在中國(guó)，信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作；狹義上一般指信息系統(tǒng)（APP）安全等級(jí)保護(hù)。

互聯(lián)網(wǎng)時(shí)代，隨著信息化進(jìn)程不斷推進(jìn)，網(wǎng)絡(luò)和信息系統(tǒng)的安全問(wèn)題愈加重要。一些企業(yè)和機(jī)構(gòu)掌握著大量公民隱私信息，一旦遭到網(wǎng)絡(luò)攻擊，便會(huì)造成十分嚴(yán)重的后果。而圍繞等保合規(guī)建設(shè)實(shí)現(xiàn)安全管理體系化，是當(dāng)下中國(guó)企業(yè)全面提升安全防護(hù)能力的必要路徑和契機(jī)。
 

問(wèn)

為什么要做等級(jí)保護(hù)？

答

法律法規(guī)要求：《網(wǎng)絡(luò)安全法》第二十一條：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
行業(yè)要求：在金融、電力、廣電、醫(yī)療、教育等行業(yè)，主管單位明確要求從業(yè)機(jī)構(gòu)的信息系統(tǒng)（APP）要開(kāi)展等級(jí)保護(hù)工作。
企業(yè)系統(tǒng)安全的需求：信息系統(tǒng)運(yùn)營(yíng)、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力，降低被攻擊的風(fēng)險(xiǎn)。簡(jiǎn)單來(lái)說(shuō)，《網(wǎng)絡(luò)安全法》一直對(duì)網(wǎng)站、信息系統(tǒng)、APP有等級(jí)保護(hù)要求，中小型企業(yè)通常是行業(yè)要求才意識(shí)到問(wèn)題。
 

問(wèn)

信息安全等級(jí)保護(hù)測(cè)評(píng)的依據(jù)？

答

依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（公通字[2007]43號(hào))》“等級(jí)保護(hù)的實(shí)施與管理”中的第十四條：信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。

1

第一級(jí)：用戶(hù)自主保護(hù)級(jí)，目前1.0版本不需要去備案（提交材料公安部也會(huì)給備案證明），等保2.0是需要備案的；

2

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)，二級(jí)信息系統(tǒng)為自主檢查或上級(jí)主管部門(mén)進(jìn)行檢查，建議時(shí)間為每?jī)赡隀z查一次；

3

第三級(jí)：安全標(biāo)記保護(hù)級(jí)，三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)；

4

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)，四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)；

5

第五級(jí)：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)，五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。
其中三級(jí)等保是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)認(rèn)證，屬于“監(jiān)管級(jí)別”，由國(guó)家信息安全監(jiān)管部門(mén)進(jìn)行監(jiān)督、檢查。具體程序包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查共五個(gè)階段。認(rèn)證測(cè)評(píng)內(nèi)容分別涵蓋5個(gè)等級(jí)保護(hù)安全技術(shù)要求和5個(gè)安全管理要求，包含信息保護(hù)、安全審計(jì)、通信保密等近300項(xiàng)要求，共涉及測(cè)評(píng)分類(lèi)73類(lèi)，要求十分嚴(yán)格。
對(duì)于企業(yè)來(lái)說(shuō)，最常見(jiàn)的誤區(qū)是把等保測(cè)評(píng)當(dāng)成“應(yīng)試”和負(fù)擔(dān)。事實(shí)上等保不是考試，不是為了應(yīng)付，而是通過(guò)等保發(fā)現(xiàn)問(wèn)題、解決問(wèn)題，提高信息系統(tǒng)的安全防護(hù)能力。此外，等保只是網(wǎng)絡(luò)安全的手段而不是目的，是起點(diǎn)而不是終點(diǎn)。與安全能力同步建設(shè)和投資策略匹配的“合規(guī)”，才是高效實(shí)現(xiàn)“持續(xù)安全”和“動(dòng)態(tài)安全”的基礎(chǔ)。