在中國，信息安全等級保護廣義上為涉及到該工作的標準、產品、系統(tǒng)、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統(tǒng)（APP）安全等級保護。

互聯網時代，隨著信息化進程不斷推進，網絡和信息系統(tǒng)的安全問題愈加重要。一些企業(yè)和機構掌握著大量公民隱私信息，一旦遭到網絡攻擊，便會造成十分嚴重的后果。而圍繞等保合規(guī)建設實現安全管理體系化，是當下中國企業(yè)全面提升安全防護能力的必要路徑和契機。
 

問

為什么要做等級保護？

答

法律法規(guī)要求：《網絡安全法》第二十一條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。
行業(yè)要求：在金融、電力、廣電、醫(yī)療、教育等行業(yè)，主管單位明確要求從業(yè)機構的信息系統(tǒng)（APP）要開展等級保護工作。
企業(yè)系統(tǒng)安全的需求：信息系統(tǒng)運營、使用單位通過開展等級保護工作可以發(fā)現系統(tǒng)內部的安全隱患與不足之處，可通過安全整改提升系統(tǒng)的安全防護能力，降低被攻擊的風險。簡單來說，《網絡安全法》一直對網站、信息系統(tǒng)、APP有等級保護要求，中小型企業(yè)通常是行業(yè)要求才意識到問題。
 

問

信息安全等級保護測評的依據？

答

依據《信息系統(tǒng)安全等級保護基本要求》（公通字[2007]43號)》“等級保護的實施與管理”中的第十四條：信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評單位，依據《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。

1

第一級：用戶自主保護級，目前1.0版本不需要去備案（提交材料公安部也會給備案證明），等保2.0是需要備案的；

2

第二級：系統(tǒng)審計保護級，二級信息系統(tǒng)為自主檢查或上級主管部門進行檢查，建議時間為每兩年檢查一次；

3

第三級：安全標記保護級，三級信息系統(tǒng)應當每年至少進行一次等級測評；

4

第四級：結構化保護級，四級信息系統(tǒng)應當每半年至少進行一次等級測評；

5

第五級：訪問驗證保護級，五級信息系統(tǒng)應當依據特殊安全需求進行等級測評。
其中三級等保是國家對非銀行機構的最高級認證，屬于“監(jiān)管級別”，由國家信息安全監(jiān)管部門進行監(jiān)督、檢查。具體程序包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查共五個階段。認證測評內容分別涵蓋5個等級保護安全技術要求和5個安全管理要求，包含信息保護、安全審計、通信保密等近300項要求，共涉及測評分類73類，要求十分嚴格。
對于企業(yè)來說，最常見的誤區(qū)是把等保測評當成“應試”和負擔。事實上等保不是考試，不是為了應付，而是通過等保發(fā)現問題、解決問題，提高信息系統(tǒng)的安全防護能力。此外，等保只是網絡安全的手段而不是目的，是起點而不是終點。與安全能力同步建設和投資策略匹配的“合規(guī)”，才是高效實現“持續(xù)安全”和“動態(tài)安全”的基礎。