什么樣的單位應(yīng)當(dāng)實行等保工作？落實等保時具體應(yīng)當(dāng)如何去做？其實很多單位當(dāng)前都還是模棱兩可，本文將針對用戶的這些疑惑一一作答。

圖4 等保工作流程的五個階段（來源：深信服）

網(wǎng)絡(luò)安全法明確規(guī)定了信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。因此，無論單位所屬何種行業(yè)，規(guī)模大小如何，只要是使用了有關(guān)的網(wǎng)絡(luò)及信息系統(tǒng)，無一例外都應(yīng)落實等級保護制度，即保護對象的全覆蓋。

網(wǎng)絡(luò)安全等級保護工作中的定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個階段，企業(yè)用戶有必要詳細(xì)了解其中工作的基本規(guī)定與流程，如圖4所示。

在等保過程中涉及到建設(shè)單位、公安機關(guān)、安全廠商、測評機構(gòu)等不同角色。據(jù)深信服總結(jié)，等級保護各工作流程內(nèi)容及角色分工如下（如圖5）：

1.定級

等級保護對象定級工作一般流程為：確定定級對象；初步確定等級；專家評審；主管部門審核；公安機關(guān)備案審查。

定級對象的安全保護等級由業(yè)務(wù)信息安全（簡記為S）保護等級和系統(tǒng)服務(wù)安全（簡記為A）保護等級的較高者決定。如圖6所示。

2.備案

圖5 等級保護各工作流程內(nèi)容及角色分工（來源：深信服）

圖6 定級方法流程示意圖（來源：綠盟科技）

圖7 評審、審核、備案（來源：深信服）

定級對象在哪里備案？一般來說，省級單位將資料交給省公安網(wǎng)安總隊，各地級市的單位將定級資料交給各自地級市網(wǎng)安支隊，而縣級則是先將資料交到區(qū)縣網(wǎng)安大隊，再由區(qū)縣網(wǎng)安大隊轉(zhuǎn)交地級市網(wǎng)安支隊進行備案。但特殊行業(yè)按特定要求執(zhí)行。具體還可參考圖7。

3.建設(shè)整改

可按照差距評估，以及方案設(shè)計及整改實施來操作，如圖8所示。

方案設(shè)計及整改實施可根據(jù)用戶單位的實際情況及等級保護要求，制定相關(guān)設(shè)備的安全配置策略要求，并合理進行配置；對差距評估中自身安全策略配置不當(dāng)和版本補丁問題進行處理，對等級保護對象進行安全加固，并形成安全加固報告；針對用戶目前缺少的安全管理制度進行補充，形成安全管理制度匯編；最后，根據(jù)設(shè)計方案內(nèi)容，完成安全設(shè)備的采購及部署。

4.等級測評

等級測評簡要介紹如圖9所示。

圖8 差距評估（來源：深信服）

圖9 等級測評（來源：深信服）

等級保護測評環(huán)節(jié)主要涉及技術(shù)層面和管理層面，對于三級以上定級對象要求每年至少開展一次測評，二級信息系統(tǒng)建議每兩年開展一次測評，部分行業(yè)是明確要求每兩年開展一次測評。

經(jīng)測評未達到安全保護要求的，要根據(jù)測評報告中的改進建議，制定整改方案

并進一步進行整改，建議在當(dāng)年度完成整改，整改要求包括：安全管理制度不完善或缺失問題；漏洞補丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類等，測評中發(fā)現(xiàn)的高風(fēng)險應(yīng)立即整改；設(shè)備缺失或不足，依據(jù)測評要求補齊相應(yīng)安全設(shè)備，如三級系統(tǒng)要求能夠?qū)M出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，傳統(tǒng)的防火墻無法滿足，必須使用WAF或下一代防火墻。

5.監(jiān)督檢查

2017年9月，為規(guī)范市（地）級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門開展信息安全等級保護檢查工作，根據(jù)《信息安全等級保護管理辦法》，制定了《公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）》。