网络安全险标准

‘壹’ 中华人民共和国网络安全法规定

《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。 《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。
第十二条 国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。 第五十二条 负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。 第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。 第五十五条 发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。

‘贰’ 什么是等保2.0

等保2.0是什么？
等保2.0是等保1.0的升级，也就是网络安全等级保护。目前我国将全国的信息系统（包括网络）按照信息系统的业务信息和系统服务被破坏后，对受侵害客体的侵害程度分成五个安全保护等级。
等保2.0什么时候开始实施的？
2019年5月13日，国家市场监督管理总局召开新闻发布会，正式发布《信息安全技术网络安全等级保护基本要求》2.0版本，等保2.0于2019年12月1日正式实施。等保2.0的实施，是我国实行网络安全等级保护制度过程中的一件大事，具有里程碑意义。
等保2.0四大特点简单介绍
01、等级保护2.0新标准将对象范围由原来的信息系统改为等级保护对象（信息系统、通信网络设施和数据资源等）。等级保护对象包括网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制 系统、采用移动互联技术的系统等。
02、等级保护2.0新标准在1.0标准的基础上进行了优化，同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求，形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。
03、等级保护2.0新标准统一了《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三个标准的架构，采用了“一个中心，三重防护”的防护理念和分类结构，强化了建立纵深防御和精细防御体系的思想。
04、等级保护2.0新标准强化了密码技术和可信计算技术的使用，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求，强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。

‘叁’ 国际和国内的网络安全评价标准

计算机网络安全

编者按："千里之提，溃于蚁穴"。配置再完善的防火墙、功能 再强大的入侵检测系统、结构再复杂的系统密码也挡不住内部人员从网管背后的一瞥。"微软被黑案"的事例证明，当前企业网络最大的安全漏洞来自内部管理的不严密。因此网络安全，重在管理。那么如何管理呢？请仔细研读下文。
网络安全的重要性及现状

随着计算机网络的普及和发展，我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之凸现出来，并逐渐成为企业网络应用所面临的主要问题。那么网络安全这一要领是如何提到人们的议事日程中来的呢？

1. 网络安全的概念的发展过程

网络发展的早期，人们更多地强调网络的方便性和可用性，而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候，当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候，安全问题并没有突出地表现出来。但是，当在网络上运行关键性的如银行业务等，当企业的主要业务运行在网络上，当政府部门的活动正日益网络化的时候，计算机网络安全就成为一个不容忽视的问题。

随着技术的发展，网络克服了地理上的限制，把分布在一个地区、一个国家，甚至全球的分支机构联系起来。它们使用公共的传输信道传递敏感的业务信息，通过一定的方式可以直接或间接地使用某个机构的私有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来，以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化，从而造成网络的可控制性急剧降低，安全性变差。

随着组织和部门对网络依赖性的增强，一个相对较小的网络也突出地表现出一定的安全问题，尤其是当组织的部门的网络就要面对来自外部网络的各种安全威胁，即使是网络自身利益没有明确的安全要求，也可能由于被攻击者利用而带来不必要的法律纠纷。网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。

2. 解决网络安全的首要任务

但是，上面的现状仅仅是问题的一个方面，当人们把过多的注意力投向黑客攻击和网络病毒所带来的安全问题的时候，却不知道内部是引发安全问题的根源，正所谓"祸起萧墙"。国内外多家安全权威机构统计表明，大约有七八成的安全事件完全或部分地由内部引发。在一定程度上，外部的安全问题可以通过购置一定的安全产品来解决，但是，大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此，建立组织的部门的网络安全体系是解决网络安全的首要任务。

网络安全存在的主要问题

任何一种单一的技术或产品者无法满足无法满足网络对安全的要求，只有将技术和管理有机结合起来，从控制整个网络安全建设、运行和维护的全过程角度入手，才能提高网络的整体安全水平。

