浅谈等级保护测评那些事~

01、什么是等级保护测评

等级保护测评，全称叫“网络安全等级保护”，包括定级备案、建设整改、等级测评三个步骤，俗称“等保测评”。简单的说，就是为你的系统做个安全体检，看看会不会容易受到黑客攻击，系统瘫了影响大不大？体检不合作怎么办？整改！

《信息系统安全等级保护管理办法》规定，等级保护一共有五个级别。第一级，自主保护级：（无需备案，对测评周期无要求），信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，指导保护级:（公安部门备案，建议两年测评一次），信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级，监督保护级：（公安部门备案，要求每年测评一次），信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，强制保护级：（公安部门备案，要求半年一次），信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，专控保护级：（公安部门备案，依据特殊安全需求进行），信息系统受到破坏后，会对国家安全造成特别严重损害。”

运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。

02、为什么要做安全等保测评

简单的说，因为法律规定！！！不做等保就是违法！！！

2007年，公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》，俗称“43号文件”。在这个文件中，明确了等级保护要做的事，包括定级备案、建设整改、等级测评。用户必须完成这三件事，并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作，公安部会同相关部门起草了相关的标准，我们称之为“标准体系”。其中，“建设整改”最为重要。保护是核心，定级备案和等级测评只是辅助动作。

2007年到2017年，这期间使用等保1.0。为什么从2017年后叫做等保2.0了呢？原因是2017年6月1号，《中华人民共和国网络安全法》出台，它提到，国家实行等级安全保护制度，注意，这时候等级保护已经成为法律制度，不做等保就是违法。同时，第31条说，如果单位系统非常非常重要，称之为“关键信息基础设施”，那么这个系统做等保还不够，还要在等保的基础上做重点保护。

此外，等级保护一共有五个级别，但每个级别要达到什么样的标准，需要按照国家标准，其中《信息安全技术-网络安全等级保护基本要求》（GB/T 22239-2019）规定了第一级到第四级等级保护对象的安全要求，如果单位达不到规定的要求，会被公安部门强制要求整改。

03、网络等级保护2.0标准体系介绍

等级保护2.0时期，所有保护对象，不管你叫什么名字，比如云平台、大数据、物联网、工控系统等，都要做等保，落实国家安全等级保护制度。注意，不落实是违法的。

那怎么做呢？完成以下几个动作：定级备案、安全建设、等级测评，如果等级测评出现问题还需要接受安全整改，接受监督检查。这几个动作，不做就违反了法律要求。如果你是关键基础设施，除了等级保护，还需要完成关键信息基础设施保护。只有这样，2.0的目标才真正完成。

新标准的变化

第一，对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

注意：等级保护把所有系统都纳入了，包括云计算、物联网等等。这些系统只需要使用一个标准就可以了，这个标准的要求是通用要求加扩展要求。比如，云计算系统，是云计算扩展；工控系统是工控扩展。概括起来是：一个标准做等保。

第二，分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界"安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

第三：强化可信计算。新标准强化了可信计算技术使用的要求把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

注意：新的2.0标准强调可信计算新技术的使用。1.0强调密码技术使用。

最后，关于等级测评结论发生了变化，分为：优、良、中、差几个级别，70分以上才算及格，90分以上算优秀。

04、等保级别确定和测评流程

等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级，而非由“后天”的安全保护措施决定。

信息系统安全保护等级=业务信息安全保护等级+系统服务安全保护等级

依据系统受到破坏后对侵害客体的侵害程度来确定等级保护的级别

定级方法

定级流程

05、等保测评工作谁来做

公司可不可以自己做等级保护测评呢？不行！

当公司的系统保护等级确认在二级以上时，需要进行评估工作，包括差距评估整改清单-整改-再评估评估报告-提交相关监管部门。在这些步骤中，只有整改部分可以由公司自己修改，也可以寻求第三方合作。其他资料都需要具备等保评估资质的机构进行。

测评机构至少有省市信息安全等级保护协调小组办公室颁发的《信息安全等级保护评估机构推荐证书》。同时，一些省份要求评估机构在用户所在地的地级市公安网络安全部门备案，备案成功后方可在当地开展等级保护评估工作。