安全服务

一、等保是什么

等保即信息安全等级保护，是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。

二、为什么要做等保

1、降低信息安全风险，提高信息系统的安全防护能力；

2、满足国家相关法律法规和制度的要求；

3、满足相关主管单位和行业要求；

4、合理地规避或降低风险。

有些公司在迅猛发展过程中往往只看重业务而忽视安全问题，不仅没有安全团队，对代码和数据的保护都没有任何措施。可能运维人员知道这个问题的严重性，但由于管理人员的角度不同往往会忽略这个问题的严重性。所以运维人员可以利用做等级保护这个契机把公司的安全隐患给消除掉。 通常人们会抱有侥幸的心理，认为自己公司这么多年不做等保不搞信息安全也没啥事，还能省一笔费用。然而，万一造成了信息安全事故可能造成的经济损失将会远远超过你不做等保省下来的费用。

我们整理了部分信息安全事故的例子如下：

优酷上亿条账户信息泄露，价值仅为300美元；小红书用户信息大面积泄露，50人被骗近88万元；快递员泄露客户信息，获取3.8万元被判刑；浙江岱山农商银行、浙江民泰商业银行有内部人员违规泄露客户信息。其中，浙江岱山农商银行被银保监会罚款30万，泄露信息的内部员工被禁业三年。

三、需要做等保的行业

1、政府机关：电子政务网络；

2、金融行业：监管机构，银行，保险公司等；

3、电信行业：各大运营商；

4、能源行业：电力（比如xxx电网），石油等；

5、互联网单位：各大企业，上市公司等。

四、基本内容

信息安全等级保护包括：

定级备案安全建设和整改信息安全等级测评信息安全检查

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

五、等级划分

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

第一级

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级

信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

六、误区

误区一：系统已上云或托管，就不用做等保

系统责任主体是属于网络运营者自己，需要承担相应的网络安全责任。

误区二：系统定级越低越好

系统定级需要合理，安全责任没有履行到位就会被处罚。

误区三：等保工作做测评就可以

测评只是等级保护工作中的一项。

相关问题：

1、那等级保护测评都测什么？测评周期是多久？

主要涉及技术层面和管理层面的内容；

①技术层面

物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

②管理层面

安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

按照政策要求三级信息系统每年至少需要开展一次测评；二级信息系统一般建议每两年开展一次测评，但是部分行业明确要求每两年开展一次测评。

2、测评之后哪些一定要立即整改？整改建设工作怎样做？

在等保预测测评时会发现企业的安全管理制度不完善或缺失问题、系统漏洞、设备缺失或不足等问题；所以我们需要通过测评来发现问题，再解决问题，但如果遇到高危风险就必须立即整改到位。

安全管理制度不完善或缺失

可能有些人会觉得管理制度没什么用，随便维护一下就好，但其实这是一个很不好的习惯。比如外来人员可以随意进入机房却无需任何审批流程，这都存在很大的安全隐患。《网络安全法》中也不止一次强调“应急预案”“应急演练”等字眼，这都是在强调需要落实管理制度，没有好的管理制度，就算你的安全防护设备栽好也无法发挥作用。

漏洞补丁类等

漏洞补丁类、安全加固类、安全策略调整类等，这些软件问题是可以直接通过人工进行整改完成，不需要再增加任何设备解决，这就对从业人员有所要求了，从业人员需要具备一定的等级保护知识，在与服务方沟通协作时可起到关键性的作用。

设备缺失或不足

不论是几级系统，涉及的安全设备都会很多，但是并不是要求你一次性将全部设备购买到位。我们可以根据实际情况，做一个最佳的方案，以有限的资金做出最完善的整改。

误区四：等保测评做过一次就可以了

等保工作需要根据具体的行业规定需求安排合理的评测时间。

误区五：系统在内网，不需要做等保

所有非涉密系统都属于等级保护范畴。

误区六：单位整体做一个等保测评

等保测评是按照信息系统来的，而不是单位。

良悦科技二级、三级等保方案