等级保护评测十大问题（如何确定需要做几级等保）

一、等保指的是信息安全等级保护。

        它是指一套适用于我国涉及国家秘密和重要信息系统的安全保护标准和技术要求。等保的目标是确保国家重要信息资产的安全，防止信息泄露和损害。等保制度主要包括等级划分、安全措施、技术要求和安全评估等内容。它是信息安全管理的重要措施，对于提高我国信息安全水平具有重要意义。

        网络安全等级保护是指根据不同等级进行保护和监督网络（包括信息系统、数据等），并根据等级管理网络安全产品的使用，以及对不同等级的安全事件进行响应和处置。

二、等保服务有哪些作用？
支持企业的业务需求
（1）评估等级咨询
        在进行等级保护评估之前，被测目标系统需要先进行等级划分和定级备案。教评网将协助客户完成信息系统的识别和边界划分，进行信息系统的等级划分，并帮助填写定级表、备案表等申请材料。同时，我们还将为客户避免等级保护评估中容易出现问题的业务点。

（2）方案设计的整改计划
        通过对被测试的信息系统进行分析，调查信息系统的安全现状，结合国家等级保护评估标准，进行等级保护差距分析。并根据差距分析结果制定整改计划和实施方案，分别从安全管理和安全技术两个方面进行设计规划。

（3）安全整改措施
        教评网拥有经验丰富的等级保护专家和专业的安全技术顾问，为信息系统提供完善的安全技术整改措施。在等级保护建设的整改阶段，我们会提供业务安全、安全设备和安全管理等方面的整改服务。根据客户当前的安全需求和管理特点，我们会从人员、运作、规范和制度等多个角度进行安全管理整改，以符合等级保护的管理要求。

（4）协助进行测评工作
        在测评认定机构对目标系统进行等级保护测评之前，教评网会依照《信息系统安全等级保护基本要求》和《信息系统等级保护测评准则》，协助客户对系统进行自我评估。我们将发现其中的不足之处，并尽快对系统进行完善。在测评过程中，我们会协助客户准备测评材料，并提供测评实施和技术支持等活动的配合，以确保客户的信息系统能够成功通过测评。

三、五个安全保护等级。

        第一级：一般网络系统，自主保护级 受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络系统。

        第二级：一般网络系统，指导保护级 受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络系统。

        第三级：重要系统/关键信息基础设施，监督保护级 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

        第四级：关键信息基础设施，强制保护级 一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

        第五级：极其重要网络 一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

四、常见的等保问题误区
1.等保只是一种技术问题，不需要全员参与。实际上，等保是一个综合性的安全工作，涉及到技术、人员、流程等多个方面，需要全员参与。

2.等保只需要购买一些安全设备和软件即可。事实上，安全设备和软件只是等保的一部分，还需要制定有效的安全策略和保护措施。

3.等保只需要单一的技术解决方案。实际上，等保需要采用综合的技术解决方案，包括网络安全、主机安全、数据安全等多个方面。

4.等保只需要解决技术问题，不需要考虑业务需求。事实上，等保需要结合业务需求来设计和实施合适的安全措施，以保证业务的正常运行。

5.等保只需要做一次性的工作，不需要持续维护。实际上，等保需要持续的监测和更新，及时修复漏洞和强化安全措施，以保持系统的安全性。

6.等保只需要满足最低的安全标准即可。实际上，等保应该根据实际情况，采用适当的安全措施，以最大程度地保护系统的安全。

7.等保只需要解决外部攻击，不需要考虑内部威胁。实际上，内部威胁同样是等保需要考虑的重要方面，需要采取相应的措施来防范。

8.等保只需要在系统上做安全措施，不需要考虑其他环境因素。事实上，等保需要综合考虑系统所处的环境因素，如物理安全、网络拓扑等。

9.等保只需要应对已知的安全威胁，不需要考虑未知的威胁。实际上，等保需要具备应对未知威胁的能力，不仅要及时更新安全措施，还需要进行漏洞扫描和风险评估等工作。

10.等保是一次性的项目，完成后就没有了。事实上，等保是一个持续的工作，需要定期进行安全评估和改进，以应对不断变化的安全威胁。

五、为什么要做等保
1、进行等级测评就是进行安全认证。
        我们经常听到客户问的一个问题是：我们完成等保评估后，需要多长时间才能获得等级保护证书？很多人误以为等保评估就是安全认证。根据2017年6月1日实施的《中华人民共和国网络安全法》第二十一条的明确规定：国家实行网络安全等级保护制度，网络运营者需按照网络安全等级保护制度的要求，履行安全保护责任。

        可以从这里看出，等保测评并不等同于ISO20000系列的信息技术服务管理认证，也不等同于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度，是国家意志的体现。实施等级保护制度是为了满足国家法律法规的合规要求。

        没有等级保护测评的证书，如何证明信息系统已经符合等级保护安全要求呢？目前，这是由公安部授权的全国一百多家测评机构来进行安全测评。测评通过后，会获得《等级保护测评报告》，拥有这份符合等级保护安全要求的测评报告就能证明该信息系统符合等级保护的安全要求。

