关于《网络安全法》- 等级保护要点解析

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（日志留存）

（四）采取数据分类、重要数据备份和加密等措施；（数据安全）

（五）法律、行政法规规定的其他义务。

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（CII必须落实国家等级保护制度，突出保护重点）

配套法规 -《网络安全等级保护条例》

关键信息基础设施的安全保护等级不低于第三级

等级保护基础-等级划分

等级保护基础-定级参考

等保通过辅助服务流程

等保概念相关问题解答

Q1：什么是等级保护？

答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

Q2：什么是等级保护 2.0？

答：“等级保护 2.0”或“等保 2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是2017年6月1日《中华人民共和国网络安全法》颁布实行后提出，以 2019 年 5月 13日发布的网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。等保2.0于2019年12月1日正式实施。

Q3：“等保”与“分保”有什么区别？

答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。

适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。

等级分类不同，等级保护分 5 个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分 3 个级别：秘密级、机密级、绝密级。

Q4：“等保”与“关保”有什么区别？

答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。

Q5：什么是等级保护测评？

答：指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。

Q6：等级保护是否是强制性的,可以不做吗？

答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。等级保护相关标准虽然为非强制性的推荐标准，但网络（个人与家庭网络除外）运营者必需按网络安全法开展等级保护工作。

Q7：做等级保护要多少钱？

答：开展等级保护工作会包含：针对业务系统开展测评的费用，以及按等级保护要求开发、购买或部署安全防护产品成本，开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期，以及业务系统安全防护能力建设与整改的情况而定，相应的费用投入会差距很大。为避免盲目投入这个误区，建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。

Q8：等级保护测评一般多长时间能测完？

答：一个二级或三级的系统整体持续周期 1-2 个月。

现场测评周期一般 1 周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。小规模安全整改（管理制度、策略配置技术整改）2-3 周，出具报告时间 1 周。

Q9：等级保护测评多久做一次？

答：根据《网络安全等级保护条例》（征求意见稿）第二十三条规定：第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

Q10：是否系统定级越低越好？

答：不是。可根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

Q11：定级备案了是否就被监管了？

答：没有定级备案并不代表不需被监管，应尽快履行网络运营者的安全责任进行备案。定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警，有利于网络运营者开展网络安全工作降低风险。

Q12：等级保护工作就是做个测评吗？

答：等级保护工作包括定级、备案、测评、建设整改、监督审查，测评只是其中一项。测评不是等保工作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能力，降低安全风险。

Q13：等级保护测评做一次要多少钱？

答：等级保护工作属于属地化管理，测评收费非全国统一价，测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。如厦门测评公司参考报价为：二级系统测评费 5-6 万，三级系统测评费8-10 万。

Q14：等保测评后就要花很多钱做整改吗？

答：不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向，除安全设备或服务外，安全管理制度、安全策略调整的整改成本并不高，同样也能快速提升安全保障能力。

Q15：过等保要花多少钱？能包过吗？

答：等级保护采用备案与测评机制而非认证机制，不存在包过的说法，盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分，咨询专业的第三方安全咨询服务机构来开展等建设工作与测评机构的选择。

Q16：做了等级测评之后，是否会给发合格证书？

答：等级保护采用备案与测评机制而非认证机制，公安机关只对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全等级保护备案证明，发现不符合有关标准的，通知备案单位予以纠正，发现定级不准的，通知备案单位重新审核确定。

Q17：如何快速理解等保 2.0 测评结果？

答：等级保护 2.0 测评结果包括得分与结论评价；得分为百分制，及格线为 70 分；结论评价分为优、良、中、差四个等级。得分 90 分（含）以上为优，80 分（含）以上为良，70分（含）以上为中，70 分以下为差。

Q18：多长时间能拿到备案证明？

答：全国各省网警管理有所差异，一般提交备案流程后，如资料完备（三级系统要求含测评报告），顺利通过审核后 15 个工作日即可拿到备案证明。

Q19：不同公司的业务系统整合后是否可以算一个系统？

答：如果两个业务系统整合后功能高度融合，后台统一，可以认为是一个系统，只是业务功能增加，按业务系统更变申请复测即可。

Q20：如何判定属于移动安全扩展要求？

答：当业务系统要满足具有专用 APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。

Q21：如何选择等级保护备案所在地？

答：建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警（公共信息网络安全监察局）备案并找本地测评机构测评。

Q22：如何选择测评机构开展测评？

答：选择有测评资质的测评公司，优先考虑本地测评公司。可参照中国网络安全等级保护网（http://djbh.net）的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标，同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。深圳一般选择广东竞远和网安。

Q23：如何确定业务系统属于等保几级？

答：可参照等级保护定级指南，从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。当确定系统级别后，可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据，可直接参照采纳行业定级标准定级。

Q24：买/用哪些安全产品能过等保？

答：可根据实际情况，如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询专业的安全咨询服务机构定制解决方案。

Q25：现在还没做等保还来得及吗？有什么影响？

答：来得及。可先根据定级备案要求和流程，先向公安递交定级备案文件，测评与整改预算提上日程，在经费未落实前，可以先进行系统定级、差距分析、整改计划制订等工作。

Q26：业务系统在云上，安全是云平台负责的吧？

答：根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）附录 D，云服务商根据提供的 IaaS、PaaS、SaaS 模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

Q27：做完等级保护测评后整改周期是多久？

答：无明确规定。可优先把高危风险及最急需整改的内容先整改，不强制要求一次或一年内全部整改到位，安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容，而不是因为做了等保测评才需要去做的。

Q28：等级保护有哪些规范标准？

答：等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个：

GB/T 31167-2014 信息安全技术 云计算服务安全指南

GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

GB/T 36326-2018 信息技术 云计算云服务运营通用要求

GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南

GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求

GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南

GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求

GM/T 0054-2018 信息系统密码应用基本要求

GB/T 35273-2020 信息安全技术 个人信息安全规范

Q29：等级保护步骤或流程是什么样的？

答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。

Q30：有哪些情况系统定级无需专家评审？

答：信息系统运营使用单位有上级主管部门，且对信息系统的安全保护等级有定级指导意见或审核批准的，可无需再进行等级专家评审。

主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。

Q31：业务系统在内/专网，还需要做等保吗？

答：需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

Q32：等级保护测评结论不符合是不是等级保护工作就白做了？

答：不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差，不符合等保的相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准。

Q33：拿什么证明开展过等级保护工作？

答：测评报告，即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。

Q34：系统在云上，还要做等保吗？

答：要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC 托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。云计算服务的安全由云服务方和云租户共同保障，分别定级，云服务方和云租户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。云服务提供商负责云基础设施层面的安全，云租户负责虚拟化层以上的安全。其称为“合规责任共担模型”具体如下：

Q35：业务在云上，到哪里进行定级备案？

答：可在业务系统运维团队或其公司主体经营注册地向公安网警进行备案，与业务系统在云上的资源物理节点的地点无关。