产品中心

一、基本概念

1. 定义

网络安全等级保护（简称“等保”）是国家对信息系统、网络及数据按重要性分等级实施安全保护的制度，旨在保障网络安全、数据安全及公民/组织合法权益。

2. 核心目标

- 通过分等级防护降低安全风险。

- 满足法律法规要求（如《网络安全法》）。

- 提升关键信息基础设施的防护能力。

二、等级划分

共分五级，逐级增高：

- 一级：用户自主保护（如小型企业内部系统）。

- 二级：系统审计保护（如教育、一般企业系统）。

- 三级：安全标记保护（如金融、医疗系统）。

- 四级：结构化保护（如电力、交通核心系统）。

- 五级：访问验证保护（如国防、国家安全系统）。

三、工作流程

1. 系统定级

- 依据《信息系统安全等级保护定级指南》，结合系统重要性及损害程度确定等级。

- 二级及以上系统需组织专家评审。

2. 备案

- 向属地公安机关提交备案材料（系统基本信息、定级报告等），审核通过后获取备案证明。

3. 安全建设整改

- 按对应等级的《基本要求》（如GB/T 22239）部署安全措施，包括技术防护（防火墙、入侵检测等）和管理规范（人员培训、应急预案）。

4. 等级测评

- 委托第三方测评机构对系统进行合规性检测（二级每两年一次，三级及以上每年一次）。

- 整改未达标项后提交测评报告。

5. 监督检查

- 公安机关对三级及以上系统定期检查，确保持续符合要求。

四、相关法律法规

1. 国家法律

- 《网络安全法》（2017年实施）：明确网络运营者需履行等级保护义务。

- 《计算机信息系统安全保护条例》（国务院147号令）。

2. 行业标准

- GB 17859-1999（基础准则）、GB/T 22239-2019（基本要求）、GB/T 28448-2019（测评要求）等。

五、实施原则

1. 自主保护：运营者自行确定等级并实施保护。

2. 重点保护：优先保障核心业务系统。

3. 同步建设：安全措施与信息化项目同步规划、实施。

4. 动态调整：随系统变化重新评估等级。

六、常见问题

1. Q：哪些系统需要做等保？

A：所有非个人/家庭网络的信息系统（如政府、金融、医疗、企业系统）均需按等级保护。

2. Q：云平台如何备案？

A：由系统所属单位向属地公安机关备案，与云服务商无关。

3. Q：未通过等保的后果？

A：可能面临行政处罚（如罚款、停业整顿），影响业务合规性。

总结：网络安全等级保护是国家强制要求的系统性工程，通过分等级防护、合规测评和持续改进，可有效提升信息系统安全性。企业需结合自身业务特点，明确等级要求，落实技术与管理措施，确保合规与风险可控。