网络安全等级保护(以下简称“等保”)是国家信息安全保障的基本制度、基本策略、基本方法,企业开展等保工作,根据《信息安全等级保护管理办法》的规定,主要分为五个大的环节。
定级
定级环节可以概括为企业内部自主定级→专家评审→主管部门审核→公安机关审核,定级是由系统信息的重要程度由低到高分为五个等级。
5级是Zui高等级,1级是Zui低等级,比如企业定级为1级,是不需要进行第三个环节测评工作的,企业内部自主定级保护即可。也就是自主定级→专家评审→主管部门审核。其他四个等级都需要严格按照等保五个环节来开展工作。
备案
备案环节可以概括为备案材料的准备和提交→公安机关审核→发放备案证明,这个过程根据所属地区的要求有所区别,主要在于备案证明的发放时间,有的地区是和测评报告一起发放的。
测评
测评根据系统的定级级别,二级等保每2年评测一次,三级等保每1年评测一次,主要是由公安部授权委托的全国100多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测试报告》。
建设整改
企业根据出具的《等级保护测试报告》,针对风险项进行安全整改建设,测评机构对企业的整改结果进行二次复测,判断安全保护能力是否达到相关标准要求。
监督检查
公安机关每年进行监督检查。
等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等,重新调整和修订等级保护系列标准,基于新技术和新要求提出新的技术防护体系和管理措施、安全建设设计实现方式以及等级测评方法等非常必要,可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化的开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。