等保

3.1 等保概述

3.1.1基本概念

对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分级实行安全保护。

对信息系统中使用的信息安全产品实行按等级管理。

对信息系统中发生的信息安全事件分等级响应、处置。

3.1.2 发展史

2016年11月7日，《中华人民共和国网络安全法》正式颁布，第二十一条明确“国家实行网络安全等级保护制度”
2019年5月，《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》正式发布，在2019年12月正式实施，标志着我国网络安全等级保护从1.0步入2.0时代。

国家法律政策依据

2017年6月1日施行的《中华人民共和国网络安全法》，第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。(法律明确基本国策基本制度)

第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

等保国家标准

《信息安全等级保护管理办法》公通字[2007]43号
《计算机信息系统安全保护等级划分准则》（GB17859-1999）
《信息安全等级保护实施指南》（GB/T25058-2010）
《信息安全等级保护定级指南》（GB/T22240-2008）
《信息安全等级保护基本要求》（GB/T22239-2008）
《信息安全等级保护测评要求》（GB/T28448-2012）
《信息安全技术.信息系统等级保护安全设计技术要求》（GB/T25070—2010）
《信息系统安全等级保护测评过程指南》（GB/T28449-2012）
《信息安全技术网络基础安全技术要求》（GB/T20270-2006）
《信息安全技术信息系统通用安全技术要求》GB/T20271-2006
《信息安全技术网络安全等级保护基本要求》（GB/T22239一2019代替GB/T22239一2008）
《信息安全技术网络安全等级保护测评要求》（GB/T28448一2019代替GB/T28448-2012）
《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070一2019代替GB/T25070-2010）

实施等级保护的基本原则：

明确责任，共同保护；通过等级保护组织动员国家、法人和其他组织、公民共同参与信息安全保护工作，各方主体分别承担相应的保护责任。

依照标准，开展保护：国家运用强制性法律及规范标准，要求网络运营者科学准确定级，实施保护策略和措施。

同步建设，动态调整：网络在新建、改建、扩建时应当同步建设网络安全设施，保障网络安全与信息化建设相适应。

指导监督，重点保护：国家网络安全监管部门通过备案、指导、检查、督促整改等方式进行监督指导。国家重点保护涉及国家安全、经济命脉、社会稳定的关键信息基础设施。

中文标准名称：信息安全技术网络安全等级保护定级指南 标准号：GB/T22240-2020

正确理解网络安全等级保护制度与关键信息基础设施保护的关系

1.等级保护制度是普适性的制度，是关键信息基础设施保护的基础，关键信息基础设施是等级保护制度的保护重点；
2.等级保护制度和关键信息基础设施保护是网络安全的两个重要方面，不可分割。关键信息基础设施必须按照网络安全等级保护制度要求，开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作；
3.网络运营者应当在三级(含)以上网络中确定关键信息基础设施；
4.关键信息基础设施保护，要落实公安机关、保密部门、密码部门的保卫、保护、监管责任，落实网络运营者和行业主管部门的主体责任：
5.公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、通报预警、互联网管理等方面，发挥职能作用，发挥主力军作用，保卫关键信息基础设施安全

3.2 等保基本要求

3.2.1 保护对象

等级保护对象(targetofclassifiedprotection)是指：网络安全等级保护工作的作用对象，主要包括基础信息网络、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统)和大数据等。

客体(object)定义为：受法律保护的、等级保护对象受到破坏时所侵害的社会关系。如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益

3.2.1.1 等级保护对象的安全保护等级分为五级

第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会责任会造成重大损失。但不会损害国家安会全、社会秩序和公共利益。
第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

3.2.1.2 信息系统等级

一级信息系统： 公民个人的单机系统，小型集体、民营企业所属的信息系统，中小学校的信息系统，乡镇级党政机关、事业单位的信息系统，县级单位中一般的信息系统，其他小型组织的信息系统。。
二级信息系统：县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财务、财政、金融、社保、工商、审计、能源、化工、社会保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系统，中型集体、民营企业、小型国有企业所属的信息系统，县级党政机关、事业单位的信息系统，普通高等院校和科研机构的信息系统，其他中型组织的信息系统。

三级信息系统举例：省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服金保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的重要信息系统，大型集体、民营企业、大中型国有企业所属的重要信息系统，地市级党政机关、事业单位的重要信息系统，重点高等院校和科研机构的重要信息系统，其他大中型组织的信息系统。

