一文读懂等保二级 .pdfVIP

⼀⽂读懂等保⼆级

信息安全等级保护⼯作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个，作为部授权的第三⽅，为

提供专业的信息安全等级测评。信息系统的安全分为以下五级：

级，信息系统受到破坏后，会对、和其他组织的造成损害，但不损害、和。第⼆级，信息系统受到破坏后，会对公民、法

⼈和其他组织的合法权益产⽣严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受

到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会

秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特

别严重损害。

等保就是对于国家的秘密信息、公民和各类组织的信息实⾏分等级保护。

1.信息存储在信息系统上，信息系统要分级保护；

2.承载信息系统的安全设备也要分级保护；

3.信息系统当中发⽣的安全事件也要分级响应和处理；

1.等保的地位与计划⽣育⼀样，同属于基本国策，重要性不⾔⽽喻！

2.2017年《⽹络安全法》正式颁布，强制推⾏等级保护，现在不做等保就是违法了！！

最⼤特点就是要求使⽤安可产品和服务来保障信息安全。

什么是安可？安可就是安全可信的简称，我们在解释安可之前先讲⼀个⽹络安全的⽬标：⽹络“安全的⽬标是保

证⽤户数据的机密性、完整性、可⽤性、可控性“。

1.机密性就是保证信息不泄露给⾮授权的⽤户

2.完整性保证数据在传输和存储的过程中不被修改。

3.可⽤性是指保证⽤户能够及时获取所需的信息。

4.可控性指保证⽤户对数据的控制能⼒。⽽安全可信就是这⼀特性的延伸，安全可信包括三个⽅⾯：⽤户对

数据的控制权、⽤户对系统的控制权、保障⽤户的选择权。

1994年国务院发⽂规定实⾏等保，随后国务院、中央办公厅、公安部四部委不断发⽂强调信息安全的重要性。

2007年的《信息安全等级保护管理办法》和2008年的《信息安全等级保护基本要求》相继颁发，两个⽂件统称

为等保1.0版本。

2016年《中华⼈民共和国⽹络安全法》通过，强制推⾏信息安全等级保护，2017年初，公安部还没顾的上⾃⼰

检查就开始到处检查。

2019年等保2.0发布，⼜开始了⼀波鸡飞狗跳的整改与检查……，有⼈欢喜有⼈忧。

等保的流程包括五个部分：

1)定级、

2)备案、

3)安全建设和整改、

4)信息安全等级测评、

5)信息安全检测

所谓定级就是各类组织给⾃⼰的信息系统定⼀个等级，越机密的组织等级越⾼。

定级之后就要去公安机关备案。

备上案之后，根据国家的规定所在等级的信息安全要求，检查所在组织有没有达到要求，没有就进⾏整改。

根据规定把该做的安全措施、安全产品都部署完了之后进⾏测试，测试完了⽣成报告。

公安部门实地进⾏检查或抽查，⼆级的两年⼀次、三级⼀年⼀次。不过关的就进⾏罚款。

测评主要从技术层⾯和管理层⾯进⾏测评

主要还是各类组织根据上图的规定⾃⼰给⾃⼰所在的组织定级。

⼀级系统简单，不需要备案，影响程度很⼩，因此不作为重点监管对象;⼆级系统⼤概50万个左右;三级系统⼤概

5万个;四级系统量级较⼤，⽐如⽀付宝、银⾏总⾏系统、国家电⽹系统，有1000个左右;五级系统属国家级、国

防类的系统，⽐如核电站、军⽤通信系统。

⾃⼰给⾃⼰定完级之后去公安机构备案，还得填写备案表，填写完了之后专家去评审，评审通过之后给证明。

知道了⾃⼰组织的等级之后，就根据国家的规定开始整改，主要是上各种安全设备、做各种安全的管理。有些

安全⼚商有⼀整套的解决⽅案，提供⼀站式解决，⽐如华为、深信服、华三等⼚商。

测评主要考查组织的安全技术体系和安全管理体系是否符合要求，通过之后给证书。

公安机构带上⼀票⼈，通常包括专家、安全⼚商的⼈去实地检查，完事之后该罚罚，该改改。

⽹络安全等级保护⼯作包括定级、备案、建设整改、等级测评、监督检查五个阶段。在等级保护全流程中，涉

及到四个不同的⾓⾊，分别是：运营使⽤单位、公安机关、⼚商、测评机构。等级保护各⼯作流程内容及⾓⾊

分⼯如下：

NOTE：上图是从深信服官⽹截下来的。其实像华为、华三、深信服等⼚商可以提供整套解决⽅案和安全设备，

部分⼚商可提供部分安全设备和解决⽅案，⽐如科来、迪普。科来提供⽹络回溯分析⽅⾯的安全产品及解决⽅

案，⽽迪普主要为等保提供监控视频类的安全设备和解决⽅案。

第⼆⼗⼀条?国家实⾏⽹络安全等级保护制度。⽹络运营者应当按照⽹络安全等级保护制度的要求，履⾏下列安

全保护义