网络安全法与等保关系

1. 酒店系统需要过等保吗

有些企业的系统属于内网信息系统（没有直接与互联网连接的信息系统），因此，企业可能就会觉得：我的系统没有与互联网相连接，安全性应该很高，不会遭到什么攻击，因此是不是不用做等级保护？

但其实内网信息系统也需要做等保，因为：

1.网络攻击不都是从互联网外部发起，并不是内部信息系统就绝对安全。根据Verizon发布的“2019年数据泄露调查报告”，来自外网的威胁自2016年开始大体呈下降趋势，而来自内网的威胁自2016年开始保持上升趋势。2019年数据显示，34%的网络威胁，来自内部网络。

2.纯粹的物理内网并不常见，或多或少都以直接或间接的方式与互联网有联系，比方说接收到的邮件，还有员工自己的硬盘工具，都是对内网潜在的危险因素。或者说只要入侵的黑客有一台电脑和一条网线，那么对于他们来说，内网入侵和外网入侵其实都是一样的。

3.所有非涉密系统都属于等级保护范畴，和系统是否在内网没有关系；《中华人民共和国网络安全法》规定，等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，不管是内网还是外网信息系统，都需要符合等级保护安全要求。

2. 什么是信息安全等级保护什么是等保

信息安全等级保护简称等保。
在我国等保分为五个等级，一贯坚持自主定级、自主保护的原则。
信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
为何要做等保：

随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）。条例中规定：我国的“计算机信息系统实行安全等级保护。
哪些行业需要做等保测评：
政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行、证券、保险公司等；
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；
能源行业：电力公司、石油公司、烟草公司；
企业单位：大中型企业、央企、上市公司等；
其它有信息系统定级需求的行业与单位。

3. 网络安全法正式实施后,传统企业官网有国家信息安全等级保护认证的要求吗

不要混淆概念，信息安全等级保护要求的是局域网内的应用和网络等安全，而不是什么网站的要求。对于企业来说，网站只是信息系统的应用之一，占的比例极小。信息安全等保是一种网络安全的标准，而网络安全法规范的范围极大，其对于包括运营商、IT企业、电商、传统企业等很大方面都有一个法律上的要求。等保制度只对政府机关、事业单位和国有大中型企业有强制性要求，其他企业无必须的要求。一旦被纳入了等保要求单位的话费用是很高的，包括定期的网络安全评估，单这一项就得每次几万到几十万不等，这还不包括评估不合格后需要增加的软硬件费用。

4. 网络安全等级保护与信息安全等级保护有什么区别

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业办理网络安全等级保护备案的原因：

1.建立有效的网络安全防御体系（让客户的系统真正具有安全防御的能力）

2. 完成信息系统等级保护公安备案（取得备案证明） ，顺利通过网络安全等级保护测评（取得测评报告）

3 满足相关部门的合规性要求（包括国家的政策，法律法规的要求，还有上级部门的要求，还有甲方客户的要求等）

4. 系统过了等保，一定程度上可以提高企业投标锁标的能力，为投标加分

网络安全等级保护分五个级别：

5. 信息安全保护等级，等保作用是什么

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业办理等级保护作用：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。落实个人及单位的网络安全保护义务，合理规避风险。

信息安全等级保护的办理流程：

一步：定级;（根据企业的系统评定办理级别）

二步：修改；（对系统经行大致的修改系统）

三步：评测；（评测商对系统评测，得分）

四步：备案；（在当地的网安部门备案）

五步：维护。（定期对系统经行维护）

证书案例

6. 等保指的是什么你

等保是一个全方位系统安全性标准，不仅仅是程序安全，包括：物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

1、安全标准：信息安全等级保护（简称等保）是目前检验一个系统安全性的重要标准，是对系统是否满足相应安全保护的评估方法。

2、法律要求：《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务，如果拒不履行，将会受到相应处罚。

3、自我检查：开展等保可对系统进行一次全面检测，全面发现系统内部的安全隐患与不足之处。

【等保2.0】

以《中华人民共和国网络安全法》为法律依据，以2019年5月发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》为指导标准的网络安全等级保护办法，业内简称等保2.0。

【等保1.0】

以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准，以2008年发布的《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》为指导的网络安全等级保护办法，业内简称等保，即目前的等保1.0。

7. 网络安全法中网络运行安全规定，国家实行什么制度

网络安全法中网络运行安全规定，国家实行网络安全等级保护制度。

依据《中华人民共和国网络安全法》第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

(7)网络安全法与等保关系扩展阅读

2017年6月1日，《中华人民共和国网络安全法》（“《网络安全法》”）生效。《网络安全法》首次确立了“网络安全”等级保护（“等保”）制度，要求网络运营者按照网络安全等级保护制度的要求履行一系列安全保护义务。

