一、等级保护工作依据

网络安全等级保护制度是一项国家级别制度。网络运营者依照《信息安全等级保护管理办法公通字[2007]43号》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等相关法律法规要求对本单位的信息系统进行等级保护建设。

二、等级保护工作中用到的主要标准

（一）基础类

1、《计算机信息系统安全保护等级划分准则》GB 17859-1999

2、《网络安全等级保护实施指南》GB/T 25058

（二）系统定级环节

3、《网络安全保护等级定级指南》GB/T 22240

（三）建设整改环节

4、《网络安全等级保护基本要求》GB/T22239-2019

（四）等级测评环节

5、《网络安全等级保护测评要求》GB/T28448-2019

6、《网络安全等级保护测评过程指南》GB/T28449-2018

三、等级保护工作过程

等级保护工作过程分为：系统定级、系统备案、建设整改、等级测评、监督检查。

（一）系统定级

根据信息、信息系统的重要程度和信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，确定信息系统的安全保护等级。

信息系统安全保护等级共分为五级：

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。

网络运营者根据GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》标准，选择需要进行定级备案的系统，网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。

(二)系统备案

根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》规范，网络安全等级保护为第二级以上网络（信息系统）的运营者使用单位应当到公安机关网络安全保卫部门办理备案手续。

（1）备案时机

已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

（2）备案地点

隶属于省级的备案单位，其跨地（市）联网运行的信息系统，由省级公安机关网络安全保卫部门受理备案。

跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，由所在地地市级以上公安机关网络安全保卫部门受理备案。

各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。

（3）备案结果

备案审核通过，由公安主管部分颁发《信息系统安全等级保护备案证明》。

(三)建设整改

（1）安全建设整改环节用到的主要技术标准

1、网络安全等级保护实施指南 (GB/T 25058-2019)

2、网络安全等级保护基本要求（GB/T 22239-2019）

3、网络安全等级保护安全设计技术要求（GB/T 25070- 2019）

（2）建设整改过程

建设整改过程包括：需求分析、总体规划、详细设计、工程实施共四个阶段。
(四)等级测评

信息系统建设完成后，运营、使用单位或者其主管部门应当选择《全国网络安全等级保护测评机构推荐目录》中的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等保2.0实施后，等保测评结论包括如下几种情况。

测评结论	判别依据
优	被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90分以上（含90分）。
良	被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80分以上（含80分）。
中	被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上（含70分）。
差	被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于70分。

(五)监督检查

监督检查是公安机关依据有关规定会同主管部门进行，由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

四、等级保护测评考核机制

江西省已将网络安全等级保护工作中定级备案、测评工作纳入年度综合考核评价内容。根据《关于加强网络安全等级保护工作的通知赣等保办[2020]6号》，对于尚未进行网络安全等级保护定级备案和网络安全等级保护三级以上信息系统未开展年度测评的单位，将在年度综治考核评价中进行相应的扣分。

五、等保测评项目工作流程

（1）本单位内部通过等保测评项目立项后，选择合适的招标代理机构进行公开招标，并一同制定招标文件。

（2）由招标代理机构组织等保测评项目的挂网公开招标。招标完成后，中标公司与本单位签订项目合同。

（3）合同签订后，由中标的公司即等保测评机构进行系统的安全测评，出具安全整改建议报告或差距评估报告。

（4）依据测评机构出具的差距评估报告，制定解决方案及项目上会材料。

（5）本单位组织系统研发单位、系统运维部门进行安全整改建设，可向等保测评机构进行技术咨询。

（6）整改建设完成之后，由测评机构对单位网络环境做测评，并出具测评报告。

（7）由测评机构对系统进行测评，并出具测评报告。

（8）以上工作完成后，与中标公司走项目验收流程。

网络安全等级保护工作流程相关推荐

2021国家网络安全等级保护工作协调小组办公室推荐测评机构名单（未删减版）
今天小编花费很大力气为正在寻找等保测评机构的大家,整理了目前最新最全的网络安全等级保护测评机构推荐目录名单,想必大家很期待吧? 先别着急,在此之前,小编先给大家来点"开胃前菜",大 ...
天津市网络安全等级保护和关键信息基础设施安全保护工作宣贯会成功举办
10月19日,天津市网络安全等级保护和关键信息基础设施安全保护工作宣贯会成功举办. 本次会议由天津市公安局网络安全保卫总队指导,天津市网络与信息安全信息通报中心主办.会议旨在宣传贯彻公安部<贯彻 ...
网络安全等级保护等级保护对象的安全保护等级
什么是等保? 2017年6月1号,<中华人民共和国网络安全法>出台,国家实行网络安全等级保护制度.网络安全等级保护以<中华人民共和国网络安全法>为法律依据,以2019年5月发布 ...
医疗等保2.0｜新版测评标准对医疗行业网络安全等级保护提出了更高要求
更多专业文档请访问 www.itilzj.com 「编者按」: 等保不是安全建设的唯一目标但是必须达到的目标,等保2.0对医疗行业提出了更高的要求.获得可持续的安全保障是安全建设的重要目标,网络安 ...
网络安全等级保护定级指南范围
声明本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们网络安全等级保护为了配合<中华人民共和国网络安全法>的实施,适应云 ...
二、网络安全等级保护制度的前世今生
一.开展网络安全等级保护工作的法律依据 1994年<计算机信息系统安全保护条例>(第147号)第九条明确规定,"计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的 ...
网络安全等级保护制度2.0（简称“等保2.0”）学习笔记
文章目录一.等保背景二.为什么要颁布实施等保2.0? 三.等保2.0相比等保1.0有哪些不变? 四.等保2.0相比等保1.0有哪些区别? 五.网络安全等级保护2.0的要求及所需设备的清单 5.1 ...
网络安全等级保护主要标准简要说明
1.<计算机信息系统安全保护等级划分准则>(GB17859-1999) (1)主要用途本标准将计算机信息系统的安全保护能力划分成五个等级,并明确了各个保护级别的技术保护措施要求.本标准是 ...
信息安全技术网络安全等级保护测评要求_【诚资讯】等保2.0版本出炉！信息安全技术网络安全等级保护基本要求正式发布...
2019年5月10日,<信息安全技术网络安全等级保护基本要求>.<信息安全技术网络安全等级保护测评要求>.<信息安全技术网络安全等级保护安全设计技术要求>(以 ...
2020年网络安全等级保护执法典型案例汇总（截至2020年3月26日）
网络安全等级保护不仅是我国的基本国策,更是保障我国网络安全的重要举措,是各个单位都应高度重视,并持续投入改进的重要工作.随着社会各界网络安全等级保护工作的重视和了解程度的不断提高,等保测评不仅是各单位 ...

网络安全等级保护工作流程