网络安全等保怎么选

1. 等保保护分为几级企业如何定级

等保测评分为五个级别，从一到五级别逐渐升高。等级越高，说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级；等保一级和等保五级（涉密）由于安全性太低或太高，单位或组织少有涉及。

等保2.0时代，等保测评中的定级对象级别必须经过专家评审和主管部门审核。定级流程为：确定定级对象→初步确定等级→主管部门审核→专家评审→公安机关备案审查（最终确定等级）。

建议运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构，比如国家网络安全等级保护工作协调小组办公室推荐测评机构-时代新威（推荐理由：1、一站式等级保护服务专家，省时省心2、做过大量各行业等保测评案例。3、从事网络安全18年），依据《网络安全等级保护测评要求》等技术标准，定期对等级保护对象开展等级测评。第三级定级对象应当每年进行一次等级测评工作，第四级定级对象应当每半年进行一次等级测评工作，第五级定级对象应当依据特殊安全需求进行等级测评。

2. 等级保护有几个安全保护级别

法律分析：等保测评分为五个级别，从一到五级别逐渐升高。等级越高，说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级；等保一级和等保五级（涉密）由于安全性太低或太高，单位或组织少有涉及。

法律依据：《中华人民共和国国家安全法》

第九条 维护国家安全，应当坚持预防为主、标本兼治，专门工作与群众路线相结合，充分发挥专门机关和其他有关机关维护国家安全的职能作用，广泛动员公民和组织，防范、制止和依法惩治危害国家安全的行为。

第十条 维护国家安全，应当坚持互信、互利、平等、协作，积极同外国政府和国际组织开展安全交流合作，履行国际安全义务，促进共同安全，维护世界和平。

第十一条 中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织，都有维护国家安全的责任和义务。

中国的主权和领土完整不容侵犯和分割。维护国家主权、统一和领土完整是包括港澳同胞和台湾同胞在内的全中国人民的共同义务。

第十二条 国家对在维护国家安全工作中作出突出贡献的个人和组织给予表彰和奖励。

第十三条 国家机关工作人员在国家安全工作和涉及国家安全活动中，滥用职权、玩忽职守、徇私舞弊的，依法追究法律责任。

任何个人和组织违反本法和有关法律，不履行维护国家安全义务或者从事危害国家安全活动的，依法追究法律责任。

3. 信息安全的等级保护是什么有什么标准

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业申请等级保护的原因：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。

4、落实个人及单位的网络安全保护义务，合理规避风险。

企业办理等级保护工作的流程：

• 定级备案

• 调研梳理

• 初步测评

• 整改建设

• 正式测评
  

4. 等级保护常见问题和解答

答：等级保护是公安部第三研究为响应国务院147号令而牵头制定的信息安全标准和规范，全称《信息安全等级保护》。等级保护截止目前为止分为两个版本，等级保护1.0和等级保护2.0，基本内容要求分别参考GB/T 22239-2008和GB/T 22239-2019，由此可见等级保护1.0是从2008年开始实施的，而等级保护2.0是从2019年开始实施的。

  等保2.0之后都是由专家进行定级，也就是在当地公安网监部门进行等保备案的时候进行定级评估。一般遵循如下原则：

答：等保的指标项参考基本要求项GBT 22239和测评项 GBT 28448；原则上可以通过配置和自身调整实现的基本要求项和测评项就不需要额外购买软硬件来弥补，如果实在消耗人力和资源过大和无法通过自身资源调整实现，那最快最使用的方式就是购买第三方软硬件和服务来实现该项的要求。

答：等级保护的范围是全国所有非涉密系统，无论系统在内网还是互联网，都需要做等保。

答：等级保护是以信息系统为整体，而不是以公司或部门。
  比如有一个公司有10个信息系统，那么除去不重要的，还有5个。
a、有两个信息系统之间存在较多的数据之间的交互，则可以以一个整体做等保；
b、如有较少的数据交互或不存在交互，则建议单独定级。

答：等保二级每两年一次，没有明确的标准说明，一般都是建议每两年做一次。
等保三级每年都需做一次，参考见《信息安全等级保护管理办法》(公通字[2007]43号)，又称43号文第十四条明确规定。
http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm

  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
  如果你的信息系统没做等保，那被攻击了，造成一定影响了，首先是你没履行网络安全义务，其次是黑客犯法，两者都将收到严惩。

  关键信息基础设施简称“关保”，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
  等级保护与关键信息基础设施保护的区别在于，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。
  目前“关保”的基本要求、测评指南、高风险判例等均已完成，相关工作已启动。等保的受众范围比关保要广泛，通常要做关保建设的主体都要做等保建设，而要做等保建设的不一定要做关保建设，关保建设是针对重要行业和领域的，是基于等保之上进行重点保护的。

  《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
  等级保护工作是保障我国网络安全的基本动作，目前各单位需按照所在行业及保护对象重要程度，依据网络安全法及相关部门要求，按照“同步规划、同步建设、同步使用”的原则，开展等级保护工作。

  一个二级或三级的系统整体持续周期1-2个月。
  现场测评周期一般1周左右，具体时间还要根据信息系统数量及信息系统的规模，以及测评方与被测评方的配合情况等有所增减。
  小规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1-2周。
  目前各地根据各自省份或城市的情况，还存在单独规定测评实施周期的情况，一般是签订测评合同之日起3-6个月必须出具测评报告。

  等级保护工作属于属地化管理，测评收费非全国统一价，测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。
如某省的参考报价为：二级系统测评费5万，三级系统测评费9万。

  等级保护采用备案与测评机制而非认证机制，不存在包过的说法，盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分，咨询专业的第三方安全咨询服务机构来开展等建设工作。

