隨著信息技術的發(fā)展和網絡安全形勢的變化，等保1.0已無法有效應對新的安全風險和新技術應用所帶來的新威脅。為適應新技術的發(fā)展，解決云計算、物聯(lián)網、移動互聯(lián)和工控領域信息系統(tǒng)的等級保護工作的需要，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護正式進入2.0時代。

等保2.0的實施對企業(yè)有什么影響？

《網絡安全法》第五十九條規(guī)定：網絡運營者不履行義務的：由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

關鍵信息基礎設施的運營者不履行義務的?：由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

用戶單位不做等級保護測評，用戶單位需要被罰款1萬-100萬；主管人員需要被罰款5000-100000。

根據(jù)“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，網絡運營者成為等級保護的責任主體，如何快速高效地通過等級保護測評成為企業(yè)開展業(yè)務前必須思考的問題。

等保2.0有5個運行步驟：定級、備案、建設和整改、等級測評、檢查。同時，也分5個等級，即信息系統(tǒng)按重要程度由低到高分為5個等級，并分別實施不同的保護策略。

《信息安全等級保護定級指南》規(guī)定，只要符合以下三個特征，就必須進行等級保護備案。如果符合以下三個特征，并且安全保護等級是二級及以上，還必須通過等級保護測評，網站也不例外。

等級保護定級對象的三大基本特征：

①具有確定的主要安全責任主體；

②承載相對獨立的業(yè)務應用；

③包含相互關聯(lián)的多個資源。

那么，如果網站符合以上三個特征，且信息系統(tǒng)為二級及以上，要怎么做等級保護呢？網站信息系統(tǒng)安全等級保護辦理步驟解讀來啦！

1.網站系統(tǒng)定級

根據(jù)等級保護相關管理文件，等級保護對象的安全保護等級一共分五個級別，從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定：①受侵害的客體；②對客體的侵害程度。對于關鍵信息基礎設施，“定級原則上不低于三級”，且第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。

定級流程：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。

2.網站系統(tǒng)備案

根據(jù)《網絡安全法》規(guī)定：

①已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內（等保2.0相關標準已將備案時限修改為10日內），由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

②新建第二級以上信息系統(tǒng)，應當在投入運行后30日內（等保2.0相關標準已將備案時限修改為10日內），由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

③隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。

④跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。

企業(yè)最終確定網站的級別以后，就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。第三級以上信息系統(tǒng)需提供以下材料：(?一?)?系統(tǒng)拓撲結構及說明；(?二?)?系統(tǒng)安全組織機構和管理制度；(?三?)?系統(tǒng)安全保護設施設計實施方案或者改建實施方案；(?四?)?系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明；(?五?)?測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；(?六?)?信息系統(tǒng)安全保護等級專家評審意見；(?七?)?主管部門審核批準信息系統(tǒng)安全保護等級的意見。

3.網站系統(tǒng)安全建設（整改）

等級保護整改是等保建設的其中一個環(huán)節(jié)，指按照等級保護建設要求，對信息和信息系統(tǒng)進行的網絡安全升級，包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護能力，讓企業(yè)可以成功通過等級測評。

等級保護整改沒有什么資質要求，只要公司可以按照等級保護要求來進行相關網絡安全建設，由誰來實施，是沒有要求的。但由于目前企業(yè)網絡安全人才緊缺，企業(yè)很多時候都需要尋找專業(yè)的網絡安全服務公司來進行整改。

整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門，落實安全崗位和人員，對安全管理現(xiàn)狀進行分析，確定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監(jiān)測等。

技術整改主要是指企業(yè)部署和購買能夠滿足等保要求的產品，比如網頁防篡改、流量監(jiān)測、網絡入侵監(jiān)測產品等。

4.網站系統(tǒng)等級測評

等級測評指經公安部認證的具有資質的測評機構，依據(jù)國家信息安全等級保護規(guī)范規(guī)定，受有關單位委托，按照有關管理規(guī)范和技術標準，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。物聯(lián)網企業(yè)等級測評需要尋找合適的測評機構來進行測評，測評機構至少需要具備《信息安全等級測評推薦證書》。物聯(lián)網企業(yè)可以登錄中國網絡安全等級保護網查看國家推薦的有資質的測評機構名單。

測評機構收費方面，具體的服務費用會因為省市不同、測評項目不同、行業(yè)不同等而有所差異。但一般來說，二級系統(tǒng)測評費用4萬元起步，三級系統(tǒng)測評費用7萬元起步。

根據(jù)規(guī)定，對信息系統(tǒng)安全等級保護狀況進行的測試應包括兩個方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎。

5.監(jiān)督檢查

企業(yè)要接受公安機關不定期的監(jiān)督和檢查，對公安機關提出的問題予以改進。