1 什么是等保

等保就是网络安全等级保护，指的是按照信息系统应用业务重要程度和现实安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。《网络安全法》明确表示，在中华人民共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。无论网络运营者的单位性质是政府机构还是个人企业;无论提供的是访问服务还是云服务或者工业控系统;无论是关键信息基础设施还是一般网络，只要在境内运营的网络都必须展开等级保护工作。2007 年和 2008 年颁布实施了《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，这两个文件被称为等保 1.0，2017年颁布了《中华人民共和国网络安全法》，规定了要进行网络安全等级保护;2019 年颁布了《网络安全等级保护条例》，这被称为等保2.0。

2 等保法规条例和标准

(1)等保相关法规条例文件有：

中华人民共和国计算机信息系统安全保护条例(1994 国务院 147 号令)

《中华人民共和国网络安全法》

计算机信息系统安全保护等级划分准则(GB17859-1999)

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)

关于信息安全等级保护工作的实施意见(公通字 [2004]66 号)

《信息安全等级保护管理办法》公通字 [2007]43 号

关于开展全国重要信息系统安全等级保护定级工作的通知(公信安 [2007]861 号)

《关键信息基础设施安全保护条例(征求意见稿)》(国家互联网信息办公室 2017 年7月10号发)

(2)等保相关标准有：

《GB 17859-1999 计算机信息系统 安全保护等级划分准则》

《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》

《GB/T 28448-2019 信息安全技术　网络安全等级保护测评要求》

《GB/T 22239-2019 信息安全技术　网络安全等级保护基本要求》

《GB/T 25070-2019 信息安全技术　网络安全等级保护安全设计技术要求》

《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》

《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》

3 等保定级

(1)等保定级等级

在《信息安全等级保护管理办法》中，信息系统的保护等级被划分为五级：

第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益;

第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。

(2)等保定级步骤

第一步：确定定级对象。包括确定定级对象的主体，以及识别主体的的信息系统。识别信息系统后，要对信息系统进行划分，确定系统的管理边界，并确定的业务流程和业务间关系。

第二步：确定受侵害客体。识别在业务信息受破坏后或者系统服务受破坏后的侵害客体。

第三步：确定对客体的侵害程度。确定客体的业务信息和系统服务收到破坏后，对客体的侵害程度。并确定受到破坏后，业务系统的恢复能力。

第四步：确定业务信息安全等级和系统服务安全等级。

第五步：初步确定系统安全保护等级。

4 等保二级和三级的区别

等保二级和等保三级主要是定级的级别不同，二级不涉及损害国家安全，三级会涉及。两者级别不同，其实施的网络安全防护工作和配备的安全产品就会有差别，在等级保护测评实施中就会表现出来。所以，在等保建设过程中，等保二级比等保三级花费的人力成本、测评成本和安全设备采购费用会更少，等保三级的费用会更高。

等保二级和等保三级的定级结果区别最大在于，等保二级的定级对象遭到破坏时，审查是否对公民、法人和其他合法组织的权益以及社会秩序、公共利益带来损害;而等保二级的定级对象遭到破坏时，审查其从社会秩序、公共利益以及国家安全带来的侵害。例如，云平台供应商的平台很多定级为三级以上。因为这些供应商的云平台，一般出现问题，很有可能性严重侵害社会秩序、公共利益。

来源：《安全牛：中小企业等保建设白皮书（32页）.pdf》

推荐阅读：《腾讯安全：等保2.0体系互联网合规实践白皮书(111页).pdf》

《软件与服务行业信息安全深度剖析3：数据安全和隐私计算站风口等保和关保再启增长-210818（28页）.pdf》