Q＆A | 信息系统安全等级保护8问

一问：什么是信息系统安全等级保护？

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等安全监管部门进行信息安全等级保护监督检查时，系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。

二问：为什么需要等级保护服务？

《网络安全法》在2017年6月1日正式实施，已将等级保护制度纳入法律法规。国家层面强调要加大对维护国家安全所需的物质、技术、装备、人才、法律、机制等保障方面的能力建设，更好适应国家安全工作需要。等级保护工作不但是国家信息安全的基本制度，同时还是企业是单位自身信息安全防护能力的重要能力体现，做好等级保护工作可以实现：

1. 降低信息安全风险，提高信息系统的安全防护能力

2. 满足国家相关法律法规和制度的要求

3. 满足相关主管单位和行业要求

4. 合理地规避或降低风险
   

三问：等级保护测评到底测什么？

等级保护测评主要测以下十个层面：

技术层面：物理安全、主机安全、网络安全、应用安全和数据安全与备份；

管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

       技术层面具体的对象是：

1. 机房，本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评，分析其中的问题以及不符合要求的地方。（说白了，就是检查机房防风防雨防火防盗防破坏能力。）

2. 业务应用软件，本测评单位将对信息系统运营使用单位重要信息系统进行测评，从应用软件的安全机制方向，分析应用系统中存在的安全隐患与问题。

3. 主机操作系统，本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评，从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4. 数据库系统，本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评，从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5. 网络设备，本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评，从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

具体测评内容控制点及要求项比较多，统计如下：二级系统控制点66个，要求项175个；三级系统控制点73个，要求项290个。

最终经过等级保护测评之后，我们获得的成果主要是：被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。补充一项重要的成果：通过等级保护测评之后我们的系统信息安全防护能力得到了提高，安全风险被有效降低，前提是我们在发现问题后进行一定的安全整改。

最近不少安全检查在全国各地开始了，主管单位上门检查一部分内容就会是有没有开展等级保护工作，开展的情况，我们把这些资料给他们看，他们就知道我们做了等保，在信息安全上工作上做了不少。因为很难通过你买了什么安全设备就判断你安全工作做好了，没有安全风险了，而等保虽不能证明你一定安全，但至少等保是从不同层面对你的信息系统整体性做了一个安全评估，相对更可信，而且也是书面性的资料。

最后补充一句，看上去等保需要做很多内容，好多用户担心会给自己增加很多工作内容，其实这个担心是多余的也是错误的，真正做等保的过程中，一般只需要一到两个对你们单位系统情况，网络设备比较了解的人配合就可以，大部门工作是测评机构在做；另外安全工作不是因为做了等保才要去做，如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的，只是通过做等保，我们把这样的问题集中暴露出来，更早的把这些问题解决，把安全隐患扼杀在摇篮之中。（本段内容来自“等级保护测评”微信公众号  原作者：不得不等）

四问：ISO 27001与等级保护有什么不同？

越来越多的企业参照ISO 27001标准，来建立符合自身需求的信息安全管理体系，并最终获得ISO 27001认证证书；同时，很多单位又面临着等级保护的合规要求，对信息系统进行定级、备案、检查与测评。同样都是信息安全相关标准，ISO 27001与等级保护有哪些不同呢？

下面从三个方面解释一下二者的区别：

要求性质不同

等级保护相关要求主要是由《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）及《计算机信息系统安全保护等级划分准则》（GB17859-1999）及其他一系列政策、标准组成的。从性质上说，等级保护的要求属于国家法律、法规，是强制性标准，也就是说是必须要遵守的。

ISO 27001是ISO 27000信息安全管理体系标准族中对信息安全管理体系要求的标准，从性质上来说，ISO 27001是国际标准不具有强制性，企业可以根据自身需求来选择是否要满足相关要求。

管理对象不同

等级保护的管理对象是信息系统，等级保护所有的要求都是针对不同等级的信息系统所提出的要求，理论上来讲所采取的保护等级越高，相应的信息系统的安全防护水平越高，信息系统的安全性也越高。

