网络安全等级保护概述

1 等级保护2.0标准体系主要标准

网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开 信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护，对网络中使用的安全技术和管理制度实行按等级管理，对网络中发生的信息安全事件分等级响应、处置。

为开展网络安全等级保护工作，国家制定了一系列等级保护相关标准，其中主要的标准有：

·计算机信息系统安全保护等级划分准则（GB 17859-1999）

·信息安全技术 网络安全等级保护定级指南（GB/T22240-2020）

·信息安全技术 网络安全等级保护实施指南（GB/T25058-2019）

·信息安全技术 网络安全等级保护基本要求（GB/T22239-2019）

·信息安全技术 网络安全等级保护设计技术要求（GB/T25070-2019）

·信息安全技术 网络安全等级保护测评要求（GB/T28448-2019）

·信息安全技术 网络安全等级保护测评过程指南（GB/T28449-2018）

2 网络安全等级保护工作流程

网络安全等级保护工作包括定级、备案、安全建设、等级测评、监督检查五个阶段。

1)定级：确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。

2)备案：持定级报告和备案表等材料到公安机关网安部门进行备案。

3)安全建设：以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。

4)等级测评：委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评。鉴于大量用户实践，二级系统两年做一次测评。

2.0重点变化是必须在公安部专用系统中上传合同扫描件和备案证明扫描件，提交属地省厅网安进行审核，审批通过后将基本信息表加盖测评机构公章，送至属地网安，方可开展测评工作，这个如材料没有问题一般要1-5个工作日。正式的现场测评工作一般情况下单个系统投入4-6个人天（不含前期准备、方案编制和报告编制工作）；

整改工作由责任单位按照测评机构测评后出具的整改建议，开展响应的整改加固工作，2.0尤其是要重点注意高危风险的整改以及整改后分数需超过70分，否则结论将为“差”。

5)监督检查：向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。

3 等级保护对象定级备案工作

依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》，确定等级保护对象，明确定级对象，梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别

安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据标准组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。

3.1 确定定级对象

作为定级对象的信息系统应具有如下三点基本特征：

a.具有确定的主要安全责任体；

b.承载相对独立的业务应用；

c.包含相互关联的多个资源。

定级对象：云计算、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源

云计算平台/系统：在云计算环境中，云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级，并根据不同服务模式（IASS、PASS和SAAS）将云计算平台/系统划分为不同的定级对象。对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分不同的定级对象。

工业控制系统：工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中，现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级，各要素不单独定级；生产管理要素宜单独定级。对于大型工控系统，根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。

采用移动互联技术的系统：采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素，可作为一个整体独立定级或与相关联业务系统一起定级，各要素不单独定级。

通信网络设施：对于电信网、广播电视传输网等通信网络设施，宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网科作为一个整体对象定级，或分区域划分为若干个定级对象。

l数据资源：数据资源可以独立定级。当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同时，大数据应独立定级

3.2 初步确定等级

定级对象的安全主要包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级由业务信息安全（机密性和完整性）和系统服务安全（可用性）两方面确定。定级方法流程图如下：

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表可得到业务信息安全保护等级。

3.3 专家评审

安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据标准组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级

可参考以下人员构成方案：

第一、公安网安主管部门工作人员，他们从事这项工作每年对大量新系统进行了定级审核，可以作为专家组成员。

第二、测评机构持证工作人员，他们长年在一线进行等保工作会接触很多系统，对标准对系统情况比较熟悉可以作为专家组成员，邀请的测评机构成员资质应为：中、高级测评师。

第三，相关网络安全专家，比如各个单位信息中心或者网络安全的负责人，行业主管部门负责网络安全的人员，高校负责网络安全、计算机等教学人员，CISP等国家认证持证人员等。

定级评审专家至少3人，人员中包括：网安人员、测评机构中高级测评师及其他网络安全专家。

3.4 主管部门核准

信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成《定级报告》。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。单位自建的信息系统（与上级单位无关），等级确定后，是否报上级主管部门审批，由各行业自行决定。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。

2.5 备案审核

公安机关应当对网络运营者提交的备案材料进行线上审核。对定级准确、备案材料符合要求的，应在10个工作日内出具网络安全等级保护备案证明。

3.5 等级保护对象备案工作

线上材料审核通过后，按照约定时间，现场核验纸质材料并领取备案证明。

第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案。

因网络撤销或变更调整安全保护等级的，应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。