一、等保是什么

等保即信息安全等級(jí)保護(hù)，是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲(chǔ)、傳輸、處理這些信息時(shí)分等級(jí)實(shí)行安全保護(hù)；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理；對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

二、為什么要做等保

1、降低信息安全風(fēng)險(xiǎn)，提高信息系統(tǒng)的安全防護(hù)能力；

2、滿足國(guó)家相關(guān)法律法規(guī)和制度的要求；

3、滿足相關(guān)主管單位和行業(yè)要求；

4、合理地規(guī)避或降低風(fēng)險(xiǎn)。

有些公司在迅猛發(fā)展過程中往往只看重業(yè)務(wù)而忽視安全問題，不僅沒有安全團(tuán)隊(duì)，對(duì)代碼和數(shù)據(jù)的保護(hù)都沒有任何措施?？赡苓\(yùn)維人員知道這個(gè)問題的嚴(yán)重性，但由于管理人員的角度不同往往會(huì)忽略這個(gè)問題的嚴(yán)重性。所以運(yùn)維人員可以利用做等級(jí)保護(hù)這個(gè)契機(jī)把公司的安全隱患給消除掉。 通常人們會(huì)抱有僥幸的心理，認(rèn)為自己公司這么多年不做等保不搞信息安全也沒啥事，還能省一筆費(fèi)用。然而，萬一造成了信息安全事故可能造成的經(jīng)濟(jì)損失將會(huì)遠(yuǎn)遠(yuǎn)超過你不做等保省下來的費(fèi)用。

小快整理了部分信息安全事故的例子如下：

• 優(yōu)酷上億條賬戶信息泄露，價(jià)值僅為300美元；
• 小紅書用戶信息大面積泄露，50人被騙近88萬元；
• 快遞員泄露客戶信息，獲取3.8萬元被判刑；
• 浙江岱山農(nóng)商銀行、浙江民泰商業(yè)銀行有內(nèi)部人員違規(guī)泄露客戶信息。其中，浙江岱山農(nóng)商銀行被銀保監(jiān)會(huì)罰款30萬，泄露信息的內(nèi)部員工被禁業(yè)三年。

三、需要做等保的行業(yè)

1、政府機(jī)關(guān)：電子政務(wù)網(wǎng)絡(luò)；

2、金融行業(yè)：監(jiān)管機(jī)構(gòu)，銀行，保險(xiǎn)公司等；

3、電信行業(yè)：各大運(yùn)營(yíng)商；

4、能源行業(yè)：電力（比如xxx電網(wǎng)），石油等；

5、互聯(lián)網(wǎng)單位：各大企業(yè)，上市公司等。

四、基本內(nèi)容

信息安全等級(jí)保護(hù)包括：

• 定級(jí)
• 備案
• 安全建設(shè)和整改
• 信息安全等級(jí)測(cè)評(píng)
• 信息安全檢查

信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來實(shí)現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級(jí)測(cè)評(píng)在安全控制測(cè)評(píng)的基礎(chǔ)上，還要包括系統(tǒng)整體測(cè)評(píng)。

五、等級(jí)劃分

信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)，一至五級(jí)等級(jí)逐級(jí)增高：

第一級(jí)

信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級(jí)

信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。

第三級(jí)

信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級(jí)

信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級(jí)

信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

六、誤區(qū)

誤區(qū)一：系統(tǒng)已上云或托管，就不用做等保

系統(tǒng)責(zé)任主體是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己，需要承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任。

誤區(qū)二：系統(tǒng)定級(jí)越低越好

系統(tǒng)定級(jí)需要合理，安全責(zé)任沒有履行到位就會(huì)被處罰。

誤區(qū)三：等保工作做測(cè)評(píng)就可以

測(cè)評(píng)只是等級(jí)保護(hù)工作中的一項(xiàng)。

相關(guān)問題：

1、那等級(jí)保護(hù)測(cè)評(píng)都測(cè)什么？測(cè)評(píng)周期是多久？

主要涉及技術(shù)層面和管理層面的內(nèi)容；

• 技術(shù)層面

物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全。

• 管理層面

安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理。

按照政策要求三級(jí)信息系統(tǒng)每年至少需要開展一次測(cè)評(píng)；二級(jí)信息系統(tǒng)一般建議每?jī)赡?/span>開展一次測(cè)評(píng)，但是部分行業(yè)明確要求每?jī)赡觊_展一次測(cè)評(píng)。

2、測(cè)評(píng)之后哪些一定要立即整改？整改建設(shè)工作怎樣做？

在等保預(yù)測(cè)測(cè)評(píng)時(shí)會(huì)發(fā)現(xiàn)企業(yè)的安全管理制度不完善或缺失問題、系統(tǒng)漏洞、設(shè)備缺失或不足等問題；所以我們需要通過測(cè)評(píng)來發(fā)現(xiàn)問題，再解決問題，但如果遇到高危風(fēng)險(xiǎn)就必須立即整改到位。

• 安全管理制度不完善或缺失

可能有些人會(huì)覺得管理制度沒什么用，隨便維護(hù)一下就好，但其實(shí)這是一個(gè)很不好的習(xí)慣。比如外來人員可以隨意進(jìn)入機(jī)房卻無需任何審批流程，這都存在很大的安全隱患?！毒W(wǎng)絡(luò)安全法》中也不止一次強(qiáng)調(diào)“應(yīng)急預(yù)案”“應(yīng)急演練”等字眼，這都是在強(qiáng)調(diào)需要落實(shí)管理制度，沒有好的管理制度，就算你的安全防護(hù)設(shè)備栽好也無法發(fā)揮作用。

• 漏洞補(bǔ)丁類等

漏洞補(bǔ)丁類、安全加固類、安全策略調(diào)整類等，這些軟件問題是可以直接通過人工進(jìn)行整改完成，不需要再增加任何設(shè)備解決，這就對(duì)從業(yè)人員有所要求了，從業(yè)人員需要具備一定的等級(jí)保護(hù)知識(shí)，在與服務(wù)方溝通協(xié)作時(shí)可起到關(guān)鍵性的作用。

• 設(shè)備缺失或不足

不論是幾級(jí)系統(tǒng)，涉及的安全設(shè)備都會(huì)很多，但是并不是要求你一次性將全部設(shè)備購(gòu)買到位。我們可以根據(jù)實(shí)際情況，做一個(gè)最佳的方案，以有限的資金做出最完善的整改。

誤區(qū)四：等保測(cè)評(píng)做過一次就可以了

等保工作需要根據(jù)具體的行業(yè)規(guī)定需求安排合理的評(píng)測(cè)時(shí)間。

誤區(qū)五：系統(tǒng)在內(nèi)網(wǎng)，不需要做等保

所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇。

誤區(qū)六：?jiǎn)挝徽w做一個(gè)等保測(cè)評(píng)

等保測(cè)評(píng)是按照信息系統(tǒng)來的，而不是單位。