等级保护工作流程

新形势下的等级保护

为适应新技术发展，解决云计算、物联网、移动互联和工控领域信息系统等级保护工作的需要，2014年3月-10月，由公安部牵头组织开展了信息技术新领域等级保护标准的申报工作，新标准名称为匹配国家《网络安全法》将“信息安全”改称为“网络安全”。

网络安全引起空前关注：

▪ 作用：辅助系统、支撑平台、 基础设施；

▪ 关注：信息安全、信息保障、 网络安全 ▪ 重视：《网络安全法》颁布。

等级保护政策体系进一步细化和完善：

▪ 等级保护管理条例/关键信息及好处设施保护条例启动；

▪ 配套管理规范/细则启动编制。

等级保护外延进一步丰富和完善：

▪ 等级保护对象形态不断扩充 （工业控制系统、云计算平 台等）；

▪ 工作内容更加完善（供 应链安全、通报报警等）。

网络安全等级保护新标准特点

▪ 基本要求、测评要求和技术要求 框架统一，安全管理中心支持下的 三重防护结构框架；

▪ 通用安全要求+新型应用安全扩展 要求，将云计算、移动互联、物联 网、工业控制等列入标准规范；

▪ 把基于可信根的可信验证列入各级别和各环节的主要功能要求。

网络安全法

不履行该法由主管部门责令改正，拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《网络安全法》第六章规定的14种惩罚手段：约谈，断网，勒令改正，警告，罚款，暂停相关业务，停业整顿，关闭网站，吊销相关业务许可证吊销营业执照，拘留，职业禁入，民事责任，刑事责任。

网络安全等级保护2.0变化

等级保护2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度则很难贯彻、标准和支撑体系。

等级保护上升为法律

《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”，要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。

等级保护对象将不断拓展

随着云计算、移动互联、大数据、物联网、人工智能、区块链等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，等保保护对象的外延将不断拓展。

等级保护工作内容将持续扩展

在定级、备案、建设整改、等级测评和监督检查等规定动作基础上，2.0时代风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、治理考核等于网络安全密切相关的措施将全部纳入等级保护制度并加以实施。

等级保护体系将进行重大升级

2.0时代，主管部门将继续制定出台一系列政策法规和技术标准，形成运转顺畅的工作机制，在现有体系基础上，建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。

等级保护2.0涉及的行业

金融尤其是互联网金融（不做等保不允许经营，监督最严）

医疗各大院系统必领做保互联网医疗系统上线需取得线上诊疗资格，同样必须过等保教育211.985、互联冈+教育重要系统必须做等保能源、交通、通信、工业数据行业或甲方要求必须做等保安全、大数据、云计算政府机关、企事业单位、央企（等保和负责人的绩效考核挂钩）

征信行业、软件开发行业、物联网（行业或者甲方要求必须做等保）

云计算（阿里云、华为云、云电话、云视频、云服务等）

快递行业，不做等保不给换许可证酒店行业，属于严查行业

等级保护5个步骤

定级

自主定级、专家评审、主管机构审批、公安审查

备案

将定级报告、备案表交由系统所属地网安，网安审核通过后发放审核结果通知。

建设整改

通过将待测评系统的安全现状与备案级别标准的要求进行对标审查，在技术上、管理上、产品上进行安全规划、评审、建设及差距分析，将与标准间存在的合规差距问题进行修补、改正。

测评

由信息系统运营维护机构聘请等保测评机构进行专业测评。

监督检查