IT资质
qualifications
-
全国客户服务热线
138-2352-8464
网络安全等级保护测评
等保测评不是可选项而是国家法律规定的网络安全基线。可理解为:国家为所有网络系统颁发“安全驾照”,不同车型(系统等级)需要不同的驾照(安全要求),并要定期年审(测评)。
第一部分:等级保护体系——理解“游戏规则”
等保体系概括为 “一个法律、五个等级、五个环节”。
1.一个法律依据:
《网络安全法》第21条明确规定,国家实行网络安全等级保护制度。不做等保,属于违法行为。
2.五个安全等级(一至五级,逐级增高)
第一级(自主保护级):
系统被破坏后,损害公民、法人权益。无需测评,自主保护。(如:非核心的企业宣传网站)
第二级(指导保护级):
系统被破坏后,损害公民、法人和社会秩序的权益。指导保护,每两年测评一次。(如:企业内部OA、官网、一般业务系统)
第三级(监督保护级):
系统被破坏后,会对社会秩序和公共利益造成严重损害,或对国家安全造成损害。强制监督,每年测评一次。(如:政务系统、医院核心HIS、金融交易、大型企业ERP)
第四级(强制保护级):
系统被破坏后,会对社会秩序和公共利益造成特别严重损害,或对国家安全造成严重损害。(如:电力调度、社保核心、公安部级系统)
第五级(专控保护级):
系统被破坏后,会对国家安全造成特别严重损害。(国家级系统)
【关键点】:90%以上的企业和单位,核心系统集中在二级和三级。三级是投入和监管的分水岭。
3.五个规定动作(工作流程)
这是你必须完成的五个步骤,顺序不能乱:
① 定级 → ② 备案 → ③ 建设整改 → ④ 等级测评 → ⑤ 监督检查
第二部分:系统定级工作——确定“考哪类驾照”
定级是起点,定错了后面全错。定级由运营使用单位(你)主导。
定级方法(一个公式+两个要素)
系统等级由 “受侵害的客体”和 “对客体造成的侵害程度”共同决定。
1.受侵害的客体(三个,逐级严重)
公民、法人和其他组织的合法权益(对应一、二级)。
社会秩序、公共利益(对应三、四级)。
国家安全(对应四、五级)。
2.侵害程度(三个,逐级严重)
一般损害
严重损害
特别严重损害
定级流程:
1.梳理资产:列出所有需要定级的系统(如官网、APP后台、CRM、生产系统)。
2.初步定级:对每个系统,业务部门和技术部门一起,对照上表打分。
举例:一个医院预约挂号系统瘫痪:
侵害客体:社会秩序和公共利益(大量患者无法就医)。
侵害程度:严重损害(影响一个地区)。
结论:建议定为三级。
举例:一个企业内部考勤系统瘫痪:
侵害客体:公民、法人权益(员工无法打卡,企业考勤混乱)。
侵害程度:一般损害。
结论:建议定为二级。
3.专家评审:
组织专家(或聘请咨询机构)对初步定级结果进行评审,出具《定级专家评审意见》。
4.主管部门审核:有上级主管单位的,需报批。
5.公安机关备案:到属地公安网安部门,提交《信息系统安全等级保护备案表》,取得《备案证明》。这是法定动作!
