安服仔养成篇——等级保护

最近刚好对等保的一些知识有疑问，查了资料解答后刚好又能写一期，这期就用问答的方式来写吧，刚刚好给和我一样蒙蔽的师傅们走进等保。

①等级保护针对哪些单位？
答：
政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行等；
电信行业：各大电信运营商、各省电信公司等；
能源行业：电力公司、石油公司、烟草公司等；
企业单位：大中型企业、央企、上市公司等；
其它有信息系统定级需求的行业与单位。

②等级保护流程？
答：定级 -> 备案 -> 建设整改 -> 等级测评 -> 监督检查
为了方便理解而出现的大白话：简单来说就是先看系统的重要等级，数据重不重要，出问题时危害性有多广，然后把相关的材料送到公安，审核后进行整改，巴拉巴拉。需要准备的材料特别多，需要写的报告也挺长的，是比较繁琐的工作，文档先占一半。以上的过程简单列一列给师傅们了解，不是技能包型的帖子，并非要教会师傅们怎么做，感兴趣的师傅们推荐自己想办法面一个接触得到的岗，纸上谈兵不可取。

③等级保护共有几个等级？
答：
第一级（自主保护级）；
第二级（指导保护级）；
第三级（监督保护级）；
第四级（强制保护级）；
第五级（专控保护级）
备注：正常来说师傅们接触到的应该都在1~3级，每个等级要求进行的频率不一样，也不列出来了，师傅们碰见自然懂了。

④等级保护需要的技能包？
答：先讲在前头：等保里面重要的是资质（就是你这个公司有没有资格来做等保，要相关人员证书和资质的）、和流程的规范性，其过程需要用到的专业知识吧，对师傅们来说不算高深，算是正常范畴要用到的技能，也大概列出来给师傅们有个数：
熟悉相关法律法规
安全产品知识
具备渗透测试能力（em，大概比up好一点的水平就行吧）
操作系统、数据库、中间件等（这个和基线检查稍微有些重叠的，师傅们懂基线的这个部分没问题）
信息安全技能培训能力

⑤等级保护整改怎么做？
答：这个就和基线检查整改特别相似了，也是将不合规的项列出，整改到一定分数即为合格，推荐师傅们看看我上一篇帖子“安服仔养成篇——基线检查”，这里不水那么多字了。

⑥关于等保的就业方向
答：这个up稍微有些发言权，之前在老东家那里up就是负责对接等保测评的，刚出来实习的时候也是配合某lm的等保评级项目，首先证书的需求还是得满足上，大部分公司在招人的时候证是硬性要求，也有部分公司是先入职，在规定时间内要考到相关证书（可能是签卖身契，也可能是自费），我这个二线小城也有小厂专做等保的，这么看也还行，岗位勉强算充足，这个方向的收入适中吧，不会超级高的，毕竟工作范围较小，不像安服当牛做马，给客户接孩子，给领导递华子，但较为稳定了，客户基本果字号，稳定合作，合同在人在！但短板也很明显了，就是太固定了，发挥空间和成长空间不大，不过如今的网安现状差不多可以用惨不忍睹来形容了，up只能说一句师傅们多保重。