2007 年我国信息安全等级维护准则正式施行，经过十余年的时刻的展开与实践，成为了我国非涉密信息体系网络安全建造的重要规范。

　　等保规范具有很强的实用性：它是监管部分合规执法查看的依据，是我国许多网络信息安全规范准则的重要参阅体系架构，是职业主管部分关于下级部分网络安全建造的指引规范的重要依据和参阅体系

　　由此规范衍生了许多职业规范：例如人社职业等保规范、金融职业等保规范、动力职业（电力）等保规范、教育职业等保规范等职业规范。总的来说，等保准则是网络安全从业者展开网络安全作业的重要辅导体系和准则。

　　2007 年和 2008 年颁布施行的《信息安全等级维护处理办法》和《信息安全等级维护根本要求》。这部法规被称为等保 1.0。经过 10 余年的实践，等保 1.0 为确保我国信息安全打下了坚实的根底。

　　等保 2.0 相关国家规范于 2019 年 5 月 10 日正式发布。2019 年 12 月 1 日开端施行。这是我国施行网络安全等级维护准则进程中的一件大事，具有里程碑含义。

　　等保 1.0 首要着重物理主机、运用、数据、传输，而 2.0 版别增加了对云核算、移动互联、物联网、工业操控和大数据等新技能新运用的全掩盖。相较于等保 1.0，等保 2.0 发生了以下首要改变：

　　榜首，称号改变。等保 2.0 将本来的规范《信息安全技能信息体系安全等级维护根本要求》改为《信息安全技能网络安全等级维护根本要求》，与《网络安全法》保持一致。

　　第二，定级目标改变。等保 1.0 的定级目标是信息体系，现在 2.0 更为广泛，包含：信息体系、根底信息网络、云核算渠道、大数据渠道、物联网体系、工业操控体系、选用移动互联技能的网络等。

　　第三，安全要求改变。根本要求的内容，由安全要求革新为安全通用要求与安全扩展要求 (含云核算、移动互联、物联网、工业操控)。

　　第四，操控办法分类结构改变。等保 2.0 仍旧保存技能和处理两个维度。在技能上，由物理安全、网络安全、主机安全、运用安全、数据安全，变更为安全物理环境、安全通讯网络、安全区域鸿沟、安全核算环境、安全处理中心；在处理上，结构上没有太大的改变，从安全处理准则、安全处理安排、人员安全处理、体系建造处理、体系运维处理，调整为安全处理准则、安全处理安排、安全处理人员、安全建造处理、安全运维处理。

　　第五，内容改变。从等保 1.0 的定级、存案、建造整改、等级测评和监督查看五个规则动作，变更为五个规则动作 + 新的安全要求 (增加了危险评价、安全监测、通报预警、案事件调查、数据防护、灾祸备份、应急处置等。)。

　　第六，法律效力不同。《网络安全法》第 21 条规则 “国家施行网络安全等级维护准则，要求网络运营者应当依照网络安全等级维护准则要求，实行安全维护职责”。履行网络安全等级维护准则上升为法律职责。

　　依据谁主管谁担任、谁运营谁担任、谁运用谁担任的准则，网络运营者成为等级维护的职责主体，怎样快速高效地经过等级维护测评成为企业展开事务前有必要考虑的问题。

　　等保 2.0 有 5 个运转进程：定级存案、距离评价、建造和整改、等级测评、查看。

　　一起，也分 5 个等级，即信息体系按重要程度由低到高分为 5 个等级，并别离施行不同的维护战略。

　　许多人简单把等保测评等同于安全认证。等保测评并非相当于 ISO 20000 系列的信息技能服务处理认证，也并非于 ISO27000 系列的信息安全处理体系认证。等级维护准则是国家信息安全处理的准则，是国家毅力的表现。履行等级维护准则为了国家法律法规的合规需求。

　　等级维护测评没有相应的证书，怎样才干证明信息体系现已契合等级维护安全要求了呢？现在这首要是由公安部授权托付的全国一百多家测评安排，对信息体系进行安全测评，测评经往后出具《等级维护测评陈述》，拿到了契合等保安全要求的测评陈述就证明该信息体系契合了等级维护的安全要求。

