北京等级保护测评服务

2019年12月1日，网络安全等级保护2.0开始实施。到今年为止，网络安全等级保护制度在我国已实施了十多年，但大部分人对等保制度的理解还只是停留在表面，对等保制度的很多内容有不少误解。

实施意义

● 合法要求：
满足合法合规要求，清晰化责任和工作方法，让安全贯穿全生命周期。
● 体系建设：
明确组织整体目标，改变以往单点防御方式，让安全建设更加体系化。
● 等级防护：
提高人员安全意识，树立等级化防护思想，合理分配网络安全。

法律要求

《*人民共和国网络安全法》【*二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，**网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
法律解读：国家明确实行等级保护制度，网络运营者应按等级保护要求开展网络安全建设。
《*人民共和国网络安全法》【*三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由**制定。（关键信息基础设施必须落实国家等级保护制度，**保护重点）
法律解读：关键信息基础设施必须要落实等级保护制度，并要重点保护。

等级保护的五个级别

**级 自主保护级：（*备案，对测评周期无要求）此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，不损害、社会秩序和公共利益。

*二级 指导保护级:（部门备案，建议两年测评一次）此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害。会对社会秩序、公共利益造成一般损害，不损害。

*三级 监督保护级：（部门备案，要求每年测评一次）此类信息系统受到破坏后，会对、社会秩序造成损害，对公共利益造成严重损害，对公民、法人和其他组织的合法权益造成特别严重的损害。

*四级 强制保护级：（部门备案，要求半年一次）此类信息系统受到破坏后，会对造成严重损害，对社会秩序、公共利益造成特别严重损害。

*五级 专控保护级：（部门备案，依据特殊安全需求进行）此类信息系统受到破坏后会对造成特别严重损害。

国家网络安全等级保护框架

对企业系统安全的需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

等级保护对象

网络安全等级保护工作流程是怎样的

其中定级、备案工作原则上是由用户单位自己填写定级备案表交给网监部门去进行备案工作，但考虑到实际情况，绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。系统安全建设和等级测评的工作不一定要严格按照这个顺序开展，可以先测评再整改，也可以先建设再测评。具体还是根据自身实际情况来办。注：选择的测评机构很重要，测评机构的*性，测评质量直接关系到单位信息系统后期整改内容，提前发现问题提前整改，可以有效降低被攻击的风险，提高信息安全防护能力。

等级保护测评有哪些技术类型？具体指标如何？

等级保护主要从技术要求和管理要求两方面进行综合测评，而根据等级保护测评的三种不同技术类型，其测评的指标要求也有所不同。

等保测评并非相当于ISO 20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度，是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。很多人认为，完成等保测评就万事大吉。其实，等保制度只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但就目前的测评结果来看，几乎没有任何一个被测系统能全部满足等保要求。一般情况下，目前等保测评过程中，只要没发现高危安全风险，都可以通过测评。但是，安全是一个动态而非静止的过程，而不是通过一次测评，就可以一劳永逸的。企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能*保证系统的安全性。因此，更重要是提升企业安全防护能力，及时把工作做到位。