網絡安全等級保護是網絡安全工作的基本方法

等級保護工作在 公安部、國家保密局、國家密碼管理局 等部門的努力下，在我國已經實施了十余年，但是在很多網絡安全運營者以及新接觸網絡安全等級保護從業者，在此前了解甚少，認為等級保護是近幾年的一個新生事物。如果不能正確了解把握等級保護制度，不能正確理解看待等級保護制度，則容易務虛而無法踏實。如果不能理解我國政策的一以貫之的連續性以及我國在等級保護領域所付出的巨大努力，自然也很難正確對待等級保護工作的開展，會認為是一項一陣風一樣的工作。我們做這樣的對比也就是希望通過這個時間線能夠讓朋友們正確的從長遠眼光正視網絡安全的等級保護工作，將網絡安全工作落到實處，務實而非務虛。 實踐證明，等級保護工作是開展網絡安全保障工作的最重要抓手，也是網絡安全保障工作的重要內容。

信息安全等級保護是信息安全保障工作的基本方法（等級保護1.0）

信息安全等級保護是國家信息安全保障工作的基本方法。 等級保護制度提出了一整套安全要求，貫穿系統設計、開發、實現、運維、廢棄等系統工程的整個生命周期，引入了測評技術、風險評估、災難備份、應急處置等技術。 按照等級保護制度中規定的五個動作“定級、備案、建設、測評、檢查”，各單位各部門開展信息安全工作，先對所屬信息系統(包括信息網絡)開展調查摸底、梳理信息系統，再對信息系統定級，定級后二級以上系統到公安機關備案，然后按標準進行安全建設整改，開展等級測評。公安機關按照系統級別實施不同強度的監管，對進入重要信息系統的測評機構以及信息安全產品分等級進行管理，對信息安全事件分等級響應和處置。經過一系列工作的開展，將信息安全保障工作落到了實處。

網絡安全等級保護是網絡安全工作的基本方法（等級保護2.0）

網絡安全等級保護是國家網絡安全工作的基本方法。網絡安全等級保護工作的目標就是維護國家關鍵信息基礎設施安全，維護重要網絡設施、重要信息系統、重要數據的安全。等級保護制度提出了一整套安全要求，貫穿網絡和信息系統的設計、開發、實現、運維、廢棄等系統工程的整個生命周期，引入了測評技術、風險評估、災難備份、應急處置等技術。按照等級保護制度中規定的“定級、備案、建設、測評、檢查”這五個規定動作，各單位、各部門開展網絡安全工作，先對所屬網絡、信息系統和數據開展調查摸底，再對網絡進行定級。定級后，第二級以上網絡要到公安機關備案，然后按標準進行安全建設整改，開展等級測評。公安機關對網絡安全工作開展監督管理，按照不同的網絡級別實施不同強度的監管，對進入重要信息系統的測評機構及信息安全產品分等級進行管理，對網絡安全事件分等級響應和處置。通過開展一系列重點工作，采取一系列重要的安全管理和技術措施，將網絡安全工作落到實處。

從上面描述我們知道了， 等級保護制度提出了一整套安全要求，貫穿網絡和信息系統的設計、開發、實現、運維、廢棄等系統工程的整個生命周期，引入了測評技術、風險評估、災難備份、應急處置等技術。 從中我們看到等級保護制度所提出的一整套安全要求是貫穿了一個網絡和信息系統整個生命周期每一個階段。正因為等級保護制度有一整套安全要求，所以在等級保護工作開展中，無論是哪一個環節，都要明白“汝果欲學詩，功夫在詩外”這個道理，因為每個環節工作在開展中看似孤立，其實是彼此相輔相成緊密聯系的，如系統設計階段你不考慮等級保護相關國家標準的要求，那么在測評階段你就很難滿足等級保護測評國家標準的要求，進而影響客戶在等級保護中的結論或結果，同時為用戶帶來安全合規性和網絡安全雙重風險。同樣，在測評環節不理解設計環節通過何種手段實現相關要求，測評的客觀公正性也必然大打折扣。

網絡運營者需要充分理解等級保護的“五個規定動作”，力求做到“三同步”。 其中定級、備案、建設是網絡運營者的責任，在這個三個環節中可以尋求測評機構以及具有提供相關咨詢服務能力的安全企業的服務，以期在定級、備案、建設等環節能夠同步滿足并落實等級保護相關國家標準。在測評環節，測評機構參與度加大，與網絡運營者配合完成等級測評工作，如果前期工作開展非常好，則等級測評階段工作開展也將非常順利。檢查環節屬于公安機關主導的工作，全線貫穿整個等級保護工作，我們看到公安機關檢查就比較全面，對網絡運營者、測評機構、安全服務商及安全產品等都進行監督管理。