什么是等保？等保二級和三級的區別在哪？等保2.0介紹

1 什么是等保

等保就是網絡安全等級保護，指的是按照信息系統應用業務重要程度和現實安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定?！毒W絡安全法》明確表示，在中華人民共和國境內建設、運營、維護和使用的網絡都必須落實網絡安全等級保護制度。無論網絡運營者的單位性質是政府機構還是個人企業;無論提供的是訪問服務還是云服務或者工業控系統;無論是關鍵信息基礎設施還是一般網絡，只要在境內運營的網絡都必須展開等級保護工作。2007 年和 2008 年頒布實施了《信息安全等級保護管理辦法》和《信息系統安全等級保護基本要求》，這兩個文件被稱為等保 1.0，2017年頒布了《中華人民共和國網絡安全法》，規定了要進行網絡安全等級保護;2019 年頒布了《網絡安全等級保護條例》，這被稱為等保2.0。

2 等保法規條例和標準

(1)等保相關法規條例文件有：

中華人民共和國計算機信息系統安全保護條例(1994 國務院 147 號令)

《中華人民共和國網絡安全法》

計算機信息系統安全保護等級劃分準則(GB17859-1999)

《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發 [2003]27 號)

關于信息安全等級保護工作的實施意見(公通字 [2004]66 號)

《信息安全等級保護管理辦法》公通字 [2007]43 號

關于開展全國重要信息系統安全等級保護定級工作的通知(公信安 [2007]861 號)

《關鍵信息基礎設施安全保護條例(征求意見稿)》(國家互聯網信息辦公室 2017 年7月10號發)

(2)等保相關標準有：

《GB 17859-1999 計算機信息系統 安全保護等級劃分準則》

《GB/T 25058-2019 信息安全技術 網絡安全等級保護實施指南》

《GB/T 28448-2019 信息安全技術　網絡安全等級保護測評要求》

《GB/T 22239-2019 信息安全技術　網絡安全等級保護基本要求》

《GB/T 25070-2019 信息安全技術　網絡安全等級保護安全設計技術要求》

《GB/T 22240-2008 信息安全技術 信息系統安全等級保護定級指南》

《GB/T 28449-2018 信息安全技術 網絡安全等級保護測評過程指南》

3 等保定級

(1)等保定級等級

在《信息安全等級保護管理辦法》中，信息系統的保護等級被劃分為五級：

第一級：信息系統受到破壞后，會對公民、法人和其他組織的合法權益;

第二級：信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級：信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級：信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級：信息系統受到破壞后，會對國家安全造成特別嚴重損害。

(2)等保定級步驟

第一步：確定定級對象。包括確定定級對象的主體，以及識別主體的的信息系統。識別信息系統后，要對信息系統進行劃分，確定系統的管理邊界，并確定的業務流程和業務間關系。

第二步：確定受侵害客體。識別在業務信息受破壞后或者系統服務受破壞后的侵害客體。

第三步：確定對客體的侵害程度。確定客體的業務信息和系統服務收到破壞后，對客體的侵害程度。并確定受到破壞后，業務系統的恢復能力。

第四步：確定業務信息安全等級和系統服務安全等級。

第五步：初步確定系統安全保護等級。

4 等保二級和三級的區別

等保二級和等保三級主要是定級的級別不同，二級不涉及損害國家安全，三級會涉及。兩者級別不同，其實施的網絡安全防護工作和配備的安全產品就會有差別，在等級保護測評實施中就會表現出來。所以，在等保建設過程中，等保二級比等保三級花費的人力成本、測評成本和安全設備采購費用會更少，等保三級的費用會更高。

等保二級和等保三級的定級結果區別最大在于，等保二級的定級對象遭到破壞時，審查是否對公民、法人和其他合法組織的權益以及社會秩序、公共利益帶來損害;而等保二級的定級對象遭到破壞時，審查其從社會秩序、公共利益以及國家安全帶來的侵害。例如，云平臺供應商的平臺很多定級為三級以上。因為這些供應商的云平臺，一般出現問題，很有可能性嚴重侵害社會秩序、公共利益。

來源：《安全牛：中小企業等保建設白皮書（32頁）.pdf》

推薦閱讀：《騰訊安全：等保2.0體系互聯網合規實踐白皮書(111頁).pdf》

《軟件與服務行業信息安全深度剖析3：數據安全和隱私計算站風口等保和關保再啟增長-210818（28頁）.pdf》