導(dǎo)讀：網(wǎng)絡(luò)安全等級(jí)保護(hù)工作流程，一般包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查這5大階段。這一部分和等保1.0一樣，只是在一些細(xì)節(jié)工作方面有所區(qū)別。

　　2017年6月1日《網(wǎng)絡(luò)安全法》正式實(shí)施，網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入有法可依的2.0時(shí)代，網(wǎng)絡(luò)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)于2019年5月陸續(xù)發(fā)布，12月1日起正式實(shí)施，標(biāo)志著等級(jí)保護(hù)正式邁入2.0時(shí)代。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代，落實(shí)等級(jí)保護(hù)制度的五個(gè)規(guī)定基本動(dòng)作仍然是：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。

　　本文通過“5W+1H”帶你讀懂等保2.0，全面了解網(wǎng)絡(luò)安全等級(jí)保護(hù)工作流程。

　　1.什么是網(wǎng)絡(luò)安全等級(jí)保護(hù)?(What)

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的網(wǎng)絡(luò)資源及功能組件分等級(jí)實(shí)行安全保護(hù)，對(duì)網(wǎng)絡(luò)中使用的安全技術(shù)和管理制度實(shí)行按等級(jí)管理，對(duì)網(wǎng)絡(luò)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

　　為開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，國(guó)家制定了一系列等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，其中主要的標(biāo)準(zhǔn)有：

　　計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)

　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T22240-2020)

　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南(GB/T25058-2019)

　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T22239-2019)

　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求(GB/T25070-2019)

　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T28448-2019)

　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南(GB/T28449-2018)

　　2.為什么開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作?(Why)

　　開展網(wǎng)絡(luò)安全等級(jí)保護(hù)的原因大致可以概括為下列三點(diǎn)：

　　01-合規(guī)要求：落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，滿足國(guó)家法律法規(guī)要求。

　　網(wǎng)絡(luò)安全法第二十一條規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

　　02-安全需求：基于等級(jí)保護(hù)構(gòu)建安全防護(hù)體系，推動(dòng)安全保障建設(shè)，合理規(guī)避風(fēng)險(xiǎn)。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)是信息系統(tǒng)安全領(lǐng)域?qū)嵤┑幕緡?guó)策，是國(guó)家信息安全保障工作的基本制度、基本方法。

　　網(wǎng)絡(luò)運(yùn)營(yíng)者依據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)，開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、安全監(jiān)測(cè)、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢(shì)感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測(cè)、安全可控、隊(duì)伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作，構(gòu)建集安全管理體系、安全技術(shù)體系、網(wǎng)絡(luò)信任體系、風(fēng)險(xiǎn)管理體系等多方位的網(wǎng)絡(luò)安全綜合防御體系。

　　03-推動(dòng)安全產(chǎn)業(yè)發(fā)展：等級(jí)保護(hù)有效的支撐了網(wǎng)絡(luò)安全法，作為網(wǎng)絡(luò)安全法的抓手，有效推動(dòng)了可信計(jì)算、全網(wǎng)安全態(tài)勢(shì)感知等新型安全技術(shù)的使用，促進(jìn)“云大物移工”等新應(yīng)用新技術(shù)的安全落地，提升了面對(duì)高級(jí)持續(xù)性威脅與勒索病毒的安全防護(hù)能力。

　　3.哪些行業(yè)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作?(Which)

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)基本對(duì)各行業(yè)進(jìn)行全覆蓋，主要行業(yè)有：政府機(jī)關(guān)、金融行業(yè)、衛(wèi)生醫(yī)療、教育行業(yè)、運(yùn)營(yíng)商、能源電力、企業(yè)單位及其他行業(yè)等。

　　網(wǎng)絡(luò)安全法第三十一條規(guī)定國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

　　4.哪些角色參與網(wǎng)絡(luò)安全等級(jí)保護(hù)?(Who)

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)主要參與的角色有：網(wǎng)絡(luò)運(yùn)營(yíng)者(用戶單位)、測(cè)評(píng)方(等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)、標(biāo)準(zhǔn)制定方)、安全服務(wù)商(安全廠商)、監(jiān)管部門(行業(yè)監(jiān)管部門、公安等)。

　　安全廠商在等級(jí)保護(hù)中除提供安全產(chǎn)品、安全服務(wù)外，還能夠履行的責(zé)任有：

　　1、與監(jiān)管方：積極參與標(biāo)準(zhǔn)建設(shè)、積極參與安全檢查應(yīng)急、積極參與重大安保;

　　2、與用戶方：明確等保安全需求分析、提供等保安全建設(shè)方案;

　　3、與測(cè)評(píng)方：提供等保標(biāo)準(zhǔn)要求解讀、同步實(shí)踐建設(shè)經(jīng)驗(yàn)、加強(qiáng)雙方技術(shù)交流。

　　5.網(wǎng)絡(luò)安全等級(jí)保護(hù)開展時(shí)間?(When)

　　等保1.0階段，測(cè)評(píng)周期參考：《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))，該文中要求：“第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)?！?/p>

　　相較于等保1.0階段的要求，等保2.0標(biāo)準(zhǔn)測(cè)評(píng)周期有所調(diào)整，不再?gòu)?qiáng)調(diào)第四級(jí)系統(tǒng)每半年進(jìn)行一次等保測(cè)評(píng)的要求。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)條例

