等保测评中的问题与建议_等保测评专家评审意见-CSDN博客

本文链接：https://blog.csdn.net/2401_84434570/article/details/143143927

等级保护是国家实施的一项网络安全基本制度，旨在对网络和信息系统进行分级分类、分级保护、分级监管，以维护国家关键信息基础设施和重要数据的安全。根据《网络安全法》和相关标准，等级保护流程主要包括定级、备案、建设整改、等级测评和监督检查五个步骤。在整个流程中，可能会遇到一些问题和风险，影响等级保护工作的顺利进行和效果达成。

本文将从以下几个方面，分析等级保护流程中的常见问题和风险，并提出相应的预防和解决方法，以供相关企业参考。

关于等保测评5个步骤的问与答

等保测评的每个步骤都有独特的重要性，5 个步骤相辅相成，每一步都不可或缺，共同构建起全面、有效的等保测评体系，对于保障信息系统的安全具有重大意义。

如定级是等保测评的基础和起点，直接决定了后续安全措施的要求和力度；备案是系统合法合规运营的必要环节，有助于增强系统的公信力和责任意识；建设整改直接关系到系统实际的安全防护能力，是提升系统安全性的关键环节；等保测评是对系统安全状况的全面检验和评估，能够客观地反映系统安全建设和整改的效果；监督检查可以确保等保测评工作的持续有效性和合规性，保障系统长期的安全稳定。

而在实践中，每个步骤中存在各种各样的执行困境，以下详细介绍了关于等保测评5个步骤的相关概念、所涉问题，并给出应对措施及建议，希望可以给予某些问题处理启示。

一、.网站系统定级

01｜定级的概念

根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。

（点击查看/保存大图）

等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

定级的过程是根据《信息安全技术网络安全等级保护定级指南》，确定等级保护对象，明确受侵害的客体和对客体造成侵害的程度，并根据业务信息安全等级和系统服务安全等级的矩阵表，确定最终的安全保护等级。

受侵害的客体	对客体的侵害
受侵害的客体	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第三级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

02｜定级过程中可能遇到的问题和风险

定级对象不明确或不完整。有些单位可能没有对自己所属或运营的网络和信息系统进行全面的调查摸底，或者没有及时更新变更情况，导致定级对象缺失或错误，影响定级结果的准确性。
定级标准不清晰或不统一。有些单位可能没有掌握最新的定级指南或相关政策规定，或者没有按照规范进行定级操作，导致定级标准模糊或不一致，影响定级结果的合理性。
定级过程不规范或不透明。有些单位可能没有建立健全的定级组织机构、工作流程、审核制度、记录管理等，或者没有公开公示定级结果，导致定级过程混乱或不公开，影响定级结果的有效性。

03｜应对措施及建议

加强对网络和信息系统的调查摸底。各单位应该根据自身业务特点和实际情况，对所属或运营的网络和信息系统进行全面、详细、及时的调查摸底，明确网络边界、系统功能、数据流向、用户群体等，评估安全需求并及时更新变更情况，确保定级对象完整无误。
掌握最新的定级指南和相关政策规定。各单位应该及时学习和了解国家发布的最新的定级指南和相关政策规定，并按照规范进行定级操作，避免使用过时或错误的标准。
建立健全规范透明的定级机制。各单位应该建立专门的定级组织机构，明确职责分工；制定科学合理的工作流程，规范操作步骤；建立严格有效的审核制度，确保质量控制；建立完善的记录管理，保留证据材料；并公开公示定级结果，接受社会监督。

二、网站系统备案

01｜备案相关概念

根据《信息安全等级保护管理办法》第十五条已运营(运行)或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办备案手续。

跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。企业最终确定网站的级别以后，就可以到公安机关进行备案。

02｜备案过程中可能遇到的问题和风险

备案对象不清楚或不及时。有些单位可能不知道自己是否属于第二级以上的网络运营者，或者不知道何时需要进行备案，或者没有及时进行备案，导致漏报或错报，影响法律责任的履行。
备案材料不齐全或不合格。有些单位可能没有按照公安机关的要求，准备完整、有效、规范的备案材料，导致审核不通过，影响备案效率和效果。
备案流程不熟悉或不便捷。有些单位可能没有掌握最新的备案流程，或者没有使用最便捷的备案方式，导致备案过程复杂或耗时，影响备案体验和满意度。

03｜应对措施及建议

加强对网络安全法和相关政策规定的学习和宣传。各单位应该及时学习和了解国家发布的最新的网络安全法和相关政策规定，并加强对内部员工和外部合作伙伴的宣传和培训，提高网络安全法律意识和责任意识，明确自己是否属于第二级以上的网络运营者，以及何时需要进行备案。
按照公安机关的要求，准备完整、有效、规范的备案材料。各单位应该根据公安机关发布的最新的备案材料清单，准确填写相关表格，并提供相应的证明文件和附件，确保备案材料齐全、有效、规范。
掌握最新的备案流程，并使用最便捷的备案方式。各单位应该及时了解公安机关发布的最新的备案流程，并选择最便捷的备案方式。目前，公安机关已经开通了网上办事平台，可以通过网上申报、网上审核、网上领取等方式进行在线办理，大大提高了备案效率和便利性。

