什么是等级保护

信息安全等级保护，是对信息和信息载體(tǐ)按照重要性等级分(fēn)级别进行保护的一种工作，在很(hěn)多(duō)國(guó)家都存在的一种信息安全领域的工作。

1994年我國(guó)颁布的《计算机信息系统安全保护条例》（147号令）首次提出“等级保护”的概念，之后2007年，《信息安全等级保护管理(lǐ)办法》（公通字[2007]43号）文(wén)件的正式发布，标志(zhì)着我國(guó)信息安全等级保护管理(lǐ)工作的正式启动。等级保护工作具體(tǐ)包括定级备案、建设整改、等级测评和监督检查这几个重要阶段。為(wèi)了指导用(yòng)户完成等级保护这几个重要阶段的工作，在2008年至2012年期间陆续发布了等级保护的一些主要标准，构成等级保护1.0的标准體(tǐ)系。

2017年，《中华人民(mín)共和國(guó)网络安全法》的正式实施，再到2019年出台的《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护安全设计技术要求》和《信息安全技术 网络安全等级保护测评要求》标志(zhì)着我國(guó)等级保护工作步入2.0时代。

等级保护工作流程及角色分(fēn)工

等级保护工作的首要环节是定级，确定定级对象后初步确认安全保护等级，经专家评审和主管部门审核；

等级保护的核心是到当地公安机关网关部门进行备案，获取备案证明；

等级保护的关键是建设整改，参照相关标准及规范要求，对信息系统进行整改加固；

在等级保护工作中，企业要向公安机关网安部门提交测评报告，配合完成对信息安全德基保护实施情况的检查并接受信息安全监管部门的监管。

等级保护工作流程

等级保护工作角色分(fēn)工

等级保护建设清单建议

以下等级保护产品以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等國(guó)家标准文(wén)件為(wèi)基准，结合行业特性要求、监管单位要求、用(yòng)户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物(wù)理(lǐ)环境、安全通信网络、安全區(qū)域边界、安全计算环境、安全管理(lǐ)中心及管理(lǐ)部分(fēn)要求基础上，最大程度发挥安全措施的保护能(néng)力。

二级等保安全产品列表

三级等保安全产品列表

（以上资料图片来源深信服）

等级保护的意义

从经济效益分(fēn)析

一、有(yǒu)利于提高信息化建设的投入产出比进行资源优化

信息化的建设和实施是一个系统的、复杂的工程，引进信息系统等级保护體(tǐ)系，针对外事办信息系统的安全现状，提出一个切实可(kě)行、经济高效的解决方案，采取分(fēn)期逐步推进的策略，可(kě)以使企业少走弯路，在较高的起点上以较小(xiǎo)的资金和人员投入，取得更好的效果，在较短的时间内迅速提高信息系统的安全水准。

二、有(yǒu)利于从整體(tǐ)上降低信息化投入的资金

按照等级保护标准进行建设整改，可(kě)以避免不同系统在信息安全上的重复建设，大大降低发生安全事件的可(kě)能(néng)性和损失，从整體(tǐ)上将降低信息安全建设运维的费用(yòng)，同时也可(kě)以避免在某个系统或某个环节出现安全漏洞，导致整个网络存在着较大的安全风险。

从社会效益分(fēn)析

一、為(wèi)信息系统提供了安全高效的技术保障，让信息安全更加體(tǐ)系化

在信息化系统建设中，安全是一个至关重要的问题。信息系统承载对公众服務(wù)和业務(wù)办公等业務(wù)，信息系统出现安全事故将会造成较大的负面效应。

因此改变以往单点防御方式，开展信息系统安全建设整改，让安全建设更加體(tǐ)系化，可(kě)以為(wèi)信息系统建设提供安全高效运行的保障，具有(yǒu)非常重要的社会意义。

二、响应國(guó)家政策和主管部门要求。

在每年的信息安全工作部署中，都将定期开展信息安全等级保护和信息安全整改作為(wèi)重点工作之一，切实提高单位自身安全防护能(néng)力。通过开展的信息安全等级保护工作，对现有(yǒu)重要信息系统安全现状分(fēn)析，可(kě)以深入挖掘外事办在存在安全漏洞和安全隐患，对存在问题的严重性进行定量和定性的评估，為(wèi)安全建设整改提供参考依据，降低安全隐患对安全产生的负面影响，為(wèi)系统稳定运行提供更好的保障，建立完整的安全防护體(tǐ)系和安全防护策略，提高信息系统安全保障能(néng)力，将信息安全事件扼杀在摇篮之中。