一、等保指的是信息安全等級保護(hù)。

        它是指一套適用于我國涉及國家秘密和重要信息系統(tǒng)的安全保護(hù)標(biāo)準(zhǔn)和技術(shù)要求。等保的目標(biāo)是確保國家重要信息資產(chǎn)的安全，防止信息泄露和損害。等保制度主要包括等級劃分、安全措施、技術(shù)要求和安全評估等內(nèi)容。它是信息安全管理的重要措施，對于提高我國信息安全水平具有重要意義。

        網(wǎng)絡(luò)安全等級保護(hù)是指根據(jù)不同等級進(jìn)行保護(hù)和監(jiān)督網(wǎng)絡(luò)（包括信息系統(tǒng)、數(shù)據(jù)等），并根據(jù)等級管理網(wǎng)絡(luò)安全產(chǎn)品的使用，以及對不同等級的安全事件進(jìn)行響應(yīng)和處置。

二、等保服務(wù)有哪些作用？
支持企業(yè)的業(yè)務(wù)需求
（1）評估等級咨詢
        在進(jìn)行等級保護(hù)評估之前，被測目標(biāo)系統(tǒng)需要先進(jìn)行等級劃分和定級備案。教評網(wǎng)將協(xié)助客戶完成信息系統(tǒng)的識別和邊界劃分，進(jìn)行信息系統(tǒng)的等級劃分，并幫助填寫定級表、備案表等申請材料。同時(shí)，我們還將為客戶避免等級保護(hù)評估中容易出現(xiàn)問題的業(yè)務(wù)點(diǎn)。

（2）方案設(shè)計(jì)的整改計(jì)劃
        通過對被測試的信息系統(tǒng)進(jìn)行分析，調(diào)查信息系統(tǒng)的安全現(xiàn)狀，結(jié)合國家等級保護(hù)評估標(biāo)準(zhǔn)，進(jìn)行等級保護(hù)差距分析。并根據(jù)差距分析結(jié)果制定整改計(jì)劃和實(shí)施方案，分別從安全管理和安全技術(shù)兩個(gè)方面進(jìn)行設(shè)計(jì)規(guī)劃。

（3）安全整改措施
        教評網(wǎng)擁有經(jīng)驗(yàn)豐富的等級保護(hù)專家和專業(yè)的安全技術(shù)顧問，為信息系統(tǒng)提供完善的安全技術(shù)整改措施。在等級保護(hù)建設(shè)的整改階段，我們會提供業(yè)務(wù)安全、安全設(shè)備和安全管理等方面的整改服務(wù)。根據(jù)客戶當(dāng)前的安全需求和管理特點(diǎn)，我們會從人員、運(yùn)作、規(guī)范和制度等多個(gè)角度進(jìn)行安全管理整改，以符合等級保護(hù)的管理要求。

（4）協(xié)助進(jìn)行測評工作
        在測評認(rèn)定機(jī)構(gòu)對目標(biāo)系統(tǒng)進(jìn)行等級保護(hù)測評之前，教評網(wǎng)會依照《信息系統(tǒng)安全等級保護(hù)基本要求》和《信息系統(tǒng)等級保護(hù)測評準(zhǔn)則》，協(xié)助客戶對系統(tǒng)進(jìn)行自我評估。我們將發(fā)現(xiàn)其中的不足之處，并盡快對系統(tǒng)進(jìn)行完善。在測評過程中，我們會協(xié)助客戶準(zhǔn)備測評材料，并提供測評實(shí)施和技術(shù)支持等活動的配合，以確保客戶的信息系統(tǒng)能夠成功通過測評。

三、五個(gè)安全保護(hù)等級。

        第一級：一般網(wǎng)絡(luò)系統(tǒng)，自主保護(hù)級 受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)系統(tǒng)。

        第二級：一般網(wǎng)絡(luò)系統(tǒng)，指導(dǎo)保護(hù)級 受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網(wǎng)絡(luò)系統(tǒng)。

        第三級：重要系統(tǒng)/關(guān)鍵信息基礎(chǔ)設(shè)施，監(jiān)督保護(hù)級 一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，或者會對社會秩序和社會公共利益造成嚴(yán)重危害，或者對國家安全造成危害的重要網(wǎng)絡(luò)。

