一文讀懂等級(jí)保護(hù)

時(shí)代新威等級(jí)保護(hù)組一文讀懂等級(jí)保護(hù)2021/6/271網(wǎng)絡(luò)安全是我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要組成部分，網(wǎng)絡(luò)安全等級(jí)保護(hù)是落實(shí)網(wǎng)絡(luò)安全的一項(xiàng)基礎(chǔ)性重點(diǎn)工作。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入2.0時(shí)代。2019年5月13日，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）等新版技術(shù)標(biāo)準(zhǔn)發(fā)布，開(kāi)啟了等保2.0工作新篇章，對(duì)保障網(wǎng)絡(luò)安全，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要作用。今天時(shí)代新威為您總結(jié)下關(guān)于等級(jí)保護(hù)工作的一些基礎(chǔ)性知識(shí)(上篇），方便大家對(duì)等級(jí)保護(hù)工作有個(gè)快速的認(rèn)識(shí)和了解。2021/6/272目錄6.什么是等級(jí)保護(hù)測(cè)評(píng)？2.等級(jí)保護(hù)工作具體步驟是怎樣的？3.開(kāi)展等級(jí)保護(hù)工作的相關(guān)法律法規(guī)或文件要求？4.等級(jí)保護(hù)分為幾個(gè)等級(jí)？5.去哪里進(jìn)行信息系統(tǒng)的定級(jí)備案工作？1.什么是等級(jí)保護(hù)？7.信息系統(tǒng)的測(cè)評(píng)多久需要測(cè)一次？8.等級(jí)保護(hù)測(cè)評(píng)一般多長(zhǎng)時(shí)間能測(cè)完？9.等級(jí)保護(hù)評(píng)測(cè)的費(fèi)用是多少？10.用戶(hù)單位需要開(kāi)展等級(jí)保護(hù)測(cè)評(píng)，找誰(shuí)去做？11.等級(jí)保護(hù)測(cè)評(píng)后的最終結(jié)論分為哪幾種？12.等級(jí)保護(hù)測(cè)評(píng)結(jié)論不符合是不是等級(jí)保護(hù)工作就白做了？2021/6/2731.什么是等級(jí)保護(hù)？答：網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

解讀：等級(jí)保護(hù)是對(duì)專(zhuān)有信息及信息系統(tǒng)進(jìn)行分等級(jí)保護(hù)，對(duì)其中的信息安全產(chǎn)品進(jìn)行按等級(jí)管理，對(duì)發(fā)現(xiàn)的安全事件分等級(jí)響應(yīng)和處置。兩個(gè)對(duì)象，三重管理。2021/6/274答：根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，等級(jí)保護(hù)工作總共分五個(gè)階段，分別為：1）是信息系統(tǒng)定級(jí)；2）是信息系統(tǒng)備案；3）是系統(tǒng)安全建設(shè)；4）是信息系統(tǒng)開(kāi)始等級(jí)測(cè)評(píng)；5）主管單位定期開(kāi)展監(jiān)督檢查。

解讀：系統(tǒng)定級(jí)和備案工作是等級(jí)保護(hù)工作開(kāi)展的前提，也是等級(jí)保護(hù)工作最先要做的內(nèi)容，系統(tǒng)安全建設(shè)可以先做也可以在等級(jí)測(cè)評(píng)之后再進(jìn)行，第三和第四步?jīng)]有嚴(yán)格意義上的先后順序之分。2.等級(jí)保護(hù)工作具體步驟是怎樣的？2021/6/275答：《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度;《信息安全等級(jí)保護(hù)管理辦法》的通知（公通字[2007]43號(hào)）具體部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法;《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)）加快推動(dòng)了等級(jí)保護(hù)工作的發(fā)展；《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第21條明確了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

解讀：網(wǎng)絡(luò)安全法的出臺(tái)將等級(jí)保護(hù)工作以法律形式確定下來(lái)，等級(jí)保護(hù)工作至此以法律的形式確定為國(guó)家網(wǎng)絡(luò)安全的基本網(wǎng)絡(luò)安全制度，不開(kāi)展等級(jí)保護(hù)工作就是在違法，大家一定要認(rèn)識(shí)到問(wèn)題的嚴(yán)重性。3.開(kāi)展等級(jí)保護(hù)工作的相關(guān)法律法規(guī)或文件要求？2021/6/276答：分為五個(gè)等級(jí)，分別為：第一級(jí)（自主保護(hù)級(jí)）第二級(jí)（指導(dǎo)保護(hù)級(jí)）第三級(jí)（監(jiān)督保護(hù)級(jí)）第四級(jí)（強(qiáng)制保護(hù)級(jí)）第五級(jí)（專(zhuān)控保護(hù)級(jí)）系統(tǒng)的重要程度從1-5級(jí)逐級(jí)升高。