  测评后无合格证书。等级保护采用备案与测评机制而非认证机制，在属地网安备案后可获得《信息系统安全等级保护备案证明》，测评工作完成后会收到具有法律效率的“测评报告（至少要加盖测评机构公章和测评专用章）”。

  全国各省网警管理有所差异，一般提交备案流程后，如资料完备，顺利通过审核后15个工作日即可拿到备案证明。

  等级保护2.0测评结果包括得分与结论评价；得分为百分制，及格线为70分；结论评价分为优、良、中、差四个等级。

  不同公司作为两个独立承担法律的主体单位，必须明确唯一的备案主体，不能算一个系统。同一单位的业务系统，如确实经过改造，入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。

  选择有测评资质的测评公司，优先考虑本地测评公司。可参照中国网络安全等级保护网（ djbh.net ）的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标，同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。

  等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下：

  不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

  一般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专用章。

  要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

  很多人认为，完成等保测评就万事大吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但是，安全是一个动态而非静止的过程，不是通过一次测评，就可以一劳永逸的。
  企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评工作开展，以“一个中心、三重防护”好“三化六防”等为指导，不断提升网络攻防能力。

  首先，等保的每隔一段时间进行评测的，是一个持续不断的过程；即使投机取巧今年过了，明年后年也还是要进行测评的。
  其次，并没有要求一定要自己购买，只需要提供有相关的服务证明即可，租赁合同也可以的。

  首先声明等保是没有明文规定要求去购买第三方软件和硬件的，第三方的软件和硬件只是作为补偿措施；在应用系统本身无法都满足等保要求的情况下，可以借助一些补偿措施来弥补应用系统上的不足，让应用系统符合等级保护测评项的相关要求。

漏洞扫描： 基本所有级别的等保都建议要进行漏洞扫描
渗透测试： 三级等保要求必须做，二级等保虽然不是强制要求但是首次进行等保建设还是建议先做一次的。
基线核查： 并非等保要求，但是方便去整改；如果在测评之前做了基线核查工作，那么整改起来也会方便很多。

最快也得一周，具体看当地网监部门的审核进度。

5. 什么是等级保护等级保护的定义是什么

你好，龙翊信安很高兴为您解答！
一、什么是等级保护
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。

为什么要做等级保护？
1. 法律法规要求

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2. 行业要求

在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统（APP）要开展等级保护工作。

3. 企业系统安全的需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

简单来说，《网络安全法》一直对网站、信息系统、APP有等级保护要求，中小型企业通常是行业要求才意识到问题。

6. 信息系统安全等级保护第二级是否有ABC的划分，区别在哪里。

没有ABC的划分，而是ASG的划分。
根据系统服务保证性等级选择相应等级的系统服务保证类（A类）基本安全要求；
根据业务信息安全性等级选择相应等级的业务信息安全类（S类）基本安全要求；
G类属于通用基本要求。
当系统服务类（A类）达到二级，业务信息类（S类）达到二级时，信息系统定为二级；
当系统服务类（A类）达到二级，业务信息类（S类）达到一级时，就高不就低，信息系统定为二级；
当系统服务类（A类）达到一级，业务信息类（S类）达到二级时，就高不就低，信息系统定为二级；
这种定级方式在起草《定级报告》时会有所体现
具体内容请参考《信息安全等级保护定级指南》和《信息安全等级保护基本要求》

7. 等级保护三级高，还是二级高

三级比二级高。

《信息安全等级保护管理办法》：信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度，分为五级。其中第三级属于“监管级别”，由国家信息安全监管部门进行监督、检查。

三级是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面，主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类，要求十分严格。

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

以上内容参考：网络-信息安全等级保护管理办法

8. 什么是信息安全等级保护什么是等保

信息安全等级保护简称等保。
在我国等保分为五个等级，一贯坚持自主定级、自主保护的原则。
信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
为何要做等保：

随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）。条例中规定：我国的“计算机信息系统实行安全等级保护。
哪些行业需要做等保测评：
政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行、证券、保险公司等；
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；
能源行业：电力公司、石油公司、烟草公司；
企业单位：大中型企业、央企、上市公司等；
其它有信息系统定级需求的行业与单位。

9. 【网络安全入门】等保测评流程包含几个步骤

等保测评全称是信息安全等级保护测评，它不仅可以降低信息安全风险，还可以提高信息系统的安全防护能力，有着非常重要的作用。说起等保测评，很多人都不了解等保测评的流程，下面我就为大家详细讲解一下。

等保测评流程包含几个步骤?等保的步骤包含五个方面：等保定级、等保备案、等级测评、系统安全建设、监督检查。

等保定级

信息系统安全等级，由系统运用、使用单位依据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的，应当经主管部门审批。对于拟确定为四级及以上信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。

总共分为五个等级：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。

等保备案

运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的，应当重新定级、重新备案。对于重新等级的，公安机关一般会建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。

等级测评

运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评，四级及以上信息系统至少每半年进行一次等级测评，五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告，并出具测评结果通知书，明示信息系统安全等级及测评结果。

建设整改

运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。系统建设整改，对于未达到安全等级保护要求的，运营、使用单位应当进行整改，整改完成应当将整改报告报公安机关备案。

监督检查

公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

受理备案的公安机关会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。新系统开发建设之后，要及时开展等保测评或相关安全测试，避免系统带病上线，消除安全隐患。

10. 什么是等保，什么是等保2.0有什么区别

等级保护制度，简称等保。
等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。
“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布施行后提出，以2019年12月1日，《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。
以上就是等保和等保2.0的回答，希望对你有用