安全資訊

什么是等保2.0（等級保護）？

全稱(chēng)網(wǎng)絡(luò )安全等級保護。

在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統（APP）安全等級保護。

信息安全等級保護：

?對信息系統分等級進(jìn)行安全保護和監管；

?對信息安全產(chǎn)品的使用實(shí)行分等級管理；

?對信息安全事件實(shí)行分等級響應、處置。

等級保護是怎么分等級的？

將全國的信息系統（包括網(wǎng)絡(luò )）按照信息系統的業(yè)務(wù)信息和系統服務(wù)被破壞后，對受侵害客體的侵害程度分成五個(gè)安全保護等級（從第一級到第五級逐級增高）。

為什么要做等級保護？

1. 法律法規要求

《網(wǎng)絡(luò )安全法》明確規定信息系統運營(yíng)、使用單位應當按照網(wǎng)絡(luò )安全等級保護制度要求，履行安全保護義務(wù)，如果拒不履行，將會(huì )受到相應處罰。

第二十一條：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。

2. 行業(yè)要求

在金融、電力、廣電、醫療、教育等行業(yè)，主管單位明確要求從業(yè)機構的信息系統（APP）要開(kāi)展等級保護工作。

3. 企業(yè)系統安全的需求

信息系統運營(yíng)、使用單位通過(guò)開(kāi)展等級保護工作可以發(fā)現系統內部的安全隱患與不足之處，可通過(guò)安全整改提升系統的安全防護能力，降低被攻擊的風(fēng)險。

簡(jiǎn)單來(lái)說(shuō)，《網(wǎng)絡(luò )安全法》一直對網(wǎng)站、信息系統、APP有等級保護要求，中小型企業(yè)通常是行業(yè)要求才意識到問(wèn)題。

怎么做等級保護？

等級保護通常需要5個(gè)步驟：

1.定級（企業(yè)自主定級-專(zhuān)家評審-主管部門(mén)審核-公安機關(guān)審核）

2.備案（企業(yè)提交備案材料-公安機關(guān)審核-發(fā)放備案證明）

3.測評（等級測評-三級每年測評一次）

4.建設整改（安全建設-安全整改）

5.監督檢查（公安機關(guān)每年監督檢查）

一、企業(yè)自己做等級保護

1.在定級備案的步驟，一級不需要備案僅需企業(yè)自主定級。二級、三級是大部分普通企業(yè)的信息系統定級。四級、五級普通企業(yè)不會(huì )涉及，通常是與國家相關(guān)（如等保四級-涉及民生的，如鐵路、能源、電力等）的重要系統。根據地區不同備案文件修改遞交通常需要1個(gè)月左右的時(shí)間。

2.定級備案后，尋找本地區測評機構進(jìn)行等級測評。

3.根據測評評分(GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求。具體分數需要測評后才能給出)對信息系統（APP）進(jìn)行安全整改，如果企業(yè)沒(méi)有專(zhuān)業(yè)的安全團隊，需要尋找安全公司進(jìn)行不同項目的整改。等級保護2.0三級有211項內容，通常企業(yè)需要根據自身情況采購安全產(chǎn)品完成整改。

4.進(jìn)行安全建設整改后，通過(guò)測評。當地公安機關(guān)會(huì )進(jìn)行監督檢查包含定級備案測評、測評后抽查。

整個(gè)流程企業(yè)自行做等級保護，順利的話(huà)3-4個(gè)月完成，如果不熟悉需要半年甚至更久。
優(yōu)勢：與第三方企業(yè)對比幾乎沒(méi)有優(yōu)勢
劣勢：時(shí)間長(cháng)、消耗人力成本高、技術(shù)人員不足還可能增加安全建設成本

二、尋找第三方機構做等級保護

1.在定級備案步驟，有些等保機構會(huì )提出指導性意見(jiàn)協(xié)助企業(yè)提交定級報告。

2.第三方等保機構可以協(xié)助企業(yè)找到專(zhuān)業(yè)測評機構，測評機構提出整改意見(jiàn)，企業(yè)根據整改意見(jiàn)購買(mǎi)安全產(chǎn)品，完成測評。

三、靈狐科技等級保護優(yōu)勢

1.在定級備案步驟，擁有豐富經(jīng)驗熟悉多個(gè)區域備案流程，可以讓客戶(hù)最簡(jiǎn)便、最省心的完成定級備案工作。

2.靈狐科技協(xié)助企業(yè)完成測評，發(fā)揮其最大優(yōu)勢——網(wǎng)絡(luò )安全公司，提供性?xún)r(jià)比最高的安全整改方案，為客戶(hù)省錢(qián)。

3.提供安全產(chǎn)品并提供安全服務(wù)，如安全專(zhuān)家1對1實(shí)時(shí)響應。

總的來(lái)說(shuō)，等級保護的工作在大的企業(yè)如阿里云等網(wǎng)絡(luò )公司，有高達1000人以上的安全部門(mén)，中小企業(yè)一個(gè)安全團隊的建立也需要多個(gè)專(zhuān)業(yè)人員，對安全設備定期維護，對網(wǎng)絡(luò )安全實(shí)時(shí)監測。所以對于中小企業(yè)來(lái)說(shuō)，第三方安全網(wǎng)絡(luò )公司為信息系統提供安全服務(wù)是最優(yōu)的選擇。