前言

網絡安(ān)全等級保護是國(guó)家網絡安(ān)全工(gōng)作(zuò)的基本制度、基本國(guó)策，是維護國(guó)家關鍵信息基礎設施安(ān)全的重要手段。從1994年至今，網絡安(ān)全等級保護制度工(gōng)作(zuò)經過實踐及改進，不斷豐富制度内涵、拓展保護範圍、完善監管措施，逐步健全網絡安(ān)全等級保護制度政策、标準和支撐體(tǐ)系，對我國(guó)的網絡信息安(ān)全建設具(jù)有(yǒu)重要的指導作(zuò)用(yòng)。

等級保護發展史

等級保護工(gōng)作(zuò)經過近二十年的發展已經從1.0階段發展到2.0階段，從制度上升到法律：

等級保護1.0：1994年，國(guó)務(wù)院頒布《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》，規定計算機信息系統實行安(ān)全等級保護。

圖1 等保1.0階段大事件回顧

等級保護2.0：2016年10月10日，第五屆全國(guó)信息安(ān)全等級保護技(jì )術大會召開，公(gōng)安(ān)部網絡安(ān)全保衛局郭啓全總工(gōng)指出“國(guó)家對網絡安(ān)全等級保護制度提出了新(xīn)的要求，等級保護制度已進入2.0時代”。

2017年6月1日，《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》正式頒布，第二十一條明确“國(guó)家實行網絡安(ān)全等級保護制度……”，等級保護制度正式進入有(yǒu)法可(kě)依階段。

圖2 等保2.0階段大事件回顧

等保基礎之十問十答(dá)

Q1：等保2.0、等保3.0是什麽？

A1：等保中(zhōng)提到的“二級”、“三級”，意指信息系統運營者根據信息系統在國(guó)家安(ān)全、經濟建設、社會生活中(zhōng)的重要程度及遭到破壞後對國(guó)家安(ān)全、社會秩序、公(gōng)共利益以及公(gōng)民(mín)、法人和其他(tā)組織的合法權益的危害程度，将信息系統劃分(fēn)為(wèi)不同的安(ān)全保護等級并對其實施不同的保護和監管。

等保二級指對信息系統進行第二級安(ān)全保護，等保三級指對信息系統進行第三級安(ān)全保護，并非是“等保2.0”及“等保3.0”。

等級保護根據《GB 17859-1999 計算機信息系統安(ān)全保護等級劃分(fēn)準則》（網絡安(ān)全領域唯一一個強制标準）規定共分(fēn)五級，分(fēn)别是：

表1 等保定級分(fēn)類

Q2：等級保護的工(gōng)作(zuò)流程是什麽？

A2：等級保護主要工(gōng)作(zuò)流程為(wèi)定級、備案、建設整改、等級測評、監督檢查五個環節。

圖3 等保工(gōng)作(zuò)流程圖

等保工(gōng)作(zuò)重點注意事項：

定級環節：二級及以上的系統必須經過專家評審、主管部門審核（此要求為(wèi)等保2.0新(xīn)增）；

備案環節：網安(ān)備案的審批處理(lǐ)時間為(wèi)10個工(gōng)作(zuò)日；

建設整改環節：需參照最新(xīn)的等保2.0國(guó)标進行規劃設計；

測評環節：找具(jù)有(yǒu)測評資質(zhì)的測評機構進行測評。

Q3：不同等級多(duō)少分(fēn)可(kě)以通過等保測評？

A3：2021年6月18日執行的新(xīn)測評标準（等保測評報告模闆（2021 版）），計分(fēn)方式由得分(fēn)制調整為(wèi)缺陷扣分(fēn)制，由“符合”、“不符合”調整為(wèi)“優、良、中(zhōng)、差”四個等級測評結論。

表2 新(xīn)版測評結論

表3 老版測評結論（廢棄）

Q4：等保測評通過後，多(duō)久需要複測？

A4：二級信息系統每兩年測評一次，三級信息系統明确規定每年測評一次，四級信息系統每半年測評一次。

Q5：有(yǒu)包過的技(jì )術解決方案嗎？

A5：不存在包過的技(jì )術方案。等級保護測評包含技(jì )術部分(fēn)和管理(lǐ)部分(fēn)，單純的技(jì )術解決方案默認分(fēn)數占比隻有(yǒu)50%，管理(lǐ)部分(fēn)的建設也至關重要，可(kě)以選取專業的安(ān)全廠商(shāng)及專業的測評機構來開展等保建設及測評工(gōng)作(zuò)，更加容易通過。

Q6：業務(wù)系統在雲上，如何進行等保建設工(gōng)作(zuò)？

A6：根據《信息安(ān)全技(jì )術網絡安(ān)全等級保護基本要求》（GB/T 22239-2019）附錄D，雲服務(wù)商(shāng)根據提供的IaaS、PaaS、SaaS模式承擔不同的平台安(ān)全責任。業務(wù)系統上雲後，雲租戶與雲平台服務(wù)商(shāng)之間應遵循責任分(fēn)擔矩陣共同承擔相應的安(ān)全責任，根據“誰運營誰負責、誰使用(yòng)誰負責、誰主管誰負責”的原則，雲平台與雲租戶應根據平台建設模式承擔相應的網絡安(ān)全責任。

Q7：什麽是“一個中(zhōng)心，三重防護”？

A7：”一個中(zhōng)心、三重防護“是等級保護安(ān)全設計技(jì )術框架，”一個中(zhōng)心“指安(ān)全管理(lǐ)中(zhōng)心， ”三重防護“指安(ān)全通信網絡、安(ān)全區(qū)域邊界、安(ān)全計算環境。此框架是網絡安(ān)全整體(tǐ)架構設計、方案編制的基本參考原則。

圖4 等級保護安(ān)全設計技(jì )術框架

Q8：什麽是網絡安(ān)全建設“三同步”？

A8：“三同步”指網絡運營者應在網絡建設和運營過程中(zhōng)，同步規劃、同步建設、同步使用(yòng)有(yǒu)關網絡安(ān)全保護措施。

Q9：“三化六防”是什麽？

A9：“三化六防”是公(gōng)網安(ān)〔2020〕1960号《貫徹落實網絡安(ān)全等保制度和關保制度的指導意見》中(zhōng)要求深入貫徹實施網絡安(ān)全等級保護制度，落實“三化六防”的措施，即實戰化、體(tǐ)系化、常态化的思路，以及動态防禦、主動防禦、縱深防禦、精(jīng)準防護、整體(tǐ)防控、聯防聯控的措施。

Q10：等保1.0到2.0有(yǒu)什麽變化？

A10：等保1.0到2.0從名(míng)稱、定級對象、安(ān)全要求、控制措施分(fēn)類結構、規定動作(zuò)等多(duō)個方面都有(yǒu)明顯的變化。

​表4 等保1.0與2.0變化對比

總結

信息化的建設和實施是一個系統且複雜的工(gōng)程，積極落實關鍵信息系統的等級保護建設不僅可(kě)以幫助企業快速提高信息系統的安(ān)全水平，同時可(kě)以避免因信息系統安(ān)全漏洞帶來的經濟風險，從而有(yǒu)利的降低信息化投入，同時滿足國(guó)家相關法律法規的要求，進一步提升國(guó)家整體(tǐ)的信息化安(ān)全水平。因此，堅持落地實踐網絡安(ān)全等級保護建設工(gōng)作(zuò)是我們需要長(cháng)期堅守的方向。

來源：等級保護測評