　　(征求意見稿)

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)第二十三條[等級(jí)測(cè)評(píng)]規(guī)定：第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)，發(fā)現(xiàn)并整改安全風(fēng)險(xiǎn)隱患，并每年將開展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)的工作情況及測(cè)評(píng)結(jié)果向備案的公安機(jī)關(guān)報(bào)告。

　　第二十五條[自查工作]規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)每年對(duì)本單位落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度情況和網(wǎng)絡(luò)安全狀況至少開展一次自查，發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患及時(shí)整改，并向備案的公安機(jī)關(guān)報(bào)告。

　　因此，等保2.0時(shí)代，第三級(jí)以上的網(wǎng)絡(luò)系統(tǒng)每年做測(cè)評(píng)可看做一次自查，但對(duì)二級(jí)網(wǎng)絡(luò)來(lái)說，每年要向公安機(jī)關(guān)提交一份自查報(bào)告。

　　6.如何開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作?(How)

　　等保2.0時(shí)代，開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的五個(gè)規(guī)定基本動(dòng)作：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。

　　定級(jí)階段

　　網(wǎng)絡(luò)運(yùn)營(yíng)者依據(jù)《GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，確定等級(jí)保護(hù)對(duì)象，明確定級(jí)對(duì)象，梳理等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體及對(duì)客體造成侵害的程度。根據(jù)下列矩陣表分別確定等級(jí)保護(hù)對(duì)象業(yè)務(wù)信息等級(jí)和系統(tǒng)服務(wù)等級(jí)：

　　在分別確定業(yè)務(wù)信息安全的安全等級(jí)和系統(tǒng)服務(wù)的安全等級(jí)后，由二者中較高級(jí)別確定等級(jí)保護(hù)對(duì)象的安全級(jí)別，如：

　　業(yè)務(wù)信息安全：第二級(jí);系統(tǒng)服務(wù)：第三級(jí);最終等級(jí)保護(hù)級(jí)別為：第三級(jí)。

　　業(yè)務(wù)信息安全：第四級(jí);系統(tǒng)服務(wù)：第三級(jí);最終等級(jí)保護(hù)級(jí)別為：第四級(jí)。

　　業(yè)務(wù)信息安全：第三級(jí);系統(tǒng)服務(wù)：第三級(jí);最終等級(jí)保護(hù)級(jí)別為：第三級(jí)。

　　具體的定級(jí)流程如下：

　　備案階段

　　第二級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者在定級(jí)、撤銷或變更調(diào)整網(wǎng)絡(luò)安全保護(hù)等級(jí)時(shí)，在明確安全保護(hù)等級(jí)后需在10個(gè)工作日內(nèi)，到縣級(jí)以上公安機(jī)關(guān)備案，提交相關(guān)材料。

　　備案所需材料(下列材料為浙江寧波公安官網(wǎng)發(fā)布的所需材料及流程，供參考，不同地市可能存在差異，以當(dāng)?shù)毓矙C(jī)關(guān)要求為準(zhǔn))

　　公安機(jī)關(guān)應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提交的備案材料進(jìn)行審核。

　　對(duì)定級(jí)準(zhǔn)確、備案材料符合要求的，應(yīng)在10個(gè)工作日內(nèi)出具網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明。

　　建設(shè)整改階段

　　安全建設(shè)整改工作分五步進(jìn)行：

　　01、落實(shí)安全建設(shè)整改工作部門，建設(shè)整改工作規(guī)劃，進(jìn)行總體部署;

　　02、確定網(wǎng)絡(luò)安全建設(shè)需求并論證;

　　03、確定安全防護(hù)策略，制定網(wǎng)絡(luò)安全建設(shè)整改方案(安全建設(shè)方案經(jīng)專家評(píng)審論證，三級(jí)以上報(bào)公安機(jī)關(guān)審核);

　　04、根據(jù)網(wǎng)絡(luò)安全建設(shè)整改方案，實(shí)施安全建設(shè)工程;

　　05、開展安全自查和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)及安全問題，進(jìn)一步開展整改。

　　等級(jí)測(cè)評(píng)階段

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程分為4個(gè)基本活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析及報(bào)告編制活動(dòng)。

　　監(jiān)督檢查階段

　　公安機(jī)關(guān)對(duì)第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者每年至少開展一次安全檢查，涉及相關(guān)行業(yè)的可以會(huì)同其行業(yè)主管部門開展安全檢查。必要時(shí)，公安機(jī)關(guān)可以委托社會(huì)力量提供技術(shù)支持。

　　縣級(jí)以上公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開展下列網(wǎng)絡(luò)安全工作情況進(jìn)行監(jiān)督檢查

　　1、日常網(wǎng)絡(luò)安全防范工作;

　　2、重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患整改情況;

　　3、重大網(wǎng)絡(luò)安全事件應(yīng)急處置和恢復(fù)工作;

　　4、重大活動(dòng)網(wǎng)絡(luò)安全保護(hù)工作落實(shí)情況;

　　5、其他網(wǎng)絡(luò)安全保護(hù)工作情況。

　　聲明：本文來(lái)自啟明星辰技術(shù)中心，內(nèi)容有刪減，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系刪除。