息系统进行年度等级测评

备案证和年度测评备案证有公安部盖章，个人无法在网上查询自己的备案及测评情况。只能委托测评公司进行查询。