无论是内部安全问题还是外部安全问题，归结起来一般有以下几个方面：

1. 网络建设单位、管理人员和技术人员缺乏安全防范意识，从而就不可能采取主动的安全 措施加以防范，完全处于被动挨打的位置。

2. 组织和部门的有关人员对网络的安全现状不明确，不知道或不清楚网络存在的安全隐 患，从而失去了防御攻击的先机。

3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构，其缺陷给攻击 者以可乘之机。

4. 组织和部门的计算机网络没有建立完善的管理体系，从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏，造成不必要的信息泄露，给攻击者以收集敏感信息的机会。

5. 网络安全管理人员和技术有员缺乏必要的专业安全知识，不能安全地配置和管理网络， 不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能作出积极、有序和有效的反应。

网络安全管理体系的建立

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性，才能保证安全控制措施有效地发挥其效能，从而确保实现预期的安全目标。因此，建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构，把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。

1. 安全需求分析 "知已知彼，百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，从而有效地保证网络系统的安全。

2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估，以组织和部门可以接受的投资，实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。

3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论，制定组织和部门的计算机网络安全策略。

4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次，由于网络安全是一个动态的过程，组织和部门的计算机网络的配置可能经常变化，因此组织和部门对安全的需求也会发生变化，组织的安全策略需要进行相应地调整。为了在发生变化时，安全策略和控制措施能够及时反映这种变化，必须进行定期安全审核。 5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持，将使网络安全体系更加完善，并可以得到更新的安全资讯，为计算机网络安全提供安全预警。

6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节，也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动，规范组织的各项业务活动，使网络有序地进行，是获取安全的重要条件。

‘肆’ 网络安全法对企业等级保护建设有哪些要求，应该怎么应对

《网络安全法》对企业提高了准入门槛和运行安全能力要求。网安法在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。因此，企业／网络运营者应该采取合适的厂商提供全方面的安全服务，确保信息安全和网络安全。可以看看锐捷的案例

‘伍’ 常见的网络安全风险有哪些

病毒的侵袭、黑客的非法闯入、数据窃听和拦截、拒绝服务攻击、垃圾邮件。

1、不良信息的传播通俗点，就是你玩游戏，或者百聊天，账号被盗，信息被别人获取。如果你用的是个人PC，那你的虚拟财度产也会受到网络黑客的威胁。在网络中，没有安全的地方。

2、网络发展的早期，人们更多地强调网络的方便知性和可用性，而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候，安全问题并没有突出地表现出来。但是，当道在网络上运行关键性的，当企业的主要业务运行在网络上，当政府部门的活动正日益网络化的时候，计算机网络安全就成为一个不容忽视的问题。

4、影响网络不安全的因素，有很多，总结起来主要有以下几种类型：
硬件：比如说服务器故障，线路故障等。
软件版：不安全的软件服务，分为人为和非人为因素。
网络操作系统：权不安全的协议，比如tcp、ip协议本身就是不安全的 ，还有个人的不当操作。