　　等保准则仅仅基线的要求，经过测评、整改，履行等级维护准则，的确能够躲避大部分的安全危险。但就现在的测评成果来看，几乎没有任何一个被测体系能悉数满意等保要求。一般状况下，现在等级维护测评进程中，只需没发现高危安全危险，都能够经过测评。留意假如有高危缝隙，马上不合格， 可是，安满是一个动态而非停止的进程，而不是经过一次测评，就能够一了百了的。企业经过履行等保安全要求，并严格履行各项安全处理的规章准则，根本能做到体系的安全安稳运转。但依然不能百分百确保体系的安全性。

　　首要，一切非涉密体系都归于等级维护范畴，和体系在外网仍是内网没有关系；《网络安全法》规则，等级维护的目标是在中华人民共和国境内建造、运营、维护和运用的网络与信息体系。因而，不管是内网仍是外网体系，都需求契合等级维护安全的要求。

　　其次，在内网的体系往往其网络安全技能办法做的并不好，乃至不少体系现已中毒不浅。2017 年暴虐全球的永久之蓝勒索病毒进犯，导致了许多内网体系瘫痪，这提示咱们内网体系的安全防护相同不能大意。所以不管体系在内网仍是外网都得及时展开等保作业。

　　现在，比较多的小型企业客户倾向于把体系布置在云渠道与 IDC 机房。这些云渠道、IDC 机房一般都经过了等级测评。不过，依据 “谁运营谁担任，谁运用谁担任，谁主管谁担任” 的准则，体系职责主体依然仍是归于网络运营者自己，所以，仍是得承当相应的网络安全职责，该进行体系定级的仍是得定级，该做等保的仍是得做等保。

　　布置在云渠道的体系还需求购买云渠道的安全服务或许第三方安全服务，布置在 IDC 机房的体系还需求购买相应的安全设备以满意等保安全要求。

　　在云核算环境中，将云核算渠道作为根底设施、云租户体系作为信息体系，别离作为定级目标进行定级。关于大型云核算渠道，当运管渠道共用时，可将云核算根底设施与运管渠道体系分隔定级，职责别离，别离定级、各自存案。云核算根底设施的安全维护等级不低于其所支撑的事务体系的最高等级。

　　针对私有云用户，也要依照云渠道和云租户信息体系，别离进行定级。并且云渠道的安全等级不低于其所支撑的事务体系的最高等级。

　　关于云核算渠道和云租户信息体系，则别离依据等保 2.0 根本要求中的通用要求和云核算安全扩展要求来展开等级维护作业。关于私有云，定级流程为云渠道先定级测评，再将已定级运用体系向云渠道搬迁。（云渠道等级有必要高于等于体系等级）

　　现在的等级维护目标（信息体系）的安全等级分为五个等级：1 级为最低等级，5 级为最高等级（5 级为预留等级，市面上已定级的体系最高为 4 级）。假如定了 1 级，不需求做等级测评，自主进行维护即可。定 2 级以上就需求进行等级测评。体系等级的确认需求依据体系的重要性进行决议。假如定高了，有或许构成出资的糟蹋；定低了则有或许构成重要信息体系得不到应有的维护，应该慎重定级。

　　等保 1.0 的要求是自主定级，有主管部分的需求主管部分审阅，终究报送公安机关进行审阅。等保 2.0 之后定级流程新增了 “专家评定” 和 “主管部分审阅” 两个环节，这样定级进程将会变得愈加规范，定级也会愈加精确。

　　《信息安全等级维护处理办法》规则，等级维护的主体单位为信息体系的运营、运用单位。存案主体一般不会是开发商、体系集成商，而是终究的用户方。

　　现在有些单位的注册地跟运营地不一致，正常状况下需求去运营区域的网安部分处理存案手续。比方客户注册地在北京海淀区，运营部分在北京朝阳区，需求到北京朝阳区处理定级存案手续，当然，条件是北京朝阳区有必要有正规作业地址。

　　有些单位的体系布置在云渠道，云渠道的实践物理地址往往和云体系网络运营者不在同一地址。并且，有些单位的运维团队和注册运营地址也不一致。这种状况下，云体系应当在体系实践运维团队地点地市网安部分进行体系存案，由于这样会便利属地公安对体系进行监管。

　　所以，大部分状况下，仍是需求到体系的运维人员实践地点地进行定级存案。当然也有一些特别职业的要求，比方一些涉及到金融安全的职业，比方互联网金融体系、付出体系需求属地化处理，这些体系需求在注册地处理定级存案手续，以满意本地的监管要求。

