等保2.0施行后的问题：等级保护定级/备案/测评需注意

根据《网络安全法》第21条：网络经营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保护网络不受干扰、破坏和未经授权的访问，防止网络数据泄露、被盗、篡改，保障网络安全，制定网络安全等级保护2.0标准，于2019年12月1日正式实施。

为此，网络运营商需要根据等保2.0的要求，对其实施网络安全等级保护，并进行相应的全过程工作，分别为：定级、备案、总体规划、设计和实施、运行和维护及终止。作为网络安全等级保护的三个重要环节，定级、备案和测评在具体实施过程中需要注意哪些问题？大家一起来看看！关于2021年等保（二级等保/三级等保）咨询办理，可以联系我电话：18300003210 微信同步-张经理。

一级分级和备案程序。

在等级保护体系中，等级是很重要的，等保2.0和等保1.0相似，信息系统按重要程度由低到高分为5级，不同等级实行不同标准的保护标准并进行备案。定级和备案对企业来说都是非常重要的一步，便于企业明确自己应该实施的保护标准，如果没有明确的等级，实施低于定级的保护标准就会陷入违法行为，实施高于定级的保护标准就会浪费成本。

分级和备案流程分为分级、对象分析、等级确定和备案四个步骤，各角色的实施都涉及到等保实施，包括操作单位、网络安全企业、主管部门、网信办、网络安全测评机构、网络安全服务机构和公安机关。

去除水印图解法。

先由行业主管部门和网络安全服务机构确定本行业的等保等级，完成行业/领域的定级工作；再由运营单位和网络安全服务机构根据其所在行业、业务范围、产品功能等对等保对象的重要性进行分析，并经专家评审；再由主管部门对等保对象、定级进行审核、批准，确定等保对象的数量、等级；最后由等保管理部门按等保对象的要求办理备案手续，报公安机关备案审查，完成全部等保对象的定级、备案工作。

此处需要注意的是，除一级等保不需要定级、备案外，其他等级均需申报定级、备案，其中三级等保是国家对非银行机构颁发的最高等级证书，属于“监管级”，由国家信息安全监管部门进行监督检查，是目前金融支付企业、企业所需达到的等级。

测量存在于等保实施的各个环节中。

等保实施过程中的测量是非常重要的一环，其主要作用是检测和评估等保对象的安全等级是否满足等保等级的基本要求。要树立单位的观念：测评不是一个单独存在的环节，不能一次就过高，只要实行等险，测评就会始终存在。

能进行测评的机构必须具备相应的资质，在测评过程中应取得运营、使用单位或等安全管理部门的授权。操作、使用单位通过注册测评进行现状分析，确定系统安全保障现状及存在的问题，并以此来确定系统改造要求。

等值保障定级、建设和运营过程中都需要进行评估工作，获取评估报告。按照规定实施第三阶段等保的等保对象每年必须进行一次测评，测评报告是进行整改加固的重要依据，也是第三阶段以上等保对象备案的重要附件材料，可见，等保过程测评的重要性。

有一种说法是等保实施过程称为测评纠正再纠正直到通过测评。三级等值认证需要测评的内容涵盖等级保护安全技术要求和安全管理要求的5个层次，主要包括信息保护、安全审计、通信保密等近300项要求，共涉及测评类别73种，具体内容可参考《信息安全技术网络安全等级保护测评要求》，可参考《信息安全技术网络安全等级保护测评流程指南》。
值得注意的是，企业内网信息系统、云端系统或托管在别处的系统也需要进行评估，根据“谁经营、谁使用、谁管理”的原则，系统责任主体仍是网络运营商，不能随意变更。
等值保险只是一个开始。

当前，全国网络安全等级保护测评机构推荐目录中共有189家机构，需要指出的是，等保测评不是安全认证，没有认证证书，测评报告和备案证明只能证明该信息系统符合等级保护的安全要求，符合国家相关规定。

达到等保只是保障网络安全、信息安全的基本要求，基本保障系统能够平稳运行，即“底线”，而不是说做到等保在安全上就能高枕无忧，或者达到等保在发生风险事故时能够规避法律制裁。

等值保险需求的满足只是网络安全、数据安全的第一步，也只是合规的开始，随着其他监管手段的出台，合规要求必然会越来越严格。