信息系统等级保护测评(简称“等保”)

一、什么是信息系统等级保护？

信息系统等级保护（简称“等保”）是我们国家的基本网络安全制度、基本国策，也是 一套完整和完善的网络安全管理体系。遵循等保相关标准开始安全建设是目前企事业单位的 普遍要求，也是国家关键信息基础措施保护的基本要求。

二、为什么要开展等保工作？

通过等保工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息 系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

等保是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级 保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。很多行业 主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、 广电、医疗、教育等行业等。落实个人及单位的网络安全保护义务，合理规避风险。

三、申报流程

1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、 公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，企业可以自己独立完成，也可以聘请等保测评机构、有等保 安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章 定级 原理及流程。

4、等保对象的安全等级保护制度目前我国信息系统安全级别分为 1-5 级，1为最低级， 5为最高级。

a) 第一级，等保对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损 害国家安全、社会秩序和公共利益；

b) 第二级，等保对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或 者对社会秩序和公共利益造成损害，但不损害国家安全；

c) 第三级，等保对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害， 或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 70

d) 第四级，等保对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家 安全造成严重损害；

 e) 第五级，等保对象受到破坏后，会对国家安全造成特别严重损害。

 5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、 大数据等。

6、以上信息确定好后，根据企业信息系统及机房实际情况，编写《信息系统安全等级保 护备案表》、《信息系统安全等级保护定级报告》。

7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组最低由三名信息 安全专家和业务专家组成，其中一名应为等保高级测评师，专家组现场会根据企业负责人对 公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；专家评审流程： 根据要求确定专家组评审名单、编辑专家评审会议议程、专家签到表、信息系统定级专家评 审意见表、被定级单位及信息系统介绍PPT。专家评审现场工作流程：专家组到现场签到入座、 企业负责人将定级备案表及定级报告纸质版给专家组查阅，专家组宣布会议开始，由企业负 责人介绍公司及信息系统实际情况，专家组根据公司介绍、现场访谈、备案表、定级报告等 信息提出建议，形成专家评审意见表，现场打印由专家组签字，专家评审工作完成。