等級保護工作速識秘籍

總結下關於等級保護工作的一些基礎性知識，對等級保護工作有個快速的認識和了解。

一、什麼是等級保護？

答：網路安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

解讀：等級保護是對專有信息及信息系統進行分等級保護，對其中的信息安全產品進行按等級管理，對發現的安全事件分等級響應和處置。兩個對象，三重管理。

二、等級保護工作具體步驟是怎樣的？

答：根據信息系統等級保護相關標準，等級保護工作總共分五個階段，分別為：

1）是信息系統定級。

2）是信息系統備案。

3）是系統安全建設。

4）是信息系統開始等級測評。

5）主管單位定期開展監督檢查。

解讀：系統定級和備案工作是等級保護工作開展的前提，也是等級保護工作最先要做的內容，系統安全建設可以先做也可以在等級測評之後再進行，第三和第四步沒有嚴格意義上的先後順序之分。

三、開展等級保護工作的相關法律法規或文件要求？

答：《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發[2003]27 號）明確要求我國信息安全保障工作實行等級保護制度;

《信息安全等級保護管理辦法》的通知（公通字[2007]43號）具體部署了實施信息安全等級保護工作的操作辦法;

《關於推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號）加快推動了等級保護工作的發展；

《中華人民共和國網路安全法》明確了國家實行網路安全等級保護制度。

解讀：網路安全法的出台將等級保護工作以法律形式確定下來，等級保護工作至此以法律的形式確定為國家網路安全的基本國策，沒有網路安全就沒有國家安全.

四、等級保護分為幾個等級？

答：分為五個等級，分別為：

第一級（自主保護級）

第二級（指導保護級）

第三級（監督保護級）

第四級（強制保護級）

第五級（專控保護級）

系統的重要程度從1-5級逐級升高。

解讀：我們在日常工作中需要進行等級保護測評的系統是2-4級，經常遇到的是二級和三級信息系統，一級系統要求比較低，不需要進行測評，如果某個系統達到五級系統，那麼這個系統很可能就已經涉密了，就不是等級保護範疇了，所以在技術要求里也沒有五級的相關標準要求。

五、去哪裡進行信息系統的定級備案工作？

答：全國絕大部分地方規定：各地級市的單位將定級資料交給各自地級市的網安支隊，省級單位將資料交給省公安網安總隊，特定行業有要求的另說，也有部分地方是先將資料交到區縣網安大隊，再由區縣網安大隊轉交地級市網安支隊進行備案。

解讀：系統定級資料填寫完成之後列印兩份，首頁蓋章，電子檔準備一份，帶著這些資料去當地公安網安部門進行系統備案，至於到底是哪個網安請根據各地的要求，省、市、區縣都有可能。

六、什麼是等級保護測評？

答：等級保護測評指的是用戶單位委託第三方有測評資質且在當地備案的測評機構對單位已定級備案的信息系統按照對應的等級標準要求進行測評的過程，測評結束後出具相應的信息系統測評報告。

解讀：對測評機構要求一定是有資質且在用戶所在地公安網安部門備案

七、信息系統的測評多久需要測一次？

答：四級信息系統要求每半年至少開展一次測評；三級信息系統要求每年至少開展一次測評；二級信息系統一般每兩年開展一次測評，時間上沒有強制要求，部分行業有行業標準要求，如電力行業明確二級系統兩年做一次測評。

解讀：二級系統為什麼建議是兩年呢？一、系統相對三級沒那麼重要，所以時間上相對長點；二、系統相對沒有定級的系統更重要些，且往往有些二級系統也非常重要，存儲了大量重要的信息數據（其實本來是定三級的，種種原因定了二級），不去做測評，風險太大。

八、等級保護測評一般多長時間能測完？

答：現場測評周期一般一周左右，具體看信息系統數量及信息系統的規模，有所增減。小規模安全整改2-3周，出具報告時間一周，整體持續周期1-2個月。如果整改不及時或牽涉到購買設備，時間不好說，但總的要求一年內要完成。

解讀：測評周期最不確定的因素就是整改，整改的快自然結束的快，所以用戶單位想早點結束的話就得把安全整改抓緊落實完成。

九、等級保護測評的費用是多少？

答：測評的費用首先是按照信息系統來算，不是按照一個單位，不同等級的測評費用不一樣。費用每個省市具體要求不一樣，通常每個省市都有自己的一個價格體系，二級和三級系統的測評費用相對都是固定的，如某些省市：二級系統不低於4萬元；三級系統不低於8萬元。

解讀：測評的費用按照系統個數和系統的等級去核算，等級越高的相對費用越高

十、用戶單位需要開展等級保護測評，找誰去做？

答：找有測評資質在當地有資格的測評公司去做測評，該單位至少具有該省市信息安全等級保護協調小組辦公室發放的《信息安全等級保護測評機構推薦證書》，同時要求在測評機構在省公安廳網安總隊備案成功；另外部分省份要求測評機構在用戶單位所在地級市公安網安部門備案，備案成功後方可在當地開展等級保護測評工作。

解讀：測評必須是有資質有資格的測評公司去做，有些廠商或者集成商號稱能做測評，他們可能是有這個技術水平，但是沒有這個資格和資質。

十一、等級保護測評後的最終結論分為哪幾種？

答：測評最終結論分為不符合、基本符合和符合三種。除了結論之外還有具體得分，如82分。

解讀：測評的結論理論上有符合這種結論，就是滿分100分的情況，但是實際上很難達到，也幾乎沒有出現過，如果你們家測評達到100分了，或者你經常看到有人得100分，那一定是這家測評機構不負責任地在測評。一方面是沒有絕對的安全，另一方面等保的一些條款確實很難達到或者不適用。初次做等保能達到65-75之間就已經不錯了。

十二、等級保護測評結論不符合是不是等級保護工作就白做了？

答：等級保護測評結論不符合表示目前該信息系統存在高危風險或整體安全性較差，不符合等保的相應標準要求。但是這並不代表等級保護工作白做了，即使你拿著不符合的測評報告，主管單位也是承認你們單位今年的等級保護工作已經開展過了，只是目前的問題較多，沒達到相應的標準。

解讀：測評結論不符合不是最重要的，最重要的是我們已經發現了問題，下面就需要及時對這些問題特別是高危風險及時進行安全整改，消除隱患，降低風險。

十三、測評結束後有什麼書面性的材料證明自己開展過等保工作？

答：書面性材料有：一個是加蓋過主管部門的公章的系統定級備案資料和系統備案證明；另一個就是測評報告，加蓋過測評機構公章及測評專用章。

解讀：有不少人會問，測評報告出了後主管部門有沒有一個類似通過測評的一個證明，這個據我了解全國只有極個別地方有類似證明文件，絕大多數地方都沒有，拿到了正式測評報告測評的工作就可以算是告一段落了