三、网站系统安全建设（整改）

01｜整改相关概念

等级保护整改是等保建设的其中一个环节，指按照等级保护建设要求，对信息和信息系统进行的网络安全升级，包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力，让企业可以成功通过等级测评。

等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。北京熠时代面向政府、企事业单位提供专业的等保整改服务，联合CNCERT专家级技术团队，从双层面排查风险，协助企业进行高效整改。

整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

02｜建设整改时可能遇到的问题和风险

建设整改需求不明确或不合理。有些单位可能没有根据自己的定级结果和实际情况，制定清晰明确的建设整改需求，或者制定了过高或过低的建设整改需求，导致建设整改目标不清楚或不适合，影响建设整改的投入产出比。
建设整改资源不充足或不优化。有些单位可能没有充分评估自己的建设整改资源，包括人力资源、物力资源、财力资源等，或者没有合理分配和利用自己的建设整改资源，导致建设整改过程中出现人员不足、设备不够、资金不够等问题，影响建设整改的进度和质量。
建设整改方案不科学或不规范。有些单位可能没有根据国家标准和行业最佳实践，选择合适的建设整改方案，或者没有按照规范的方法执行建设整改方案，导致建设整改效果不达标或存在隐患，影响建设整改的可靠性和持续性。

03｜应对措施及建议

制定明确合理的建设整改需求。各单位应该根据自己的定级结果和实际情况，制定明确合理的建设整改需求，既要符合国家标准的要求，又要适应自身业务的特点，避免过高或过低的目标设置。
评估优化自己的建设整改资源。各单位应该充分评估自己的建设整改资源，包括人力资源、物力资源、财力资源等，并根据需求进行合理分配和利用，尽量提高资源利用率和效率。如果资源不足或不匹配，可以寻求外部支持或协助。
选择科学规范的建设整改方案。各单位应该根据国家标准和行业最佳实践，选择科学规范的建设整改方案，并按照规范的方法执行建设整改方案。在执行过程中，要注意监督检查、测试验证、问题记录、结果反馈等环节，确保建设整改效果达标且无隐患。

四、网站系统等级测评

01｜等级测评相关概念

等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

02｜等级测评过程中可能遇到的问题和风险

等级测评对象不确定或不一致。有些单位可能不清楚自己需要进行等级测评的对象，或者与测评机构对等级测评对象的理解不一致，导致等级测评范围不明确或不完整，影响等级测评的全面性和准确性。
等级测评时间不合适或不及时。有些单位可能没有根据自己的建设整改进度和效果，选择合适的等级测评时间，或者没有及时进行等级测评，导致等级测评与建设整改脱节或滞后，影响等级测评的时效性和有效性。
等级测评结果不认可或不利用。有些单位可能没有对测评机构的资质和能力进行充分了解和信任，或者没有对测评报告的内容和结论进行认真分析和采纳，导致等级测评结果不被认可或利用，影响等级测评的权威性和价值。

03｜应对措施及建议

明确确定自己的等级测评对象，并与测评机构达成一致。各单位应该根据自己的定级结果和备案情况，明确确定自己需要进行等级测评的对象，并与测评机构进行充分沟通和协商，确保双方对等级测评对象的理解一致，避免出现范围偏差或遗漏。
根据自己的建设整改情况，选择合适的等级测评时间，并及时进行等级测评。各单位应该根据自己的建设整改情况，选择合适的等级测评时间，并及时进行等级测评。一般来说，建设整改完成后应该尽快进行等级测评，以验证建设整改效果，并及时发现并解决可能存在的问题。如果建设整改过程中发现重大安全漏洞或风险，也应该及时进行等级测评，以确认安全问题是否已经得到有效解决。
充分了解和信任测评机构，并认真分析和采纳测评报告。各单位应该充分了解和信任国家认可的测评机构，并认真分析和采纳其出具的测评报告。如果对测评报告有疑问或异议，可以与测评机构进行沟通和协商，寻求合理的解释或调整。如果对测评报告有认可或赞同，可以将其作为提升网络安全水平的参考依据或改进方向。

五、监督检查

监督检查是等级保护流程的第五步，也是维持网络安全稳定的必要一步，因为监督检查是指由国家相关部门对网络运营者进行定期或不定期的安全检查，并出具检查报告。监督检查是对网络运营者进行的一种指导和帮助，也是对网络和信息系统进行的一种维护和更新。