四级信息系统举例：国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保、卫生、交通运输、国土资源、邮政、应急抢险等行业所属全程全网的大型信息系统，特大型国有企业属全程全网的特大型信息系统，省级党政机关、事业单位所属的重要信息系统，重点科研机构的重要信息系统

3.2.2 安全保护能力

一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的關鍵资源损害，在系统遭到损害后，能够恢复部分功能；
二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能；
三级安全保护能力：应能够在一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在自身遭到损害后，能够较快恢复绝大部分功能；

第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾害，能够发现安全漏洞和安全事件，在自身遭到损害后，能够迅速恢复所有功能；

第五级安全保护能力： (略)。
国标GB/T22239-2019《信息安全技术网络安全等级保护基本要求》未进行说明。可能因为民用系统中很少出现第五级

3.2.3 安全要求

技术类安全：要求从物理和环境安全、网络和通信安全、设备和管理安全、应用和数据安全几个层面提出，与提供的技术安全机制有关，主要通过部署软硬件并正确地配置其安全功能来实现；

管理类安全：要求与各种角色参与的活动有关，从安全管理制度、安全管理机构和人员、安全管理几个方面提出，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

3.3 等保实施流程

3.3.1 等保工作环节

1、网络定级：网络定级按照网络运营者拟定等级、专家评审、主管部门核准、公安机关审核的流程进

2、信息系统备案：第二级以上网络运营者应当在网络的安全保护等级确定后30日内，由网络运营者到所在地区的地市级以上公安机关网络安全保卫部门办理备案手续，提交定级报告。因网络撤销或变更调整安全保护等级的，应当在工作日内向原受理备案公安机关办理撤销或变更手续。
第三级以上网络运营者（含关键信息基础设施运营者）在向公安机关备案时，还应提交测评报告，以及经专家评审通过的安全建设方案等其他有关材料。

公安机关应当按照《信息安全等级保护备案实施细则》（公信安[2007]1360号）的要求，对备案材料进行审核。对定级准确、备案材料符合要求的，应当在十个工作日内出具网络安全等级保护备案证明；对定级不准确、备案材料不符合要求的，应当通知备案单位进行修改。

3安全建设整改：网络安全保护等级确定后，网络运营者选择网络安全产品，制定并落实安全管理制度、安全责任，建设安全设施，落实安全技术措施。

4安全等级测评：第三级以上网络运营者(含关键信息基础设施运营者)应每年开展一次网络安全等级测评。

5安全监督检查：网络运营者应当对本单位落实网络安全等级保护制度情况和网络安全状况，每年至少开展一次自查，发现安全风险隐患及时调整并向受理备案的公安机关报告；公安机关监督检查运营者开展等级保护工作，定期对第三级以上的网络进行安全检查；运营者应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料

2.等级保护工作过程的基本要求
网络运营者应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。
网络安全保护等级是网络本身的客观属性，不应以已采取或将采取什么安全保护措施为依据，而是以网络的重要性和社会稳定、人民群众合法权益的危害程度为依据，确定网络安全等级。

3.3.2 定级

保护等级对象的级别由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

作为定级对象应具有如下基本特征：
具有唯一确定的安全责任单位；
具有保护对象的基本要素，应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体；
承载单一或相对独立的业务应用。

受侵害的客体

公民、法人和其他组织的合法权益：由法律确认的并受法律保护的公民间接和个人和其他组织所有的一定的社会权利和利益等受到损害。
社会秩序、公共利益：影响国家机关社会管理和公共服务的工作秩序，影响各种类型的经济活动秩序，影响各行业的科研、生产秩序，影响公众在法律约束和道德规范下的正常生活秩序等，其他影响社会秩序的事项；侵害公共利益的事项包括：影响社会成员使用公共设施，影响社会成员获取公开信息资源，影响社会成员接受公共服务等方面，其他影响公共利益的事项。
国家安全：影响国家政权稳固和国防实力，影响国家统一、民族团结和社会安定，影响国家对外活动中的政治、经济利益，影响国家重要的安全保卫工作，影响国家经济竞争力和科技实力，其他影响国家安全的事项

客体的侵害程度
在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：
如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的标准；
如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的标准。

3.3.3 备案

网络安全保护等级确定后30日内，由其网络运营者或者其主管部门到所在地设区的地市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的网络系统，由主管部门向公安部办理备案手续；其他网络系统向北京市公安局备案。

