一、什麽是等保

“等保”，即信息安全等級保護，是我國網絡安全領域的基本國策、基本制度。早在2017年(nián)8月，公安部評估中心就(jiù)根據網信辦和信安标委的意見将等級保護在編的5個基本要(yào / yāo)求分冊标準進行(háng / xíng)了合并形成《信息安全技術 網絡安全等級保護基本要(yào / yāo)求》一個标準。(GB/T 22239—2019代替 GB/T 22239-2008)該标準于(yú)2019年(nián)5月10日發(fā／fà)布，于(yú)2019年(nián)12月1日開始實施。

二、爲什麽要(yào / yāo)做等保

1、安全标準：信息安全等級保護（簡稱等保）是目前檢驗一個系統安全性的重要(yào / yāo)标準，是對(duì)系統是否滿足相應安全保護的評估方法。

2、法律要(yào / yāo)求：《網絡安全法》和《信息安全等級保護管理辦法》明确規定網絡運營者應當履行(háng / xíng)安全保護義務，如(rú)果拒不履行(háng / xíng)，将會(huì)受到相應處罰。

3、自(zì)我檢查：開展等保可(kě)對(duì)系統進行(háng / xíng)一次全面檢測，全面發(fā／fà)現系統内部的安全隐患與不足之處。

三、等保包含哪些内容

等保是一個全方位系統安全性标準，不僅僅是程序安全，包括：物理安全、應用(yòng)安全、通信安全、邊界安全、環境安全、管理安全等方面。

​

【物理安全】機房物理訪問控制、防火，防雷擊，溫濕度控制、電力供應，電磁防護。

【應用(yòng)安全】應用(yòng)具備身份鑒别、訪問控制、安全審計、剩餘信息保護、軟件容錯、資源控制和代碼安全。

【通信安全】包括網絡架構，通信傳輸，可(kě)信驗證。

【邊界安全】包括邊界防護，訪問控制，入侵防範，惡意代碼防護等。

【環境安全】 入侵防範，惡意代碼防範，身份鑒别，訪問控制，數據完整性、保密性，個人信息保護。

【管理安全】系統管理，審計管理，安全管理，集中管控。

四、等保1.0、2.0有什麽區别？

【等保1.0】以1994年(nián)國務院頒布的147号令《計算機信息系統安全保護條例》爲指導标準，以2008年(nián)發(fā／fà)布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要(yào / yāo)求 》爲指導的網絡安全等級保護辦法，業内簡稱等保，即目前的等保 1.0。

【等保2.0】以《中華人民共和國網絡安全法》爲法律依據，以2019年(nián)5月發(fā／fà)布的《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要(yào / yāo)求》爲指導标準的網絡安全等級保護辦法，業内簡稱等保2.0。

【1.0、2.0的區别】

等保2.0提出新的技術要(yào / yāo)求和管理要(yào / yāo)求，強調“一個中心，三重防護”，關鍵點包括可(kě)信技術、安全管理中心，以及雲計算、物聯網等新興領域的安全擴展要(yào / yāo)求。對(duì)應地，企業在安全防護體系建設、風險評估和管理上需要(yào / yāo)更加全面，并需關注所(suǒ)在行(háng / xíng)業的安全要(yào / yāo)求和定級标準。

五、等保分幾個級别？

等保分五個級别，越高安全性越好，其(qí)中：

【等保一級】等保一級爲“用(yòng)戶自(zì)主保護級”，是等保中最低的級别，該級别無需測評，提交相關申請資料，公安部門審核通過(guò)即可(kě)。

【等保二級】等保二級爲“系統審計保護級”，是目前使用(yòng)最多的等保方案，所(suǒ)有“信息系統受到破壞後(hòu)，會(huì)對(duì)公民、法人和其(qí)他組織的合法權益産生(shēng)嚴重損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家(jiā)安全。”範圍内網站均可(kě)适用(yòng)，可(kě)支持到地級市各機關、事(shì)業單位及各類企業的系統應用(yòng)，比如(rú)：網上各類服務的平台（尤其(qí)是涉及到個人信息認證的平台），市級地方機關、政府網站等等。

【等保三級】等保三級等爲“安全标記保護級”，級别更高，支持“信息系統受到破壞後(hòu)，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴重損害，或者對(duì)國家(jiā)安全造成損害。”範圍，适用(yòng)于(yú)“地級市以上的國家(jiā)機關、企業、事(shì)業單位的内部重要(yào / yāo)信息系統”，比如(rú)省級政府官網、銀行(háng / xíng)官網等等。三級等保也是我們能(néng)制作的最高級别等保網站。

【等保四級】等保四級等保适用(yòng)于(yú)國家(jiā)重要(yào / yāo)領域、涉及國家(jiā)安全、國計民生(shēng)的核心系統，比如(rú)中國人民銀行(háng / xíng)就(jiù)是目前唯一四級等保的中國央行(háng / xíng)門戶集群。

【等保五級】等保五級等保是目前我國最高級别，一般應用(yòng)于(yú)國家(jiā)的機密部門。

六、等保測評流程是怎麽樣的？

等保包括五個階段：1、定級、2、備案、3、建設整改、4、等級測評、5、監督檢查。定級對(duì)象（即需要(yào / yāo)過(guò)等保的對(duì)象）建設整改後(hòu)，需要(yào / yāo)選擇符合國家(jiā)要(yào / yāo)求的測評機構，按《網絡安全等級保護基本要(yào / yāo)求》等技術标準進行(háng / xíng)等級測評，之後(hòu)向監管單位提交測評報告。

七、等保是法律要(yào / yāo)求的？

《網絡安全法》和《信息安全等級保護管理辦法》明确規定信應履行(háng / xíng)安全保護義務，如(rú)果拒不履行(háng / xíng)，将會(huì)受到相應處罰。

以下(xià)節選自(zì)《中華人民共和國網絡安全法》：

第二十(shí)一條：國家(jiā)實行(háng / xíng)網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要(yào / yāo)求，履行(háng / xíng)下(xià)列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的訪問，防止網絡數據洩露或者被竊取、篡改

第三十(shí)八條：關鍵信息基礎設施的運營者應當自(zì)行(háng / xíng)或者委托網絡安全服務機構對(duì)其(qí)網絡的安全性和可(kě)能(néng)存在的風險每年(nián)至少進行(háng / xíng)一次檢測評估，并将檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

第五十(shí)九條：網絡運營者不履行(háng / xíng)本法第二十(shí)一條、第二十(shí)五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導緻危害網絡安全等後(hòu)果的，處一萬元以上十(shí)萬元以下(xià)罰款，對(duì)直接負責的主管人員處五千元以上五萬元以下(xià)罰款。　關鍵信息基礎設施的運營者不履行(háng / xíng)本法第三十(shí)三條、第三十(shí)四條、第三十(shí)六條、第三十(shí)八條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導緻危害網絡安全等後(hòu)果的，處十(shí)萬元以上一百萬元以下(xià)罰款，對(duì)直接負責的主管人員處一萬元以上十(shí)萬元以下(xià)罰款。

來源：老李講安全