0207.732天：等级保护制度

#每日三件事，第732天#

        《中华人民共和国网络安全法》第二十一条规定：国家实行网络安全等级保护制度。

        在1999年发布的《中华人民共和国计算机信息系统安全保护条例》国务院147号令，第九条明确规定：计算机信息系统实行安全等级保护。

        说法略有不同，但主旨完全一致，就是安全等级保护。

        等级保护制度是当前网络信息系统安全保护的基本落脚点。怎么实行呢？就是落实网络安全等级保护相关标准，这些标准包括《信息安全技术 网络安全等级保护定级指南》（GB/T22240-2020）、《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2020）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070-2019）、《信息安全技术 网络安全等级保护安全管理中心技术要求》（GB/T36958-2018）等国家标准。

        这些被冠以“网络安全等级保护”的相关标准，我们称之为等保2.0标准。而等保1.0的标准，是从2008年开始的有关等级保护的标准，一个明显的特征就是有“信息系统安全等级保护”的字样。

        网络安全等级保护制度有五个环节，分别是：定级、备案、建设、测评、监督检查。在定级环节可以参照的标准为《网络安全等级保护定级指南》（GB/T22240-2020）。有些行业比如新闻出版、金融、教育、水利、电力、证券、广电等，也有行业标准。参照这些标准将网络系统准确定级，定级的级别从一级到四级不等，数值越大，安全防护的需求也越多。专家评审、主管部门审核后，定级工作就算完成了。

        备案环节就是把定级材料提交到地市级以上公安机关等保办，获得一份《备案证明》，就算完成了备案工作。

        建设环节当然就是按照定级结果部署安全措施，提高安全防护能力。在《网络安全法》第三十三条明确规定：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

        测评环节一般就是通过符合要求的测评机构按照标准对系统进行测评，并出具测评报告。目前测评结论分为“优、良、中、差”四种。“优”的得分是90-100分，“良”是80-89分，“中”是70-79分，“差”是0-69分。一般情况下，测评机构会要求网络系统达到80分以上，这样的系统才有一定的防御能力。

        最后一个环节是监督检查，一般有公安机关每年定期或不定期开展，主要检查的内容就是网络系统的安全防护状况，以及法律义务的落实情况。

        对于等保三级的系统，每年进行一次测评；对于等保二级的重要系统，每两年进行一次测评。

        有一个很不专业的说法叫“等保3.0”，不知道从什么时候开始，甚至在非常正规的报告中也出现了，希望大家引以为戒。