2、一旦完成等级测评，就可以消除安全问题。
        很多人认为，只要完成等保测评就能万事大吉。但实际上，等保制度只是基本要求而已。通过测评和整改，落实等级保护制度，确实可以减少大部分安全风险。然而，根据目前的测评结果来看，几乎没有一个系统能完全达到等保要求。一般情况下，在等级保护测评过程中，只要没有发现高危安全风险，就可以通过测评。但是，安全是一个动态的过程，而不是仅凭一次测评能解决所有问题。

        企业可以通过实施等级保护安全要求，严格遵守各项安全管理规定，以确保系统的安全稳定运行。然而，这并不能完全保证系统的安全性。因此，更重要的是提高企业的安全防护能力，及时落实能够做到的工作，确保所有需要完成的工作都得到了落实，从而提升系统的相对安全性。

3、等级测评对于内网系统不是必须的。
        许多用户的系统在公司内网或专用网络中运行，因此不能因为系统未对外公开而觉得相对安全，所以可以不用做等保措施。

        首先，所有不涉密的系统都属于等级保护的范畴，而与系统是在外网还是内网没有关系。根据《网络安全法》的规定，等级保护的对象是指在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，无论是内网系统还是外网系统，都必须符合等级保护安全要求。

        其次，内网系统通常在网络安全技术方面做得不好，甚至许多系统已经受到严重感染。2017年全球范围的永恒之蓝勒索病毒攻击造成了大量内网系统瘫痪，这提醒我们内网系统的安全防护同样不能忽视。因此，无论是在内网还是外网，都必须及时进行等保工作。

4、如果将系统托管在其他地方或者放在云上，就不需要进行等级测评了。
        当前，许多小型企业客户更喜欢将系统部署在云平台和IDC机房。这些云平台和IDC机房通常都经过等级测评。然而，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然属于网络运营者自己。因此，他们依然需要承担相应的网络安全责任，需要对系统进行定级，需要进行等级保护。

        在云平台上部署的系统需要购买云平台提供的安全服务或者第三方安全服务，而在IDC机房中部署的系统则需要购买相应的安全设备，以满足等保安全要求。

5、可以根据个人的主观意愿来确定等级。
        许多客户有一些顾虑：如果系统设定为高级别，将会增加后期的工作麻烦。一方面，高级别的系统要求更高的技术水平，需要进行更多的工作；另一方面，三级系统每年需要进行评估，也让人感到不便。因此，他们希望将系统设定为二级，这样可以减少自己的麻烦。

        目前等级保护对象（即信息系统）的安全级别分为五个等级：1级为最低级别，5级为最高级别（5级为预留级别，市面上已定级的系统最高为4级）。若选择1级，无需进行等级测评，可以自主进行保护。若选择2级及以上，就需要进行等级测评。

        确定系统级别的过程需要根据系统的重要性来决策。如果级别过高，可能会导致投资的浪费；如果级别过低，则有可能会使重要的信息系统无法得到适当的保护，因此应该谨慎地确定级别。

        等级保护1.0的要求是自行确定等级，如果有主管部门的要求，主管部门需要进行审核，并最终提交给公安机关审核。等级保护2.0之后，确定等级的流程增加了“专家评审”和“主管部门审核”两个环节，这样的确定等级过程将变得更规范，确定等级也会更准确。

6、我不知道应该在哪里备案系统。
        根据《信息安全等级保护管理办法》的规定，信息系统的运营、使用单位是等级保护的主体单位。备案主体通常不会是开发商和系统集成商，而是最终的用户方。

        目前有一些单位的注册地和运营地不一样，在正常情况下需要到运营地的网络安全部门办理备案手续。举例来说，如果客户的注册地在北京海淀区，而运营部门在北京朝阳区，就需要到北京朝阳区去办理备案手续，前提是朝阳区必须有合法的办公地址。

        一些单位将其系统部署在云平台上，而云平台的实际物理位置通常与云系统的网络运营商不在同一地点。此外，一些单位的运维团队和注册经营地址也不相符。在这种情况下，云系统应该在实际运维团队所在地的市网安部门进行备案，这样可以方便地方公安对系统进行监管。

        因此，在大多数情况下，仍然需要将系统的维护人员实际所在地作为定级备案的办理地点。当然，对于一些特殊行业来说，可能有其他要求。例如，某些涉及金融安全的行业，比如互联网金融系统和支付系统，需要进行本地化管理，这些系统必须在注册地进行定级备案手续，以符合当地的监管要求。

7、完成等保测评后，就需要投入大量资金进行整改。
        有些客户对此存有疑虑：测评的费用并不高，但在测评后需要进行安全建设整改，这将需要消耗大量资金。

        实际上，整改的费用取决于信息系统等级、现有安全防护措施的状况以及网络运营商对测评分数的期望值。完全不需要花费大量资金进行整改。整改主要包括完善安全制度、加强安全措施以及购买安全设备。网络运营商可以自行进行安全制度和加固的工作，也可以委托系统集成商进行加固。这些工作通常不需要额外付费，或者已经包含在运营商和系统集成商的合同中。只要这些方面得到很好的整改，再加上一定的安全技术措施，基本上就能够达到符合要求的结论。因此，整改所花费的费用取决于您的期望值和如何进行整改。