用戶如何開展等保工作

什么樣的單位應當實行等保工作？落實等保時具體應當如何去做？其實很多單位當前都還是模棱兩可，本文將針對用戶的這些疑惑一一作答。

圖4 等保工作流程的五個階段（來源：深信服）

網絡安全法明確規定了信息系統運營、使用單位應當按照網絡安全等級保護制度要求，履行安全保護義務，如果拒不履行，將會受到相應處罰。因此，無論單位所屬何種行業，規模大小如何，只要是使用了有關的網絡及信息系統，無一例外都應落實等級保護制度，即保護對象的全覆蓋。

網絡安全等級保護工作中的定級、備案、建設整改、等級測評、監督檢查五個階段，企業用戶有必要詳細了解其中工作的基本規定與流程，如圖4所示。

在等保過程中涉及到建設單位、公安機關、安全廠商、測評機構等不同角色。據深信服總結，等級保護各工作流程內容及角色分工如下（如圖5）：

1.定級

等級保護對象定級工作一般流程為：確定定級對象；初步確定等級；專家評審；主管部門審核；公安機關備案審查。

定級對象的安全保護等級由業務信息安全（簡記為S）保護等級和系統服務安全（簡記為A）保護等級的較高者決定。如圖6所示。

2.備案

圖5 等級保護各工作流程內容及角色分工（來源：深信服）

圖6 定級方法流程示意圖（來源：綠盟科技）

圖7 評審、審核、備案（來源：深信服）

定級對象在哪里備案？一般來說，省級單位將資料交給省公安網安總隊，各地級市的單位將定級資料交給各自地級市網安支隊，而縣級則是先將資料交到區縣網安大隊，再由區縣網安大隊轉交地級市網安支隊進行備案。但特殊行業按特定要求執行。具體還可參考圖7。

3.建設整改

可按照差距評估，以及方案設計及整改實施來操作，如圖8所示。

方案設計及整改實施可根據用戶單位的實際情況及等級保護要求，制定相關設備的安全配置策略要求，并合理進行配置；對差距評估中自身安全策略配置不當和版本補丁問題進行處理，對等級保護對象進行安全加固，并形成安全加固報告；針對用戶目前缺少的安全管理制度進行補充，形成安全管理制度匯編；最后，根據設計方案內容，完成安全設備的采購及部署。

4.等級測評

等級測評簡要介紹如圖9所示。

圖8 差距評估（來源：深信服）

圖9 等級測評（來源：深信服）

等級保護測評環節主要涉及技術層面和管理層面，對于三級以上定級對象要求每年至少開展一次測評，二級信息系統建議每兩年開展一次測評，部分行業是明確要求每兩年開展一次測評。

經測評未達到安全保護要求的，要根據測評報告中的改進建議，制定整改方案

并進一步進行整改，建議在當年度完成整改，整改要求包括：安全管理制度不完善或缺失問題；漏洞補丁類、安全策略調整類、安全加固類、網絡結構調整類等，測評中發現的高風險應立即整改；設備缺失或不足，依據測評要求補齊相應安全設備，如三級系統要求能夠對進出網絡的數據流實現基于應用協議和應用內容的訪問控制，傳統的防火墻無法滿足，必須使用WAF或下一代防火墻。

5.監督檢查

2017年9月，為規范市（地）級公安機關公共信息網絡安全監察部門開展信息安全等級保護檢查工作，根據《信息安全等級保護管理辦法》，制定了《公安機關信息安全等級保護檢查工作規范（試行）》。