一、等保是什么

等保即信息安全等級保護，是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護；對信息系統中使用的信息安全產品實行按等級管理；對信息系統中發生的信息安全事件分等級響應、處置。

二、為什么要做等保

1、降低信息安全風險，提高信息系統的安全防護能力；

2、滿足國家相關法律法規和制度的要求；

3、滿足相關主管單位和行業要求；

4、合理地規避或降低風險。

有些公司在迅猛發展過程中往往只看重業務而忽視安全問題，不僅沒有安全團隊，對代碼和數據的保護都沒有任何措施。可能運維人員知道這個問題的嚴重性，但由于管理人員的角度不同往往會忽略這個問題的嚴重性。所以運維人員可以利用做等級保護這個契機把公司的安全隱患給消除掉。 通常人們會抱有僥幸的心理，認為自己公司這么多年不做等保不搞信息安全也沒啥事，還能省一筆費用。然而，萬一造成了信息安全事故可能造成的經濟損失將會遠遠超過你不做等保省下來的費用。

小快整理了部分信息安全事故的例子如下：

• 優酷上億條賬戶信息泄露，價值僅為300美元；
• 小紅書用戶信息大面積泄露，50人被騙近88萬元；
• 快遞員泄露客戶信息，獲取3.8萬元被判刑；
• 浙江岱山農商銀行、浙江民泰商業銀行有內部人員違規泄露客戶信息。其中，浙江岱山農商銀行被銀保監會罰款30萬，泄露信息的內部員工被禁業三年。

三、需要做等保的行業

1、政府機關：電子政務網絡；

2、金融行業：監管機構，銀行，保險公司等；

3、電信行業：各大運營商；

4、能源行業：電力（比如xxx電網），石油等；

5、互聯網單位：各大企業，上市公司等。

四、基本內容

信息安全等級保護包括：

• 定級
• 備案
• 安全建設和整改
• 信息安全等級測評
• 信息安全檢查

信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現；另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協調、協同等相互關聯關系，共同作用于信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。因此，信息系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

五、等級劃分

信息系統的安全保護等級分為以下五級，一至五級等級逐級增高：

第一級

信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

第二級

信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級

信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級

信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級

信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

六、誤區

誤區一：系統已上云或托管，就不用做等保

系統責任主體是屬于網絡運營者自己，需要承擔相應的網絡安全責任。

誤區二：系統定級越低越好

系統定級需要合理，安全責任沒有履行到位就會被處罰。

誤區三：等保工作做測評就可以

測評只是等級保護工作中的一項。

相關問題：

1、那等級保護測評都測什么？測評周期是多久？

主要涉及技術層面和管理層面的內容；

• 技術層面

物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全。

• 管理層面

安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。

按照政策要求三級信息系統每年至少需要開展一次測評；二級信息系統一般建議每兩年開展一次測評，但是部分行業明確要求每兩年開展一次測評。

2、測評之后哪些一定要立即整改？整改建設工作怎樣做？

在等保預測測評時會發現企業的安全管理制度不完善或缺失問題、系統漏洞、設備缺失或不足等問題；所以我們需要通過測評來發現問題，再解決問題，但如果遇到高危風險就必須立即整改到位。

• 安全管理制度不完善或缺失

可能有些人會覺得管理制度沒什么用，隨便維護一下就好，但其實這是一個很不好的習慣。比如外來人員可以隨意進入機房卻無需任何審批流程，這都存在很大的安全隱患。《網絡安全法》中也不止一次強調“應急預案”“應急演練”等字眼，這都是在強調需要落實管理制度，沒有好的管理制度，就算你的安全防護設備栽好也無法發揮作用。

• 漏洞補丁類等

漏洞補丁類、安全加固類、安全策略調整類等，這些軟件問題是可以直接通過人工進行整改完成，不需要再增加任何設備解決，這就對從業人員有所要求了，從業人員需要具備一定的等級保護知識，在與服務方溝通協作時可起到關鍵性的作用。

• 設備缺失或不足

不論是幾級系統，涉及的安全設備都會很多，但是并不是要求你一次性將全部設備購買到位。我們可以根據實際情況，做一個最佳的方案，以有限的資金做出最完善的整改。

誤區四：等保測評做過一次就可以了

等保工作需要根據具體的行業規定需求安排合理的評測時間。

誤區五：系統在內網，不需要做等保

所有非涉密系統都屬于等級保護范疇。

誤區六：單位整體做一個等保測評

等保測評是按照信息系統來的，而不是單位。