局网络安全等级保护

⑴ 什么是网络安全等级保护

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

网络安全等级保护办理流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

网络安全等级保护备案共分为五级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例

⑵ 什么叫网络安全等级保护制度

网络安全等级保护制度是规范计算机系统安全建设和使用的标准以及管理办法。安全工作的整个流程分为五个环节，包括定级、备案、建设整改、等级测评、监督检查，网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
【法律依据】
《网络安全法》第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。

⑶ 什么是等级保护等级保护的定义是什么

等保，全称叫做信息安全等级保护，顾名思义就是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素，将其划分为不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。

总结来讲，等保就是保护互联网数据的一种标准方法体系，里面规定了方方面面。

为什么要做等保?

①降低信息安全风险，提高信息系统的安全防护能力。

②满足国家相关法律法规和制度的要求。

③满足相关主管单位和行业要求。

④合理地规避或降低风险。

怎么做等保?

一、等保具体包括什么内容?

①定级：邀请几个网络安全专家，根据信息安全等级保护定级相关指南结合企业信息系统进行评估定级，并出具定级专家意见。

②备案：通过备案工具填写完整系统表单，然后将全部材料一起送到所在地市公安局网安支队进行备案，这个过程正常需要十个工作日完成。

③安全建设整改：根据客户的实际情况进行差距分析，针对不符合的项目以及行业特征进行整改。

④信息安全等级测评：信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。

⑤信息安全检查：根据客户需要配合完成的自查工作，按照规章制度的要求落实完成自查流程。

二、等保分为几个级别?

第一级：自主保护级，不需要测评

第二级：指导保护级，建议2年一次

第三级：监督保护级，每年至少一次

第四级：强制保护级，半年一次

第五级：专控保护级，涉密、超越等保范畴

三、什么群体/行业需要开展等保?

①政府机关：电子政务网络。

②金融行业：监管机构、银行、保险公司等。

③电信行业：各大运营商。

④能源行业：电力、石油等。

⑤互联网单位：各大企业、上市公司等。

四、等级保护测评流程，周期多长?

从内容上来看，具体分为两大块：管理层面和技术层面

①管理层面：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

②技术层面：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

按照政策要求三级信息系统每年至少需要开展一次测评;二级信息系统一般建议每两年开展一次测评，但是部分行业明确要求每两年开展一次测评。

一个二级或三级的系统现场测评周期一般一周左右，具体时间还要根据信息系统数量及信息系统的规模，有所增减。小规模安全整改2-3周，出具报告时间一周，整体持续周期1-2个月，也可能受到其他因素影响，但总的要求一年内要完成。

⑷ 等级保护工作有哪些规定动作

等级保护工作遵循相关的法律法规，具备完善的政策流程支撑，有规定的流程动作。以下就是等级保护工作的基本流程

1.1 基本实施流程图

1.1.1 系统识别与定级

1. 确定定级对象：根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求确定信息系统的安全等级确定保护对象。

2. 初步确定等级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度，确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度，综合判定侵害程度。初步确定系统的等级。

3. 专家评审：定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

4. 主管部门审核：完成专家评审后，应将初步定级结果上报行业主管部门或上级主管部门进行审核。

5. 公安机关审核：将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

1.1.2 系统备案

1. 资料准备：由信息系统运营使用单位准备备案材料，填写《信息系统安全等级保护备案表》

2. 系统备案：由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续

3. 受理备案和审核:公安机关对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的，通知备案单位重新审核确定

1.1.3 等级保护测评

信息系统运营使用单位需要聘请经过认证的安全测评机构，依据《信息系统安全等级保护管理办法》和《信息系统安全等级保护测评要求》及《信息系统安全等级保护测评过程指南》标准，对信息系统安全保护状况开展等级测评，按照《信息系统安全等级测评报告模板》（2019版）编写等级测评报告。

等级保护测评工作采取询问情况、查问和核对材料、调看记录和资料、现场查验、渗透测试、漏洞扫描等方式进行。通过等级测评，分析判断目前信息系统所采取的安全措施与等级保护标准要求之间的差距，分析安全方面存在的问题，查找信息系统安全保护建设整改需要解决的问题，形成安全建设整改的安全需求。

1.1.4 整改

根据等级保护测评结果和整改建议，运营单位按照等级保护要求和相关规范和标准，进行安全建设。制定安全管理制度、完善安全设施安全手段，落实安全技术措施。

1.1.5 周期性监督检查

公安机关依据管理办法和检查规范不定期对运营使用单位的信息系统进行安全监督、检查、指导，如发现未履行等级保护职责，公安机关可以依法进行相应处罚，处罚标准参考《中华人民共和国网络安全法》《中华人民共和国刑法》《网络安全等级保护条例》。

