今天不得不等總結(jié)下關(guān)于等級保護工作的一些基礎(chǔ)性知識，方便大家對等級保護工作有個快速的認(rèn)識和了解。

一、什么是等級保護？

答：網(wǎng)絡(luò)安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

不得不等解讀：等級保護是對專有信息及信息系統(tǒng)進行分等級保護，對其中的信息安全產(chǎn)品進行按等級管理，對發(fā)現(xiàn)的安全事件分等級響應(yīng)和處置。兩個對象，三重管理。

二、等級保護工作具體步驟是怎樣的？

答：根據(jù)信息系統(tǒng)等級保護相關(guān)標(biāo)準(zhǔn)，等級保護工作總共分五個階段，分別為：1）是信息系統(tǒng)定級；2）是信息系統(tǒng)備案；3）是系統(tǒng)安全建設(shè)；4）是信息系統(tǒng)開始等級測評；5）主管單位定期開展監(jiān)督檢查。

不得不等解讀：系統(tǒng)定級和備案工作是等級保護工作開展的前提，也是等級保護工作最先要做的內(nèi)容，系統(tǒng)安全建設(shè)可以先做也可以在等級測評之后再進行，第三和第四步?jīng)]有嚴(yán)格意義上的先后順序之分。

三、開展等級保護工作的相關(guān)法律法規(guī)或文件要求？

答：《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確要求我國信息安全保障工作實行等級保護制度;《信息安全等級保護管理辦法》的通知（公通字[2007]43號）具體部署了實施信息安全等級保護工作的操作辦法;《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》（公信安[2010]303號）加快推動了等級保護工作的發(fā)展；《中華人民共和國網(wǎng)絡(luò)安全法》第21條明確了國家實行網(wǎng)絡(luò)安全等級保護制度。

不得不等解讀：網(wǎng)絡(luò)安全法的出臺將等級保護工作以法律形式確定下來，等級保護工作至此以法律的形式確定為國家網(wǎng)絡(luò)安全的基本網(wǎng)絡(luò)安全制度，不開展等級保護工作就是在違法，大家一定要認(rèn)識到問題的嚴(yán)重性。

四、等級保護分為幾個等級？

答：分為五個等級，分別為第一級（自主保護級）、第二級（指導(dǎo)保護級）、第三級（監(jiān)督保護級）、第四級（強制保護級）、第五級（專控保護級）。系統(tǒng)的重要程度從1-5級逐級升高。

不得不等解讀：我們在日常工作中需要進行等級保護測評的系統(tǒng)是2-4級，經(jīng)常遇到的是二級和三級信息系統(tǒng)，一級系統(tǒng)要求比較低，不需要進行測評，如果某個系統(tǒng)達到五級系統(tǒng)，那么這個系統(tǒng)很可能就已經(jīng)涉密了，就不是等級保護范疇了，所以在技術(shù)要求里也沒有五級的相關(guān)標(biāo)準(zhǔn)要求。

五、去哪里進行信息系統(tǒng)的定級備案工作？

答：全國絕大部分地方規(guī)定：各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊，省級單位將資料交給省公安網(wǎng)安總隊，特定行業(yè)有要求的另說，也有部分地方是先將資料交到區(qū)縣網(wǎng)安大隊，再由區(qū)縣網(wǎng)安大隊轉(zhuǎn)交地級市網(wǎng)安支隊進行備案。

不得不等解讀：系統(tǒng)定級資料填寫完成之后打印兩份，首頁蓋章，電子檔準(zhǔn)備一份，帶著這些資料去當(dāng)?shù)毓簿W(wǎng)安部門進行系統(tǒng)備案，至于到底是哪個網(wǎng)安請根據(jù)各地的要求，省、市、區(qū)縣都有可能。

六、什么是等級保護測評？

答：等級保護測評指的是等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

不得不等解讀：測評的主體是測評機構(gòu)，測評的對象是非涉密的信息系統(tǒng)。

七、信息系統(tǒng)的測評多久需要測一次？

答：四級信息系統(tǒng)要求每半年至少開展一次測評；三級信息系統(tǒng)要求每年至少開展一次測評；二級信息系統(tǒng)一般每兩年開展一次測評，時間上沒有強制要求，部分行業(yè)有行業(yè)標(biāo)準(zhǔn)要求，如教育行業(yè)明確二級系統(tǒng)兩年做一次測評。

