究竟什么是“等保”？它包含哪些内容和要求？

网络安全等级保护（简称“等保”）是依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及国家网络安全等级保护相关标准，对网络信息及其载体根据其重要性、业务需求与安全风险实施分级，并基于不同级别的安全保护要求，开展针对性安全防护、检测评估与监督检查的制度性安排，是保障网络安全、数据安全与个人信息安全的一种保护机制。

等保是我国网络安全领域现行的基本制度，适用于境内所有网络建设、运营、维护及使用单位，覆盖信息系统、数据资源、云计算平台、物联网系统、工业控制系统、移动互联网应用等多种网络形态，是网络运营者履行网络安全主体责任的法定要求。

等保实施流程按照国家规范，可分为五个环节：系统定级、备案、建设整改、等级测评与监督检查。其中，等级测评作为关键环节，在检验网络运营者安全保护工作是否符合相应等级要求，出具合规证明。

等保测评（就是等级测评）是指具备《网络安全等级测评与检测评估机构资质证书》的国家认可专业机构，依据《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护测评过程指南》等国家网络安全等级保护规范及相关技术标准，对等保对象（包括信息系统、数据资源、云计算平台、物联网系统、工业控制系统、移动应用、大数据平台等）的安全保护状况进行全面、客观、公正的检测与评估，最终形成《网络安全等级测评报告》。测评结果是网络运营者合规性的重要依据。

基于国家等保安全要求，等保实施的核心要求梳理如下，确保技术、管理及环境等全维度覆盖：

1. 明确等保对象：必须存在符合等保适用范围的保护对象，需实施等级保护的对象（如信息系统、数据资源、云计算平台、物联网系统、工业控制系统、移动应用等）有等保需求；未纳入适用范围的对象无需遵循等保规范。

2. 配齐安全设备：需根据等保对象的定级等级，配置符合相应等级要求的安全防护设备，包括防火墙、入侵防御系统（IPS）、防病毒系统、堡垒机、日志审计系统、数据加密设备及终端安全管理系统等。设备可采用硬件、云服务或虚拟化产品，核心是满足对应等级的安全防护能力；等级越高，对设备性能与功能的要求越严格（如三级及以上等级需具备更完善的审计、加密及应急响应功能）。

3. 规范物理环境：若等保对象涉及硬件部署，需配备符合等级要求的物理机房，满足物理安全规范，包括门禁管理（实行双人双锁与身份核验）、视频监控（覆盖出入口及核心区域，存储时长不低于90天）、消防设施（配备合格灭火器与烟感报警器并定期维护）、环境调控（空调系统保障温湿度达标）、防雷击（安装防雷装置并定期检测）以及防盗防破坏等措施。物理环境不符合要求将直接影响测评结果；不同等级对物理环境的要求存在差异，等级越高标准越严格。

4. 完善人员与制度：需配备专业网络安全技术人员与管理人员，明确岗位职责，关键岗位实行“三员分离”（安全管理员、系统管理员、审计管理员），不允许兼职。并制定完善的网络安全管理制度、操作规程与应急预案，涵盖安全管理、人员管理、设备管理、数据安全及应急处置等方面，保留完整的管理记录、培训记录、演练记录与维护记录，确保管理可追溯与可核查。

一、定级与备案流程

依据国家网络安全等级保护规范，网络技术系统依其类型与重要性，安全保护需求不同，对应等保等级可分为五级，级别递增则保护要求更严。具体分级标准如下：

1、第一级（自主保护级）：等级保护对象如果受损，会对公民、法人及其他组织的合法权益造成损害，但不危害国家安全、社会秩序与公共利益。该等级由网络运营者自主实施保护，无需备案与测评。

2、第二级（指导保护级）：等级保护对象如果受损，会对公民、法人及其他组织的合法权益造成严重损害，或损害社会秩序与公共利益，但不危害国家安全。网络运营者需按规范实施保护，向属地公安机关网络安全保卫部门备案，并根据要求开展测评（部分地区可简化测评要求）。

3、第三级（监督保护级）：等级保护对象受损后，会对公民、法人及其他组织的合法权益造成特别严重损害，或严重损害社会秩序与公共利益，或危害国家安全。此级为常见定级等级，要严格依规实施保护，向公安机关备案，定期开展测评（通常每两年一次），并接受监督检查。

4、第四级（强制保护级）：等级保护对象受损后，会对社会秩序与公共利益造成特别严重损害，或严重危害国家安全。网络运营者需严格按国家强制要求实施保护，向公安机关备案，每年开展测评，接受常态化监督检查。

5、第五级（专控保护级）：等级保护对象受损后，会对国家安全造成特别严重损害。此级适用于涉及国家核心秘密或关键基础设施等极高安全需求对象，由国家专门部门监管，实施特殊保护措施，测评与监督按专项规定执行。

二、开展等保测评前，网络运营者（通常为甲方）须完成系统定级与备案，具体要求如下：

1、定级要求：网络运营者应依据《网络安全等级保护定级指南》（GB/T 22240-2020），结合行业特点、业务需求、数据重要性及安全风险，确定等保对象等级；若行业有专项定级指南（如金融、电力、医疗、教育等），需参照执行。定级过程需保存定级报告，明确依据与理由，确保科学合规。

2. 备案要求：定级后，网络运营者须在规定期限（通常30日内）向属地公安机关网络安全保卫部门提交备案材料，包括备案表、定级报告与系统说明等。审核通过后，公安机关出具备案证明（部分地区先发备案编号，待提交合格测评报告后换发正式证明）；若备案信息变更（如系统升级或定级调整），需及时更新。

三、等保测评后，识别等保对象的安全差距与隐患，指导网络运营者实施整改。测评机构出具《网络安全等级测评报告》，列明安全问题、隐患及整改建议。网络运营方按照报告要求全面整改，直至获取合格测评报告。一般整改分为如下两方面：

1. 技术整改：

  （1）网络加固：按等级调整网络拓扑，优化分区，规范路由和访问控制，确保边界防护。

  （2）主机加固：强化主机安全配置，关闭非必要端口和服务，实施密码策略，安装补丁，配置审计日志。

  （3）漏洞修复：依据扫描结果优先修复高、中危漏洞，建立常态化漏洞扫描机制。

  （4）安全设备加固：优化防火墙、IDS/IPS等配置，更新固件和特征库，启用监控策略，定期巡检。

  （5）安全软件升级：定期升级防病毒软件和病毒库，规范配置，启用监控和查杀。

  （6）数据安全防护：落实数据全生命周期加密、备份和访问控制，符合法规要求。

2. 管理整改：

  （1）制度完善：制定或完善网络安全管理制度，确保可操作。机构与岗位设置：建立安全管理机构，执行“三员分离”，明确职责，严禁兼任。

  （2）操作规程与应急预案：完善操作规范和应急预案，定期演练，保存记录。

  （3）人员培训与管理：加强网络安全培训，提升意识与技能，保留培训记录，建立人员准入离职制度。

  （4）记录管理：完善各类安全记录，确保真实、完整、可追溯，留存期限符合等级要求。

四、等保认证通过后

网络运营者需在规定时限内向属地公安机关提交合格测评报告，协同完成备案。部分地区先发放备案编号，待报告审核通过后再发正式备案证明，相关文件须妥善保管。

在日常运营中建立常态化机制，定期开展安全自查、漏洞扫描和应急演练。每达到测评周期（如三级系统每两年一次），需委托资质机构进行等级测评，确保持续合规，保障网络安全、数据安全及个人信息安全。

-------------