一、等保是什么

等保即信息安全等級保護(hù)，是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護(hù)；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

二、為什么要做等保

1、降低信息安全風(fēng)險，提高信息系統(tǒng)的安全防護(hù)能力；

2、滿足國家相關(guān)法律法規(guī)和制度的要求；

3、滿足相關(guān)主管單位和行業(yè)要求；

4、合理地規(guī)避或降低風(fēng)險。

有些公司在迅猛發(fā)展過程中往往只看重業(yè)務(wù)而忽視安全問題，不僅沒有安全團(tuán)隊，對代碼和數(shù)據(jù)的保護(hù)都沒有任何措施?？赡苓\(yùn)維人員知道這個問題的嚴(yán)重性，但由于管理人員的角度不同往往會忽略這個問題的嚴(yán)重性。所以運(yùn)維人員可以利用做等級保護(hù)這個契機(jī)把公司的安全隱患給消除掉。 通常人們會抱有僥幸的心理，認(rèn)為自己公司這么多年不做等保不搞信息安全也沒啥事，還能省一筆費用。然而，萬一造成了信息安全事故可能造成的經(jīng)濟(jì)損失將會遠(yuǎn)遠(yuǎn)超過你不做等保省下來的費用。

小快整理了部分信息安全事故的例子如下：

• 優(yōu)酷上億條賬戶信息泄露，價值僅為300美元；
• 小紅書用戶信息大面積泄露，50人被騙近88萬元；
• 快遞員泄露客戶信息，獲取3.8萬元被判刑；
• 浙江岱山農(nóng)商銀行、浙江民泰商業(yè)銀行有內(nèi)部人員違規(guī)泄露客戶信息。其中，浙江岱山農(nóng)商銀行被銀保監(jiān)會罰款30萬，泄露信息的內(nèi)部員工被禁業(yè)三年。

三、需要做等保的行業(yè)

1、政府機(jī)關(guān)：電子政務(wù)網(wǎng)絡(luò)；

2、金融行業(yè)：監(jiān)管機(jī)構(gòu)，銀行，保險公司等；

3、電信行業(yè)：各大運(yùn)營商；

4、能源行業(yè)：電力（比如xxx電網(wǎng)），石油等；

5、互聯(lián)網(wǎng)單位：各大企業(yè)，上市公司等。

四、基本內(nèi)容

信息安全等級保護(hù)包括：

• 定級
• 備案
• 安全建設(shè)和整改
• 信息安全等級測評
• 信息安全檢查

信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。信息安全等級保護(hù)要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體測評。

五、等級劃分

信息系統(tǒng)的安全保護(hù)等級分為以下五級，一至五級等級逐級增高：

第一級

信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級

信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行指導(dǎo)。

第三級

信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級

信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級

信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

六、誤區(qū)

誤區(qū)一：系統(tǒng)已上云或托管，就不用做等保

系統(tǒng)責(zé)任主體是屬于網(wǎng)絡(luò)運(yùn)營者自己，需要承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任。

誤區(qū)二：系統(tǒng)定級越低越好

系統(tǒng)定級需要合理，安全責(zé)任沒有履行到位就會被處罰。

誤區(qū)三：等保工作做測評就可以

測評只是等級保護(hù)工作中的一項。

相關(guān)問題：

1、那等級保護(hù)測評都測什么？測評周期是多久？

主要涉及技術(shù)層面和管理層面的內(nèi)容；

• 技術(shù)層面

物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全。

• 管理層面

安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理。

按照政策要求三級信息系統(tǒng)每年至少需要開展一次測評；二級信息系統(tǒng)一般建議每兩年開展一次測評，但是部分行業(yè)明確要求每兩年開展一次測評。

2、測評之后哪些一定要立即整改？整改建設(shè)工作怎樣做？

在等保預(yù)測測評時會發(fā)現(xiàn)企業(yè)的安全管理制度不完善或缺失問題、系統(tǒng)漏洞、設(shè)備缺失或不足等問題；所以我們需要通過測評來發(fā)現(xiàn)問題，再解決問題，但如果遇到高危風(fēng)險就必須立即整改到位。

• 安全管理制度不完善或缺失

可能有些人會覺得管理制度沒什么用，隨便維護(hù)一下就好，但其實這是一個很不好的習(xí)慣。比如外來人員可以隨意進(jìn)入機(jī)房卻無需任何審批流程，這都存在很大的安全隱患?！毒W(wǎng)絡(luò)安全法》中也不止一次強(qiáng)調(diào)“應(yīng)急預(yù)案”“應(yīng)急演練”等字眼，這都是在強(qiáng)調(diào)需要落實管理制度，沒有好的管理制度，就算你的安全防護(hù)設(shè)備栽好也無法發(fā)揮作用。

• 漏洞補(bǔ)丁類等

漏洞補(bǔ)丁類、安全加固類、安全策略調(diào)整類等，這些軟件問題是可以直接通過人工進(jìn)行整改完成，不需要再增加任何設(shè)備解決，這就對從業(yè)人員有所要求了，從業(yè)人員需要具備一定的等級保護(hù)知識，在與服務(wù)方溝通協(xié)作時可起到關(guān)鍵性的作用。

• 設(shè)備缺失或不足

不論是幾級系統(tǒng)，涉及的安全設(shè)備都會很多，但是并不是要求你一次性將全部設(shè)備購買到位。我們可以根據(jù)實際情況，做一個最佳的方案，以有限的資金做出最完善的整改。

誤區(qū)四：等保測評做過一次就可以了

等保工作需要根據(jù)具體的行業(yè)規(guī)定需求安排合理的評測時間。

誤區(qū)五：系統(tǒng)在內(nèi)網(wǎng)，不需要做等保

所有非涉密系統(tǒng)都屬于等級保護(hù)范疇。

誤區(qū)六：單位整體做一個等保測評

等保測評是按照信息系統(tǒng)來的，而不是單位。