第三部分:整改检查工作—— “根据考试大纲复习备考”
定级备案后,就要对照国家标准(GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》)进行整改。这是最花钱、最花时间的部分。
整改核心:满足对应等级的“安全通用要求”
标准要求分为 “技术”和 “管理”两大类,共10个方面。
|
类别 |
核心整改项(以三级系统为例) |
接地气解读与常见成本 |
|
技术安全 |
1. 物理安全:机房防盗防火、温湿度控制、电力冗余。 |
租用合规数据中心或改造自有机房。成本:高。 |
|
|
2. 网络安全:部署防火墙、入侵检测、边界防护、网络审计。 |
买硬件或云服务。核心投入点。成本:中高。 |
|
|
3. 主机安全:服务器安装杀毒软件、定期漏洞扫描、最小化服务。 |
买终端安全软件和服务。成本:中。 |
|
|
4. 应用安全:代码安全测试、防SQL注入、身份鉴别、访问控制。 |
需开发团队配合修改代码或买WAF。成本:中高。 |
|
|
5. 数据安全:重要数据加密存储和传输、备份与恢复演练。 |
买加密软件/硬件、备份系统。成本:中。 |
|
管理安全 |
6. 安全管理制度:制定《网络安全管理总纲》等一堆文档。 |
套模板编写。成本:低(人力)。 |
|
|
7. 安全管理机构:设立网络安全领导小组、专职安全岗位。 |
明确责任人和岗位。成本:组织成本。 |
|
|
8. 人员安全管理:全员签订保密协议、进行安全培训。 |
日常管理工作。成本:低。 |
|
|
9. 系统建设管理:采购安全产品、第三方服务商管理。 |
规范采购合同。成本:低。 |
|
|
10. 系统运维管理:日常漏洞修补、日志审计分析(最重要!)、应急预案与演练。 |
买日志审计平台(必须!),并安排人看。成本:中高。 |
【关键点】:
三级系统强制要求日志集中存储6个月以上,并定期分析。这是测评重点,也是很多单位失分项。
整改后,聘请有资质的“测评机构”进行等级测评。测评机构会出具《等级测评报告》,合格则通过,不合格则继续整改复测。
第四部分:风险评估|等级保护—— “日常体检” vs “驾照年审”
这是两个常被混淆的概念,必须分清。
|
维度 |
等级保护 |
风险评估 |
|
性质 |
国家强制合规要求,是“底线”。 |
企业自发的安全管理手段,是“摸高”。 |
|
目的 |
证明你的系统达到了国家规定的某一等级的安全基线。 |
识别和分析你系统面临的具体风险,并评估其大小。 |
|
频率 |
定期(二级2年,三级1年),“年审”。 |
不定期,可随时进行,“日常体检”。 |
|
结果 |
《等级测评报告》(通过/不通过)。 |
《风险评估报告》(列出风险清单和优先级)。 |
|
关系 |
风险评估是达成等保要求的重要工具。 |
等保是风险评估必须参考的合规性风险来源。 |
如何结合使用:
1.场景A:准备首次过等保(如三级)
步骤:先做一次全面的风险评估,摸清自身与三级要求的差距在哪里。然后,以等保要求为纲,以风险评估结果为目的,进行针对性整改。这样效率最高,钱花在刀刃上。
2.场景B:已过等保,需要持续安全运营
步骤:每年在等保测评间隙,定期(如每季度)进行专项风险评估(如针对新上线的业务、新发现的漏洞)。这能帮你动态发现新风险,持续改进,确保下次等保测评顺利通过。
3.场景C:上级单位或行业要求
步骤:如果行业监管要求(如金融、电力)既要做等保又要做风险评估,那么通常先完成等保测评,再用风险评估去查漏补缺,追求高于等保基线的安全水平。
路线图
1.第一步(摸底):盘点所有信息系统,初步判断核心系统需定为二级还是三级。
2.第二步(立项):成立等保工作小组,联系测评机构进行前期咨询。
3.第三步(定案):完成正式定级、专家评审和公安备案。
4.第四步(整改):对照等保标准,结合风险评估,进行技术和管理整改。重点投:日志审计、边界防护、备份恢复。
5.第五步(测评):聘请测评机构进行正式测评,根据报告完成最终整改。
6.第六步(常态化):通过后,进入“持续运维、定期测评、穿插风险评估”的循环。
等保不是一次性的项目,而是一个持续的安全治理过程。
等级保护(等保)是贯穿于信息化项目全生命周期的强制性安全框架。它在实际项目中的应用,概括为 “从项目立项到系统下线,全程提供安全基线和合规准绳”。
深信安专注于为中大型及全球化企业提供高品质一体化服务,包括IT资质,体系建设,项目申报,军工/涉密等,7*24小时全天配备专业运维及客服人员,致力为企业打造可信赖及综合的智能化ICT解决方案。
您可以直接拨打咨询电话:13823528464 孙经理,我们将马上安排资深顾问为您介绍成功案例、产品详情、定制化解决方案及报价等信息。
官方网址:http://www.shenxinan.com/index.html
公司地址:深圳市龙华区民治街道蓝坤大厦1503室
- 上一篇:等保测评等级如何判定?
- 下一篇:等保测评避坑清单(企业必看·可直接执行)