網站如何開展網路安全等級保護

A. 信息安全等級保護業務怎麼開展

首先要明白：

為什麼要開展等級保護工作呢？

第一、開展等保的最重要原因是通過等級保護工作，發現單位信息系統與國家安全標准之間存在的差距，查明目前系統存在的安全隱患和不足，通過安全整改之後，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險。

第二、等級保護是我國關於網路安全的基本政策，《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發[2003]27 號，以下簡稱「27 號文件」）明確要求我國信息安全保障工作實行等級保護制度,提出「抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南」。

第三、很多行業主管單位要求行業客戶開展等級保護工作，目前已經下發行業要求文件的有：金融、電力、廣電、醫療、教育、電子政務等行業，還有一些主管單位發過相關文件或通知要求去做。另外信息安全主管單位要求我們去開展等級保護工作開展網路安全工作，主要有：公安、網信辦等行業主管單位。不做等保的話，沒法向相關主管單位及行業主管單位匯報自己單位的網路安全工作。

第四、合理地規避風險。每年都會出現一些大的信息安全事件，我們日常經常聽到或看到的有，某某網站網頁被篡改了，用戶敏感信息被泄露了，更多的一些小范圍安全事件我們不清楚但是在發生。

對於發生比較大的安全事件，首先主管單位們要去現場調查，如果你沒有開展等級保護工作，最直接的一個結論就是你的信息安全工作沒有開展好，沒有開展到位，國家最基本的等級保護工作都沒做，你說你買了很多防火牆，很多安全設備，那都是說不清道不明的，不如你實實在在拿出備案證明，拿出測評報告說服力強。

如何開展等保工作？

只找符合規定要求的等級保護測評機構。找有測評資質的的測評公司去開展，該單位至少具有該省市信息安全等級保護協調小組辦公室發放的《信息安全等級保護測評機構推薦證書》，同時部分省份要求測評機構在用戶單位所在地級市公安網安部門備案，備案成功後方可在當地開展等級保護測評工作。

B. 網站三級等保在哪裡申請

b2b網站三級等保一般的辦理流程：

系統定級-系統備案-建設整改-等級測評-監督檢查

具體各個流程一般涉及的角色和一般需要做些什麼，簡單描述如下，內容來源網路整理，僅供參考，實際情況，請結合當地相關要求，或者在線咨詢等保顧問，他們會為您提供更具針對性的回答。

1、系統定級(可自主定級，或者找等保咨詢公司代辦)

(1)協助定級、推薦測評機構/評審專家(等保咨詢公司代辦)

(2)業務系統定級，與等保咨詢公司簽訂服務合同。

信息系統運營單位按照《網路安全等級保護定級指南》，自行定級。三級以上系統定級結論需進行專家評審。

2、系統備案(可自主備案，或者找等保咨詢公司代辦)

(1)協助客戶完成備案(等保咨詢公司代辦)

(2)提交備案材料

信息系統定級申報獲得通過後，30日內到公安機關辦理備案手續。

溫馨提醒：系統定級和系統備案，可以自行完成的，可以節省一筆找網路安全公司提供等保咨詢服務的費用。一般建議盡可能自主完成，多咨詢當地相關部門。

3、建設整改

(1)提供技術方案建議書、協助整改(提供整改服務的網路安全公司)

(2)依據等級保護標准進行安全建設整改

根據等保有關規定和標准，對信息系統進行安全建設整改。

4、等級測評

(1)協助測評(簽訂服務協議的等級保護測評機構)

(2)配合測評機構測評，接收報告

信息系統運營單位選擇公安部認可的第三方等級測評機構進行測評

5、監督檢查

(1)相關部門接收到等級保護測評報告，不定期檢查(網路安全監管部門)

(2)安全運營、維護，保障日常系統合規，三級等保需要每年做一次等保測評

當地網路安全監管部門定期進行監督檢查

C. 網路安全等級保護制度

關於網路安全等級的保護制度是：規范計算機系統安全建設和使用的標准以及管理辦法。安全工作的整個流程分為五個環節，包括定級、備案、建設整改、等級測評、監督檢查，網路安全等級保護制度是國家網路安全的基本制度、基本國策網路安全等級保護是黨中央、國務院決定在網路安全領域實施的基本國策。
法律依據
《中華人民共和國網路安全法》 第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

