不符合網路安全等級保護基本要求

『壹』 等級保護測評到底是做什麼的

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

企業辦理網路安全等級保護備案的原因：

1.建立有效的網路安全防禦體系（讓客戶的系統真正具有安全防禦的能力）

2. 完成信息系統等級保護公安備案（取得備案證明） ，順利通過網路安全等級保護測評（取得測評報告）

3 滿足相關部門的合規性要求（包括國家的政策，法律法規的要求，還有上級部門的要求，還有甲方客戶的要求等）

4. 系統過了等保，一定程度上可以提高企業投標鎖標的能力，為投標加分

證書案例

『貳』 有沒有詳細的網路安全等級保護流程介紹謝謝了。

開展網路安全等級保護工作的五個規定基本動作：定級、備案、建設整改、等級測評、監督檢查。具體細節：

定級階段：

網路運營者確定等級保護對象，明確定級對象，梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。

備案階段：

第二級及以上網路運營者在定級、撤銷或變更調整網路安全保護等級時，在明確安全保護等級後需在10個工作日內，到縣級以上機關備案，提交相關材料。

建設整改階段：

安全建設整改工作分五步進行：

落實安全建設整改工作部門，建設整改工作規劃，進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略，制定網路安全建設整改方案
根據網路安全建設整改方案，實施安全建設工程;
開展安全自查和等級測評，及時發現安全風險及安全問題，進一步開展整改。

注意：全國各地區政策不一樣，以實際情況為准。

等級測評階段：

網路安全等級保護測評過程分為4個基本活動：測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。

監督檢查階段：

每年至少開展一次安全檢查，涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時，機關可以委託社會力量提供技術支持。

以上都是摘自時代新威官網，裡面等保干貨非常多，解釋更加規范、准確。

『叄』 等級保護必須要做么找誰做

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

企業辦理等級保護的原因：

1、通過等級保護工作發現單位信息系統存在的安全隱患和不足，進行安全整改之後，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險，維護單位良好的形象。

2、等級保護是我國關於信息安全的基本政策，國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。

3、很多行業主管單位要求行業客戶開展等級保護工作，目前已經下發行業要求文件的有：金融、電力、廣電、醫療、教育等行業等。

4、落實個人及單位的網路安全保護義務，合理規避風險。

等級保護總共分為5級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

『肆』 信息安全等級保護十三大重要標準是什麼

計算機信息系統安全等級保護劃分准則 （GB 17859-1999） （基礎類標准）
信息系統安全等級保護實施指南 （GB/T 25058-2010） （基礎類標准）
信息系統安全保護等級定級指南 （GB/T 22240-2008） （應用類定級標准）
信息系統安全等級保護基本要求 （GB/T 22239-2008） （應用類建設標准）
信息系統通用安全技術要求 （GB/T 20271-2006） （應用類建設標准）
信息系統等級保護安全設計技術要求 （GB/T 25070-2010） （應用類建設標准）
信息系統安全等級保護測評要求 （GB/T 28448-2012）（應用類測評標准）
信息系統安全等級保護測評過程指南 （GB/T 28449-2012）（應用類測評標准）
信息系統安全管理要求 （GB/T 20269-2006） （應用類管理標准）
信息系統安全工程管理要求 （GB/T 20282-2006） （應用類管理標准）
信息安全技術網路安全等級保護基本要求（GB/T 22239-2019）（基礎類標准）
信息安全技術網路安全等級保護安全設計技術要求（GB/T 25070-2019）（應用類建設標准）
信息安全技術網路安全等級保護測評要求（GB/T 28448-2019）（應用類測評標准）

『伍』 等級保護常見問題和解答

答：等級保護是公安部第三研究為響應國務院147號令而牽頭制定的信息安全標准和規范，全稱《信息安全等級保護》。等級保護截止目前為止分為兩個版本，等級保護1.0和等級保護2.0，基本內容要求分別參考GB/T 22239-2008和GB/T 22239-2019，由此可見等級保護1.0是從2008年開始實施的，而等級保護2.0是從2019年開始實施的。

