网络安全等级保护（概念）

（一）等级保护基本概念

信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理

（二）信息安全等级保护制度的主要内容           

信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护。

         对信息系统按业务安全应用域和区实行分级保护。         

        对系统中使用的信息安全产品实行按分级许可管理。          

        对等级系统的安全服务资质分级许可管理。          

        对信息系统中发生的信息安全事件分等级响应、处置。

（三）为什么要做等级保护（做了，出事，是天灾（没有绝对的安全），不做出事，是人祸）

        保护业务安全应用

对信息安全分级保护是客观需求：信息系统的建立是为社会发展、社会生活的需要而设计、建立的，是社会构成、行政组织体系及其业务体系的反映，这种体系是分层次和级别的。因此，信息安全保护必须符合客观存在。

等级化保护是信息安全发展规律：按组织业务应用区域、分层、分类、分级进行保护和管理，分阶段推进等级保护制度建设，这是做好国家信息安全保护必须遵循的客观规律。

（四）信息安全保护存在的主要问题

以前，我国信息安全存在的最大问题是信息安全保护工作不统一、不规范。有关各方对信息安全如何保护及安全与否无法把握，心中无数。

实行等级保护首先要解决这个问题，以国家法定信息安全等级保护制度，统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展。促进民族信息安全科学技术发展，解决我国信息技术和安全技术“空心”问题，实现信息安全自主可控，保障国家安全。

（五）等保发展历程

（六）相关标准(GB为国家的、GB/T为推荐)

基础类   《计算机信息系统安全保护等级划分准则》GB 17859-1999    

             《信息系统安全等级保护实施指南》 GB/T25058-2010 

应用类 

定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 

建设：《信息系统安全等级保护基本要求》GB/T 22239-2008          

           《信息系统通用安全技术要求》GB/T 20271-2006          

           《信息系统等级保护安全设计技术要求》 

测评：《信息系统安全等级保护测评要求》 GB/T28448-2012          

           《信息系统安全等级保护测评过程指南》 GB/T28449-2012 

管理：《信息系统安全管理要求》GB/T 20269-2006          

           《信息系统安全工程管理要求》GB/T 20282-2006

（七）等级保护建设中的角色

（八）等级保护的五个步骤

1、等级

            非自主定级，需专家评审，主管部门审核。

2、备案

            涉密系统报市和区县国家保密工作部门、其他到公安机关办理备案手续、受理单位备案审核。

3、建设整改

            评估和现状检测(可请评估或检测机构)﹔制定整改方案;开展安全建设或改建， 按照国家标准建立基础安全设施以及等级保护管理制度。

4、等保测评

            经公安部认证的具有资质的测评机构开展等级测评;二级每两年至少一次，主级每年至少一次，四级至少每半年一次。

5、监督检查

            公安机关每年开展执法检查。

（九）定级流程

（十）细讲五个步骤

（一、定级）

等级划分

根据网络在国家安全、经济建设、社会生活中的 重要程度，以及一旦遭受到破坏、丧失功能或数据被篡改、泄密、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关功名、法人和其他组织的合法权益的 危害程度等因素，网络分为 五个安全保护保护等级。

第一级（自主保护级）

法人和其他组织权益受到 损害，但不危害国家、社会秩序、公共利益的一般网络。

第二级（指导保护级）

法人和其他组织权益受到 严重损害，社会秩序、公共利益利益 造成危害，但不危害国家。

第三级（监督保护级）

法人和其他组织权益受到 特别严重损害，社会秩序、公共利益利益造成 严重危害，或者国家 造成危害。

第四级（强制保护级）

法人和其他组织权益受到 特别严重损害，社会秩序、公共利益利益造成 特别严重危害，或者国家造成 严重危害。

第五级（专控保护级）

对 国家造成特别严重危害的及其重要的网络。

（二、备案）

        第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时，在明确安全保护等级后需在10个工作日内，到县级以上公安机关备案，提交相关材料。

（三、建设整改）

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南（以下称“实施指南”）中明确等级保护实施的基本原则：

● 自主保护原则         

等级保护对象运营、使用单位及其主管部门自主确定等级保护对象的安全保护等级，自主实施安全保护。 

● 重点保护原则         

对等级保护对象根据其重要程度、业务特点，划分成不同安全保护等级的等级保护对象，实现不同强度安全保护，集中资源重点保护涉及核心业务或关键信息资产的等级保护对象。 

● 同步建设原则         

等级保护对象在新建、改建、扩建时应同步规划和设计安全方案，投入一定的资金建设网络安全设施，保障网络安全与信息化相适应。 

● 动态调整原则         

跟踪等级保护对象的变化情况，调整安全保护措施。定级对象的应用类型、范围等条件的变化及其他原图，安全保护等级变更的，需重新定级，根据安全保护基本，重新实施安全保护。

安全建设整改工作分五步进行：

● 落实安全建设整改工作部门，建设整改工作规划，进行总体部署；

● 确定网络安全建设需求并论证； 

● 确定安全防护策略，制定网络安全建设整改方案（安全建设方案经专家评审论证，三级以上报公安机关审核）； 

● 根据网络安全建设整改方案，实施安全建设工程； 

● 开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。

（四、等保测评）

网络安全等级保护测评过程分为4个基本活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

1) 等级保护测评周期

        等保1.0阶段，测评周期参考：信息安全等级保护管理办法（公通字[2007]43号），该文中要求：“ 第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。” 

        等保2.0阶段，测评周期参考：网络安全等级保护条例征求意见稿第二十三条[等级测评]规定： 第三级以上网络的运营者应当每年开展一次网络安全等级测评，发现并整改安全风险隐患，并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

2) 等级测评结论的变化等级测评结论发生了变化：等级保护测评结论由“符合、部分符合、不符合”变为：“ 优、良、中、差”。当等级保护对象存在高风险或等级测评综合得分 低于70分，可判定等级保护对象安全防护能力 无法满足网络安全等级保护基本要求。

（五、监督检查）