一、等保简介

1、等保介绍

  信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

  在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

  在我个人理解等保等级意味着企业的系统安全体系，等级越高安全体系越高，当然不是公司想做几级就做几级。是需要按照系统受到破坏对公众带来的伤害而定义系统到底应该做几级。

2、等保2.0和1.0

“等保”，即网络安全等级保护，是我国网络安全领域的基本国策、基本制度。早在2017年8月，公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。（ GB/T 22239—2019代替 GB/T 22239-2008）该标准于2019年5月10日发布，于2019年12月1日开始实施。

这份标准呢，也就是近期为人所熟知的等保2.0，而等保1.0则为原标准《信息安全技术 信息系统安全等级保护基本要求》（ GB/T 22239-2008）。等保2.0在1.0时代标准的基础上，更加注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保2.0的安全通用要求分类如下：

技术要求部分：安全物理环境、安全通信网络、安全区域边界、安全计算环境；

管理要求部分：安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

和等保1.0标准相比，总体变化不大，等保2.0对要求做了较大幅度的精简。

等保2.0的最大变化是，除了安全通用要求外，还增加了扩展要求，涉及云计算安全、移动互联安全、物联网、工控安全、大数据安全。

 

二、等级区别

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。（普通展示网页，不具备收集用户信息）

复测：至少每2年进行一次

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。（具备注册、支付、收集用户个人信息等）

复测：每年至少进行一次

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。（金融、军工、电力等高安全单位）

复测：每半年至少进行一次

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。 

复测：应当依据特殊安全需求进行

三、等保工作内容

信息安全等级保护工作包括定级、备案、系统资料收集、系统拓扑图、公司材料收集、专家评审、安全建设和整改、信息安全等级测评、信息安全检查多个阶段。

❶ 系统定级： 确定建设几级等保，常规三级；

❷ 备案：二级以上需要到公安机关备案(也就是到公安网安备案。等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格)；

❸ 建设整改：根据等保标准，进行安全建设改造(比如漏洞系统扫出哪些漏洞，需要打补丁或升级；边界需要部署防火墙，IPS等，这些是发现问题，解决问题的过程。有钱的单位问题解决得彻底些，缺钱的解决部分也行，毕竟过等保满不用拿满分)；

❹ 等级评测：具备评测资格的等保评测机构进行评测，评测条目非常细，参考《等保三级基线要求判分标准》。（相较于等保1.0，等保2.0测评的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。不过得几分还是评测机构说了算）；

❺ 监督检查：公安网安部门可以定期抽查，这就是定期查水表，很好理解。