[网络协议]等级保护测评

一、等级保护是什么？

???????等保即信息安全等级保护，是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。

???????网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。

等级保护一共分为五级：

• ① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;
• ② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;
• ③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;
• ④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;
• ⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

网络安全等级保护备案办理流程：

• 一步：定级;（定级是等级保护的首要环节）
• 二步：备案；（备案是等级保护的核心）
• 三步：建设整改；（建设整改是等级保护工作落实的关键）
• 四步：等级测评；（等级测评是评价安全保护状况的方法）
• 五步：监督检查。（监督检查是保护能力不断提高的保障）

二、为什么做等保？

从实施需求角度分析，做等保的原因有以下三个：

①等级保护是国情所需

②等级保护是企业所求

③等级保护是主管单位监管要求

三、如何开展等保工作？

???????等级保护工作的流程一般包括：定级备案、差距分析、整改设计、整改实施、等级测评、安全运营。

定级备案资料准备

???????定级报告、备案表、网络与信息安全承诺书、网络安全等级保护应急联系登记表、专家评审意见、相关证件原件扫描件等其他备案材料(根据各区分局需要备案材料情况而定)需要准备纸质材料用于领取备案证明。专家定级评审是需要邀请三位以上专家就信息系统定级情况组织开展定级评审会议，论证信息系统定级的合理性，以及相关备案材料的修改和确定。最终专家签字，含有专家评审意见。(预计12个工作日)也可线上提交备案材料进行备案。

差距分析(初测)

???????依据等级保护测评要求开展等级保护测评工作及漏洞扫描、渗透测试等，初测会出具差距分析报告及整改建议。(预计10个工作日左右)

安全整改

???????被测评的备案单位依据整改并结合企业的自身情况进行信息系统的整改(预计1~3个月左右)

等级测评复测

???????依据等级保护测评要求，对整改完毕的企业再次开展等级保护测评工作的复测。(预计7个工作日左右)

测评报告

???????测评机构进行等级测评报告编制、出具测评结果(预计15个工作日左右)

提交测评报告

???????测评机构把测评报告盖章后寄给备案单位，备案单位交给网安，测评结束(预计10个工作日左右)

四、测评指标

等保2.0新标准，相较于等保1.0有了很大区别，在测评内容和测评标准上也存在很多不同。那等保2.0新规以后，等保测评需要测哪些内容呢？

• 等保测评首先是有十个大项，安全物理环境、安全区域边界、安全计算环境、安全管理中心、安全通信网络、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
• 其中安全物理环境是对机房环境的严格要求，包括机房位置，不能处于顶楼和地下室，机房温湿度控制、防盗、防火、防潮、防水、防雷击、电力供应、电磁防护等。
• 安全通信网络是对网络安全提出的要求，一般包括广域网、局域网、城域网等，测评主要是看是否内网，传输是否加密等。
• 安全区域边界主要是对边界安全提出的一系列要求，包括入侵防范、访问控制、安全审计、可信验证，测评设备一般为防火墙、ips等。
• 安全计算环境是边界内的所以测评对象，包括安全设备、服务器、数据库、系统、中间件、跳板机、终端设备等，需要对每个测评单位的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护进行测评。
• 安全管理中心需要测评包括系统管理、审计管理、安全集中管理和集中管控。
• 安全管理制度是对制度进行安全测评，看制度是否全面，比如计算机管理制度、机房进出制度、恶意代码防范制度等。
• 安全管理机构是对负责网络安全的机构岗位、人员、授权、审批、沟通和合作进行检查。
• 安全管理人员是对安全人员录用、离岗、培训等内容进行测评。
• 安全建设管理包括对定级备案、方案设计、安全设备购买、软件开发、服务商等内容进行测评。
• 安全运维管理包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置等多个方面的测评。

以上就是常规等保测评涉及到的十个主要项，如果物联网、云平台、工业安全还有不同的扩展项。