网络安全等级保护应知应会（下）

十一、网络运营者如何开展建设整改？

答：根据《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》(公信安〔2009〕1429号)附件2《信息安全等级保护安全建设整改工作指南》的有关内容描述，网络安全建设整改工作分五步进行。第一步：制定网络安全建设整改工作规划，对网络安全建设整改工作进行总体部署；第二步：开展网络安全保护现状分析，从管理和技术两个方面确定网络安全建设整改需求；第三步：确定安全保护策略，制定网络安全建设整改方案；第四步：开展网络安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现网络中存在安全隐患和威胁，进一步开展安全建设整改工作。

->详见《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》(公信安〔2009〕1429号)

十二、什么是网络安全等级保护测评？

答：网络安全等级保护测评工作(简称“等级测评”)是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。等级测评包括标准符合性评判活动和风险评估活动，即依据网络安全等级保护的国家标准或行业标准，按照特定方法对网络的安全保护能力进行科学、公正的综合评判过程。

->详见《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公信安〔2010〕303号、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

十三、等级保护测评价值和意义？

答：落实等级保护工作中，应正确认识等级保护测评的价值和意义，测评目的：一是可以发现网络存在的安全问题，掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求；二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力；三是等级测评结果是公安机关等安全监管部门进行监督、检查、指导的参照。

网络安全等级保护测评结果以等级测评得分与等级测评结论两个维度综合呈现。等级测评得分实行百分制，等级测评结论为优、良、中、差四个等级。被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且综合得分90分以上（含90分），等级测评结论为“优”；被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且综合得分80分以上（含80分），等级测评结论“良”；被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且综合得分70分以上（含70分），等级测评结论为“中”；被测对象中存在安全问题，且会导致被测对象面临高等级安全风险，或综合得分低于70分，等级测评结论为“差”。

->详见《网络安全法和网络安全等级保护制度》、《网络安全等级保护等级测评报告模板》(2021版)

十四、等级保护工作就是做个测评吗？

答：不是。网络安全等级保护安全建设整改工作是网络安全等级保护制度的核心和落脚点。网络定级、等级测评和监督检查等工作最终都要服从和服务于安全建设整改工作。网络运营者应依照国家网络安全等级保护的管理规范和技术标准，确定其等级保护对象的安全保护等级，有主管部门的，应报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家网络安全等级保护管理规范和技术标准，进行等级保护对象安全保护的规划设计；使用符合国家有关规定，满足等级保护对象安全保护等级需求的信息技术产品和网络安全产品，开展安全建设或者改建工作；制定、落实各项安全管理制度，定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的网络安全等级测评机构，定期进行等级测评；制定不同等级网络安全事件的响应、处置预案，对网络安全事件分等级进行应急处置。

->详见《信息安全等级保护管理办法》（公通字〔2007〕43号）、《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）等

十五、测评机构是否可以参与整改、限定被测评单位购买指定产品？

答：《网络安全等级测评与检测评估机构自律规范》第二十一条明确测评机构不得从事对等级测评相关工作的公正性产生影响的业务，包括从事信息系统安全集成或网络安全产品研发（自用除外）、生产、销售等；不得限定被测评单位购买、使用指定的网络安全产品，或者与产品和服务商存在利益勾结行为等。

测评机构法定代表人、股东（若有）、高管、测评相关人员不得投资或任职于信息系统安全集成或网络安全产品研发、生产、销售企业。

->详见中关村信息安全测评联盟发布的《网络安全等级测评与检测评估机构自律规范》

十六、公安机关网络安全保卫部门的网络安全监督检查工作有哪些？

答：公安机关依照国家法律法规规定和相关标准要求，对网络运营者及其行业主管(监管)部门开展下列网络安全工作情况进行监督检查：

（一） 等级保护工作组织开展、实施情况，安全责任落实情况，网络安全岗位和安全管理人员设置情况；

（二） 按照网络安全法律法规、标准规范的要求制定具体实施方案和落实情况；

（三） 网络定级备案情况，网络变化及定级备案变动情况；

（四） 网络安全设施建设情况和网络安全整改情况；

（五） 网络安全管理制度建设和落实情况；

（六） 网络安全保护技术措施建设和落实情况；

（七） 选择使用网络安全产品情况；

（八） 聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；

（九） 自行定期开展自查情况；

（十） 开展网络安全知识和技能培训情况。

->详见《公安机关信息安全等级保护检查工作规范》公信安〔2008〕736号

十七、网络安全等级保护有哪些规范标准？

答：落实网络安全等级保护涉及网络定级、安全建设整改、等级测评等环节，涉及标准贯穿整个等级保护对象全生命周期，大致分为基础类如《计算机信息系统安全保护等级划分准则》（GB 17859-1999）《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）；应用类如《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)等；产品类如《信息安全技术 操作系统安全技术要求》（GB/T 20272-2019）、《信息安全技术 数据库管理系统安全技术要求》（GB/T 20273-2019）、《信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作》（GB/T 28454-2020）、《信息安全技术 路由器安全技术要求》（GB/T 18018-2019）；其他类如：《信息安全技术 信息安全风险评估实施指南》（GB/T 31509-2015）、《信息安全技术 信息安全事件管理指南》（GB/Z 20985-2007）等众多国家标准支撑整个网络安全等级保护体系。

->详见《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)