  等保2.0之後都是由專家進行定級，也就是在當地公安網監部門進行等保備案的時候進行定級評估。一般遵循如下原則：

答：等保的指標項參考基本要求項GBT 22239和測評項 GBT 28448；原則上可以通過配置和自身調整實現的基本要求項和測評項就不需要額外購買軟硬體來彌補，如果實在消耗人力和資源過大和無法通過自身資源調整實現，那最快最使用的方式就是購買第三方軟硬體和服務來實現該項的要求。

答：等級保護的范圍是全國所有非涉密系統，無論系統在內網還是互聯網，都需要做等保。

答：等級保護是以信息系統為整體，而不是以公司或部門。
  比如有一個公司有10個信息系統，那麼除去不重要的，還有5個。
a、有兩個信息系統之間存在較多的數據之間的交互，則可以以一個整體做等保；
b、如有較少的數據交互或不存在交互，則建議單獨定級。

答：等保二級每兩年一次，沒有明確的標准說明，一般都是建議每兩年做一次。
等保三級每年都需做一次，參考見《信息安全等級保護管理辦法》(公通字[2007]43號)，又稱43號文第十四條明確規定。
http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm

  國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行網路安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改。
  如果你的信息系統沒做等保，那被攻擊了，造成一定影響了，首先是你沒履行網路安全義務，其次是黑客犯法，兩者都將收到嚴懲。

  關鍵信息基礎設施簡稱「關保」，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
  等級保護與關鍵信息基礎設施保護的區別在於，「關保」是在網路安全等級保護制度的基礎上，實行重點保護。《中華人民共和國網路安全法》第三章第二節規定了關鍵信息基礎設施的運行安全，包括關鍵信息基礎設施的范圍、保護的主要內容等。
  目前「關保」的基本要求、測評指南、高風險判例等均已完成，相關工作已啟動。等保的受眾范圍比關保要廣泛，通常要做關保建設的主體都要做等保建設，而要做等保建設的不一定要做關保建設，關保建設是針對重要行業和領域的，是基於等保之上進行重點保護的。

  《中華人民共和國網路安全法》第二十一條規定網路運營者應當按照網路安全等級保護制度的要求，履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。
  等級保護工作是保障我國網路安全的基本動作，目前各單位需按照所在行業及保護對象重要程度，依據網路安全法及相關部門要求，按照「同步規劃、同步建設、同步使用」的原則，開展等級保護工作。

  一個二級或三級的系統整體持續周期1-2個月。
  現場測評周期一般1周左右，具體時間還要根據信息系統數量及信息系統的規模，以及測評方與被測評方的配合情況等有所增減。
  小規模安全整改（管理制度、策略配置技術整改）2-3周，出具報告時間1-2周。
  目前各地根據各自省份或城市的情況，還存在單獨規定測評實施周期的情況，一般是簽訂測評合同之日起3-6個月必須出具測評報告。

  等級保護工作屬於屬地化管理，測評收費非全國統一價，測評費用每個省都有一個參考報價標准。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為：二級系統測評費5萬，三級系統測評費9萬。

  等級保護採用備案與測評機制而非認證機制，不存在包過的說法，盲目採納服務商包過的產品與服務套餐往往不是最高性價比的方案。網路運營者可結合自身實際安全需求與等保測評預期得分，咨詢專業的第三方安全咨詢服務機構來開展等建設工作。

  測評後無合格證書。等級保護採用備案與測評機制而非認證機制，在屬地網安備案後可獲得《信息系統安全等級保護備案證明》，測評工作完成後會收到具有法律效率的「測評報告（至少要加蓋測評機構公章和測評專用章）」。