        第四級：關(guān)鍵信息基礎(chǔ)設(shè)施，強(qiáng)制保護(hù)級 一旦受到破壞會對社會秩序和公共利益造成特別嚴(yán)重危害，或者對國家安全造成嚴(yán)重危害的特別重要網(wǎng)絡(luò)。

        第五級：極其重要網(wǎng)絡(luò) 一旦受到破壞后會對國家安全造成特別嚴(yán)重危害的極其重要網(wǎng)絡(luò)。

四、常見的等保問題誤區(qū)
1.等保只是一種技術(shù)問題，不需要全員參與。實(shí)際上，等保是一個(gè)綜合性的安全工作，涉及到技術(shù)、人員、流程等多個(gè)方面，需要全員參與。

2.等保只需要購買一些安全設(shè)備和軟件即可。事實(shí)上，安全設(shè)備和軟件只是等保的一部分，還需要制定有效的安全策略和保護(hù)措施。

3.等保只需要單一的技術(shù)解決方案。實(shí)際上，等保需要采用綜合的技術(shù)解決方案，包括網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全等多個(gè)方面。

4.等保只需要解決技術(shù)問題，不需要考慮業(yè)務(wù)需求。事實(shí)上，等保需要結(jié)合業(yè)務(wù)需求來設(shè)計(jì)和實(shí)施合適的安全措施，以保證業(yè)務(wù)的正常運(yùn)行。

5.等保只需要做一次性的工作，不需要持續(xù)維護(hù)。實(shí)際上，等保需要持續(xù)的監(jiān)測和更新，及時(shí)修復(fù)漏洞和強(qiáng)化安全措施，以保持系統(tǒng)的安全性。

6.等保只需要滿足最低的安全標(biāo)準(zhǔn)即可。實(shí)際上，等保應(yīng)該根據(jù)實(shí)際情況，采用適當(dāng)?shù)陌踩胧?，以最大程度地保護(hù)系統(tǒng)的安全。

7.等保只需要解決外部攻擊，不需要考慮內(nèi)部威脅。實(shí)際上，內(nèi)部威脅同樣是等保需要考慮的重要方面，需要采取相應(yīng)的措施來防范。

8.等保只需要在系統(tǒng)上做安全措施，不需要考慮其他環(huán)境因素。事實(shí)上，等保需要綜合考慮系統(tǒng)所處的環(huán)境因素，如物理安全、網(wǎng)絡(luò)拓?fù)涞取?/p>

9.等保只需要應(yīng)對已知的安全威脅，不需要考慮未知的威脅。實(shí)際上，等保需要具備應(yīng)對未知威脅的能力，不僅要及時(shí)更新安全措施，還需要進(jìn)行漏洞掃描和風(fēng)險(xiǎn)評估等工作。

10.等保是一次性的項(xiàng)目，完成后就沒有了。事實(shí)上，等保是一個(gè)持續(xù)的工作，需要定期進(jìn)行安全評估和改進(jìn)，以應(yīng)對不斷變化的安全威脅。

五、為什么要做等保
1、進(jìn)行等級測評就是進(jìn)行安全認(rèn)證。
        我們經(jīng)常聽到客戶問的一個(gè)問題是：我們完成等保評估后，需要多長時(shí)間才能獲得等級保護(hù)證書？很多人誤以為等保評估就是安全認(rèn)證。根據(jù)2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條的明確規(guī)定：國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者需按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)責(zé)任。

        可以從這里看出，等保測評并不等同于ISO20000系列的信息技術(shù)服務(wù)管理認(rèn)證，也不等同于ISO27000系列的信息安全管理體系認(rèn)證。等級保護(hù)制度是國家信息安全管理的制度，是國家意志的體現(xiàn)。實(shí)施等級保護(hù)制度是為了滿足國家法律法規(guī)的合規(guī)要求。

        沒有等級保護(hù)測評的證書，如何證明信息系統(tǒng)已經(jīng)符合等級保護(hù)安全要求呢？目前，這是由公安部授權(quán)的全國一百多家測評機(jī)構(gòu)來進(jìn)行安全測評。測評通過后，會獲得《等級保護(hù)測評報(bào)告》，擁有這份符合等級保護(hù)安全要求的測評報(bào)告就能證明該信息系統(tǒng)符合等級保護(hù)的安全要求。

