01、什麼是等級保護測評

等級保護測評，全稱叫“網絡安全等級保護”，包括定級備案、建設整改、等級測評三個步驟，俗稱“等保測評”。簡單的說，就是為你的系統做個安全體檢，看看會不會容易受到黑客攻擊，系統癱瞭影響大不大？體檢不合作怎麼辦？整改！

《信息系統安全等級保護管理辦法》規定，等級保護一共有五個級別。第一級，自主保護級：（無需備案，對測評周期無要求），信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國傢安全、社會秩序和公共利益；

第二級，指導保護級:（公安部門備案，建議兩年測評一次），信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國傢安全；

第三級，監督保護級：（公安部門備案，要求每年測評一次），信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國傢安全造成損害。

第四級，強制保護級：（公安部門備案，要求半年一次），信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國傢安全造成嚴重損害。

第五級，專控保護級：（公安部門備案，依據特殊安全需求進行），信息系統受到破壞後，會對國傢安全造成特別嚴重損害。”

運營、使用單位在確定等級後到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營後30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核，對符合要求的在10個工作日內頒發等級保護備案證明。

02、為什麼要做安全等保測評

簡單的說，因為法律規定！！！不做等保就是違法！！！

2007年，公安部會同相關部門發佈瞭一個非常重要的紅頭文件——《信息安全等級保護管理辦法》，俗稱“43號文件”。在這個文件中，明確瞭等級保護要做的事，包括定級備案、建設整改、等級測評。用戶必須完成這三件事，並接受安全檢查。這就是2007年提出的“規定動作”。為瞭支持這些規定動作，公安部會同相關部門起草瞭相關的標準，我們稱之為“標準體系”。其中，“建設整改”最為重要。保護是核心，定級備案和等級測評隻是輔助動作。

2007年到2017年，這期間使用等保1.0。為什麼從2017年後叫做等保2.0瞭呢？原因是2017年6月1號，《中華人民共和國網絡安全法》出臺，它提到，國傢實行等級安全保護制度，註意，這時候等級保護已經成為法律制度，不做等保就是違法。同時，第31條說，如果單位系統非常非常重要，稱之為“關鍵信息基礎設施”，那麼這個系統做等保還不夠，還要在等保的基礎上做重點保護。

此外，等級保護一共有五個級別，但每個級別要達到什麼樣的標準，需要按照國傢標準，其中《信息安全技術-網絡安全等級保護基本要求》（GB/T 22239-2019）規定瞭第一級到第四級等級保護對象的安全要求，如果單位達不到規定的要求，會被公安部門強制要求整改。

03、網絡等級保護2.0標準體系介紹

等級保護2.0時期，所有保護對象，不管你叫什麼名字，比如雲平臺、大數據、物聯網、工控系統等，都要做等保，落實國傢安全等級保護制度。註意，不落實是違法的。

那怎麼做呢？完成以下幾個動作：定級備案、安全建設、等級測評，如果等級測評出現問題還需要接受安全整改，接受監督檢查。這幾個動作，不做就違反瞭法律要求。如果你是關鍵基礎設施，除瞭等級保護，還需要完成關鍵信息基礎設施保護。隻有這樣，2.0的目標才真正完成。

新標準的變化

第一，對象范圍擴大。新標準將雲計算、移動互聯、物聯網、工業控制系統等列入標準范圍，構成瞭“安全通用要求+新型應用安全擴展要求”的要求內容。

註意：等級保護把所有系統都納入瞭，包括雲計算、物聯網等等。這些系統隻需要使用一個標準就可以瞭，這個標準的要求是通用要求加擴展要求。比如，雲計算系統，是雲計算擴展；工控系統是工控擴展。概括起來是：一個標準做等保。

第二，分類結構統一。新標準“基本要求、設計要求和測評要求”分類框架統一，形成瞭“安全通信網絡”、“安全區域邊界"安全計算環境”和“安全管理中心”支持下的三重防護體系架構。

第三：強化可信計算。新標準強化瞭可信計算技術使用的要求把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。

註意：新的2.0標準強調可信計算新技術的使用。1.0強調密碼技術使用。

最後，關於等級測評結論發生瞭變化，分為：優、良、中、差幾個級別，70分以上才算及格，90分以上算優秀。

04、等保級別確定和測評流程

等級的確定是不依賴於安全保護措施的，具有一定的“客觀性”，即該系統在存在之初便由其自身所實現的使命的重要程度決定瞭它的安全保護等級，而非由“後天”的安全保護措施決定。

信息系統安全保護等級=業務信息安全保護等級+系統服務安全保護等級

依據系統受到破壞後對侵害客體的侵害程度來確定等級保護的級別

5225ffc412afc56ece7669f8797f2308

定級方法

7bf296702f32abc99576a1ccf12d2258

定級流程

b2f2456ca1e17e800f99556d6e202b1b

05、等保測評工作誰來做

公司可不可以自己做等級保護測評呢？不行！

當公司的系統保護等級確認在二級以上時，需要進行評估工作，包括差距評估整改清單-整改-再評估評估報告-提交相關監管部門。在這些步驟中，隻有整改部分可以由公司自己修改，也可以尋求第三方合作。其他資料都需要具備等保評估資質的機構進行。

測評機構至少有省市信息安全等級保護協調小組辦公室頒發的《信息安全等級保護評估機構推薦證書》。同時，一些省份要求評估機構在用戶所在地的地級市公安網絡安全部門備案，備案成功後方可在當地開展等級保護評估工作。

2021年11月19日，中關村信息安全測評聯盟發佈《全國網絡安全等級測評與檢測評估機構目錄》，同時進行不定期更新。

06、測評費用

註意：前面講瞭，等級保護包括定級備案、建設整改、等級測評三個步驟。這裡說的測評費用，不包括建設整改的費用。

等保測評服務和提供等級保護服務是兩項獨立的服務

國源天順專業的等保機構，聯系方式：15652968977