等保测评等级划分（等级保护流程）

计算机信息系统安全保护等级划分准则（GB17859-1999）

第一级：用户自主保护级

第二级：系统审计保护

级第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级需要特别说明的：

1、最低为一级最高为五级。

2、一般常见的为二三级等级保护相关项目，四级以上需要中字头单位一般企业接触不到。

3、三级按照要求需要每年测评，二级不需要每年测评。一级不存在需要测评一说。

主要流程为：

定级-备案-审核-备案证明-等保测评-测评报告定级：确定应用系统对应等级保护等级一般为二级或三级。

备案：备案要填写一张表跟网站备案信息有点类似，主要是应用名称，单位主体，域名，IP，负责人等等，表的格式参照当地公安机关。

备案证明：备案资料交由公安机关审核，审核通过会发一个备案证明材料，不通过则需要重写。

等保测评：等级保护测评机构进行，测评要求基本为二级或三级的要求是否达到。

测评报告：通过与否都会给予测评报告，一般情况是一个项目测评会有两次，第一次是测评后可以整改，然后第二次测评通过。也可以做好整改后让第一次测评直接通过。

等级保护流程

为什么从2017年后叫做等保2.0了呢？

原因是2017年6月1号，《中华人民共和国网络安全法》出台，它提到，国家实行等级安全保护制度，注意，这时候等级保护已经成为法律制度，不做等保就是违法。同时，第31条说，如果单位系统非常非常重要，称之为“关键信息基础设施”，那么这个系统做等保还不够，还要在等保的基础上做重点保护。

等保2.0

2.0的思想导致我们要调整在1.0的法律法规。这时候，要在《网络安全法》基础上添加《网络安全等级保护条例(起草中)》、《关键信息基础设施保护条例(起草中)》。现在，这两个条例即将和大家见面。标准体系也相应地做了调整，这些标准已经在2019年与大家见面了，并在12月1日正式实施，这也是今年标准为何如此受到重视。

也就是说，未来等级保护用的就是这个新标准。当然，这只是等保标准，在此基础上还有关键基础设施保护标准。如果你们单位系统非常重要，除了等保，还要做相应的关键基础设施保护。这套标准马上也要和大家见面了。

总结一下，等级保护对象分为五级，第一二级国家认为是一般资产，三级以上包含重要资产以及关键资产。这些不同对象对应的监管力度也不一样。