⑸ 为什么要做等级保护

主要有以下几个原因：
第一、开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。一般用户单位内部系统较多，用途不一样，受众群体和使用用户也不一样，那我们就需要通过等级保护去梳理和分析我们现有的信息系统，将不同系统分不同重要等级进行分等级保护，这就是等保的定级工作。
梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用，不造成重大损失或影响。
第二、等级保护是我国关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43 号，以下简称“43号文件”）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。
第三、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作，主要有：公安、网信办、经信委、通管局等行业主管单位。
所以不做等保的话，没法向相关主管单位和行业领导们交待。
第四、合理地规避风险。每年都会出现一些大的信息安全事件，我们日常经常听到或看到的有，某某网站网页被篡改了，用户敏感信息被泄露了，更多的一些小范围安全事件我们不清楚，但是在发生。那么发生比较大的安全事件，首先主管单位们要去现场调查，首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙，很多安全设备，那都是说不清道不明的，不如你实实在在拿出备案证明，拿出测评报告说服力强。出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了，这里就不展开了，只可意会不可言传。最简单的例子：一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。但是怎么叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全制度要求。

⑹ 网络安全等级保护与信息安全等级保护有什么区别

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业办理网络安全等级保护备案的原因：

1.建立有效的网络安全防御体系（让客户的系统真正具有安全防御的能力）

2. 完成信息系统等级保护公安备案（取得备案证明） ，顺利通过网络安全等级保护测评（取得测评报告）

3 满足相关部门的合规性要求（包括国家的政策，法律法规的要求，还有上级部门的要求，还有甲方客户的要求等）

4. 系统过了等保，一定程度上可以提高企业投标锁标的能力，为投标加分

网络安全等级保护分五个级别：

⑺ 网络安全等级保护2.0什么时候实施，相比1.0有哪些变化

以下资料来源等保测评机构——时代新威官网。如还有更多疑问请官网查看。

等保2.0相比1.0主要有四大方面的变化：

（1） 名称上的变化

名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。

（2） 法律效力不同

《网络安全法》第21条规定“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。

（3）保护对象有扩展

等保1.0主要是信息系统。而等保2.0将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。

（4） 控制措施分类不同

等保1.0按照技术和管理各5个方面的要求进行分类，技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外，等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性，即“一个中心，三重防护”。

（5） 内容进行了扩充

等保1.0有五个规定性动作，包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。

⑻ 有没有详细的网络安全等级保护流程介绍谢谢了。

开展网络安全等级保护工作的五个规定基本动作：定级、备案、建设整改、等级测评、监督检查。具体细节：

定级阶段：

网络运营者确定等级保护对象，明确定级对象，梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。

备案阶段：

第二级及以上网络运营者在定级、撤销或变更调整网络安全保护等级时，在明确安全保护等级后需在10个工作日内，到县级以上机关备案，提交相关材料。

建设整改阶段：

安全建设整改工作分五步进行：

落实安全建设整改工作部门，建设整改工作规划，进行总体部署;
确定网络安全建设需求并论证;
确定安全防护策略，制定网络安全建设整改方案
根据网络安全建设整改方案，实施安全建设工程;
开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。

注意：全国各地区政策不一样，以实际情况为准。

等级测评阶段：

网络安全等级保护测评过程分为4个基本活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

监督检查阶段：

每年至少开展一次安全检查，涉及相关行业的可以会同其行业主管部门开展安全检查。必要时，机关可以委托社会力量提供技术支持。

以上都是摘自时代新威官网，里面等保干货非常多，解释更加规范、准确。

⑼ 等级保护定级标准是什么

2020年4月28日，国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》，且该指南将于2020年11月1日正式实施。需要对信息系统进行定级的企业可以以此为定级依据。

根据规定，信息系统一共分五个等级，由一到五级别逐渐升高。

信息系统的五个等级

等级保护对象的级别由两个定级要素决定：①受侵害的客体。分三个方面，即：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全；②对客体的侵害程度。分三种程度，即：造成一般损害；造成严重损害；造成特别严重损害。

等级保护对象定级工作流程一般为：确定定级对象→初步确定等级→专家评审→主管部门批准→公安机关审核。安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本标准组织专家评审、主管部门批准和公安机关备案审核，最终确定其安全等级。初步确定为第一级的等级保护对象，可不进行专家评审、主管部门批准和公安机关审核。

⑽ 网络安全等级保护条例

网络安全等级保护分为五个级别：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例