D. 網路安全等級保護定級備案流程

網路安全等級保護定級備案流程，具體如下：
1、確定定級對象：
《中華人民共和國網路安全法》第二十一條規定：「國家實行網路安全等級保護制度」，同時明確了未履行網路安全保護義務的網路運營者的法律責任。各行業主管部門、運營使用單位應組織開展對所屬信息系統的摸底調查，全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況，按照《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）和《網路安全等級保護定級指南》（以下簡稱《定級指南》）的要求，確定定級對象，相關資料可到中國信息安全等級保護網學習；
2、第二步：初步確定安全保護等級：
各信息系統主管部門和運營使用單位要按照《管理辦法》和《定級指南》，初步確定定級對象的安全保護等級。初步確定信息系統安全保護等級後，聘請專家進行評審。信息系統運營使用單位有上級行業主管部門的，所確定的信息系統安全保護等級應當報上級行業主管部門審批同意。
初步確定的定級結果，應當提交公安機關進行備案審查。象
3、等級備案：
根據《管理辦法》，信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門，應當在安全保護等級確定後30日內，到當地公安機關網安部門辦理備案手續。新建第二級以上信息系統，應當在投入運行後30日內，由其運營、使用單位到當地公安機關網安部門辦理備案手續。
公安機關網安部門經審查，符合等級保護要求的第二級以上信息系統，應當在收到備案材料起的10個工作日內向備案單位頒發信息系統安全保護等級備案證明（備案證明由公安部統一監制）。
4、建設整改及測評：
定級對象的運營和使用單位根據公安機關定級審查的結果，按照《信息安全技術網路安全等級保護基本要求》（GB/T 22239-2019）的相關要求，在測評機構和相關技術支持單位的指導下，開展系統的安全建設及整改工作。
5、監督檢查：
公安機關全程負責信息安全等級保護仿絕工作的督促、檢查和指導；公安機關工作中發現不符合管理規范和技術標準的，應當發出整改通知要求整改。
備案應准備材料如下：
1、系統安全組織機構、三員審查表（系統開發建設人員、維護人員、及管理人員）、管理制度及應急預案。（安全組織機構包括機構名稱、負責人、成員、職責分工等。管理制度包括安全管理規范、章程等，需有單位簽章及電子版））
2、系統安全保護設施設計實施方案或者改建實施方案，系統拓撲結構說明，安全產品鋒數清單及證書。（簡要的安全建設、整改方案，需有單位簽章及電子版）
3、《信息系統安全等級保護備案表》（銀大首以下簡稱《備案表》），紙質材料，一式兩份。包括：《單位基本情況》（表一）、《信息系統情況》（表二）、《信息系統定級情況》（表三）和《第三級以上信息系統提交材料情況》（表四）。第二級以上信息系統備案時需提交《備案表》中的表一、二、三；第三級以上信息系統還應當在系統整改、測評完成後30日內提交《備案表》表四及其有關材料（需有單位簽章及電子版）。
4、《信息系統安全等級保護定級報告》（以下簡稱《定級報告》），紙質材料，一式兩份。每個備案的信息系統均需提供對應的《定級報告》，《定級報告》參照模板格式填寫（需有單位簽章及電子版）。
綜上所述，網路安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。
【法律依據】：
《中華人民共和國網路安全法》第二十五條
網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

E. 信息安全等級保護的實施原則

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

為什麼要辦理網路安全等級保護備案?

1.建立有效的網路安全防禦體系（讓客戶的系統真正具有安全防禦的能力）

2. 完成信息系統等級保護公安備案（取得備案證明） ，順利通過網路安全等級保護測評（取得測評報告）

3 滿足相關部門的合規性要求（包括國家的政策，法律法規的要求，還有上級部門的要求，還有甲方客戶的要求等）

4. 系統過了等保，一定程度上可以提高企業投標鎖標的能力，為投標加分

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

F. 如何進行信息系統安全等級保護備案

網路安全等級保護分為五個級別：

G. 我國網路安全等級保護制度的主要內容包括什麼

我國網路安全等級保護制度的主要內容如下：

1、等級劃分：對不同的網路系統、網路設冊賀備和信息系統進行等級劃分，分為五個等級，即一級到五級。

2、等級保護要求：對不同等級的網路系統、網路設備和信息系統，制定相應的保護要求，包括技術要求和管理要求。

網路安全的特點

1、保密性

信息不泄露給非授權用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權個人或實體，信息只為授權用戶使宴答用的特性。保密性是在可靠性和可用性基礎之上，保障網路信息安全的重要手段。

2、完整性

數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。即網路信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除州祥派、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

H. 網路安全等級保護的主要工作

網路安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開 信息和存儲、傳輸、處理這些信息的網路資源及功能組件分等級實行安全保護，對網路中使用的安全技術和管理制度實行按等級管理，對網路中發生的信息安全事件分等級響應、處置。