我們?cè)谌粘９ぷ髦行枰M(jìn)行等級(jí)保護(hù)測(cè)評(píng)的系統(tǒng)是2-4級(jí)，經(jīng)常遇到的是二級(jí)和三級(jí)信息系統(tǒng)，一級(jí)系統(tǒng)要求比較低，不需要進(jìn)行測(cè)評(píng)，如果某個(gè)系統(tǒng)達(dá)到五級(jí)系統(tǒng)，那么這個(gè)系統(tǒng)很可能就已經(jīng)涉密了，就不是等級(jí)保護(hù)范疇了，所以在技術(shù)要求里也沒(méi)有五級(jí)的相關(guān)標(biāo)準(zhǔn)要求。4.等級(jí)保護(hù)分為幾個(gè)等級(jí)？2021/6/277答：全國(guó)絕大部分地方規(guī)定：各地級(jí)市的單位將定級(jí)資料交給各自地級(jí)市的網(wǎng)安支隊(duì)，省級(jí)單位將資料交給省公安網(wǎng)安總隊(duì)，特定行業(yè)有要求的另說(shuō)，也有部分地方是先將資料交到區(qū)縣網(wǎng)安大隊(duì)，再由區(qū)縣網(wǎng)安大隊(duì)轉(zhuǎn)交地級(jí)市網(wǎng)安支隊(duì)進(jìn)行備案。解讀：系統(tǒng)定級(jí)資料填寫(xiě)完成之后打印兩份，首頁(yè)蓋章，電子檔準(zhǔn)備一份，帶著這些資料去當(dāng)?shù)毓簿W(wǎng)安部門(mén)進(jìn)行系統(tǒng)備案，至于到底是哪個(gè)網(wǎng)安請(qǐng)根據(jù)各地的要求，省、市、區(qū)縣都有可能。5.去哪里進(jìn)行信息系統(tǒng)的定級(jí)備案工作？2021/6/278答：等級(jí)保護(hù)測(cè)評(píng)指的是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。解讀：測(cè)評(píng)的主體是測(cè)評(píng)機(jī)構(gòu)，測(cè)評(píng)的對(duì)象是非涉密的信息系統(tǒng)。安全是發(fā)展的前提，發(fā)展是安全的保障。沒(méi)有網(wǎng)絡(luò)安全，信息社會(huì)將成為黑暗中的廢墟。時(shí)代新威作為連續(xù)多年參與護(hù)網(wǎng)的安全公司，在行動(dòng)中獲得了多方認(rèn)可。等級(jí)保護(hù)2.0的發(fā)布必將對(duì)我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來(lái)新的機(jī)遇與挑戰(zhàn)，時(shí)代新威作為專(zhuān)業(yè)的智能信息系統(tǒng)審計(jì)專(zhuān)家，在等級(jí)保護(hù)2.0時(shí)代也將發(fā)揮越來(lái)越重要的作用，體現(xiàn)出越來(lái)越大的實(shí)際應(yīng)用價(jià)值。6.什么是等級(jí)保護(hù)測(cè)評(píng)？2021/6/279答：四級(jí)信息系統(tǒng)要求每半年至少開(kāi)展一次測(cè)評(píng)；三級(jí)信息系統(tǒng)要求每年至少開(kāi)展一次測(cè)評(píng)；二級(jí)信息系統(tǒng)一般每?jī)赡觊_(kāi)展一次測(cè)評(píng)，時(shí)間上沒(méi)有強(qiáng)制要求，部分行業(yè)有行業(yè)標(biāo)準(zhǔn)要求，如教育行業(yè)明確二級(jí)系統(tǒng)兩年做一次測(cè)評(píng)。

解讀：二級(jí)系統(tǒng)為什么建議是兩年呢？一、系統(tǒng)相對(duì)三級(jí)沒(méi)那么重要，所以時(shí)間上相對(duì)長(zhǎng)點(diǎn)；二、系統(tǒng)相對(duì)沒(méi)有定級(jí)的系統(tǒng)更重要些，且往往有些二級(jí)系統(tǒng)也非常重要，存儲(chǔ)了大量重要的信息數(shù)據(jù)（其實(shí)本來(lái)是定三級(jí)的，種種原因定了二級(jí)），不去做測(cè)評(píng)，風(fēng)險(xiǎn)太大。7.信息系統(tǒng)的測(cè)評(píng)多久需要測(cè)一次？2021/6/2710答：現(xiàn)場(chǎng)測(cè)評(píng)周期一般一周左右，具體看信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模，有所增減。小規(guī)模安全整改2-3周，出具報(bào)告時(shí)間一周，整體持續(xù)周期1-2個(gè)月。如果整改不及時(shí)或牽涉到購(gòu)買(mǎi)設(shè)備，時(shí)間上會(huì)相對(duì)較長(zhǎng)。