不得不等解讀：二級系統(tǒng)為什么建議是兩年呢？一、系統(tǒng)相對三級沒那么重要，所以時間上相對長點；二、系統(tǒng)相對沒有定級的系統(tǒng)更重要些，且往往有些二級系統(tǒng)也非常重要，存儲了大量重要的信息數(shù)據(jù)（其實本來是定三級的，種種原因定了二級），不去做測評，風(fēng)險太大。

八、等級保護測評一般多長時間能測完？

答：現(xiàn)場測評周期一般一周左右，具體看信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模，有所增減。小規(guī)模安全整改2-3周，出具報告時間一周，整體持續(xù)周期1-2個月。如果整改不及時或牽涉到購買設(shè)備，時間上會相對較長。

 不得不等解讀：理論上首次測評之后出具測評報告項目就結(jié)束了，但是實際情況好多是客戶接受不了結(jié)論不符合的報告，所以很多時候是等客戶整改后，測評機構(gòu)再進行復(fù)測，復(fù)測完成后出具最終的測評報告。所以在首次測評后需要抓緊進行安全整改，整改的快自然結(jié)束的快，所以用戶單位想早點結(jié)束的話就得把安全整改抓緊落實完成。

九、等級保護測評的費用是多少？

答：測評的費用首先是按照信息系統(tǒng)來算，不是按照一個單位，第二不同等級的測評費用不一樣。費用每個省市情況不一樣，通常每個省市都有自己的一個價格區(qū)間。整體價格的規(guī)律是系統(tǒng)等級越高測評費用越多，系統(tǒng)規(guī)模越大測評費用越高，具體價格和當(dāng)?shù)販y評機構(gòu)進行確定。

不得不等解讀：測評的費用按照系統(tǒng)個數(shù)和系統(tǒng)的等級去核算，等級越高的相對費用越高，具體請根據(jù)每個省的行情來看。

十、用戶單位需要開展等級保護測評，找誰去做？

答：根據(jù)目前最新的測評機構(gòu)管理辦法規(guī)定：具有有效的信息安全等級保護測評機構(gòu)推薦證書且沒有被停業(yè)整頓的測評機構(gòu)均有資格開展等級測評工作。

不得不等解讀：測評必須是有資質(zhì)有資格的測評公司去做，有些廠商或者集成商號稱能做測評，他們可能是有這個技術(shù)水平，但是沒有這個資格和資質(zhì)，另外現(xiàn)在全國放開了，理論上想去哪里開展業(yè)務(wù)都可以。

十一、等級保護測評后的最終結(jié)論分為哪幾種？

答：測評最終結(jié)論分為不符合、基本符合和符合三種。除了結(jié)論之外還有具體得分，如82分。

不得不等解讀：測評的結(jié)論理論上有符合這種結(jié)論，就是滿分100分的情況，但是實際上很難達到，也幾乎沒有出現(xiàn)過，如果你們家測評達到100分了，或者你經(jīng)?？吹接腥说?00分，那一定是這家測評機構(gòu)不負責(zé)任地在測評。一方面是沒有絕對的安全，另一方面等保的一些條款確實很難達到或者不適用。初次做等保能達到65-75之間就已經(jīng)不錯了。

十二、等級保護測評結(jié)論不符合是不是等級保護工作就白做了？

答：等級保護測評結(jié)論不符合表示目前該信息系統(tǒng)存在高危風(fēng)險或整體安全性較差，不符合等保的相應(yīng)標(biāo)準(zhǔn)要求。但是這并不代表等級保護工作白做了，即使你拿著不符合的測評報告，主管單位也是承認(rèn)你們單位今年的等級保護工作已經(jīng)開展過了，只是目前的問題較多，沒達到相應(yīng)的標(biāo)準(zhǔn)。

不得不等解讀：測評結(jié)論不符合不是最重要的，最重要的是我們已經(jīng)發(fā)現(xiàn)了問題，下面就需要及時對這些問題特別是高危風(fēng)險及時進行安全整改，消除隱患，降低風(fēng)險。