我們在安全新品發(fā)布會(huì )上發(fā)布了《等保2.0白皮書(shū)》，分享在云計算環(huán)境下等保條款的解讀和最佳實(shí)踐。

一、什么是等保？

等保是等級保護的簡(jiǎn)稱(chēng)，是指對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。

二、為什么要過(guò)等保？

網(wǎng)絡(luò )安全等級保護為信息系統、云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統等定級對象的網(wǎng)絡(luò )安全建設和管理提供系統性、針對性、可行性的指導和服務(wù),幫助用戶(hù)提高定級對象的安全防護能力。此外,《網(wǎng)絡(luò )安全法》第二十一條明確規定“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度”。

做好等級保護工作除了滿(mǎn)足國家相關(guān)法律法規要求，還可以降低系統的信息安全風(fēng)險，提升防護能力。

三、哪些行業(yè)需要過(guò)等保？

政府機關(guān)：各大部委、各省級政府機關(guān)、各地市級政府機關(guān)、各事業(yè)單位等。

金融行業(yè)：金融監管機構、各大銀行、證券、保險公司等。

醫療行業(yè)：醫院、疫病控制中心、計劃生育機構、醫療衛生研究機構等。

教育行業(yè)：高校、職校、普教等。

電信行業(yè)：各大電信運營(yíng)商、各省電信公司、各地市電信公司、各類(lèi)電信服務(wù)商等。

能源行業(yè)：電力公司、石油公司等。

企業(yè)單位：大中型企業(yè)、央企、上市公司等。

其他單位：有信息系統定級需求的行業(yè)與單位。

四、過(guò)等保的流程是？

過(guò)等保一般依次要經(jīng)過(guò)5個(gè)階段，分別是：定級、備案、安全建設、等級測評、監督檢查。

五、 自主定級的依據

六、去哪里備案

省級：省級單位將定級備案材料交到省公安網(wǎng)安總隊進(jìn)行備案。

市級：各地級市的單位將定級備案材料交到各自地級市的網(wǎng)安支隊進(jìn)行備案。

縣級：先將定級備案材料交到區縣網(wǎng)安大隊，再由區縣網(wǎng)安大隊轉交地級市網(wǎng)安支隊進(jìn)行備案。

特殊行業(yè)按所在行業(yè)的要求執行備案。

七、要測評些什么

測評機構依據國家網(wǎng)絡(luò )安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對非涉及國家秘密信息系統、平臺或基礎信息網(wǎng)絡(luò )等定級對象安全等級保護狀況進(jìn)行檢測評估。測評包含技術(shù)和管理2大層面：

技術(shù)層面，包含安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心。

管理層面，包含安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

八、多久要測評一次

定級為三級及以上的系統，每年至少開(kāi)展一次等保測評；定級為二級的系統，建議每?jì)赡觊_(kāi)展一次。部分行業(yè)按所在行業(yè)的要求落實(shí)測評。

九、測評整改要求和時(shí)限

系統經(jīng)測評未達到安全保護要求的，要根據測評報告中的改進(jìn)建議，制定整改方案并進(jìn)一步整改。建議在當年度完成整改。常見(jiàn)的整改項有：

1、送檢單位或送檢系統的安全管理制度不完善或缺失；

2、漏洞補丁類(lèi)、安全策略調整類(lèi)、安全加固類(lèi)、網(wǎng)絡(luò )結構調整類(lèi)等；

3、安全防護設備缺失或不完善,要補齊。如云上開(kāi)啟管控權限的堡壘機、使用防止攻擊的Web應用防火墻等。

十、等保測評結束后要做什么？

打印測評結果報告一式四份，測評機構一份，送檢系統所在單位兩份，網(wǎng)安一份。等級保護是持續性的工作，監管單位會(huì )定期開(kāi)展監督檢查，等保三級定級對象每年都要開(kāi)展等級保護測評工作。