等级保护测评是什么？

《信息安全等级保护管理办法》第七条规定：信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

等级保护测评服务包括以下内容：

1、等级保护测评单位根据等保测评技术标准，对测评对象开展等级保护测评，一般来说测评对象是信息系统。但是随着等保2.0的发布，测评范围变得更广。因此测评的对象也有可能是网站、云服务器、APP等等。

2、开展等级保护测评后，测评机构需要开具等级保护测评报告，测评的结果有两种：符合和不符合。

3、对于不符合标准的测评对象（一般是指信息系统）需要依据整改清单，进行相关的系统升级，完善网络安全相关的制度和人员管理方法等。技术方面不符合要求的，可以自我整改，或是寻找第三方服务商提供技术支持。

2019年，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。

下面是等保2.0三大核心新标准的介绍：

1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》

该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》

该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。

此外，从等保1.0到等保2.0，等级保护发生的主要变化有：

1、意义的变化

由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。

2、对象的变化

新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。

3、定级的变化

三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

4、测评标准的变化

测评要求的测评单元中增加了【测评对象】项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。

5、定级备案实施方面的变化

等保2.0在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。

6、其他

从等级保护2.0框架中能够体现“一个中心，三重防护”的思想得以升华，等保2.0标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保2.0新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。

等保起源于 国务院 的147号令，为响应国务院147号令， 公安部 第三研究所（专门管IT行业的公安研究所）开始着手信息安全标准的推进，随后出过一些指导性的国标，但都没有引起很多企业和单位的ICT建设参考。

随着近年来网络安全法和国家层面的安全指示国标变得越来越重要了，各个监管部门对安全的要求越来越大，而监管部门要求安全建设中遵循的标准大多都是等级保护； 国家网信办 和 公安部 都在主推等级保护，发现安全事件的单位没有落实等级保护肯定会被责令整改，甚至被处罚。

等级保护整变得越来越重要，越来越多的企业、政府部门、事业单位参与到等级保护标准的制定和执行中来，使得等级保护越来越完善，越来越合理。

等级保护1.0发布时间 ：2008年参考国标：GB/T 22239-2008

参与制定单位：公安部第三研究所、中国信息测评中心等

1.0技术部分：

缺点：仍有些不完善的地方，甚至有些要求不符合常理，导致单位和企业建设的成本过高。

等级保护2.0发布时间 ：2019年参考国标：GB/T 22239-2019 声明是取代2008年的指标，12月1日正式实行该标准，之前的标准自此更新为。

参与制定单位：公安部第三研究所、信息安全测评中心、华为、启明星辰、新华三、阿里云、

等保1.0参考《中关村信息安全测评联盟等级测评项目收费指导意见（试行）》

等级测评和年检等级越高花费的人力越大，所以收费越高。

实际上toB的商品和服务价格都是不透明的，但是能做测评的就当地两三家企业和单位，价格基本没得商量，而且当地测评中心基本都只给政府优先服务，不会先接私企的单；私有的拥有测评资质的企业往往会坐地起价。你跟他们销售谈5w就是5w，10w就是10w，降价基本是不可能，最多卖点安全服务给你提升满意度。

ps：测评机构可以卖服务但是不能卖自己公司产品的，这也就是安全厂商为什么拿不到测评资质的原因，因为卖自己公司产品就不能客观的做评测了。

等保2.0收费参考标准：

根据国泰君安的研究数据表明：目前市场上等保2.0测评服务为二级8万元，三级16万元，等保2.0咨询服务的价格为二级5万左右，三级8万~10万元（按9万计算）。

其实流程无所谓，只是个大致的过程；关键是【测评机构】的员工俗称《测评师》会去现场访谈，问你各种这个要求做了没有，能不能看下你做得对不对？随后会对你需要过等保的系统进行风险评估（不能有中高危漏洞才算合格，不合格就得继续整改到合格为止），最后把访谈内容和风险评估整理成报告提交到公安网监部门的系统上，网监复核后颁发等保备案证书才算过等保了。还有关于三级等保一年评测一次的说法都是测评机构自说自话并无相关标准和依据。

共分五级，通常做2级和3级（最好满二追三）；由【测评机构】提交给【专家】定级，然后定级好后到公安部门进行备案，做四级等保的普通企业就BAT这种级别的。

市级政府事业单位app：定两级

市级政府事业单位网站：定两级

省级政府事业单位app：定三级

省级政府事业单位网站：定三级

p2p金融机构：定三级

普通企业网站：定两级

普通互联网企业网站：定三级

BAT之类的国民级互联网：定四级

国家级公开应用系统（如公安部、教育部）：定五级

基本都定二级，因为相对外部危害较小。

国家级别的应用系统可能往三级定，这就需要公安三所和国测专家来判断了。

PS：定一级基本不用做太多整改，直接叫测评机构来就行，实际上也不会叫你定一级，起码两级起步。

三种安全控制点：（比如三级有一个到达3即可，如：G3S2A1、G2S3A1）

通用安全保护类要求（简记为 G）

数据安全保护类要求（简记为 S）

应用系统保护类要求（简记为 A）

PS：这是1.0的，2.0改成G对应该等级，A和S会根据企业情况变化；但必须有一个对应等级；也就是有两个对应等级。

数据中心定三级，备份数据中心要三级吗？

答案：不需要，只需要满足主干网络线路冗余、网络硬件冗余等四项要求即可

三级等保需要网闸吗？

答案：1.0需要，2.0不需要（更合理，减少不必要的开支）。

1.0和2.0多少分可以过等保？

答案：1.0需要60分以上（达到60%的指标），2.0需要75分以上，难度增加了很多；其实2.0的指标数变多了，达到一定比例的指标数就可以了。

一级等保需要采购什么？

二级等保需要采购什么？

三级等保需要采购什么？

---