网络安全等级保护二级测评标准

1. 等保保护分为几级企业如何定级

等保测评分为五个级别，从一到五级别逐渐升高。等级越高，说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级；等保一级和等保五级（涉密）由于安全性太低或太高，单位或组织少有涉及。

等保2.0时代，等保测评中的定级对象级别必须经过专家评审和主管部门审核。定级流程为：确定定级对象→初步确定等级→主管部门审核→专家评审→公安机关备案审查（最终确定等级）。

建议运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构，比如国家网络安全等级保护工作协调小组办公室推荐测评机构-时代新威（推荐理由：1、一站式等级保护服务专家，省时省心2、做过大量各行业等保测评案例。3、从事网络安全18年），依据《网络安全等级保护测评要求》等技术标准，定期对等级保护对象开展等级测评。第三级定级对象应当每年进行一次等级测评工作，第四级定级对象应当每半年进行一次等级测评工作，第五级定级对象应当依据特殊安全需求进行等级测评。

2. 等级保护新标准2.0解读

2019年，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。

下面是等保2.0三大核心新标准的介绍：

1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》

该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》

该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。

此外，从等保1.0到等保2.0，等级保护发生的主要变化有：

1、意义的变化

由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。

2、对象的变化

新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。

3、定级的变化

三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

4、测评标准的变化

测评要求的测评单元中增加了【测评对象】项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。

5、定级备案实施方面的变化

等保2.0在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。

6、其他

从等级保护2.0框架中能够体现“一个中心，三重防护”的思想得以升华，等保2.0标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保2.0新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。

3. 等级保护测评是什么

等级保护测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，运用科学的手段和方法。

对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。

实施的基本流程：

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求。

但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。

4. 信息安全等级保护二级的认证（等保二级）的流程

可以办理的，公司办理等保二级的流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

公司办理等保二级的要求有两个：

技术要求

1、物物理安全

2、网络安全

3、主机安全

4、应用安全

5、数据安全

管理要求

1、安全管理机构

2、安全管理制度

3、人员安全管理

4、系统建设管理

5、系统运维管理

证书案例

5. 等级保护定级标准是什么

2020年4月28日，国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》，且该指南将于2020年11月1日正式实施。需要对信息系统进行定级的企业可以以此为定级依据。

根据规定，信息系统一共分五个等级，由一到五级别逐渐升高。

信息系统的五个等级

等级保护对象的级别由两个定级要素决定：①受侵害的客体。分三个方面，即：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全；②对客体的侵害程度。分三种程度，即：造成一般损害；造成严重损害；造成特别严重损害。

等级保护对象定级工作流程一般为：确定定级对象→初步确定等级→专家评审→主管部门批准→公安机关审核。安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本标准组织专家评审、主管部门批准和公安机关备案审核，最终确定其安全等级。初步确定为第一级的等级保护对象，可不进行专家评审、主管部门批准和公安机关审核。

6. 等保测评标准

法律分析：“等保”，即信息安全等级保护，是我国网络安全领域的基本国策、基本制度。早在2017年8月，公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。(GB/T 22239—2019代替 GB/T 22239-2008)该标准于2019年5月10日发布，于2019年12月1日开始实施。

法律依据：《中华人民共和国标准化法》

第十条 对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准。 国务院有关行政主管部门依据职责负责强制性国家标准的项目提出、组织起草、征求意见和技术审查。国务院标准化行政主管部门负责强制性国家标准的立项、编号和对外通报。国务院标准化行政主管部门应当对拟制定的强制性国家标准是否符合前款规定进行立项审查，对符合前款规定的予以立项。 省、自治区、直辖市人民政府标准化行政主管部门可以向国务院标准化行政主管部门提出强制性国家标准的立项建议，由国务院标准化行政主管部门会同国务院有关行政主管部门决定。社会团体、企业事业组织以及公民可以向国务院标准化行政主管部门提出强制性国家标准的立项建议，国务院标准化行政主管部门认为需要立项的，会同国务院有关行政主管部门决定。 强制性国家标准由国务院批准发布或者授权批准发布。 法律、行政法规和国务院决定对强制性标准的制定另有规定的，从其规定。

第十一条 对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求，可以制定推荐性国家标准。 推荐性国家标准由国务院标准化行政主管部门制定。

7. 信息系统等级保护测评指标二级与三级

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。
等保2.0中等级测评结论：
a)符合：
定级对象中未发现安全问题，等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0，综合得分为100分。
b)基本符合：
定级对象中存在安全问题，部分符合和不符合项的统计结果不全为0，但存在的安全问题不会导致定级对象面临高等级安全风险，且综合得分不低于阈值。
c)不符合：
定级对象中存在安全问题，部分符合项和不符合项的统计结果不全为0，而且存在的安全问题会导致定级对象面临高等级安全风险，或者综合得分低于阈值。

办理等级保护针对企业的作用有：
1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。
2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
3、落实个人及单位的网络安全保护义务，合理规避风险。

企业最好完成等保测评和备案。
去年100款APP被强制下架已经给企业敲响了警钟，而今年，违规的APP也一直在被相关单位下架整改中。如果还抱着不做等保的态度的话怕是不行了。因为相关处罚制度已经明确责任。
怎么去做，下面分5个阶段说明
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

8. 什么是网络安全等级保护啊

你好，网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。

《网络安全法》 明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。下面是网络安全等级保护等级划分及适用行业说明：

第一级（自主保护级）：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。信息系统受到破坏后，会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分。

最后，二级及以上的信息系统都需要进行等级测评，且等级测评并不是做一次就可以，二级系统每两年至少进行一次测评，三级系统每年至少进行一次测评，四级系统每半年至少进行一次测评。

测评周期

9. 等级保护2.0国家标准

法律分析：等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。

法律依据：《中华人民共和国网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

10. 等级保护测评是什么

《信息安全等级保护管理办法》第七条规定：信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

等级保护测评服务包括以下内容：

1、等级保护测评单位根据等保测评技术标准，对测评对象开展等级保护测评，一般来说测评对象是信息系统。但是随着等保2.0的发布，测评范围变得更广。因此测评的对象也有可能是网站、云服务器、APP等等。

2、开展等级保护测评后，测评机构需要开具等级保护测评报告，测评的结果有两种：符合和不符合。

3、对于不符合标准的测评对象（一般是指信息系统）需要依据整改清单，进行相关的系统升级，完善网络安全相关的制度和人员管理方法等。技术方面不符合要求的，可以自我整改，或是寻找第三方服务商提供技术支持。