一(one)、什麽是(yes)等保

“等保”，即信息安全等級保護，是(yes)我(I)國網絡安全領域的(of)基本國策、基本制度。早在(exist)2017年8月，公安部評估中心就根據網信辦和(and)信安标委的(of)意見将等級保護在(exist)編的(of)5個(indivual)基本要(want)求分冊标準進行了(Got it)合并形成《信息安全技術 網絡安全等級保護基本要(want)求》一(one)個(indivual)标準。(GB/T 22239—2019代替 GB/T 22239-2008)該标準于(At)2019年5月10日發布，于(At)2019年12月1日開始實施。

二、爲(for)什麽要(want)做等保

1、安全标準：信息安全等級保護（簡稱等保）是(yes)目前檢驗一(one)個(indivual)系統安全性的(of)重要(want)标準，是(yes)對系統是(yes)否滿足相應安全保護的(of)評估方法。

2、法律要(want)求：《網絡安全法》和(and)《信息安全等級保護管理辦法》明确規定網絡運營者應當履行安全保護義務，如果拒不(No)履行，将會受到(arrive)相應處罰。

3、自我(I)檢查：開展等保可對系統進行一(one)次全面檢測，全面發現系統内部的(of)安全隐患與不(No)足之處。

三、等保包含哪些内容

等保是(yes)一(one)個(indivual)全方位系統安全性标準，不(No)僅僅是(yes)程序安全，包括：物理安全、應用(use)安全、通信安全、邊界安全、環境安全、管理安全等方面。

​

【物理安全】機房物理訪問控制、防火，防雷擊，溫濕度控制、電力供應，電磁防護。

【應用(use)安全】應用(use)具備身份鑒别、訪問控制、安全審計、剩餘信息保護、軟件容錯、資源控制和(and)代碼安全。

【通信安全】包括網絡架構，通信傳輸，可信驗證。

【邊界安全】包括邊界防護，訪問控制，入侵防範，惡意代碼防護等。

【環境安全】 入侵防範，惡意代碼防範，身份鑒别，訪問控制，數據完整性、保密性，個(indivual)人(people)信息保護。

【管理安全】系統管理，審計管理，安全管理，集中管控。

四、等保1.0、2.0有什麽區别？

【等保1.0】以(by)1994年國務院頒布的(of)147号令《計算機信息系統安全保護條例》爲(for)指導标準，以(by)2008年發布的(of)《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要(want)求 》爲(for)指導的(of)網絡安全等級保護辦法，業内簡稱等保，即目前的(of)等保 1.0。

【等保2.0】以(by)《中華人(people)民共和(and)國網絡安全法》爲(for)法律依據，以(by)2019年5月發布的(of)《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要(want)求》爲(for)指導标準的(of)網絡安全等級保護辦法，業内簡稱等保2.0。

【1.0、2.0的(of)區别】

等保2.0提出(out)新的(of)技術要(want)求和(and)管理要(want)求，強調“一(one)個(indivual)中心，三重防護”，關鍵點包括可信技術、安全管理中心，以(by)及雲計算、物聯網等新興領域的(of)安全擴展要(want)求。對應地(land)，企業在(exist)安全防護體系建設、風險評估和(and)管理上需要(want)更加全面，并需關注所在(exist)行業的(of)安全要(want)求和(and)定級标準。

五、等保分幾個(indivual)級别？

等保分五個(indivual)級别，越高安全性越好，其中：

【等保一(one)級】等保一(one)級爲(for)“用(use)戶自主保護級”，是(yes)等保中最低的(of)級别，該級别無需測評，提交相關申請資料，公安部門審核通過即可。

【等保二級】等保二級爲(for)“系統審計保護級”，是(yes)目前使用(use)最多的(of)等保方案，所有“信息系統受到(arrive)破壞後，會對公民、法人(people)和(and)其他(he)組織的(of)合法權益産生(born)嚴重損害，或者對社會秩序和(and)公共利益造成損害，但不(No)損害國家安全。”範圍内網站均可适用(use)，可支持到(arrive)地(land)級市各機關、事業單位及各類企業的(of)系統應用(use)，比如：網上各類服務的(of)平台（尤其是(yes)涉及到(arrive)個(indivual)人(people)信息認證的(of)平台），市級地(land)方機關、政府網站等等。

【等保三級】等保三級等爲(for)“安全标記保護級”，級别更高，支持“信息系統受到(arrive)破壞後，會對社會秩序和(and)公共利益造成嚴重損害，或者對國家安全造成損害。”範圍，适用(use)于(At)“地(land)級市以(by)上的(of)國家機關、企業、事業單位的(of)内部重要(want)信息系統”，比如省級政府官網、銀行官網等等。三級等保也是(yes)我(I)們(them)能制作(do)的(of)最高級别等保網站。

【等保四級】等保四級等保适用(use)于(At)國家重要(want)領域、涉及國家安全、國計民生(born)的(of)核心系統，比如中國人(people)民銀行就是(yes)目前唯一(one)四級等保的(of)中國央行門戶集群。

【等保五級】等保五級等保是(yes)目前我(I)國最高級别，一(one)般應用(use)于(At)國家的(of)機密部門。

六、等保測評流程是(yes)怎麽樣的(of)？

等保包括五個(indivual)階段：1、定級、2、備案、3、建設整改、4、等級測評、5、監督檢查。定級對象（即需要(want)過等保的(of)對象）建設整改後，需要(want)選擇符合國家要(want)求的(of)測評機構，按《網絡安全等級保護基本要(want)求》等技術标準進行等級測評，之後向監管單位提交測評報告。

七、等保是(yes)法律要(want)求的(of)？

《網絡安全法》和(and)《信息安全等級保護管理辦法》明确規定信應履行安全保護義務，如果拒不(No)履行，将會受到(arrive)相應處罰。

以(by)下節選自《中華人(people)民共和(and)國網絡安全法》：

第二十一(one)條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的(of)要(want)求，履行下列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的(of)訪問，防止網絡數據洩露或者被竊取、篡改

第三十八條：關鍵信息基礎設施的(of)運營者應當自行或者委托網絡安全服務機構對其網絡的(of)安全性和(and)可能存在(exist)的(of)風險每年至少進行一(one)次檢測評估，并将檢測評估情況和(and)改進措施報送相關負責關鍵信息基礎設施安全保護工作(do)的(of)部門。

第五十九條：網絡運營者不(No)履行本法第二十一(one)條、第二十五條規定的(of)網絡安全保護義務的(of)，由有關主管部門責令改正，給予警告;拒不(No)改正或者導緻危害網絡安全等後果的(of)，處一(one)萬元以(by)上十萬元以(by)下罰款，對直接負責的(of)主管人(people)員處五千元以(by)上五萬元以(by)下罰款。　關鍵信息基礎設施的(of)運營者不(No)履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的(of)網絡安全保護義務的(of)，由有關主管部門責令改正，給予警告;拒不(No)改正或者導緻危害網絡安全等後果的(of)，處十萬元以(by)上一(one)百萬元以(by)下罰款，對直接負責的(of)主管人(people)員處一(one)萬元以(by)上十萬元以(by)下罰款。

來(Come)源：老李講安全