一、总结

我司的等级保护为等保1.0（因为还没开始施行等保2.0），级别为三级，最终分数为82分，日期为2019年9月底。

本次等级保护工作我们没有请任何咨询机构或个人，没有购买任何安全基础设施，没有购买任何等保相关的服务，是直接请测评机构过来审核的。所有等保相关的基础工作全部由我们安全团队完成，包括安全基础设施搭建和运营（基于开源二次开发）、安全制度的制定和落地、安全技术能力的实施等

等级保护三级项目是我在涂鸦做的多个合规项目之一，除此外还有（ISO 27001、ISO 27017、ISO 27018、GDPR、CCPA），原计划第三季度完成。同时等级保护也是一个我全程跟进的合规项目，极大的丰富了我自身的安全合规经验。

1.1、负责人准备工作

1、通读并解读《网络安全法》。
2、通读并解读《网络安全等级保护官方要求》，一般只需要研究对应级别的条款即可。
3、准备相应的材料。你不知道需要啥材料的时候，也可以不准备，因为初审之后会给出公司详细的缺失点，你补充好后进行复审就可以了。

1.2、顺便总结一下各合规项目的终极形式

合规项目	终极形式
等级保护	信息系统安全等级保护备案证明
ISO 27001	合规证书
ISO 27017	合规证书
ISO 27018	合规证书
GDPR	安全合规报告
CCPA	安全合规报告

可见，并不是所有的合规项目最终都是发一个证书，因为有些合规并没有什么所谓的“官方认证机构”或“官方授权机构”，因此，只有一些专业的第三方出具的背书（这个东东不能叫做证书，只能算是安全合规报告，类似渗透测试报告一样）

1.3、以上安全合规项目的难度（我认为的）

难度排序	合规项目
1	ISO 27001（要真正做好，那叫生不如死）
2	ISO 27017
3	GDPR
4	ISO 27018
5	等级保护
6	CCPA（整个周期仅需一个月）

二、等级保护其他说明

1、等保总分为100分，60分以上合格，可以拿到“合格的证书”，60分以下不合格，可以拿到“不合格的证书”，因此为了拿到”合格的证书“，需要修复漏洞以提高分数。实际上60-90分之间为常规区间，通常没有100分

2、高危问题拥有“一票否决权”，即不管你其他工作完成的多好，只要有一个高危问题存在，直接不合格

3、分数是将证明材料录入到系统中，系统判分的，不是人判分的。第一次现场审核时会将证明材料录入系统，进入系统判分阶段

4、等保项目周期取决于甲方修复的时间，甲方理论上可以无限期修复问题，但实际上做等级保护也是为了快速拿证以提高竞争力，不会出现这种沙雕情况

5、以录入系统开始，半年后如果没有任何进展，系统将清空日志，所有工作清零

即：乙方审核组在现场审核结束后，进入甲方修复阶段，甲方如果无限期拖延修复，半年后没有任何进展，系统日志将清空，所有工作清零需要重头做，一朝回到解放前。甲方要做的就是半年内完成修复并提交审核组，使得流程向后进行

6、等级保护是国家强制的，不做等级保护是违法作业，但处罚力度很小，见《网络安全法》第21条和第59条

三、等级保护工作进展回顾

3月

开始联系市内各家等级保护测评机构，与各测评机构洽谈合作事宜，并定下来与价格最低的一家开展合作，之后开始协商合同

4月

协商合同，主要阻力在于我方法务同学不了解等级保护的特殊性（例如，等级保护完成的快慢实际上取决于我们整改的速度，但法务要在合同中加入等级保护完成时间限制，并加入逾期向乙方索赔违约金的条款），合同协商时间超过1个月

5月

合同协商完毕，等待乙方排期

6月

等待

7月

乙方等级保护工作组入驻现场审核，为期4天，我作为对接人全程跟进。审核组审核结束后，给出初审审核报告。话说和国内的乙方审核机构沟通就是舒服，国外的乙方审核机构真的就是爸爸，你得好好伺候着才行。