2、一旦完成等級測評，就可以消除安全問題。
        很多人認(rèn)為，只要完成等保測評就能萬事大吉。但實(shí)際上，等保制度只是基本要求而已。通過測評和整改，落實(shí)等級保護(hù)制度，確實(shí)可以減少大部分安全風(fēng)險(xiǎn)。然而，根據(jù)目前的測評結(jié)果來看，幾乎沒有一個(gè)系統(tǒng)能完全達(dá)到等保要求。一般情況下，在等級保護(hù)測評過程中，只要沒有發(fā)現(xiàn)高危安全風(fēng)險(xiǎn)，就可以通過測評。但是，安全是一個(gè)動態(tài)的過程，而不是僅憑一次測評能解決所有問題。

        企業(yè)可以通過實(shí)施等級保護(hù)安全要求，嚴(yán)格遵守各項(xiàng)安全管理規(guī)定，以確保系統(tǒng)的安全穩(wěn)定運(yùn)行。然而，這并不能完全保證系統(tǒng)的安全性。因此，更重要的是提高企業(yè)的安全防護(hù)能力，及時(shí)落實(shí)能夠做到的工作，確保所有需要完成的工作都得到了落實(shí)，從而提升系統(tǒng)的相對安全性。

3、等級測評對于內(nèi)網(wǎng)系統(tǒng)不是必須的。
        許多用戶的系統(tǒng)在公司內(nèi)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)中運(yùn)行，因此不能因?yàn)橄到y(tǒng)未對外公開而覺得相對安全，所以可以不用做等保措施。

        首先，所有不涉密的系統(tǒng)都屬于等級保護(hù)的范疇，而與系統(tǒng)是在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，等級保護(hù)的對象是指在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用的網(wǎng)絡(luò)與信息系統(tǒng)。因此，無論是內(nèi)網(wǎng)系統(tǒng)還是外網(wǎng)系統(tǒng)，都必須符合等級保護(hù)安全要求。

        其次，內(nèi)網(wǎng)系統(tǒng)通常在網(wǎng)絡(luò)安全技術(shù)方面做得不好，甚至許多系統(tǒng)已經(jīng)受到嚴(yán)重感染。2017年全球范圍的永恒之藍(lán)勒索病毒攻擊造成了大量內(nèi)網(wǎng)系統(tǒng)癱瘓，這提醒我們內(nèi)網(wǎng)系統(tǒng)的安全防護(hù)同樣不能忽視。因此，無論是在內(nèi)網(wǎng)還是外網(wǎng)，都必須及時(shí)進(jìn)行等保工作。

4、如果將系統(tǒng)托管在其他地方或者放在云上，就不需要進(jìn)行等級測評了。
        當(dāng)前，許多小型企業(yè)客戶更喜歡將系統(tǒng)部署在云平臺和IDC機(jī)房。這些云平臺和IDC機(jī)房通常都經(jīng)過等級測評。然而，根據(jù)“誰運(yùn)營誰負(fù)責(zé)，誰使用誰負(fù)責(zé)，誰主管誰負(fù)責(zé)”的原則，系統(tǒng)責(zé)任主體仍然屬于網(wǎng)絡(luò)運(yùn)營者自己。因此，他們依然需要承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任，需要對系統(tǒng)進(jìn)行定級，需要進(jìn)行等級保護(hù)。

        在云平臺上部署的系統(tǒng)需要購買云平臺提供的安全服務(wù)或者第三方安全服務(wù)，而在IDC機(jī)房中部署的系統(tǒng)則需要購買相應(yīng)的安全設(shè)備，以滿足等保安全要求。

5、可以根據(jù)個(gè)人的主觀意愿來確定等級。
        許多客戶有一些顧慮：如果系統(tǒng)設(shè)定為高級別，將會增加后期的工作麻煩。一方面，高級別的系統(tǒng)要求更高的技術(shù)水平，需要進(jìn)行更多的工作；另一方面，三級系統(tǒng)每年需要進(jìn)行評估，也讓人感到不便。因此，他們希望將系統(tǒng)設(shè)定為二級，這樣可以減少自己的麻煩。

