网络安全等级保护合规要点 - 保密网

等保2.0实施以来，越来越多的企业开始关注网络安全等级保护这件事。但我在工作中发现，很多企业对等保的理解停留在表面，把它当成一个为了应付检查或者拿资质不得不办的苦差事。实际上，等保如果做得好，不仅能让你的企业合规过关，还能扎扎实实地提升网络安全能力。

先简单说说等保是什么。网络安全等级保护制度是国家网络安全领域的一项基础制度，它的核心思想是根据信息系统的重要程度和受到破坏后的危害程度，把系统分成五个安全保护等级。一级为基础级，五级为较高级别。目前大多数企业常见的是第二级和第三级。如果你的系统一旦出问题会影响公共利益或社会稳定，那大概率需要做第三级等保，也就是等保三级。每个等级对应一套基本的安全要求，包括技术要求和管理要求，测评机构会按照这些要求来评估你的系统是否达标。

很多企业对等保有个误解，觉得等保就是一次性过个测评就完事了。实际上不是。等保是一个动态的持续过程，可以概括为五个步骤：定级、备案、建设整改、等级测评、安全运营。定级就是确定你的系统属于哪个安全保护等级。备案是把你定级的结果提交给当地的公安机关网安部门。建设整改是按照对应等级的要求去建设和改造你的安全防护。等级测评是请有资质的测评机构来评估你的系统是否达标。安全运营是过了测评之后持续做好安全运维和周期性复测。这五个环节缺一不可。

定级这一步听起来简单，但实际操作中容易出问题。很多企业为了省事，把系统定级定得太低，想着定低一点要求少一点。这种做法风险很大，因为一旦出了安全事件，监管部门评估时发现你的系统明显应该定更高等级却故意定低了，责任就会加重。定级应该基于系统受到破坏后的影响范围和对社会秩序的危害程度来客观判断，不要为了省事而低估安全保护等级。

建设整改是等保工作中分量比较重的一环。以等保三级为例，安全要求涵盖十个方面，包括物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全、系统建设和系统运维。每个方面都有详细的要求项。比如物理安全里面要求机房要装门禁和视频监控，网络安全里面要求网络要划分安全区域并部署访问控制策略。比较好的做法是，先对照测评要求做自评，搞清楚差距，再制定整改计划，按优先级逐步整改。不要一上来就想全部改到位，那样既费钱又容易做无用功。

等级测评这个过程，很多人觉得就是来挑毛病的。实际上测评的真正价值是发现问题。测评报告里列出的每一条不符合项，都是你接下来需要改进的方向。拿到测评报告之后，根据不符合项的严重程度制定整改计划，高风险的优先整改，中低风险的纳入后续改进计划。整改完成后可以考虑申请复测，确认问题已经解决。

通过测评不是终点，安全运营才是真正的开始。很多企业等保测评过了之后，就把安全设备的管理密码放在一边不管了，安全日志也不看了，补丁也不打了。等到下一次复测来检查，发现之前的问题又出现了，有些还更严重了。正确的做法是等保测评通过后，建立一个持续的安全运营机制，把安全管理制度执行起来，按时打补丁、看日志、做演练、培训员工。安全运营做得好，下次复测的时候你会发现自己的安全水平已经远超测评要求了。

对于中小企业来说，等保是不是遥不可及呢？不一定。如果你的系统定级是第二级，要求相对简单，自己对照要求整改，加上合理的外部支持，完全可以达到。如果是第三级，建议借助有经验的安全服务商来做方案规划和整改实施，专业的事交给专业的人，既高效也能避免走弯路。

我建议企业在做等保之前先想清楚一个问题：你只是想拿到一个等保合规的资质，还是真的想通过等保建设提升自己的网络安全水平？如果只是前者，那你可能会在做等保的过程中走很多弯路。如果是后者，等保要求本身就是一个很好的安全建设框架，把它的每一条要求理解透、做到位，你的网络安全能力会有质的提升。

Q: 不做等保会有哪些后果？ A: 根据网络安全法的规定，不履行等保义务的单位可能会面临警告、罚款、暂停业务、停业整顿等处罚。具体处罚力度根据系统等级和情节严重程度而定。出了安全事件后，监管机构也会重点检查企业等保建设情况。

Q: 系统定级之后还可以调整吗？ A: 可以。当系统功能发生重大变化、或数据量大幅增长、或业务影响范围扩大时，需要重新评估安全保护等级，并及时更新备案信息。

Q: 等保测评的有效期是多久？ A: 等保二级建议每两年做一次测评，等保三级每年至少做一次测评。测评结果出来后整改完毕就可以拿到测评报告，但安全运营是持续性的，不能等下次测评前再突击。