网络安全监管从严，等级保护倍受重视，但尽管如此，很多单位对于等级保护仍然一头雾水。什么是等级保护，如何开展相关工作，不按规定开展会有什么后果……这些并不是人人都了解。面对这么多等级保护的“门外汉”，中电达电子特组建网络安全机房服务小组，将陆续为大家介绍等级保护的基础性知识、政策法规以及开展等级保护的五步走都是什么，具体如何做。同时结合行业专家对等保的理解整理出来，供大家学习，从而帮助大家对等级保护有个快速的认识和了解。

   

   

    背景介绍

    一、基本概念

    网络安全等级保护是网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中意志的体现。

    网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合要求的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。

    二、实施意义
● 合法要求：
● 体系建设：
明确组织整体目标，改变以往单点防御方式，让安全建设更加体系化。
● 等级防护：
提高人员安全意识，树立等级化防护思想，合理分配网络安全投资

    三、发展历程
● 1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)：次提出“计算机信息系统实行安全等级保护”概念。
● 1999年《计算机信息系统 安全等级保护划分准则》（GB17859）：发布关于计算机信息系统安全保护等级划分准则强制性标准。
● 2007年《信息安全等级保护管理办法》（公通字[2007]43号）：公安部发布管理办法，旨在加快推进、规范管理等级保护建设工作。
● 2008年《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）：明确对于各等级信息系统的安全保护基本要求。
● 2017年《中华人民共和国网络安全法》：第二十一条明确实行等级保护制度，落实等级保护制度已经上升到法律层面。
● 2019年5月《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》等核心标准正式发布。

    四、法律要求
《中华人民共和国网络安全法》【第二十一条】实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
法律解读：明确实行等级保护制度，网络运营者应按等级保护要求开展网络安全建设。
《中华人民共和国网络安全法》【第三十一条】 对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（关键信息基础设施必须落实等级保护制度，突出保护重点）
法律解读：关键信息基础设施必须要落实等级保护制度，并要重点保护。

    建设流程

    网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。在等级保护全流程中，涉及到四个不同的角色，分别是：运营使用单位、公安机关、中电达电子、测评机构。等级保护各工作流程内容及角色分工如下：

   

   

    方案设计

    在方案设计阶段，中电达电子以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等标准文件，并结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上，更大程度发挥安全措施的保护能力。

   

   

    方案优势

    中电达电子以前沿网络安全理念，打造网络安全生态圈。以可视化的方式让用户看清资产、业务关系，看懂威胁、安全风险；对网络中各类风险持续检测，将安全运营工作化繁为简；构建本地协同、云端联动的动态保护体系，让用户感受到等级保护带来的实际价值。