网站如何开展网络安全等级保护

A. 信息安全等级保护业务怎么开展

首先要明白：

为什么要开展等级保护工作呢？

第一、开展等保的最重要原因是通过等级保护工作，发现单位信息系统与国家安全标准之间存在的差距，查明目前系统存在的安全隐患和不足，通过安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

第二、等级保护是我国关于网络安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

第三、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育、电子政务等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作开展网络安全工作，主要有：公安、网信办等行业主管单位。不做等保的话，没法向相关主管单位及行业主管单位汇报自己单位的网络安全工作。

第四、合理地规避风险。每年都会出现一些大的信息安全事件，我们日常经常听到或看到的有，某某网站网页被篡改了，用户敏感信息被泄露了，更多的一些小范围安全事件我们不清楚但是在发生。

对于发生比较大的安全事件，首先主管单位们要去现场调查，如果你没有开展等级保护工作，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的等级保护工作都没做，你说你买了很多防火墙，很多安全设备，那都是说不清道不明的，不如你实实在在拿出备案证明，拿出测评报告说服力强。

如何开展等保工作？

只找符合规定要求的等级保护测评机构。找有测评资质的的测评公司去开展，该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》，同时部分省份要求测评机构在用户单位所在地级市公安网安部门备案，备案成功后方可在当地开展等级保护测评工作。

B. 网站三级等保在哪里申请

b2b网站三级等保一般的办理流程：

系统定级-系统备案-建设整改-等级测评-监督检查

具体各个流程一般涉及的角色和一般需要做些什么，简单描述如下，内容来源网络整理，仅供参考，实际情况，请结合当地相关要求，或者在线咨询等保顾问，他们会为您提供更具针对性的回答。

1、系统定级(可自主定级，或者找等保咨询公司代办)

(1)协助定级、推荐测评机构/评审专家(等保咨询公司代办)

(2)业务系统定级，与等保咨询公司签订服务合同。

信息系统运营单位按照《网络安全等级保护定级指南》，自行定级。三级以上系统定级结论需进行专家评审。

2、系统备案(可自主备案，或者找等保咨询公司代办)

(1)协助客户完成备案(等保咨询公司代办)

(2)提交备案材料

信息系统定级申报获得通过后，30日内到公安机关办理备案手续。

温馨提醒：系统定级和系统备案，可以自行完成的，可以节省一笔找网络安全公司提供等保咨询服务的费用。一般建议尽可能自主完成，多咨询当地相关部门。

3、建设整改

(1)提供技术方案建议书、协助整改(提供整改服务的网络安全公司)

(2)依据等级保护标准进行安全建设整改

根据等保有关规定和标准，对信息系统进行安全建设整改。

4、等级测评

(1)协助测评(签订服务协议的等级保护测评机构)

(2)配合测评机构测评，接收报告

信息系统运营单位选择公安部认可的第三方等级测评机构进行测评

5、监督检查

(1)相关部门接收到等级保护测评报告，不定期检查(网络安全监管部门)

(2)安全运营、维护，保障日常系统合规，三级等保需要每年做一次等保测评

当地网络安全监管部门定期进行监督检查

C. 网络安全等级保护制度

关于网络安全等级的保护制度是：规范计算机系统安全建设和使用的标准以及管理办法。安全工作的整个流程分为五个环节，包括定级、备案、建设整改、等级测评、监督检查，网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
法律依据
《中华人民共和国网络安全法》 第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

D. 网络安全等级保护定级备案流程

网络安全等级保护定级备案流程，具体如下：
1、确定定级对象：
《中华人民共和国网络安全法》第二十一条规定：“国家实行网络安全等级保护制度”，同时明确了未履行网络安全保护义务的网络运营者的法律责任。各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》（以下简称《管理办法》）和《网络安全等级保护定级指南》（以下简称《定级指南》）的要求，确定定级对象，相关资料可到中国信息安全等级保护网学习；
2、第二步：初步确定安全保护等级：
各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级。初步确定信息系统安全保护等级后，聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
初步确定的定级结果，应当提交公安机关进行备案审查。象
3、等级备案：
根据《管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网安部门办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网安部门办理备案手续。
公安机关网安部门经审查，符合等级保护要求的第二级以上信息系统，应当在收到备案材料起的10个工作日内向备案单位颁发信息系统安全保护等级备案证明（备案证明由公安部统一监制）。
4、建设整改及测评：
定级对象的运营和使用单位根据公安机关定级审查的结果，按照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的相关要求，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作。
5、监督检查：
公安机关全程负责信息安全等级保护仿绝工作的督促、检查和指导；公安机关工作中发现不符合管理规范和技术标准的，应当发出整改通知要求整改。
备案应准备材料如下：
1、系统安全组织机构、三员审查表（系统开发建设人员、维护人员、及管理人员）、管理制度及应急预案。（安全组织机构包括机构名称、负责人、成员、职责分工等。管理制度包括安全管理规范、章程等，需有单位签章及电子版））
2、系统安全保护设施设计实施方案或者改建实施方案，系统拓扑结构说明，安全产品锋数清单及证书。（简要的安全建设、整改方案，需有单位签章及电子版）
3、《信息系统安全等级保护备案表》（银大首以下简称《备案表》），纸质材料，一式两份。包括：《单位基本情况》（表一）、《信息系统情况》（表二）、《信息系统定级情况》（表三）和《第三级以上信息系统提交材料情况》（表四）。第二级以上信息系统备案时需提交《备案表》中的表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料（需有单位签章及电子版）。
4、《信息系统安全等级保护定级报告》（以下简称《定级报告》），纸质材料，一式两份。每个备案的信息系统均需提供对应的《定级报告》，《定级报告》参照模板格式填写（需有单位签章及电子版）。
综上所述，网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。
【法律依据】：
《中华人民共和国网络安全法》第二十五条
网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

E. 信息安全等级保护的实施原则

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

为什么要办理网络安全等级保护备案?

1.建立有效的网络安全防御体系（让客户的系统真正具有安全防御的能力）

2. 完成信息系统等级保护公安备案（取得备案证明） ，顺利通过网络安全等级保护测评（取得测评报告）

3 满足相关部门的合规性要求（包括国家的政策，法律法规的要求，还有上级部门的要求，还有甲方客户的要求等）

4. 系统过了等保，一定程度上可以提高企业投标锁标的能力，为投标加分

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

F. 如何进行信息系统安全等级保护备案

网络安全等级保护分为五个级别：

G. 我国网络安全等级保护制度的主要内容包括什么

我国网络安全等级保护制度的主要内容如下：

1、等级划分：对不同的网络系统、网络设册贺备和信息系统进行等级划分，分为五个等级，即一级到五级。

2、等级保护要求：对不同等级的网络系统、网络设备和信息系统，制定相应的保护要求，包括技术要求和管理要求。

网络安全的特点

1、保密性

信息不泄露给非授权用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使宴答用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。

2、完整性

数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除州祥派、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

H. 网络安全等级保护的主要工作

网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开 信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护，对网络中使用的安全技术和管理制度实行按等级管理，对网络中发生的信息安全事件分等级响应、处置。