前言

網絡安全等級保護是國家(jiā)網絡安全工作的基本制度、基本國策，是維護國家(jiā)關鍵信息基礎設施安全的重要(yào / yāo)手段。從1994年(nián)至今，網絡安全等級保護制度工作經過(guò)實踐及改進，不斷豐富制度内涵、拓展保護範圍、完善監管措施，逐步健全網絡安全等級保護制度政策、标準和支撐體系，對(duì)我國的網絡信息安全建設具有重要(yào / yāo)的指導作用(yòng)。

等級保護發(fā／fà)展史

等級保護工作經過(guò)近二十(shí)年(nián)的發(fā／fà)展已經從1.0階段發(fā／fà)展到2.0階段，從制度上升到法律：

等級保護1.0：1994年(nián)，國務院頒布《中華人民共和國計算機信息系統安全保護條例》，規定計算機信息系統實行(háng / xíng)安全等級保護。

圖1 等保1.0階段大事(shì)件回顧

等級保護2.0：2016年(nián)10月10日，第五屆全國信息安全等級保護技術大會(huì)召開，公安部網絡安全保衛局郭啓全總工指出“國家(jiā)對(duì)網絡安全等級保護制度提出了新的要(yào / yāo)求，等級保護制度已進入2.0時代”。

2017年(nián)6月1日，《中華人民共和國網絡安全法》正式頒布，第二十(shí)一條明确“國家(jiā)實行(háng / xíng)網絡安全等級保護制度……”，等級保護制度正式進入有法可(kě)依階段。

圖2 等保2.0階段大事(shì)件回顧

等保基礎之十(shí)問十(shí)答

Q1：等保2.0、等保3.0是什麽？

A1：等保中提到的“二級”、“三級”，意指信息系統運營者根據信息系統在國家(jiā)安全、經濟建設、社會(huì)生(shēng)活中的重要(yào / yāo)程度及遭到破壞後(hòu)對(duì)國家(jiā)安全、社會(huì)秩序、公共利益以及公民、法人和其(qí)他組織的合法權益的危害程度，将信息系統劃分爲不同的安全保護等級并對(duì)其(qí)實施不同的保護和監管。

等保二級指對(duì)信息系統進行(háng / xíng)第二級安全保護，等保三級指對(duì)信息系統進行(háng / xíng)第三級安全保護，并非是“等保2.0”及“等保3.0”。

等級保護根據《GB 17859-1999 計算機信息系統安全保護等級劃分準則》（網絡安全領域唯一一個強制标準）規定共分五級，分别是：

表1 等保定級分類

Q2：等級保護的工作流程是什麽？

A2：等級保護主要(yào / yāo)工作流程爲定級、備案、建設整改、等級測評、監督檢查五個環節。

圖3 等保工作流程圖

等保工作重點注意事(shì)項：

定級環節：二級及以上的系統必須經過(guò)專家(jiā)評審、主管部門審核（此要(yào / yāo)求爲等保2.0新增）；

備案環節：網安備案的審批處理時間爲10個工作日；

建設整改環節：需參照最新的等保2.0國标進行(háng / xíng)規劃設計；

測評環節：找具有測評資質的測評機構進行(háng / xíng)測評。

Q3：不同等級多少分可(kě)以通過(guò)等保測評？

A3：2021年(nián)6月18日執行(háng / xíng)的新測評标準（等保測評報告模闆（2021 版）），計分方式由得(dé / de / děi)分制調整爲缺陷扣分制，由“符合”、“不符合”調整爲“優、良、中、差”四個等級測評結論。

表2 新版測評結論

表3 老版測評結論（廢棄）

Q4：等保測評通過(guò)後(hòu)，多久需要(yào / yāo)複測？

A4：二級信息系統每兩年(nián)測評一次，三級信息系統明确規定每年(nián)測評一次，四級信息系統每半年(nián)測評一次。

Q5：有包過(guò)的技術解決方案嗎？

A5：不存在包過(guò)的技術方案。等級保護測評包含技術部分和管理部分，單純的技術解決方案默認分數占比隻有50%，管理部分的建設也至關重要(yào / yāo)，可(kě)以選取專業的安全廠商及專業的測評機構來開展等保建設及測評工作，更加容易通過(guò)。

Q6：業務系統在雲上，如(rú)何進行(háng / xíng)等保建設工作？

A6：根據《信息安全技術網絡安全等級保護基本要(yào / yāo)求》（GB/T 22239-2019）附錄D，雲服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平台安全責任。業務系統上雲後(hòu)，雲租戶與雲平台服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任，根據“誰運營誰負責、誰使用(yòng)誰負責、誰主管誰負責”的原則，雲平台與雲租戶應根據平台建設模式承擔相應的網絡安全責任。

Q7：什麽是“一個中心，三重防護”？

A7：”一個中心、三重防護“是等級保護安全設計技術框架，”一個中心“指安全管理中心， ”三重防護“指安全通信網絡、安全區域邊界、安全計算環境。此框架是網絡安全整體架構設計、方案編制的基本參考原則。

圖4 等級保護安全設計技術框架

Q8：什麽是網絡安全建設“三同步”？

A8：“三同步”指網絡運營者應在網絡建設和運營過(guò)程中，同步規劃、同步建設、同步使用(yòng)有關網絡安全保護措施。

Q9：“三化六防”是什麽？

A9：“三化六防”是公網安〔2020〕1960号《貫徹落實網絡安全等保制度和關保制度的指導意見》中要(yào / yāo)求深入貫徹實施網絡安全等級保護制度，落實“三化六防”的措施，即實戰化、體系化、常态化的思路，以及動态防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控的措施。

Q10：等保1.0到2.0有什麽變化？

A10：等保1.0到2.0從名稱、定級對(duì)象、安全要(yào / yāo)求、控制措施分類結構、規定動作等多個方面都有明顯的變化。

​表4 等保1.0與2.0變化對(duì)比

總結

信息化的建設和實施是一個系統且複雜的工程，積極落實關鍵信息系統的等級保護建設不僅可(kě)以幫助企業快速提高信息系統的安全水平，同時可(kě)以避免因信息系統安全漏洞帶來的經濟風險，從而(ér)有利的降低信息化投入，同時滿足國家(jiā)相關法律法規的要(yào / yāo)求，進一步提升國家(jiā)整體的信息化安全水平。因此，堅持落地實踐網絡安全等級保護建設工作是我們需要(yào / yāo)長期堅守的方向。

來源：等級保護測評