2018年6月27日，公安部发布其会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例（征求意见稿）》（“《等保条例》”）。至此，作为《网络安全法》重要配套制度的网络安全等级保护制度初现轮廓。

《网络安全法》确立“网络安全”等级保护制度以前，我国已于2007年实施“信息系统安全”等级保护制度。十多年后，随着移动应用、大数据、物联网、人工智能、区块链等新技术的飞速发展，“信息系统安全”等级保护制度已明显不适应新的技术、经济环境。

《网络安全法》颁布后，国家信安标委陆续发布草案对原“信息系统安全”等保相关的国家标准进行修订，并使用了“网络安全”等保的表述。

从《等保条例》以及国家标准的修订来看，“网络安全”等保不是一个独立于“信息系统安全”等保的新制度体系，而是“信息系统安全”等保在新技术、新经济背景下代更新。

8. 网络安全法对等保的要求是什么样的

办理网络安全等级保护备案的条件：

9. 国家安全等级划分方法,定级对象

2018年6月27日，公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”)，标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条，包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系，《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，标志着等级保护正式迈入2.0时代。

《等保条例》的具体规定

《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布，作为等保1.0体系的核心规定，其法律效力为部门规范性文件。另根据《管理办法》第一条规定，其制定依据为国务院行政法规《计算机信息系统安全保护条例》。

《等保条例》虽尚在征求意见稿阶段，根据《行政法规制定程序条例》第五条，行政法规的名称一般称“条例”，国务院各部门和地方人民政府制定的规章不得称“条例”，因此，《等保条例》应当属于行政法规范畴。此外，《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。

综上可知，《管理办法》为依据行政法规制定的部门规范性文件，而《等保条例》则属于依据国家法律制定的行政法规，显然，无论是自身法律效力亦或法律依据的效力位阶，等保2.0均优于等保1.0。

等级保护的适用范围

对于适用范围，《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络，开展网络安全等级保护以及监督管理工作，而个人及家庭自建自用的网络除外，内容较为简略。2018年1月19日，全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“《定级指南2.0》”)，为等保的具体适用提供了指引。

等保1.0体系中，《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南1.0》”)确定信息系统的安全保护等级。因此，《定级指南2.0》的出台很大程度上得益于《定级指南1.0》的已有规定。

相比《定级指南1.0》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统，《定级指南2.0》细化了网络安全等级保护制度定级对象的具体范围，主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外，作为定级对象的网络还应当满足三个基本特征：第一，具有确定的主要安全责任主体;第二，承载相对独立的业务应用;第三，包含相互关联的多个资源

根据《定级指南2.0》，定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象，而跨省业务专网既可以作为一个整体定级，也可根据区域划分为若干对象定级。对于工业控制系统，应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。对于云计算平台，则应区分为服务提供方与租户方，各自分别作为定级对象。对于物联网，虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。采用移动互联技术的网络与物联网类似，应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据，除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

网络等级

《等保条例》继受了《管理办法》所确立的五级安全保护等级体系，但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级，《定级指南1.0》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级，而《等保条例》则进行了相应修改，当等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害时，相应系统应当定为第三级保护对象。具体等级划分请参照以下表格：

网络安全保护义务

《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任，但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定，就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。

对于安全保护义务，除《网安法》第二十一条已经明确的内容外，一般网络运营者还应：一、建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施，落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施，防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外，还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度，同时定期开展等级测评工作。

对于网络产品和服务采购，网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务，第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务，对重要部位使用的网络产品，还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定，因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书，以减少运营法律风险。

对于应急预案的制定，第三级以上网络的运营者应当按照国家有关规定，制定网络安全应急预案，定期开展网络安全应急演练。除及时记录并留存事件数据信息，向公安机关和行业主管部门报告外，网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》，报告网络安全事件信息时，还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。

网络安全保护要求

近年来，随着人工智能、大数据、物联网、云计算等的快速发展，安全趋势和形势的急速变化，2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保1.0)已经不再适用于当前安全要求。从2015年开始，等级保护的安全要求逐步开始制定2.0标准，包括5个部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月，公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保1.0标准更偏重于对于防护的要求，而等保2.0标准更适应当前网络安全角势的发展，结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。

10. 什么是网络安全等级保护

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

网络安全等级保护办理流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

网络安全等级保护备案共分为五级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例