在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作；狹義上一般指信息系統(tǒng)（APP）安全等級保護。

互聯(lián)網(wǎng)時代，隨著信息化進程不斷推進，網(wǎng)絡(luò)和信息系統(tǒng)的安全問題愈加重要。一些企業(yè)和機構(gòu)掌握著大量公民隱私信息，一旦遭到網(wǎng)絡(luò)攻擊，便會造成十分嚴重的后果。而圍繞等保合規(guī)建設(shè)實現(xiàn)安全管理體系化，是當下中國企業(yè)全面提升安全防護能力的必要路徑和契機。
 

問

為什么要做等級保護？

答

法律法規(guī)要求：《網(wǎng)絡(luò)安全法》第二十一條：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
行業(yè)要求：在金融、電力、廣電、醫(yī)療、教育等行業(yè)，主管單位明確要求從業(yè)機構(gòu)的信息系統(tǒng)（APP）要開展等級保護工作。
企業(yè)系統(tǒng)安全的需求：信息系統(tǒng)運營、使用單位通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可通過安全整改提升系統(tǒng)的安全防護能力，降低被攻擊的風(fēng)險。簡單來說，《網(wǎng)絡(luò)安全法》一直對網(wǎng)站、信息系統(tǒng)、APP有等級保護要求，中小型企業(yè)通常是行業(yè)要求才意識到問題。
 

問

信息安全等級保護測評的依據(jù)？

答

依據(jù)《信息系統(tǒng)安全等級保護基本要求》（公通字[2007]43號)》“等級保護的實施與管理”中的第十四條：信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。

1

第一級：用戶自主保護級，目前1.0版本不需要去備案（提交材料公安部也會給備案證明），等保2.0是需要備案的；

2

第二級：系統(tǒng)審計保護級，二級信息系統(tǒng)為自主檢查或上級主管部門進行檢查，建議時間為每兩年檢查一次；

3

第三級：安全標記保護級，三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評；

4

第四級：結(jié)構(gòu)化保護級，四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評；

5

第五級：訪問驗證保護級，五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。
其中三級等保是國家對非銀行機構(gòu)的最高級認證，屬于“監(jiān)管級別”，由國家信息安全監(jiān)管部門進行監(jiān)督、檢查。具體程序包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查共五個階段。認證測評內(nèi)容分別涵蓋5個等級保護安全技術(shù)要求和5個安全管理要求，包含信息保護、安全審計、通信保密等近300項要求，共涉及測評分類73類，要求十分嚴格。
對于企業(yè)來說，最常見的誤區(qū)是把等保測評當成“應(yīng)試”和負擔。事實上等保不是考試，不是為了應(yīng)付，而是通過等保發(fā)現(xiàn)問題、解決問題，提高信息系統(tǒng)的安全防護能力。此外，等保只是網(wǎng)絡(luò)安全的手段而不是目的，是起點而不是終點。與安全能力同步建設(shè)和投資策略匹配的“合規(guī)”，才是高效實現(xiàn)“持續(xù)安全”和“動態(tài)安全”的基礎(chǔ)。