一、等保政策依据

《中华人民共和国网络安全法》第二十一条规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行相关网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。同时，《中华人民共和国网络安全法》第五十九条规定，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

开展等级测评和定级备案，其他信息系统也要按照安全等级保护工作要求，完成测评、整改、定级、备案等工作。

二、等级保护标准

《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

《信息安全技术 网络安全等级保护定级指南》（GBT 22240-2020）

《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)

《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

《信息安全技术 网络安全等级保护测评过程指（GB/T28449-2018）

三、等级保护的意义

第一、通过测评能够对信息系统安全防护体系能力进行分析与确认，发现单位系统内、外部存在的安全风险和脆弱性，帮助运营使用单位认识不足，及时改进；通过安全建设，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

第二、等级保护工作是我国关于网络安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。

第三、满足行业主管单位开展等级保护工作的要求。

第四、落实单位的网络安全保护义务，合理规避风险。

四、等级保护工作流程

根据《信息安全等级保护管理办法》规定，等级保护工作主要分为五个环节，也就是我们通常我们所说的五个基本规定动作，分别为定级、备案、安全建设整改、等级测评、监督检查。

4.1定级

1、网络运营者根据《《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》拟定网络的安全等级，组织召开专家评审会，对初步定级结果的合理性进行审批，出具专家评审意见，将初步定级结果上报行业主管部门进行审核。信息系统定级工作应按照“确定定级对象、初步确定等级、专家评审、主管部门审批、公安机关审核、最终确定等级”的原则进行。

4.2备案

网络运营者根据公安网安部门要求将网络定级材料向公安机关备案，公安机关对定级准确，符合要求的信息系统发放备案证明。

办理信息系统等级保护备案手续时，应当填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》，第二级以上信息系统应当同时提供以下材料：

（1）系统拓扑结构及说明；

（2）系统安全组织机构和管理制度；

（3）系统安全保护设施设计实施方案或者改建实施方案；

（4）系统使用的信息安全产品清单及其认证、销售许可证明；

（5）测评后符合系统安全保护等级的技术检测评估报告；

（6）信息系统安全保护等级专家评审意见；

（7）主管部门审核批准信息系统安全保护等级意见。

4.3等级测评

信息系统建设完成后，网络运营者选择符合规定条件的测评机构，依据《GBT 22239-2019 信息安全技术 网络安全等级保护基本要求》，对重要信息系统（含国家关键信息基础设施）从技术和管理两个层面（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等共计10个方面）开展等级测评，形成安全测评报告，根据安全测评报告和安全现状，提出相应的安全整改建议，指导下一步的网络安全建设。

4.4安全建设整改

信息系统安全保护等级确定后，网络运营者根据网络安全保护等级，按照国家标准开展安全建设整改。

根据被测评单位的实际情况和等级保护要求，制定相关设备的安全策略要求，并合理配置；根据被测评单位目前缺少的安全管理制度进行补充，形成安全管理制度汇编；最后，根据等级保护基本要求，采购和部署安全设备。

4.5监督检查

公安机关每年对网络运营者开展网络安全等级保护工作情况和网络的安全状况实施执法检查。

公安机关监督检查内容包括：

1）等级保护工作部署和组织实施情况；

2）信息系统安全等级保护定级备案情况；

3）信息安全设施建设情况和信息安全整改情况；

4）运营、使用单位信息安全管理制度建立和措施落实情况；

5）信息安全产品选择和使用情况

6）聘请测评机构开展技术测评工作情况；

7）运营、使用单位对信息系统安全状况定期自查情况及其主管部门督导检查情况。