网络安全等级保护认证

1、什么是网络安全等级保护认证

      网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的体现。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。

2、网络安全等级保护包含几个级别

      网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。在等级保护全流程中，涉及到四个不同的角色，分别是：运营使用单位、公安机关、深信服、测评机构。网络安全等级保护三级属于“监管级别”，是非银行金融机构能获得的最高级别信息安全认证。信息系统安全保护等级认证是由公安机关基于国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。其中，需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面，主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类，要求十分严格。

3、为什么要做信息安全等级保护

A．降低信息安全风险，提高信息系统的安全防护能力

开展信息安全等级保护的重要原因是为了通过等级保护工作，发现单位系统内部存在的安全隐患和不足，通过安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

B．等级保护是我国关于信息安全的基本政策。

《国家信息化小组关于加强信息安全保障工作的意见》（[2003]27 号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度。

2007年6月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号，以下简称“43号文件”）。

2016年11月7日第十二届全国会第二十四次会议通过《中华共和国网络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

C、合理地风险。

等保工作有没有开展就是衡量一个企业信息安全与否的一个重要标准，不仅可以有效的解决和安全风险，同时等级保护也是是国家基本信息安全制度要求。

4、哪些单位或机构需要落实等级保护制度？

依据《网络安全法》，在中华共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。

也就是说，无论网络运营者的单位性质是机关，还是事业单位，或者是互联网企业；无论网络的形态是通信网络设施，还是云计算平台、工业控制系统或者是采用移动互联技术的信息系统；也不论是一般信息系统，或者是重要的关键信息基础设施，只要是境内的网络都必须开展等级保护工作（个人及家庭自建自用的网络除外）。

5、同样都是信息安全相关标准，ISO27001与网络安全等级保护有哪些不同呢？

A、二者的要求性质不同

等级保护相关要求主要是由《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）及《计算机信息系统安全保护等级划分准则》（GB17859-1999）及其他一系列政策、标准组成的。从性质上说，等级保护的要求属于国家法律、法规，是强制性标准，也就是说是必须要遵守的。

ISO27001是ISO 27000信息安全管理体系标准族中对信息安全管理体系要求的标准，从性质上来说，ISO 27001是国际标准不具有强制性，企业可以根据自身需求来选择是否要要满足相关要求。

B、二者的管理对象不同

等级保护的管理对象是信息系统，等级保护所有的要求都是针对不同等级的信息系统所提出的要求，理论上来讲所采取的保护等级越高，相应的信息系统的安全防护水平越高，信息系统的安全性也越高。

ISO27001的管理对象是组织，ISO27001所有的要求都是对组织的管理过程的要求，理论上来讲采纳了ISO27001标准，企业的信息安全管理过程越规范，组织的信息安全管理能力水平越来越高。

C、二者的管理思路不同

等级保护的控制要求都属于非常明确的要求，按照等级保护的要求直接实施即可，而ISO27001中的要求都是要建立相关管理控制，具体采用什么手段进行控制没有具体说明，采取什么类型的控制随着组织的风险水平、管理方式、企业文化不同而不同。

理解了二者的特点与不同，在实际运用中才能很好的发挥标准的有效作用，使标准成为企业规范化管理的助推器。