  全國各省網警管理有所差異，一般提交備案流程後，如資料完備，順利通過審核後15個工作日即可拿到備案證明。

  等級保護2.0測評結果包括得分與結論評價；得分為百分制，及格線為70分；結論評價分為優、良、中、差四個等級。

  不同公司作為兩個獨立承擔法律的主體單位，必須明確唯一的備案主體，不能算一個系統。同一單位的業務系統，如確實經過改造，入口、後台、業務關聯性、重要程度等符合《GB/T 22240-2020 信息系統安全 網路安全等級保護定級指南》要求可以算作一個系統。

  選擇有測評資質的測評公司，優先考慮本地測評公司。可參照中國網路安全等級保護網（ djbh.net ）的《全國網路安全等級保護測評機構推薦目錄》選中幾家進行邀請投標，同時關注該網站公布的國家網路安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。

  等級保護涉及面廣，相關的安全標准、規范、指南還有很多正在編制或修訂中。常用的規范標准包括但不限於如下：

  不是。等級保護測評結論為「差」，表示目前該信息系統存在高危風險或整體安全性較差，沒有達到相應標准要求。但是這並不代表等級保護工作白做了，即使你拿著不符合的測評報告，主管單位也是承認你們單位今年的等級保護工作已經開展過了，只是目前的問題較多，沒達到相應的標准，需要抓緊整改。

  一般情況是備案證明和測評報告，測評報告應加蓋測評機構公章和測評專用章。

  要做。業務上雲有多種情況，如在公有雲、私有雲、專有雲等不同屬性的雲上，並採用IaaS、PaaS、SaaS、IDC託管等不同服務，雖然安全責任邊界發生了變化，但網路運營者的安全責任不會轉移。根據「誰運營誰負責、誰使用誰負責、誰主管誰負責」的原則，應承擔網路安全責任進行等級保護工作。

  很多人認為，完成等保測評就萬事大吉了。其實，不然。等保測評標准只是基線的要求，通過測評、整改，落實等級保護制度，確實可以規避大部分的安全風險。但是，安全是一個動態而非靜止的過程，不是通過一次測評，就可以一勞永逸的。
  企業通過落實等保安全要求，並嚴格執行各項安全管理的規章制度，基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此，要通過等級保護測評工作開展，以「一個中心、三重防護」好「三化六防」等為指導，不斷提升網路攻防能力。

  首先，等保的每隔一段時間進行評測的，是一個持續不斷的過程；即使投機取巧今年過了，明年後年也還是要進行測評的。
  其次，並沒有要求一定要自己購買，只需要提供有相關的服務證明即可，租賃合同也可以的。

  首先聲明等保是沒有明文規定要求去購買第三方軟體和硬體的，第三方的軟體和硬體只是作為補償措施；在應用系統本身無法都滿足等保要求的情況下，可以藉助一些補償措施來彌補應用系統上的不足，讓應用系統符合等級保護測評項的相關要求。

漏洞掃描： 基本所有級別的等保都建議要進行漏洞掃描
滲透測試： 三級等保要求必須做，二級等保雖然不是強制要求但是首次進行等保建設還是建議先做一次的。
基線核查： 並非等保要求，但是方便去整改；如果在測評之前做了基線核查工作，那麼整改起來也會方便很多。

最快也得一周，具體看當地網監部門的審核進度。

『陸』 信息安全保護等級，等保作用是什麼

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

企業辦理等級保護作用：

1、通過等級保護工作發現單位信息系統存在的安全隱患和不足，進行安全整改之後，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險，維護單位良好的形象。

2、等級保護是我國關於信息安全的基本政策，國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。

3、很多行業主管單位要求行業客戶開展等級保護工作，目前已經下發行業要求文件的有：金融、電力、廣電、醫療、教育等行業等。落實個人及單位的網路安全保護義務，合理規避風險。