‘陆’ 被忽视的任务 如何鉴定企业网络风险级别

计算机系统风险级别标准 当前企业网络安全及信息数据的重要性越来越被企业管理人员所重视，鉴定的企业网络环境所面对的安全风险级别，也成为企业网络安全管理人员的首要工作。如何根据企业自身的信息安全需要及企业所面对的网络环境情况，制定出量体、可行的信息安全防护策略，是企业维护信息安全所要面对的重要问题。 目前在我国，计算机信息系统安全的保护能力被分为五个等级，分别是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级，不同的企业网络需求不同的防护级别，只有全面、正确的认识不同的信息系统保护级别，鉴定企业内网安全所面临的风险，才能设置出符合企业内网需求术业有专攻的"合体"企业内网架构。 一、企业计算机信息系统安全级别 第一级，"用户自主保护级"的计算机信息系统，是通过隔离用户与数据使用户具备自主安全保护的能力。它通过多种技术形式对用户实施访问控制，允许命名用户以设定的用户或用户组身份访问数据，阻止非授权用户读取敏感信息，从而避免其对数据的非法读写与破坏。 第二级，"系统审计保护级"，与第一级相比，本级的计算机信息系统通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 "系统审计保护级"计算机在用户访问数据时，先要求用户标识自己的身份，并使用诸如口令等保护机制，通过为用户提供唯一标识来使用户对自己行为负责，通过自主完整性策略以阻止非授权用户访问、修改或破坏敏感信息。企业网络风险定位是完善网络架构的首要环节 第三级，"安全标记保护级"，本级的计算机信息系统提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，能够准确地标记输出信息的能力，消除通过测试发现的任何错误。 在用户登录方面，计算机信息系统以指定或默认方式，阻止非授权用户访问客体，没有存取权的用户只允许由授权用户指定对客体的访问权，对所有主体及其所控制的客体实施强制访问控制，为这些主体及客体指定敏感标记，并可控制访问权限扩散，在网络环境中，使用完整性敏感标记来确信信息在传送中未受损，阻止非授权用户读取、修改或破坏敏感信息。 企业网络系统风险分级 第四级，"结构化保护级"，本级的计算机信息系统建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道，加强了鉴别机制。基本的网络安全体系要素 计算机信息系统支持系统管理员和操作员的职能，增强了配置管理控制，具有相当的抗渗透能力。计算机信息系统根据用户指定方式或默认方式，阻止非授权用户访问客体，对外部主体能够直接或间接访问的所有资源实施强制访问控制，并为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。在此信息级别下，系统开发者应彻底搜索隐蔽存储信道，并根据实际测量或工程估算，确定每一个被标识信道的最大带宽。企业网络风险分析矩阵 第五级，"访问验证保护级"，本级的计算机信息系统可满足本身具有抗篡改能力的访问监控器需求，在设计和实现时，从系统工程角度将对于实施安全策略来说的非必要代码复杂性降低到最小程度。 本机的计算机信息系统具有很高的抗渗透性能力，支持安全管理员职能，当发生与安全相关的事件时可以发出信号，信息系统的访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。此外，计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏，还能记录下述事件：使用身份鉴别机制、将客体引入用户地址空间、系统管理员或系统安全管理员实施的动作，以及其他与系统安全有关的事件，从而保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。 二、企业制定网络风险分级的步骤 目前，网络安全市场上的网络安全产品类型大多是依照安全连接、周边安全和入侵防范三个主要物理安全层次进行分类防护的。现阶段，企业制定安全防护的关键步骤有以下几个： 目标、安全规范标准、安全架构、安全评估、安全测试、实施。 1、目标： 企业制定网络安全风险评级的目标是安全规范的剪影，不同的企业对于网络安全需求的标准也不完全相同，这需要企业网络管理人员进行量身定制，规划出详细可行的目标方案。确定企业网络风险级别的步骤 2、安全规范标准： 企业的网络安全风险评级，将针对企业的安全需求制定标准。一套完善的企业网络系统应达到以下标准：具有完整可行的网络安全与管理策略；将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信；建立网络各主机和服务器的安全保护措施，保证其系统安全；加强合法用户访问认证，同时将用户访问权限控制在最低限度；及时发现和拒绝不安全的操作和黑客攻击行为；加强对各种访问的审计，记录访问行为，形成完整的系统日志；完善的容灾备份与灾难恢复系统，实现特殊问题下的快速恢复。 国家信息化安全教育认证管理中心提出的"安全是过程"的理念 3、安全评估： 企业网络风险评级首先需要进行评估的方面包括：公司资产、公司网络的潜在弱点及相关威胁、公司网络安全管理人员的专业技能、公司数据信息的重要程度、公司的后期维护成本、风险分析等等，目前，企业常见的易受网络风险有：黑客攻击风险、应用安全风险、数据泄密风险、人员管理风险、用户账号管理风险、信息安全监控管理风险、网络架构安全风险、重要信息系统安全风险、病毒恶意代码、安全策略执行风险等等。 4、安全测试 企业内网安全风险级别评估制定后，需要进行初步架构的安全测试，以确保企业的网络安全架构是否切实可行，真正符合企业网络需求特点。 5、实施 在以上步骤的基础上，企业网络安全管理人员应确定具体的实施方案，找出降低不同风险的必要措施，并对这些措施进行成本效益分析，以便高级管理层能够决定如何处理每个风险，实现风险级别确定后的网络安全管理实施。 为了确保企业内网安全的全面性，除了在客观上对企业内网安全需求有适当的风险级别评定、清晰的认识外，完善系统安全的保密措施，建立企业全员的安全管理规范也是网络安全管理人员所必须面对的。只有从技术上建立高效的管理平台、在制度管理上完善合理的规范，才能使企业网络风险评级有意义，才能真正保障企业内网安全。