ISO 27001的管理对象是组织，ISO 27001所有的要求都是对组织的管理过程的要求，理论上来讲采纳了ISO 27001标准，企业的信息安全管理过程越规范，组织的信息安全管理能力水平越来越高。

管理思路不同

等级保护的控制要求都属于非常明确的要求，按照等级保护的要求直接实施即可，而27001中的要求都是要建立相关管理控制，具体采用什么手段进行控制没有具体说明，采取什么类型的控制随着组织的风险水平、管理方式、企业文化不同而不同。

理解了二者的特点与不同，在实际运用中才能很好的发挥标准的有效作用，使标准成为企业规范化管理的助推器。

五问：分级保护与等级保护有什么区别？

分级保护是涉密系统的安全防护标准。

等级保护是非涉密系统的安全防护标准。

六问：信息安全等级保护测评师的职业前景怎么样？

一个词：如火如荼！

信息安全等级保护工作是我国近几年在信息安全领域的重要工作之一，各级政府机构、大型国企、事业单位均要通过等级测评；加之在6月1日即将实施的《网络安全法》的催化下，必将需要大量相关人才。

七问：在等级保护测评工作中可以学到什么？

硬技能

安全风险管理 ：行业内的人总是在说：“3分技术7分管理”；而等保基本要求主要由技术层面与管理层面组成；技术层面由【物理，主机，网络，数据，应用】5个层面组成，管理层面由【安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理】5个层面组成。

软技能

与客户交往经验：从事等保后，你会发现很多时候并不是光是会做技术就可以混的风生水起。如果客户不配合，工作将停滞。那么care客户的关注点是我们顺利实施工作的关键。

• 解释自己的工作，客户需要知道你来是为了做什么！

• 规避工作时造成系统瘫痪，必要时协助客户恢复系统正常运行！

文档报告编制：测评发现的很多问题，我们只是流于表面，而没有进行深入的了解与分析。实际上，客户着重需要我们解决的问题也基本存在于此。文档的描述清晰，助于体现我们工作的价值。

八问：等级保护测评工作的在职福利和发展空间？

在等级保护这个行业里工作，是从初级测评师开始起步。工作中可以白盒接触到客户的网络拓扑、应用源码和技术文档；如果遇到技术外包的单位，还可以接触到优秀应用程序源码和相关设计文档，集成项目实施文档，经典网络架构部署、安全设备以及常见弱点；当然也会不断地积累各类安全集成厂商、安全产品的相关人脉；对渗透测试能力、代码审计能力的提升也大有益处，毕竟白盒找问题比黑盒找问题流畅多了。

在整个等保测评的工作中，既可接触到针对不同类型的安全问题进行统计，用数据分析出常见的安全问题，又能制定规则，扩大扫描范围和更新测试方法。

总而言之，博观而约取，厚积薄发，成功就在眼前！

发展空间：

前文提到，现阶段信息安全行业人才缺口巨大，只要你掌握了足够的技术能力，以后职业的发展空间还是很广的，前途一片光明。

1. 从客户群体中分析客户的需求，寻觅合作的机会。 例如我们公司从前有位前同事离职后就专职做虚拟化服务，因为早期时虚拟化技术不够成熟，客户每年支出大量服务器资源，却一直没有可靠的解决方案，他留心到这一块儿的诉求后，专职研究虚拟化技术为客户提供解决方案，毕业几年现在似乎已准备买房结婚；

2. 当把等级保护的技术+管理十个层面的控制点，要求项背熟后，对于写渗透测试报告，写项目实施文档、设计安全体系框架时可谓是思如涌泉，滔滔不绝。

北京益安在线CIIP-A考试认证培训

公安部信息安全等级保护评估中心合作单位

CIIPT重要信息系统安全保护人员培训北京地区唯一授权合作伙伴

课程均由获得公安部信息安全等级保护评估中心信息安全培训讲师证书的人员讲解，重点课程特邀请我国信息安全领域具有丰富实践经验的专家、学者讲解，包括国家信息安全相关政策、法规、标准起草和参与者。

点击“阅读原文”咨询报名

END