一、等保是什么

等保即信息安全等級保護，是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

二、為什么要做等保

1、降低信息安全風險，提高信息系統(tǒng)的安全防護能力；

2、滿足國家相關(guān)法律法規(guī)和制度的要求；

3、滿足相關(guān)主管單位和行業(yè)要求；

4、合理地規(guī)避或降低風險。

有些公司在迅猛發(fā)展過程中往往只看重業(yè)務(wù)而忽視安全問題，不僅沒有安全團隊，對代碼和數(shù)據(jù)的保護都沒有任何措施。可能運維人員知道這個問題的嚴重性，但由于管理人員的角度不同往往會忽略這個問題的嚴重性。所以運維人員可以利用做等級保護這個契機把公司的安全隱患給消除掉。 通常人們會抱有僥幸的心理，認為自己公司這么多年不做等保不搞信息安全也沒啥事，還能省一筆費用。然而，萬一造成了信息安全事故可能造成的經(jīng)濟損失將會遠遠超過你不做等保省下來的費用。

小快整理了部分信息安全事故的例子如下：

• 優(yōu)酷上億條賬戶信息泄露，價值僅為300美元；
• 小紅書用戶信息大面積泄露，50人被騙近88萬元；
• 快遞員泄露客戶信息，獲取3.8萬元被判刑；
• 浙江岱山農(nóng)商銀行、浙江民泰商業(yè)銀行有內(nèi)部人員違規(guī)泄露客戶信息。其中，浙江岱山農(nóng)商銀行被銀保監(jiān)會罰款30萬，泄露信息的內(nèi)部員工被禁業(yè)三年。

三、需要做等保的行業(yè)

1、政府機關(guān)：電子政務(wù)網(wǎng)絡(luò)；

2、金融行業(yè)：監(jiān)管機構(gòu)，銀行，保險公司等；

3、電信行業(yè)：各大運營商；

4、能源行業(yè)：電力（比如xxx電網(wǎng)），石油等；

5、互聯(lián)網(wǎng)單位：各大企業(yè)，上市公司等。

四、基本內(nèi)容

信息安全等級保護包括：

• 定級
• 備案
• 安全建設(shè)和整改
• 信息安全等級測評
• 信息安全檢查

信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體測評。

五、等級劃分

信息系統(tǒng)的安全保護等級分為以下五級，一至五級等級逐級增高：

第一級

信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。

第二級

信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。

第三級

信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。

第四級

信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。

第五級

信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。

六、誤區(qū)

誤區(qū)一：系統(tǒng)已上云或托管，就不用做等保

系統(tǒng)責任主體是屬于網(wǎng)絡(luò)運營者自己，需要承擔相應(yīng)的網(wǎng)絡(luò)安全責任。

誤區(qū)二：系統(tǒng)定級越低越好

系統(tǒng)定級需要合理，安全責任沒有履行到位就會被處罰。

誤區(qū)三：等保工作做測評就可以

測評只是等級保護工作中的一項。

相關(guān)問題：

1、那等級保護測評都測什么？測評周期是多久？

主要涉及技術(shù)層面和管理層面的內(nèi)容；

• 技術(shù)層面

物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全。

• 管理層面

安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理。

按照政策要求三級信息系統(tǒng)每年至少需要開展一次測評；二級信息系統(tǒng)一般建議每兩年開展一次測評，但是部分行業(yè)明確要求每兩年開展一次測評。

2、測評之后哪些一定要立即整改？整改建設(shè)工作怎樣做？

在等保預(yù)測測評時會發(fā)現(xiàn)企業(yè)的安全管理制度不完善或缺失問題、系統(tǒng)漏洞、設(shè)備缺失或不足等問題；所以我們需要通過測評來發(fā)現(xiàn)問題，再解決問題，但如果遇到高危風險就必須立即整改到位。

• 安全管理制度不完善或缺失

可能有些人會覺得管理制度沒什么用，隨便維護一下就好，但其實這是一個很不好的習(xí)慣。比如外來人員可以隨意進入機房卻無需任何審批流程，這都存在很大的安全隱患。《網(wǎng)絡(luò)安全法》中也不止一次強調(diào)“應(yīng)急預(yù)案”“應(yīng)急演練”等字眼，這都是在強調(diào)需要落實管理制度，沒有好的管理制度，就算你的安全防護設(shè)備栽好也無法發(fā)揮作用。

• 漏洞補丁類等

漏洞補丁類、安全加固類、安全策略調(diào)整類等，這些軟件問題是可以直接通過人工進行整改完成，不需要再增加任何設(shè)備解決，這就對從業(yè)人員有所要求了，從業(yè)人員需要具備一定的等級保護知識，在與服務(wù)方溝通協(xié)作時可起到關(guān)鍵性的作用。

• 設(shè)備缺失或不足

不論是幾級系統(tǒng)，涉及的安全設(shè)備都會很多，但是并不是要求你一次性將全部設(shè)備購買到位。我們可以根據(jù)實際情況，做一個最佳的方案，以有限的資金做出最完善的整改。

誤區(qū)四：等保測評做過一次就可以了

等保工作需要根據(jù)具體的行業(yè)規(guī)定需求安排合理的評測時間。

誤區(qū)五：系統(tǒng)在內(nèi)網(wǎng)，不需要做等保

所有非涉密系統(tǒng)都屬于等級保護范疇。

誤區(qū)六：單位整體做一個等保測評

等保測評是按照信息系統(tǒng)來的，而不是單位。