等保評(píng)級(jí)是什么？為什么要進(jìn)行等保評(píng)級(jí)？

這是一個(gè)很好的問(wèn)題，也是許多人關(guān)心的話題。等保評(píng)級(jí)，全稱(chēng)是信息安全等級(jí)保護(hù)評(píng)級(jí)，是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)的制度。等保評(píng)級(jí)的目的是為了有效防范和管理各種信息技術(shù)風(fēng)險(xiǎn)，提升國(guó)家層面的安全水平，保障網(wǎng)絡(luò)生態(tài)環(huán)境健康發(fā)展。

為了讓大家更好地理解等保評(píng)級(jí)，本文將從以下幾個(gè)方面進(jìn)行介紹：

等保評(píng)級(jí)的背景和發(fā)展歷程

等保評(píng)級(jí)作為國(guó)家信息安全的基本制度，其源頭可以追溯到1994年2月18日《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院第147號(hào)令），這是我國(guó)第一部涉及信息安全的法規(guī)。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，我國(guó)在2007年6月22日出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)），正式建立了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。這一制度被稱(chēng)為等保1.0，主要針對(duì)傳統(tǒng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全分級(jí)、建設(shè)、測(cè)評(píng)和監(jiān)督。

然而，等保1.0隨著時(shí)間的推移，已經(jīng)無(wú)法有效地應(yīng)對(duì)新技術(shù)帶來(lái)的信息安全風(fēng)險(xiǎn)，特別是云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)以及人工智能等新技術(shù)不斷涌現(xiàn)，計(jì)算機(jī)信息系統(tǒng)的概念已經(jīng)不能涵蓋全部，而且網(wǎng)絡(luò)安全威脅也日益增多和復(fù)雜。為了滿(mǎn)足新的技術(shù)挑戰(zhàn)，我國(guó)在2017年6月1日正式實(shí)施了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，將網(wǎng)絡(luò)安全等級(jí)保護(hù)制度寫(xiě)入法律，并要求“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，履行安全保護(hù)義務(wù)”。在此基礎(chǔ)上，我國(guó)在2019年5月13日發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，構(gòu)建了以可信計(jì)算技術(shù)為基礎(chǔ)的等級(jí)保護(hù)核心技術(shù)體系，并針對(duì)云計(jì)算、大數(shù)據(jù)、工業(yè)控制系統(tǒng)和移動(dòng)互聯(lián)技術(shù)等不同領(lǐng)域的安全保護(hù)需求提出了安全擴(kuò)展要求。這一制度被稱(chēng)為等保2.0，是對(duì)等保1.0的升級(jí)和完善。

等保評(píng)級(jí)的對(duì)象和標(biāo)準(zhǔn)

等保評(píng)級(jí)的對(duì)象是指需要進(jìn)行安全分級(jí)和測(cè)評(píng)的信息系統(tǒng)或者相關(guān)技術(shù)平臺(tái)。根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：

具有確定的主要安全責(zé)任主體；

承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；

包含相互關(guān)聯(lián)的多個(gè)資源。

注：主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會(huì)團(tuán)體等其他組織。

注：避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級(jí)對(duì)象。

注：在確定定級(jí)對(duì)象時(shí)，云計(jì)算平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)以及采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)在滿(mǎn)足以上基本特征的基礎(chǔ)上，還需滿(mǎn)足以下要求：

云計(jì)算平臺(tái)/系統(tǒng)應(yīng)作為一個(gè)整體對(duì)象定級(jí)，云計(jì)算平臺(tái)/系統(tǒng)中的各個(gè)資源不單獨(dú)定級(jí)；

物聯(lián)網(wǎng)應(yīng)作為一個(gè)整體對(duì)象定級(jí)，主要包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層要素；

工業(yè)控制系統(tǒng)應(yīng)作為一個(gè)整體對(duì)象定級(jí)，主要包括生產(chǎn)管理層、現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層和過(guò)程監(jiān)控層要素；

采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)應(yīng)作為一個(gè)整體對(duì)象定級(jí)，移動(dòng)終端、移動(dòng)應(yīng)用和無(wú)線網(wǎng)絡(luò)等要素不單獨(dú)定級(jí)。

等保評(píng)級(jí)的標(biāo)準(zhǔn)是指根據(jù)信息系統(tǒng)的安全重要性和受到破壞后的危害程度，將信息系統(tǒng)劃分為五個(gè)安全保護(hù)等級(jí)，分別是第一級(jí)（自主保護(hù)級(jí)）、第二級(jí)（指導(dǎo)保護(hù)級(jí)）、第三級(jí)（監(jiān)督保護(hù)級(jí)）、第四級(jí)（強(qiáng)制保護(hù)級(jí)）和第五級(jí)（專(zhuān)控保護(hù)級(jí)），一至五級(jí)等級(jí)逐級(jí)增高。其中，第一級(jí)信息系統(tǒng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成的損害程度最低；第五級(jí)信息系統(tǒng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成的損害程度最高。

