基本概念

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的体现。

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合国家要求的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。

实施意义

● 合法要求：

满足合法合规要求，清晰化责任和工作方法，让安全贯穿全生命周期。

● 体系建设：

明确组织整体目标，改变以往单点防御方式，让安全建设更加体系化。

● 等级防护：

提高人员安全意识，树立等级化防护思想，合理分配网络安全投资。

发展历程

● 1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)：第一次提出“计算机信息系统实行安全等级保护”概念。

● 1999年《计算机信息系统 安全等级保护划分准则》（GB17859）：国家发布关于计算机信息系统安全保护等级划分准则强制性标准。

● 2007年《信息安全等级保护管理办法》（公通字[2007]43号）：公安部发布管理办法，旨在加快推进、规范管理等级保护建设工作。

● 2008年《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）：明确对于各等级信息系统的安全保护基本要求。

● 2017年《中华人民共和国网络安全法》：第二十一条明确国家实行等级保护制度，落实等级保护制度已经上升到法律层面。

● 2019年5月《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》等核心标准正式发布。

法律要求

《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

法律解读：国家明确实行等级保护制度，网络运营者应按等级保护要求开展网络安全建设。

《中华人民共和国网络安全法》【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（关键信息基础设施必须落实国家等级保护制度，突出保护重点）

法律解读：关键信息基础设施必须要落实等级保护制度，并要重点保护。

等保合规服务流程

系统定级：与信息系统运营使用单位相关人员一起，对信息系统进行定级。

差距评估：依据等级保护基本要求，对信息系统进行差距评估，识别存在的安全问题。

规划设计：根据差距评估结果，进行安全规划设计，制定整改方案。

安全整改：按照整改方案进行安全整改，包括技术整改和管理整改。

等级测评：委托具有资质的第三方测评机构对信息系统进行等级测评，验证其是否符合等级保护要求。

持续运维：提供持续的运维服务，确保信息系统始终符合等级保护要求。

等保合规2.0架构

安全物理环境

针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等；涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

安全通信网络

针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证。

安全区域边界

针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

安全计算环境

针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

安全管理中心

针对整个系统提出的安全管理方面的技术控制要求，通过技术手段实现集中管理；涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

安全管理制度

针对整个管理制度体系提出的安全控制要求，涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

安全管理机构

针对整个管理组织架构提出的安全控制要求，涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

安全管理人员

针对人员管理提出的安全控制要求，涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

安全建设管理

针对安全建设过程提出的安全控制要求，涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

安全运维管理

针对安全运维过程提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。