信息安全等級保護的辦理流程：

一步：定級;（根據企業的系統評定辦理級別）

二步：修改；（對系統經行大致的修改系統）

三步：評測；（評測商對系統評測，得分）

四步：備案；（在當地的網安部門備案）

五步：維護。（定期對系統經行維護）

證書案例

『柒』 信息系統等級保護要做什麼

國家等級保護認證是中國最權威的信息產品安全等級資格認證，由公安機關依據國家信息安全保護條例及相關制度規定，按照管理規范和技術標准，對各機構的信息系統安全等級保護狀況進行認可及評定。

信息安全保護等級共分為5級，等級越高。意味著安全保護能力越強。

其中三級是國家對非銀行機構的最高級認證，屬於「監管級別」，由國家信息安全監管部門進行監督、檢查，認證需要測評內容涵蓋等級保護安全技術要求5個層面和安全管理要求的5個層面，主要包含信息保護、安全審計、通信保密等在內的近300項要求，共涉及測評分類73類，要求十分嚴格，這也是目前網貸行業獲得三級信息系統安全等級保護證書較少的重要原因之一。

目前，大多數互聯網金融平台獲得的以第二級認證為主，第三級屬於「監管級別」，四大國有銀行(總行)的一二級分行(省行、市行)等重要金融機構一般是第三級認證。

國家信息安全等級的意義

1、保障個人信息不受竊取或損壞；

2、有效防範黑客等不法分子通過網路展開的各種攻擊以及病毒傳播；

3、加強企業關於客戶的信息庫安全程度，以免客戶個人信息遭到泄露；

4、通過國家人證的形式，加強廣大企業及用戶的安全意識，對信息安全引起足夠的重視；

5、順應國家監管要求，是推進平台合規化進程的重要舉措。

『捌』 什麼是等級保護等級保護的定義是什麼

等級保護概念（信息安全等級保護）

對信息系統分等級進行安全保護和監管；對信息安全產品的使用實行分等級管理；對信息安全事件實行分等級響應、處置。將全國的信息系統（包括網路）按照重要性和受破壞後的危害性分成五個安全保護等級（從第一級到第五級逐級增高）,定級後第二級以上系統到公安機關備案,公安機關審核合格後頒發備案證明;各單位各部門根據系統等級按照國家標准進行安全建設整改;聘請測評機構進行等級測評;公安機關定期開展監督、檢查、指導。

《信息安全等級保護管理辦法》規定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級，一至五級等級逐級增高：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

實施意義

法律法規要求：

《網路安全法》明確規定信息系統運營、使用單位應當按照網路安全等級保護制度要求，履行安全保護義務，如果拒不履行，將會受到相應處罰。

第二十一條：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改。

2）行業要求

在金融、電力、廣電、醫療、教育等行業，主管單位明確要求從業機構的信息系統（APP）要開展等級保護工作。

3）企業系統安全的需求

信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處，可通過安全整改提升系統的安全防護能力，降低被攻擊的風險。

『玖』 信息安全的等級保護是什麼有什麼標准

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

企業申請等級保護的原因：

1、通過等級保護工作發現單位信息系統存在的安全隱患和不足，進行安全整改之後，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險，維護單位良好的形象。

2、等級保護是我國關於信息安全的基本政策，國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。

3、很多行業主管單位要求行業客戶開展等級保護工作，目前已經下發行業要求文件的有：金融、電力、廣電、醫療、教育等行業等。

4、落實個人及單位的網路安全保護義務，合理規避風險。

企業辦理等級保護工作的流程：

• 定級備案

• 調研梳理

• 初步測評

• 整改建設

• 正式測評
  

『拾』 等級保護中的高風險項是指等保測評時可以一票否決的問題出現一個折結論為差正

等保測評中的高風險項為一票否決項，不管基礎分數有多高，存在高風險項即視為差。
（目前等保測評出具的結果為分數段形式，分為優良中差，70分以下為差，70-8-、80-90、90-100分別對應中良優，存在高風險項一律為差）