初审审核报告指出我们共有**个问题，其中**个为高危问题，最终得分为**分（不及格的分数），此处为了不涉密，全部隐去

随后，我确定每个问题对应的负责人，并安排修复。鉴于必要性和难度，只修复了高危问题和一些容易修复的

8月

跟进整体修复，并及时取证，其中一部分问题没人修复的，我就亲自上去搞定了

取证这一步是非常重要的，如果不取证，就没有办法证明这个问题是修复的

9月

排期的问题全部修复完成，证明材料提交审核组进行复审，复审后会反馈修复不合格的问题，对修复不合格的问题进行补修，补修后再次提交审核组审核

审核结束，分数合格。鉴于我不想延期并接受当前结果（如果不接受可以继续修复以提高分数），逐同意结束该项目并出具报告，至此等保工作结束

总结

可见等级保护工作其实时间并不是很长，实际中只有7月到9月在执行，其他几个月都是处于商定或等待的状态。

安全合规/等级保护--13--我们通过了等级保护三级认证相关推荐

阿里云官方推出操作系统“等保合规”镜像 -- Alibaba Cloud Linux 等保2.0三级版
前言 Alibaba Cloud Linux 2(原Aliyun Linux 2)是阿里云操作系统团队为云应用场景打造的一款云操作系统.随其发展,使用该系统的用户对安全的需求也不断增加.另一方面,根据 ...
合规当头，如何平衡数据共享与隐私保护？
随着数据的海量增长和数据潜在价值的不断提升,数据已经成为最重要的资产.据国际数据公司IDC预测,到2025年,中国数据圈在2025年增至48.6ZB字节,占全球27.8%,成为最大数据圈. 但社会各界 ...
等保合规2022系列 | 等级保护技术防护体系该怎样构建（上）
2022等保合规指南第四篇山石网科带你深入走进[等保] 通过<等保合规2022系列 | 今年,关于等保你该了解什么?>.<等保合规2022系列 | 一个中心+三重防护,助力企业等 ...
【隐私合规】隐私保护和数据保护合规大合集
CPO(首席隐私官) | IT战略和运营分享.IT高管和企业高管的百宝箱. (cioctocdo.com) [隐私保护合规]Data Mapping 数据映射 [ADPPA]ADPPA对美国数据监管的 ...
等保2.0标准发布一周年，行业用户如何有效落实合规建设
等保2.0标准发布一周年,行业用户如何有效落实合规建设 5月10日,等级保护2.0三项核心国家标准已经正式发布一周年.各行各业都非常重视等级保护建设,相继出台了行业等级保护政策及标准文件.新国标的发布 ...
信息安全等级合规测评
合规,简而言之就是要符合法律.法规.政策及相关规则.标准的约定.在信息安全领域内,等级保护.分级保护.塞班斯法案.计算机安全产品销售许可.密码管理等,是典型的合规性要求. 信息安全合规测评是国家强制要 ...
等保测评合规意味着什么，你有没有想太多了
等保测评合规,现在是很多需要参与等级保护的公司和单位,都需要满足的法律义务.但是,等保测评合规意味着本公司/单位的测评对象符合网络安全等级保护相关的网络安全建设要求,但是并不代表这个企业/单位的网络安 ...
正式开源无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具
一.开源背景随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生.受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或 ...
APP加固：助力移动应用安全合规
近日,工业和信息化部发布了2023年第2批侵害用户权益行为的App(SDK)名单,55款App因涉及强制.频繁.过度索取权限等问题而被通报.这一举措进一步凸显了合规对于APP发展的重要性. 根据工业和 ...
阿里云积极落实等级保护制度，政务云全国首个通过等保2.0合规评测
2019独角兽企业重金招聘Python工程师标准>>> 5月16日,阿里云"电子政务云平台系统"正式通过网络安全等级保护三级测评.这是等保2.0正式国家标准GB/ ...

安全合规/等级保护--13--我们通过了等级保护三级认证