什么是等保？为什么要做等保？

一、什么是等保？

定义：“等保”全称为“信息安全等级保护”。等级保护制度是我国网络安全的基本制度，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

简单来说：根据涉及互联网的相关系统，按照国家的相关标准进行等级评定，并按照对应等级的相关要求，开展对该系统的全面检测、整改，尽可能降低系统风险，增强应对外来网络病毒、黑客组织、敌对国家攻击的防护能力和自救能力，实现保护互联网系统的安全、稳定的工作。

通俗来讲：公司或者单位因为要用互联网，而你的信息系统中可能会涉及很多不可泄露的敏感信息，同时网络上存在很多不法分子，当你的信息系统受到破坏后，可能会对公民、法人、组织，甚至社会、国家安全造成损害，而你的信息系统在等级保护安全要求中划为几级保护系统，便是根据信息系统的重要性和敏感程度来确定的。因此，为了避免被骗、被坑、被攻击，需要根据这个级别要求，对自家的院墙（设备硬件）进行检查，看是否有缺口，咱要对自家的保镖（系统软件）进行检查考核，看看他们能不能打、有没有内奸，看看自家的管家、工人（管理人员）有没有不锁门、不关灯、监守自盗等，且隔一段时间就对这些进行检查、评比，发现问题抓紧处理改进，确保自身和财产的安全。

二、为什么要做等保？

1、法律法规要求

从法律要求层面来说，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》第二十一条、第三十一条明确规定网络运营、使用单位应当按照网络安全等级保护制度要求履行安全保护义务。如果拒不履行，将会受到相应处罚。也就是说，如果不开展等保工作就等同于违法。

2、行业监管要求

越来越多的行业及主管/监管单位明确要求企业开展等级保护工作，目前金融、电力、能源、医疗、教育、物流等行业均将等保作为准入门槛之一。

3、企业系统安全需求

网络运营、使用单位通过开展等级保护工作可以发现信息系统内部存在的安全隐患与不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低间接产生的经济损失，维持企业良好的形象。

三、不做等级保护的危害

不做等级保护或者不按照规定做等级保护，会给信息系统带来严重的危害。具体表现为：

1、增加了信息系统遭受网络攻击、恶意软件、黑客入侵等威胁的风险，可能导致数据泄露、业务中断、功能失效等后果，影响信息系统的可用性、完整性和机密性；

2、降低了信息系统对内部和外部审计、监督、检查的适应能力，可能导致无法通过合规性评估或认证，影响信息系统的合法性和信任度；

3、削弱了信息系统对突发事件、灾难恢复、应急处置等应对能力，可能导致无法及时恢复正常运行状态，影响信息系统的可恢复性和可维护性；

4、影响了信息系统与其他相关方（如用户、客户、合作伙伴、监管机构等）之间的沟通交流和协作配合，可能导致信任缺失、关系紧张或冲突升级，影响信息系统的互操作性和社会责任。

四、哪些企业和单位应该开展等保工作？

等级保护是一项重要的信息安全工作，其目的是保障信息和资产的安全和保密。根据《信息安全等级保护管理办法》，哪些企业和单位应该开展等级保护工作取决于其信息系统的重要程度、安全风险以及所在地区的要求。主要需开展等级保护工作的单位和企业：

1、涉及国家安全、社会秩序、公共利益等重要信息的单位和企业，如政府机关、金融机构、电信运营商、能源企业等。

2、安全风险较高的单位和企业，如大型企业、互联网企业等。

3、处于战略要地、在行业中具有重要影响力的单位和企业，如医院、高校等。

4、需要保障信息安全的关键信息基础设施运营者，如电力、石油、电信等企业。

5、其他有必要开展等级保护工作的单位和企业。

五、等级保护的流程

1、系统定级。对业务、资产、安全技术和安全管理进行调研，确定定级系统，准备定级报告。御盾安全提供协助定级服务，辅助用户完成定级报告，组织专家评审。

2、系统备案。持定级报告和备案表到当地公安网监进行备案。御盾安全提供备案指引服务、辅导用户准备材料、完成备案。

3、建设整改。参照定级要求和标准，对信息系统整改加固。御盾安全可协助用户进行系统的安全加固，协助用户建设安全管理体系，提供符合等保合规需求的安全产品。

4、等保测评。测评机构对信息系统等级测评，形成测评报告。御盾安全提供辅助等保测评服务，整改后测评机构对系统等级符合性状况进行测评，出具测评合格报告。

5、监督检查。系统持续改进与优化，并按照法定相关要求进行年检和复查。

为避免过度保护或疏于防范的情况，减少资源浪费等，建议聘请或咨询专业的等级保护服务机构，制定科学合理的方案。

六、等保测评周期

等级保护测评的时间取决于信息系统的规模、复杂性和测评方的人力和设备等因素，一般需要1-3个月不等的时间。对于小规模的信息系统，测评周期可能只需要2-3周；而对于大规模、复杂的信息系统，测评周期可能需要1-2个月。此外，等级保护测评的时间还受到地区、行业等因素的影响，不同地区、不同行业的等级保护测评时间可能存在差异。

七、等保测评多久做一次？

根据《信息安全等级保护管理办法》公通字200743号十四条要求，三级信息系统应当每年开展一次测评；二级信息系统，建议每两年开展一次测评；部分行业标准要求，如电力行业明确要求二级系统两年做一次测评。