解讀：理論上首次測(cè)評(píng)之后出具測(cè)評(píng)報(bào)告項(xiàng)目就結(jié)束了，但是實(shí)際情況好多是客戶(hù)接受不了結(jié)論不符合的報(bào)告，所以很多時(shí)候是等客戶(hù)整改后，測(cè)評(píng)機(jī)構(gòu)再進(jìn)行復(fù)測(cè)，復(fù)測(cè)完成后出具最終的測(cè)評(píng)報(bào)告。所以在首次測(cè)評(píng)后需要抓緊進(jìn)行安全整改，整改的快自然結(jié)束的快，所以用戶(hù)單位想早點(diǎn)結(jié)束的話就得把安全整改抓緊落實(shí)完成。

8.等級(jí)保護(hù)測(cè)評(píng)一般多長(zhǎng)時(shí)間能測(cè)完？2021/6/2711答：測(cè)評(píng)的費(fèi)用首先是按照信息系統(tǒng)來(lái)算，不是按照一個(gè)單位，第二不同等級(jí)的測(cè)評(píng)費(fèi)用不一樣。費(fèi)用每個(gè)省市情況不一樣，通常每個(gè)省市都有自己的一個(gè)價(jià)格區(qū)間。整體價(jià)格的規(guī)律是系統(tǒng)等級(jí)越高測(cè)評(píng)費(fèi)用越多，系統(tǒng)規(guī)模越大測(cè)評(píng)費(fèi)用越高，具體價(jià)格和當(dāng)?shù)販y(cè)評(píng)機(jī)構(gòu)進(jìn)行確定。

解讀：測(cè)評(píng)的費(fèi)用按照系統(tǒng)個(gè)數(shù)和系統(tǒng)的等級(jí)去核算，等級(jí)越高的相對(duì)費(fèi)用越高，具體請(qǐng)根據(jù)每個(gè)省的行情來(lái)看。

9.等級(jí)保護(hù)評(píng)測(cè)的費(fèi)用是多少？2021/6/2712答：根據(jù)目前最新的測(cè)評(píng)機(jī)構(gòu)管理辦法規(guī)定：具有有效的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)且沒(méi)有被停業(yè)整頓的測(cè)評(píng)機(jī)構(gòu)均有資格開(kāi)展等級(jí)測(cè)評(píng)工作。解讀：測(cè)評(píng)必須是有資質(zhì)有資格的測(cè)評(píng)公司去做，有些廠商或者集成商號(hào)稱(chēng)能做測(cè)評(píng)，他們可能是有這個(gè)技術(shù)水平，但是沒(méi)有這個(gè)資格和資質(zhì)，另外現(xiàn)在全國(guó)放開(kāi)了，理論上想去哪里開(kāi)展業(yè)務(wù)都可以。10.用戶(hù)單位需要開(kāi)展等級(jí)保護(hù)測(cè)評(píng)，找誰(shuí)去做？2021/6/2713答：測(cè)評(píng)最終結(jié)論分為不符合、基本符合和符合三種。除了結(jié)論之外還有具體得分，如82分。

解讀：測(cè)評(píng)的結(jié)論理論上有符合這種結(jié)論，就是滿分100分的情況，但是實(shí)際上很難達(dá)到，也幾乎沒(méi)有出現(xiàn)過(guò)，如果你們家測(cè)評(píng)達(dá)到100分了，或者你經(jīng)?？吹接腥说?00分，那一定是這家測(cè)評(píng)機(jī)構(gòu)不負(fù)責(zé)任地在測(cè)評(píng)。一方面是沒(méi)有絕對(duì)的安全，另一方面等保的一些條款確實(shí)很難達(dá)到或者不適用。初次做等保能達(dá)到65-75之間就已經(jīng)不錯(cuò)了。11.等級(jí)保護(hù)測(cè)評(píng)后的最終結(jié)論分為哪幾種？2021/6/2714答：等級(jí)保護(hù)測(cè)評(píng)結(jié)論不符合表示目前該信息系統(tǒng)存在高危風(fēng)險(xiǎn)或整體安全性較差，不符合等保的相應(yīng)標(biāo)準(zhǔn)要求。但是這并不代表等級(jí)保護(hù)工作白做了，即使你拿著不符合的測(cè)評(píng)報(bào)告，主管單位也是承認(rèn)你們單位今年的等級(jí)保護(hù)工作已經(jīng)開(kāi)展過(guò)了，只是目前的問(wèn)題較多，沒(méi)達(dá)到相應(yīng)的標(biāo)準(zhǔn)。解讀：測(cè)評(píng)結(jié)論不符合不是最重要的，最重要的是我們已經(jīng)發(fā)現(xiàn)了問(wèn)題，下面就需要及時(shí)對(duì)這些問(wèn)題特別是高危風(fēng)險(xiǎn)及時(shí)進(jìn)行安全整改，消除隱患，降低風(fēng)險(xiǎn)。安全是發(fā)展的前提，發(fā)展是安全的保障