安全合规/等级保护--13--我们通过了等级保护三级认证

一、总结

我司的等级保护为等保1.0（因为还没开始施行等保2.0），级别为三级，最终分数为82分，日期为2019年9月底。

本次等级保护工作我们没有请任何咨询机构或个人，没有购买任何安全基础设施，没有购买任何等保相关的服务，是直接请测评机构过来审核的。所有等保相关的基础工作全部由我们安全团队完成，包括安全基础设施搭建和运营（基于开源二次开发）、安全制度的制定和落地、安全技术能力的实施等

等级保护三级项目是我在涂鸦做的多个合规项目之一，除此外还有（ISO 27001、ISO 27017、ISO 27018、GDPR、CCPA），原计划第三季度完成。同时等级保护也是一个我全程跟进的合规项目，极大的丰富了我自身的安全合规经验。

1.1、负责人准备工作

1、通读并解读《网络安全法》。
2、通读并解读《网络安全等级保护官方要求》，一般只需要研究对应级别的条款即可。
3、准备相应的材料。你不知道需要啥材料的时候，也可以不准备，因为初审之后会给出公司详细的缺失点，你补充好后进行复审就可以了。

1.2、顺便总结一下各合规项目的终极形式

合规项目	终极形式
等级保护	信息系统安全等级保护备案证明
ISO 27001	合规证书
ISO 27017	合规证书
ISO 27018	合规证书
GDPR	安全合规报告
CCPA	安全合规报告

可见，并不是所有的合规项目最终都是发一个证书，因为有些合规并没有什么所谓的“官方认证机构”或“官方授权机构”，因此，只有一些专业的第三方出具的背书（这个东东不能叫做证书，只能算是安全合规报告，类似渗透测试报告一样）

1.3、以上安全合规项目的难度（我认为的）

难度排序	合规项目
1	ISO 27001（要真正做好，那叫生不如死）
2	ISO 27017
3	GDPR
4	ISO 27018
5	等级保护
6	CCPA（整个周期仅需一个月）

二、等级保护其他说明

1、等保总分为100分，60分以上合格，可以拿到“合格的证书”，60分以下不合格，可以拿到“不合格的证书”，因此为了拿到”合格的证书“，需要修复漏洞以提高分数。实际上60-90分之间为常规区间，通常没有100分

2、高危问题拥有“一票否决权”，即不管你其他工作完成的多好，只要有一个高危问题存在，直接不合格

3、分数是将证明材料录入到系统中，系统判分的，不是人判分的。第一次现场审核时会将证明材料录入系统，进入系统判分阶段

4、等保项目周期取决于甲方修复的时间，甲方理论上可以无限期修复问题，但实际上做等级保护也是为了快速拿证以提高竞争力，不会出现这种沙雕情况

5、以录入系统开始，半年后如果没有任何进展，系统将清空日志，所有工作清零

即：乙方审核组在现场审核结束后，进入甲方修复阶段，甲方如果无限期拖延修复，半年后没有任何进展，系统日志将清空，所有工作清零需要重头做，一朝回到解放前。甲方要做的就是半年内完成修复并提交审核组，使得流程向后进行

6、等级保护是国家强制的，不做等级保护是违法作业，但处罚力度很小，见《网络安全法》第21条和第59条

三、等级保护工作进展回顾

3月

开始联系市内各家等级保护测评机构，与各测评机构洽谈合作事宜，并定下来与价格最低的一家开展合作，之后开始协商合同

4月

协商合同，主要阻力在于我方法务同学不了解等级保护的特殊性（例如，等级保护完成的快慢实际上取决于我们整改的速度，但法务要在合同中加入等级保护完成时间限制，并加入逾期向乙方索赔违约金的条款），合同协商时间超过1个月

5月

合同协商完毕，等待乙方排期

6月

等待

7月

乙方等级保护工作组入驻现场审核，为期4天，我作为对接人全程跟进。审核组审核结束后，给出初审审核报告。话说和国内的乙方审核机构沟通就是舒服，国外的乙方审核机构真的就是爸爸，你得好好伺候着才行。

初审审核报告指出我们共有**个问题，其中**个为高危问题，最终得分为**分（不及格的分数），此处为了不涉密，全部隐去

随后，我确定每个问题对应的负责人，并安排修复。鉴于必要性和难度，只修复了高危问题和一些容易修复的

8月

跟进整体修复，并及时取证，其中一部分问题没人修复的，我就亲自上去搞定了

取证这一步是非常重要的，如果不取证，就没有办法证明这个问题是修复的

9月

排期的问题全部修复完成，证明材料提交审核组进行复审，复审后会反馈修复不合格的问题，对修复不合格的问题进行补修，补修后再次提交审核组审核

审核结束，分数合格。鉴于我不想延期并接受当前结果（如果不接受可以继续修复以提高分数），逐同意结束该项目并出具报告，至此等保工作结束

总结

可见等级保护工作其实时间并不是很长，实际中只有7月到9月在执行，其他几个月都是处于商定或等待的状态。