　　整改花多少钱取决于你的信息体系等级、体系现有的安全防护办法状况以及网络运营者对测评分数的期望值，不必定要花许多钱乃至不花钱。

　　整改的内容大体分为：安全准则完善、安全加固等安全服务以及安全设备的增加。在安全准则及安全加固上网络运营者自己能够做许多整改作业或许托付体系集成方进行加固，往往这是不需求额定付费的或许是包含在你和体系集成方合同约好中的，这两块内容整改好，加上你有必定的安全技能办法，根本上是能够到达根本契合的定论的。所以花多少钱看你怎样去做或许你的期望值是多少。

　　等级维护作业是一个体系性工程，依据网络安全等级维护相关规范，等级维护作业一共分五个阶段，别离为：体系定级、体系存案、建造整改、等级测评、监督查看。

　　对拟定为第二级及以上的目标，其运营者应当安排专家评定；有职业主管部分的，应当在专家定级评定后报请主管部分核准；跨省或许全国一致联网运转的网络由职业主管部分一致拟定安全维护等级，一致安排定级评定。

　　定级目标的运营运用单位应预备定级存案资料，资料包含：定级陈述、等级维护存案表、单位根本状况、信息体系状况等资料。第二级以上网络运营者应当在定级目标安全维护等级确认后 10 个作业日内，到县级以上公安机关存案。

　　公安机关在接到存案资料后，于 10 个作业日内完结资料检查，并对定级目标安全等级进行开始审阅，并出具网络安全等级维护存案证明。

　　关于新建的等级维护目标，要依照等级维护相关规范，编撰等级维护建造计划，并依据建造计划安排集成施行。

　　关于已有的等级维护目标，等级维护目标运营运用单位担任对其进行危险评价和整改建造作业， 重要等级维护目标的运营运用单位应构成等级维护整改建造计划，并依据整改计划安排集成建造。

　　关于三级以上的等级维护目标建造整改计划，要安排专家进行评定，构成专家评定定见，并终究构成等级维护整改建造计划。

　　等级维护目标的运营运用单位应履行等级测评资金确保作业，一起展开等级测评作业。

　　等级维护目标建造完结后，运营运用单位或许其主管部分应当挑选契合资质要求的第三方测评安排，依据《网络安全等级维护测评要求》等技能规范，定时对等级维护目标展开等级测评。

　　第三级及以上定级目标应当每年至少进行一次等级测评（等保 1.0 规范里边等级维护四级体系需求每半年一次，现在调整为每年一次），第五级定级目标应当依据特别安全需求进行等级测评。

　　依据等保根本要求中的安全通用要求和工控扩展要求来对工业操控体系展开等级维护作业。

　　工业操控体系首要包含现场收集 / 履行、现场操控、进程操控和出产处理等特征要素。其间，现场收集 / 履行、现场操控和进程操控等要素应作为一个全体目标定级，各要素不独自定级；出产处理要素可独自定级。

　　关于大型工业操控体系，能够依据体系功用、职责主体、操控目标和出产厂商等要素划分为多个定级目标。

　　工控扩展要求维护首要包含：室外操控设备防护、工业操控体系、网络架构安全、拨号运用操控无线运用操控、操控设备安全、缝隙和危险处理、恶意代码防备处理等方面内容。

　　工业操控体系安全扩展要求首要针对现场操控层和现场设备层提出特别安全要求，其他层次运用安全通用要求条款，对工业操控体系的维护需求依据实践状况运用根本要求。

　　国源天顺面向全国供给专业网络安全服务，高度重视本身才能建造，是公安部引荐的具有国家网络安全等级维护测评资质的专业测评安排。

　　国源天顺经过多年展开，积累了许多等级维护项目经历，客户包括政府、医疗、连锁、纺织、动力、金融、教育及运营商、互联网等职业范畴，在网络安全服务商场已树立起优异的口碑。一起，国源天顺凭仗本身专业才能，积极参与网络安全相关准则建造。

　　国源天顺现在具有百余位职工，服务人员装备足够。专业等级维护测评师团队，丰厚的等级维护项目服务经历，施行周期短，一站式高效率经过等保测评，协助客户提高安全等级，处理事务问题。