等保测评基础知识

1.等级保护等级划分

• 第一级 自主保护级:无需备案，对测评周期无要求此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成不损害 国一般损害，家安全、社会秩序和公共利益。
• 第二级 指导保护级:公安部门备案，建议两年测评一次此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，会对社会秩序、公共利益造成 一般损害，不损害 国家安全。
• 第三级 监督保护级:公安部门备案，要求每年测评一次此类信息系统受到破坏后，会对国家安全、社会秩序造成 损害,对公共利益造成 严重损害，对公民、法人和其他组织的合法权益造成 特别严重的损害。
• 第四级 强制保护级:此类信息系统受到破坏后，会对国家安全造成 严重损害，对社会秩序、公共利益造成 特别严重损害。
• 第五级 专控保护级:公安部门备案，依据特殊安全需求进行此类信息系统受到破坏后会对国家安全造成 特别严重损害。

 2.等保必要性

（1）降低信息安全风险，提高信息系统的安全防护能力;
       开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。
       梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用不造成重大损失或影响。

（2）满足国家相关法律法规和制度的要求;
       等级保护是我国关于信息安全的基本政策2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007143号)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。
       2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。

（3）满足相关主管单位和行业要求;
       很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作，主要有:公安、网信办、经信委、通管局等行业主管单位。
       所以不做等保的话，没法向相关主管单位和行业领导们交待。

（4）合理地规避或降低风险。
       每年都会出现一些的信息安全事件，一旦发生比较大的安全事件，主管单位就要去现场调查，首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙，很多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。

       出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了。最简单的例子:一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。怎么叫主观上重视呢?等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全制度要求。

3.信息系统等级测评和等级测评

信息系统等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
等级测评是标准符合性评判活动，即依据信息安全等级保护的国家标准或行业标准，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。

（1）等保测评流程

 （2）重要行业关键信息系统划分及定级建议

 （3）实际操作中参考确定信息系统等级

• 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
• 第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密敏感信息的办公系统和管理系统等。
• 第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
• 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。

（4）测评目标

需要实施安全等级保护的信息系统为:
党政系统(党委、政府);
金融系统(银行、保险、证券);
财税系统(财政、税务、工商);
经贸系统(商业贸易、海关);
电信系统(邮电、电信、广播、电视);
能源系统(电力、热力、燃气、煤炭、油料);
交通运输系统(航空、航天、铁路、公路、水运、海运);
供水系统(水利及水源供给);
社会应急服务系统(医疗、消防、紧急救援);
HIS、LIS、PACS、EMR、门户网站、OA系统(医院)

（5）测评流程

4.网络安全等级保护基本要求（安全通用要求）

5. 网络安全解读

6.主机安全解读

7.应用及数据安全

8.等级保护安全技术方案-通用

9.三级等保实施方案（通用）

10.网络安全合规的要素

11.网络安全合规

（1）界定:

网络安全合规，是指网络运营者应当全面遵守网络安全法律(如《网络安全法》)、国家标准(如《个人信息安全规范》)及相关文本规范，避免遭受法律制裁或监管处罚。
（2）主体:

《网络安全法》语境下的“网络运营者”是一个非常广泛的概念，包括网络(各种网络和触网的系统，例如局域网、工业控制系统、自动化办公系统、社交媒体等)的所有者、管理者(含网络或内容管理)和网络服务提供者(包括网络内容服务提供商、网络平台服务提供商、网络接入服务提供商。从广义上来说，还包括《网络安全法》第二十二条提到的“网络产品、服务的提供者”)。
（3）依据:

网络安全合规的依据不仅仅包括《网络安全法》，同时包括消费者权益保护法、民法总则、刑法等基本法。同时还包括全国人大的决定以及其他单行法规(例如国务院292号令)、规章(例如工信部24号令)等，相关法律法规、司法解释、国家技术标准和政策文件等也是网络安全合规的依据。

12.网络安全合规审查内容

（1）网络安全等级保护的合规审查。

（2）关键基础信息设施安全的会规审查。（更重要）

（3）网络产品和服务安全合规审查。

（4）数据出境安全合规审查。

（5）网络信息安全的合规审查。

总结