根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，每個(gè)安全保護(hù)等級(jí)都有相應(yīng)的通用要求和擴(kuò)展要求。通用要求包括安全通用要求和安全管理要求。安全通用要求是指適用于所有等級(jí)保護(hù)對(duì)象的安全技術(shù)要求，包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等五個(gè)方面。安全管理要求是指適用于所有等級(jí)保護(hù)對(duì)象的安全管理制度和流程要求，包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等五個(gè)方面。擴(kuò)展要求是指針對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和移動(dòng)互聯(lián)技術(shù)等不同領(lǐng)域的特殊性和差異性提出的補(bǔ)充性或調(diào)整性的安全技術(shù)要求。

等保評(píng)級(jí)的流程和要求

等保評(píng)級(jí)的流程主要包括以下幾個(gè)步驟：

初步定級(jí)：信息系統(tǒng)運(yùn)營(yíng)使用單位按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，并起草《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告》；

專(zhuān)家評(píng)審：對(duì)初步確定為第三級(jí)及以上的定級(jí)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)組織相關(guān)專(zhuān)家進(jìn)行評(píng)審，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)專(zhuān)家評(píng)審意見(jiàn)》；

主管部門(mén)審批：對(duì)初步確定為第四級(jí)及以上的定級(jí)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)報(bào)送相關(guān)主管部門(mén)進(jìn)行審批，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)

審批意見(jiàn)》；

定級(jí)備案：對(duì)初步確定為第三級(jí)及以上的定級(jí)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)將定級(jí)結(jié)果報(bào)送相關(guān)主管部門(mén)進(jìn)行備案，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案表》；

定級(jí)公示：對(duì)初步確定為第四級(jí)及以上的定級(jí)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)將定級(jí)結(jié)果在相關(guān)媒體上進(jìn)行公示，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)公示材料》。

等保評(píng)級(jí)的要求主要包括以下幾個(gè)方面：

定期復(fù)核：信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)根據(jù)信息系統(tǒng)的安全重要性和變化情況，定期對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行復(fù)核，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)復(fù)核報(bào)告》；

變更申請(qǐng)：信息系統(tǒng)運(yùn)營(yíng)使用單位在信息系統(tǒng)發(fā)生重大變更或者受到嚴(yán)重安全事件影響時(shí)，應(yīng)當(dāng)及時(shí)對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行調(diào)整，并報(bào)送相關(guān)主管部門(mén)進(jìn)行審批或備案，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)變更申請(qǐng)表》；

安全測(cè)評(píng)：信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)指南》，委托具有相應(yīng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)的安全保護(hù)能力進(jìn)行測(cè)評(píng)，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》；

安全監(jiān)督：相關(guān)主管部門(mén)應(yīng)當(dāng)根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督管理辦法》，對(duì)信息系統(tǒng)的安全保護(hù)情況進(jìn)行監(jiān)督檢查，并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查報(bào)告》。

等保評(píng)級(jí)的意義和價(jià)值

等保評(píng)級(jí)是一項(xiàng)重要的國(guó)家戰(zhàn)略，其意義和價(jià)值主要體現(xiàn)在以下幾個(gè)方面：

提高信息系統(tǒng)的安全性和可靠性：通過(guò)等保評(píng)級(jí)，可以使信息系統(tǒng)按照不同的風(fēng)險(xiǎn)水平采取相應(yīng)的安全措施，有效地防止和抵御各種網(wǎng)絡(luò)攻擊和威脅，確保信息系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的完整性、可用性和機(jī)密性；

促進(jìn)信息化建設(shè)和發(fā)展：通過(guò)等保評(píng)級(jí)，可以規(guī)范和指導(dǎo)信息系統(tǒng)的設(shè)計(jì)、建設(shè)、運(yùn)維和管理，提高信息系統(tǒng)的質(zhì)量和效率，支撐各行各業(yè)的數(shù)字化轉(zhuǎn)型和創(chuàng)新發(fā)展；

保障國(guó)家安全和社會(huì)穩(wěn)定：通過(guò)等保評(píng)級(jí)，可以有效地維護(hù)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及相關(guān)利益，防止信息泄露、篡改、破壞或?yàn)E用，維護(hù)國(guó)家主權(quán)、領(lǐng)土完整、政治安全、經(jīng)濟(jì)發(fā)展、社會(huì)秩序和公共利益。

總之，等保評(píng)級(jí)是一項(xiàng)涉及國(guó)計(jì)民生、關(guān)乎國(guó)家未來(lái)的重大工程，也是一項(xiàng)需要廣泛參與、持續(xù)推進(jìn)、不斷完善的長(zhǎng)期任務(wù)。希望本文能夠幫助大家了解等保評(píng)級(jí)的基本概念、內(nèi)容和流程，也歡迎大家積極參與到等保評(píng)級(jí)的實(shí)踐中來(lái)，為構(gòu)建一個(gè)更加安全、開(kāi)放、共享的網(wǎng)絡(luò)空間貢獻(xiàn)自己的力量。謝謝！

本文鏈接：http://m.51huadong.com/cloundnews/11009276.html