（一）政策合规要求

需要满足等保合规的行业包括政府机关、金融行业、电信运营商、能源行业、企业单位等。作为国家信息安全的基本制度，开展等级保护工作是企业义不容辞的信息安全义务。

1.《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第五十九条 第一款 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

2.《刑法》

第二百八十六条之一　【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的；

(二)致使用户信息泄露，造成严重后果的；

(三)致使刑事案件证据灭失，情节严重的；

(四)有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

（二）等保实施意义

在“开始”选项卡上，通过从快速样式库中为所选文本选择一种外观，您可以方便地更改文档中所选文本的格式。 您还可以使用“开始”选项卡上的其他控件来直接设置文本格式。大多数控件都允许您选择是使用当前主题外观，还是使用某种直接指定的格式。

（三）相关标准有哪些？

（一）国家标准

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

《信息安全等级保护工作的实施意见》（公通字[2004]66号）

《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010

《信息安全等级保护管理办法》（公通字〔2007〕43号）

《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008

《信息安全技术信息系统安全等级保护测评要求》 MSTL-JBZ-05-005

《信息安全技术网络安全等级保护定级指南》GA/T 1389—2017

《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28449-2012

（二）行业相关标准

《金融行业信息安全等级保护测评服务安全指引》

《金融行业信息系统信息安全等级保护测评指南》

《金融行业信息系统信息安全等级保护实施指引》

《人民银行信息系统信息安全等级保护测评指南(试行)》

《人民银行信息系统信息安全等级保护实施指引(试行)》

《电信网和互联网安全等级保护实施指南》

《广播电视相关信息系统安全等级保护定级指南》

《广播电视相关信息系统安全等级保护基本要求》

《水利网络与信息安全体系建设基本技术要求》

《烟草行业信息系统安全等级保护基本要求》等

（四）等保测评工作实施

（一）信息系统定级

企业单位采用“自主定级原则”，遵循国家或行业定级指南对第二级以上信息系统进行定级和备案。

（二）信息系统差距分析

通过对现有信息系统的安全现状调研和测评，发现现有系统存在的问题，同时参考等级保护的要求，找出信息系统和等级保护的差距，为后期的等级保护安全整改方案设计奠定基础。主要包括：信息系统现状调研、信息系统现状测评、信息系统差距分析报告等。

（三）信息系统整改方案

根据前期信息系统等级差距分析报告，按照等级保护要求对信息系统进行整改设计，整改设计作为信息系统整改实施的指导，指导信息系统安全建设整改，从而满足等级保护要求。

主要包括：应用安全整改、主机安全整改、数据安全整改、网络安全整改、物理安全整改、管理制度整改等

（四）信息系统正式测评

信息系统整改建设完成后，对整个信息系统进行正式的等级测评，验证信息系统是否满足信息系统等级保护要求。

信息系统测评要求：

三级信息系统要求每年进行一次信息安全等级保护测评。

四级信息系统要求每半年进行一次信息安全等级保护测评。

网络安全保护条例新要求三级以上系统每年进行一次等保测评，四级系统测评工作量缩小

新上线信息系统在正式运营之前要求进行一次信息安全等级保护测评。

信息系统在运维阶段出现重大调整，例如信息系统结构、功能等方面出现重大调整，要求进行一次信息安全等级保护测评。