信息安全等级保护的基本概念

信息安全等级保护是国家信息安全保障的基本制度

网络安全等级保护是指对网络（含信息系统、数据）实施分等级保护、分等级监管。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

信息安全等级划分

目前根据网络、信息系统、网络上的数据和信息的重要性划分为了五个安全保护等级，从一级到五级，逐级增强。不同级别的网络、信息系统、网络上的数据应具备不同的安全保护措施。

第一级

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级

信息系统受到破坏后，会对国家安全造成特别严重损害。

为什么要做信息等级保护测评?

自身安全

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

加强竞争

信息系统运营单位在向外部客户提供业务服务时，通过等保测评，能向客户及利益相关方展示信息系统安全性承诺，增强客户、合作伙伴及利益相关方的信心。

法律规定

《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不屜行，将会受到相应处罚。

信息等级保护实施流程

1.系统定级

根据上级主管部门要求与行业实际情况和自身业务情况，依据相关法律政策，编写定级报告，填写定级备案表。

2.系统备案

定级备案表填写完整后，将定级材料提交至公安机关进行备案审核。

3.建设整改

对系统进行调研，开展差距评估，依照国家相关标准进行文案设计，完成相应设备采购及调整，策略配置调试、完善管理制度等工作。

4.系统测评

请当地测评机构，对系统进行全方面测评，测评评分合格后获得合格测评报告，并最终获得等级保护备案证。

5.监督检查

系统持续改进与优化，并按照相关要求进行年检（二级系统每2年进行一次测评检查，三级系统每年检查一次）。

信息安全等级保护测评所需材料

01. 备案表和定级报告；
02. 网络安全等级保护应急联系登记表；
03. 《信息安全工作管理制度》；
04. 系统使用的安全产品清单及认证、销售许可证明；
05. 单位拓扑图及说明；
06. 专家评审意见。