‘柒’ 通信网络安全防护管理办法

第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者（以下统称“通信网络运行单位”）管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。
本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。
各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。
电信管理机构应当组织专家对通信网络单元的分级情况进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：
（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；
（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；
（三）互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案，应当提交以下信息：
（一）通信网络单元的名称、级别和主要功能；
（二）通信网络单元责任单位的名称和联系方式；
（三）通信网络单元主要负责人的姓名和联系方式；
（四）通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；
（五）电信管理机构要求提交的涉及通信网络安全的其他信息。
前款规定的备案信息发生变化的，通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。
通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：
（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；
（二）二级通信网络单元应当每两年进行一次符合性评测。
通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。
通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：
（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；
（二）二级通信网络单元应当每两年进行一次安全风险评估。
国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。
通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。

‘捌’ 劳动中的网络安全风险防范包括什么等方面

劳动中的网络安全风险防范包括完善安全管理制度，采用访问控制，运行数据加密措施，数据备份和恢复
【(8)网络安全险标准扩展阅读】网络安全风险包括物理设备是否安全，管理是否安全，信息数据是否安全，客户是否安全，系统是否安全，网络平台是否安全，管理人员是否安全。

‘玖’ 安全风险分为哪几个等级

现在一般分为一级、二级、三级、四级。需要根据LEC、LS等评价方法对风险点进行评价的。

安全风险，传统上，安全风险管理的方法有两种：前瞻性方法和反应性方法，各有优点与缺点。确定某一风险的优先级也有两种不同的方法：定性安全风险管理和定量安全风险管理。

(9)网络安全险标准扩展阅读：

风险管理的方法：很多组织都通过响应一个相对较小的安全事件而引入安全风险管理。但无论最初的事件是什么，随着越来越多与安全有关的问题出现并开始影响业务，很多组织对响应一个接一个的危机感到灰心丧气。他们需要替代方法，一种能减少首次安全事件的方法。有效管理风险的组织发展了更为前瞻性的方法，但此方法也只是解决方案的一部分。

风险管理反应性方法：当一个安全事件发生时，很多IT专业人员感到惟一可行的就是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。反应性方法可以是一种对已经被利用并转换为安全事件的安全风险的有效技术响应，使反应性方法具有一定程度的严密性，可帮助所有类型的组织更好地利用他们的资源。

风险管理前瞻性方法：与反应性方法相比，前瞻性安全风险管理有很多优点。与等待坏事情发生然后再做出响应不同，前瞻性方法首先最大程度地降低坏事情发生的可能性。

参考资料：网络-安全风险

‘拾’ 网络安全等保测评的人员要求一般是什么

三级等保每年测评一次，二级等保两年测评一次。二级至少应具有6名以上等级测评师，其中中级测评师不少于2名；三级（含）以上信息系统等级测评工作的测评机构至少应具有 10 名以上等级测评师，其中中级测评师不少于4名，高级测评师不少于2名。

网络安全等级保护一共分五级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例