跨省或者全国统一联网运行的网络系统在各地运行、应用的分支系统，应当向当地设区的地市级以上公安机关备案。

3.3.4 建设整改基本工作

1. 工作目标
   建设整改是网络安全等级保护制度的落脚点。整改方案立足于加固改造。对于新建网络，应落实网络安全建设与信息化建设“三同步”要求，即“同步设计、同步建设、同步实施”。
   建设整改的目标：
   网络安全管理水平明显提高；
   网络安全防范能力明显增强；
   网络安全隐患和安全事故明显减少；
   有效保障信息化健康发展；
   有效维护国家安全、社会秩序和公共利益。

2. 工作内容
   1)开展安全管理制度建设的依据
   按照《网络安全法》《网络安全等级保护管理办法》(GB/T 22239-2019)，参照《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T 20282–2006)等标准规范要求，建立健全并落实符合相应等级要求的网络安全管理制度。

   2)开展安全管理制度建设的内容：
   落实网络安全责任制。成立网络安全工作领导机构，明确网络安全工作的主管领导。成立专门的网络安全管理部门或落实网络安全责任部门，确定安全岗位，落实专职人员或兼职人员，明确落实领导机构、责任部门和有关人员的网络安全责任。
   落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。
   落实网络建设管理制度。建立网络定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。
   落实网络运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度有效落实。

3.

4.工作要求

开展安全建设整改工作的网络范围如下：

将已备案的第二级(含)以上网络系统纳入安全建设整改的范围；尚未开展定级备案的网络系统，要先定级备案，再开展安全建设整改；新建网络系统要同步开展安全建设工作

在建设整改中，要落实如下工作要：

统一组织，加强领导(谁主管，谁负责) ;循序渐进，分步实施 (自上而下重点后一般) ;结合实际，制定规范(根据标准和自身特点制定具体指标) ;认真总结，按时报送(每年年底报公安机关网安部门)信息系统备案单位每半年填写《网络安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。

5.工作效果

第一级网络：经过安全建设整改，网络具有抵御一般性攻击的能力，以及防范常见计算机病毒和恶意代码危害的能力；遭到损害后，具有恢复主要功能的能力。

第二级网络：经过安全建设整改，网络具有抵御小规模，较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，以及防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；遭到损害后，具有恢复正常运行状态的能力。

第三级网络：经过安全建设整改，网络在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力以及防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的网络，应该能快速恢复正常运行状态；具有对网络资源、用户、安全机制等进行集中控管的能力。

3.3.5 等级测评

1.网络安全等级保护测评工作是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。网络安全等级保护测评包括标准符合性评判活动与风险评估活动，即依据网络安全等级保护的国家标准或行业标准，按照特定方法对网络的安全保护能力进行科学、公正的综合评判过程。

2.等级测评的目的和作用
等级测评的目的是发现存在的安全问题，掌握信息系统安全状况、排查系统安全隐患和薄弱环节，明确信息系统安全建设整改需求；
衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力；
等级测评结果，为公安机关等安全监管部门开展监督检查指导等工作提供参照。

3.开展等级测评的时机
安全建设整改前
判断差距和分析整改需求
安全建设整改后
评估整改效果
定期开展等级测评
及时发现和分析网络存在的安全问题

4.等级测评的标准依据
《网络安全等级保护测评要求》（GB/T28448-2019）
《信息系统安全等级保护测评过程指南》（GB/T28449-2012）
5.等级测评工作规范
标准性原则
规范性原则
可控性原则
整体性原则
最小影响性原则
保密性原则
针对性原则

测评机构和测评人员的管理与监督
测评机构及其测评人员不得从事以下活动：
影响被测评信息系统正常运行，危害被测评信息系统安全；
泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密；故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；
未按规定格式出具等级测评报告非授权占有、使用等级测评相关资料及数据文件；
分包或转包等级测评项目；
信息安全产品开发、销售和信息系统安全集成限定被测评单位购买、使用其指定的信息安全产品其他危害国家安全、社会秩序公共利益以及被测单位利益的活动。

4.3.6自查和监督检查
1.单位自查及主管部门监督检查
·备案单位的定期自查工作。
·行业主管部门的督导检查。
2.公安机关的监督检查
公安机关负责网络安全等级保护工作的监督、检查、指导。
网络安全需求是否发生变化，原定保护等级是否准确。
网络运营者、使用单位安全管理制度、措施的落实情况。
网络运营者、使用单位及其主管部门对网络安全状况的检查情况。
网络安全等级测评是否符合要求。
网络安全产品使用是否符合要求。
网络安全整改情况。
备案材料与网络运营者、使用单位、网络及信息系统的符合情况。
其他应当进行监督检查的事项。