网络安全等级保护测评指南

“等保”即等级保护，“等保测评”即网络安全等级保护测评，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等保工作流程分为5个环节：定级、备案、安全整改、等级测评、监督检查。其中定级和等级测评是等保中的重要环节。

要做等保，首先需要明确以下几个点：

 01  识别网络潜在风险，提升自身防护能力 

日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战，网络运营者可以通过等保测评了解系统的安全防护现状，识别系统内、外部存在的安全隐患。并在此基础上通过加固整改提高系统的网络安全防护能力，降低被攻击的风险。

 02  满足国家相关法律法规的要求 

法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。

不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、警告等惩罚措施。

 03  安全能力提升

等级保护制度体系是我国目前我国唯一成体系化的信息安全政策和标准，通过开展等级保护工作，能够提升信息安全保障能力，保障信息系统安全稳定运行。

等保工作的核心在于“分级”，对于重要程度不同的网络系统，安全防护能力要求也有所不同。

在进行等保测评之前，网络运营者需要先完成待测评对象的定级，以明确测评的维度和标准。

01  定级标准

当前我国实行的网络安全等级保护制度，将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度，从低到高划分了五个安全保护等级：

1.第一级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；2.第二级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；3.第三级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；4.第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；5.第五级：等级保护对象受到破坏后，会对国家安全造成特别严重损害。

 02  常见定级对象 

03  定级备案流程

等保对象定级备案的一般流程包括：确定定级对象、初步确定定级、编制备案材料、专家评审、主管部门核准和公安机关备案审核。

国家网络安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围：

一是覆盖各地区、 各单位、 各部门、 各企业、 各机构， 即覆盖全社会。

二是基本覆盖所有保护对象，主要包括基础信息网络、云计算平台/ 系统、 大数据应用/平台/资源/物联网、工业控制系统和采用移动互联网技术的系统等。

企业涉及到网络、信息系统等相关的事宜，都需要进行安全等保。

尤其是涉及到关键信息基础设施保护的信息系统，更是公安部门检查的重点。

01.政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位； 

02.电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；  

03.国防科工、大型装备、化工、食品药品等行业领域科研生产单位； 

04.广播电台、电视台、通讯社等新闻单位；

05.其他重点单位。

新潮信息是国内首批获得资质的网络安全等级保护测评机构，公司将始终秉承“合规、诚信、团队、务实”的价值观，为客户提供高效、专业的服务体验，助力您的网络系统安全稳健运行！