安徽等级保护测评解决方案

《网络安全法》于2017年6月1日正式施行，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。

2018年6月公安部发布了《网络安全等级保护条例（征求意见稿）》，网络安全等级保护陆续有了更有力的政策规则和更细致的法规标准，该条例的发布也标志着国家网络安全等级保护工作正式进入2.0时代，现在不做等保就是违法了。

那么，等保2.0新鲜在哪？监管合规有着怎样的标准？等保建设实施如何落地？下文将网络安全法中与等级保护有关的条款进行解读分析，从网络安全法角度梳理出我们等级保护工作的重点和核心。同时介绍下在2.0时代等级保护的标准体系和工作流程。

「等保是什么？」

等保全称为“网络安全等级保护”，是指对网络和信息系统按照重要性等级分级别保护的一种工作。

2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》（公字【2007】43号文），在全社会范围内（包括国家单位、企业单位、行业等）推行“信息安全等级保护”政策；

2016年11月7日《中华人民共和国网络安全法》通过，第二十一条明确规定：国家实行网络安全等级保护制度。2017年6月1日开始正式实施。

2018年6月27日，《网络安全等级保护条例（征求意见稿）》发布，正式宣告等保进入2.0时代。

「为什么必须要做等保？」

政策合规要求

需要满足等保合规的行业包括政府机关、金融行业、电信运营商、能源行业、企业单位等。作为国家信息安全的基本制度，开展等级保护工作是企业义不容辞的信息安全义务。

什么情况下企业将会处罚：

1.信息系统出现重大安全事故，影响范围无法自控，国家追究领导责任。

2.企业或行业之间出差等级保护工作落实存在差距，领导职责受到影响。

3.国家监管部门定期检查企业等级保护工作落实和进展情况。等级保护工作落实较差企业领导绩效考核奖受到影响。

4.网络安全法五十九条规定网络运营者不履行本法二十一条、二十五条规定的网络安全保护义务的有关部门责令整改、警告拒不整改或导致网络安全等后果的处十万元以上一百万以下罚款，对直接负责的主管人员处五千以上五万以下罚款。

等保实施意义

1.便于发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距，发现系统安全隐患与不足；

2.通过安全整改，有效提高信息安全保障能力和水平，提高网络安全防护能力，降低系统被攻击的风险。

3.调动国家、法人、其他组织、公民安全防护积极性，有利于明确信息安全责任，加强企业信息安全管理。

「等保2.0有哪些显著变化？」

标准内容变化

基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求（含云计算、移动互联、物联网、工业控制）。在GB/T 22239 网络安全等级保护基本要求合并为五部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。设计要求（GB/T25070）和测评要求（GB/T28448）也由各自原有的五个分册分别整合成一册。

标准分类变化

由旧标准的10个分类调整为8个分类，分别为

技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；

管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

说明: 

等级划分监管要求

说明: 

等级保护保护级别分五级

「相关政策标准有哪些？」

国家标准

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

《信息安全等级保护工作的实施意见》（公通字[2004]66号）

《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010

《信息安全等级保护管理办法》（公通字〔2007〕43号）

《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008

《信息安全技术信息系统安全等级保护测评要求》 MSTL-JBZ-05-005

《信息安全技术网络安全等级保护定级指南》GA/T 1389—2017

《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28449-2012 

行业相关标准

《金融行业信息安全等级保护测评服务安全指引》

《金融行业信息系统信息安全等级保护测评指南》

《金融行业信息系统信息安全等级保护实施指引》

《人民银行信息系统信息安全等级保护测评指南(试行)》

《人民银行信息系统信息安全等级保护实施指引(试行)》

《电信网和互联网安全等级保护实施指南》

《广播电视相关信息系统安全等级保护定级指南》

《广播电视相关信息系统安全等级保护基本要求》

《水利网络与信息安全体系建设基本技术要求》

《烟草行业信息系统安全等级保护基本要求》

「等保2.0工作内容」

信息系统定级

企业单位采用“自主定级原则”，遵循国家或行业定级指南对第二级以上信息系统进行定级和备案。

说明:

信息系统定级方法

信息系统差距分析

通过对现有信息系统的安全现状调研和测评，发现现有系统存在的问题，同时参考等级保护的要求，找出信息系统和等级保护的差距，为后期的等级保护安全整改方案设计奠定基础。主要包括：信息系统现状调研、信息系统现状测评、信息系统差距分析报告等。

信息系统整改方案

根据前期信息系统等级差距分析报告，按照等级保护要求对信息系统进行整改设计，整改设计作为信息系统整改实施的指导，指导信息系统安全建设整改，从而满足等级保护要求。

主要包括：应用安全整改、主机安全整改、数据安全整改、网络安全整改、物理安全整改、管理制度整改等 

信息系统正式测评

信息系统整改建设完成后，对整个信息系统进行正式的等级测评，验证信息系统是否满足信息系统等级保护要求。

信息系统测评要求：

三级信息系统要求每年进行一次信息安全等级保护测评。

四级信息系统要求每半年进行一次信息安全等级保护测评。

网络安全保护条例新要求三级以上系统每年进行一次等保测评，四级系统测评工作量缩小

新上线信息系统在正式运营之前要求进行一次信息安全等级保护测评。

信息系统在运维阶段出现重大调整，例如信息系统结构、功能等方面出现重大调整，要求进行一次信息安全等级保护测评。

「等保2.0工作流程」

各阶段实施过程中，可参考的规范性标准依据如下

系统定级阶段：《信息系统安全保护等级定级指南》

安全保护：《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》

检测评估：《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、相关行业标准、用户自身业务安全需求

监督检查：《信息系统安全等级保护监督检查要求》

「等级保护要求--技术要求和管理要求」

「案例实践」

凭借等保2.0实施思路，我们测评机构为业主单位提供等保测评服务，通过物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、人员安全管理、系统建设及运维等单元测评，了解了系统的安全保护真实状况，及时发现安全问题并形成综合测评报告，并为客户提供了相应的安防建议和解决方案，帮助客户完成了定级备案、差距分析、方案设计、整改加固、等保测评和等保运维的全部流程，顺利通过信息安全等级保护二级测评。