        目前等級保護(hù)對象（即信息系統(tǒng)）的安全級別分為五個(gè)等級：1級為最低級別，5級為最高級別（5級為預(yù)留級別，市面上已定級的系統(tǒng)最高為4級）。若選擇1級，無需進(jìn)行等級測評，可以自主進(jìn)行保護(hù)。若選擇2級及以上，就需要進(jìn)行等級測評。

        確定系統(tǒng)級別的過程需要根據(jù)系統(tǒng)的重要性來決策。如果級別過高，可能會導(dǎo)致投資的浪費(fèi)；如果級別過低，則有可能會使重要的信息系統(tǒng)無法得到適當(dāng)?shù)谋Ｗo(hù)，因此應(yīng)該謹(jǐn)慎地確定級別。

        等級保護(hù)1.0的要求是自行確定等級，如果有主管部門的要求，主管部門需要進(jìn)行審核，并最終提交給公安機(jī)關(guān)審核。等級保護(hù)2.0之后，確定等級的流程增加了“專家評審”和“主管部門審核”兩個(gè)環(huán)節(jié)，這樣的確定等級過程將變得更規(guī)范，確定等級也會更準(zhǔn)確。

6、我不知道應(yīng)該在哪里備案系統(tǒng)。
        根據(jù)《信息安全等級保護(hù)管理辦法》的規(guī)定，信息系統(tǒng)的運(yùn)營、使用單位是等級保護(hù)的主體單位。備案主體通常不會是開發(fā)商和系統(tǒng)集成商，而是最終的用戶方。

        目前有一些單位的注冊地和運(yùn)營地不一樣，在正常情況下需要到運(yùn)營地的網(wǎng)絡(luò)安全部門辦理備案手續(xù)。舉例來說，如果客戶的注冊地在北京海淀區(qū)，而運(yùn)營部門在北京朝陽區(qū)，就需要到北京朝陽區(qū)去辦理備案手續(xù)，前提是朝陽區(qū)必須有合法的辦公地址。

        一些單位將其系統(tǒng)部署在云平臺上，而云平臺的實(shí)際物理位置通常與云系統(tǒng)的網(wǎng)絡(luò)運(yùn)營商不在同一地點(diǎn)。此外，一些單位的運(yùn)維團(tuán)隊(duì)和注冊經(jīng)營地址也不相符。在這種情況下，云系統(tǒng)應(yīng)該在實(shí)際運(yùn)維團(tuán)隊(duì)所在地的市網(wǎng)安部門進(jìn)行備案，這樣可以方便地方公安對系統(tǒng)進(jìn)行監(jiān)管。

        因此，在大多數(shù)情況下，仍然需要將系統(tǒng)的維護(hù)人員實(shí)際所在地作為定級備案的辦理地點(diǎn)。當(dāng)然，對于一些特殊行業(yè)來說，可能有其他要求。例如，某些涉及金融安全的行業(yè)，比如互聯(lián)網(wǎng)金融系統(tǒng)和支付系統(tǒng)，需要進(jìn)行本地化管理，這些系統(tǒng)必須在注冊地進(jìn)行定級備案手續(xù)，以符合當(dāng)?shù)氐谋O(jiān)管要求。

7、完成等保測評后，就需要投入大量資金進(jìn)行整改。
        有些客戶對此存有疑慮：測評的費(fèi)用并不高，但在測評后需要進(jìn)行安全建設(shè)整改，這將需要消耗大量資金。

        實(shí)際上，整改的費(fèi)用取決于信息系統(tǒng)等級、現(xiàn)有安全防護(hù)措施的狀況以及網(wǎng)絡(luò)運(yùn)營商對測評分?jǐn)?shù)的期望值。完全不需要花費(fèi)大量資金進(jìn)行整改。整改主要包括完善安全制度、加強(qiáng)安全措施以及購買安全設(shè)備。網(wǎng)絡(luò)運(yùn)營商可以自行進(jìn)行安全制度和加固的工作，也可以委托系統(tǒng)集成商進(jìn)行加固。這些工作通常不需要額外付費(fèi)，或者已經(jīng)包含在運(yùn)營商和系統(tǒng)集成商的合同中。只要這些方面得到很好的整改，再加上一定的安全技術(shù)措施，基本上就能夠達(dá)到符合要求的結(jié)論。因此，整改所花費(fèi)的費(fèi)用取決于您的期望值和如何進(jìn)行整改。