等级保护基础知识

等级保护基础知识

1. 等级保护分为哪几级？哪些系统属于这些等级？这些等级都有哪些要求？

回答：1-5级

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。不需要备案，也没人管。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。需要备案，必须至少测评一次。典型客户有：地级市委办局（处级）、小国企、二甲医院、普通高校、普教

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 需要备案，至少每年测评一次，每年都会在安全检查的范围内。典型单位有：厅局级以上单位、金融、运营商、大国企、三甲医院、部属高校、公共平台、有大量（10万以上）会员信息的网站等。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。特别重要的才有，省里一般很少，比如人民银行网站、12306等都是四级。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。没有制定出对第五级的要求，所以也没有系统是五级，这个级别是预留的。

2. 如何确定系统等级？

系统等级是通过该系统被破坏后造成的影响决定的，跟系统的安全防护程度、连不连互联网没关系，是看系统被破坏后，破坏的是他们本单位的利益还是公共利益（所以某化妆品网站里存储了大量的会员信息，这个如果遭到破坏，损失的就是公共利益）还是国家安全（这个一般很少见），然后破坏程度是一般、严重还是非常严重。当然具体等级的时候，可以根据上级主管部门的要求和行业属性进行参考。

3. 等级保护有哪些相关标准，作用是什么？

国务院147号令：首先提出分等级对信息系统进行保护的概念，提出了既不要不保护，也不要过保护，而是要分等级保护。

GB17859，国家针对等级保护的一个强制标准，对等级保护的关键技术提出要求。

《基本要求》针对等级保护技术和管理共10个方面要满足的内容做出具体的要求。

《实施指南》规定了等级保护项目实施的流程。

《定级指南》规定了一个系统应该如何完成定级。

《测评准则》规定了测评中心进行测评的时候应该如何操作。

网络安全法草案规定了国家实行等级保护制度是法律要求。

第十七条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

(二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施；

(三)采取记录、跟踪网络运行状态，监测、记录网络安全事件的技术措施，并按照规定留存网络日志；

(四)采取数据分类、重要数据备份和加密等措施；

(五)法律、行政法规规定的其他义务。

网络安全等级保护的具体办法由国务院规定。

4. 等级保护的五个规定动作是什么？各个部分指的是什么？

定级：明确系统等级，自主定级，三级和三级以上系统需要专家评审。

备案：根据属地原则到属地公安局网安部门备案，全国联网型系统到公安部备案。

整改：我们刚拿到的信息安全等级保护建设服务资质就是做这个。

测评：全国122家有测评资质的测评中心来做。

监督检查

5. 等级保护的基本要求技术部分要求：

能够准确说出技术的5个方面和管理的5个方面；

能够说出物理安全10项中的4项，并解释这4项大概是什么要求。

能够准确说出网络安全7项的要求，针对每项要求能够描述出大概意思。

能够准确说出主机安全7项要求，并解释清楚主机安全要求与网络安全要求的不同。

能够说出应用安全9项中的4项，并解释这4项大概是什么要求。

能够准确说出数据安全及备份恢复3项的要求，针对每项要求能够描述出大概意思。

文档中黄色标注的，必须能背诵下来。

等级保护术语：等级保护、等保、等保测评、系统测评、系统定级、定级备案、差距分析、差距评估、整改方案、设计方案、等保咨询服务、预测评

杜绝出现：等保评测、系统评测、差距评测、等保评估、评测资质、评测中心

这个问题不要再问：深信服有没有测评资质？

本文来源：https://www.2haoxitong.net/k/doc/a4b20e0166ec102de2bd960590c69ec3d4bbdb73.html