在中國，信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統（APP）安全等級保護。

互聯網時代，隨著信息化進程不斷推進，網絡和信息系統的安全問題愈加重要。一些企業和機構掌握著大量公民隱私信息，一旦遭到網絡攻擊，便會造成十分嚴重的后果。而圍繞等保合規建設實現安全管理體系化，是當下中國企業全面提升安全防護能力的必要路徑和契機。
 

問

為什么要做等級保護？

答

法律法規要求：《網絡安全法》第二十一條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。
行業要求：在金融、電力、廣電、醫療、教育等行業，主管單位明確要求從業機構的信息系統（APP）要開展等級保護工作。
企業系統安全的需求：信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處，可通過安全整改提升系統的安全防護能力，降低被攻擊的風險。簡單來說，《網絡安全法》一直對網站、信息系統、APP有等級保護要求，中小型企業通常是行業要求才意識到問題。
 

問

信息安全等級保護測評的依據？

答

依據《信息系統安全等級保護基本要求》（公通字[2007]43號)》“等級保護的實施與管理”中的第十四條：信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評單位，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。

1

第一級：用戶自主保護級，目前1.0版本不需要去備案（提交材料公安部也會給備案證明），等保2.0是需要備案的；

2

第二級：系統審計保護級，二級信息系統為自主檢查或上級主管部門進行檢查，建議時間為每兩年檢查一次；

3

第三級：安全標記保護級，三級信息系統應當每年至少進行一次等級測評；

4

第四級：結構化保護級，四級信息系統應當每半年至少進行一次等級測評；

5

第五級：訪問驗證保護級，五級信息系統應當依據特殊安全需求進行等級測評。
其中三級等保是國家對非銀行機構的最高級認證，屬于“監管級別”，由國家信息安全監管部門進行監督、檢查。具體程序包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查共五個階段。認證測評內容分別涵蓋5個等級保護安全技術要求和5個安全管理要求，包含信息保護、安全審計、通信保密等近300項要求，共涉及測評分類73類，要求十分嚴格。
對于企業來說，最常見的誤區是把等保測評當成“應試”和負擔。事實上等保不是考試，不是為了應付，而是通過等保發現問題、解決問題，提高信息系統的安全防護能力。此外，等保只是網絡安全的手段而不是目的，是起點而不是終點。與安全能力同步建設和投資策略匹配的“合規”，才是高效實現“持續安全”和“動態安全”的基礎。