等保合规2022系列 | 今年，关于等保你该了解什么？

2022等保合规指南 第一篇

四个核心问答

帮你读懂【等保】

等级保护制度在我国已经推广了近20年了（如下图），从等保制度的逐渐成熟，到整个制度被上升到法律高度，无一不证明了网络安全是我国网络强国战略的重要组成部分，而网络安全等级保护是落实网络安全的一项基础性重点工作。

为了帮助用户快速了解网络安全等级保护工作，山石网科精心准备了四个核心问答，快速有效地帮助用户构建认知。

问题一：

2022年，开展等保工作首先要了解哪些？ 

开展等级保护首先需要了解等级保护的概念以及等保1.0和等保2.0怎么区分，只有这样才能正确的参考等级保护标准要求。

那什么是等保，在《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）中明确提出“信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。”

这时候相信细心的读者会发现我们引用的主体是“信息安全等级保护”，在等保2.0前网络安全法和等级保护条例尚未发布的等保1.0阶段的统一称谓就是“信息安全等级保护”，“网络安全等级保护”源自于《网络安全等级保护条例（征求意见稿）》，“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。由此可见，主体名称的区别是划分等保1.0和等保2.0的重要标志，它影响了等级保护工作的保护对象、保护措施等诸多要求，是我们当下开展等保工作之前必须弄明白的先决条件。

最后，2022年开展应当参考的标准如下，方便各位读者收集、参考。

• 《计算机信息系统安全保护等级划分准则》GB 17859-1999（上位标准）

• 《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019 

• 《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019 

• 《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019  

• 《信息安全技术 网络安全等级保护实施指南》GB/T25058-2019

• 《信息安全技术 网络安全等级保护定级指南》GB/T22240-2020

• 《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018

• 《信息安全技术 网络安全等级保护测试评估技术指南》GB/T 36627-2018 

• 《信息安全技术  网络安全等级保护安全管理中心技术要求》GB∕T 36958-2018

• 《信息安全技术  网络安全等级保护测评机构能力要求和评估规范》GB_T 36959-2018

 

问题二：

2022年等保适用范围是什么？ 

答案是：等保适用范围是所有中国境内的非个人及家庭自建网络。

首先，《网络安全等级保护条例（征求意见稿）》中的第二条【适用范围】明确规定“在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理，适用本条例。个人及家庭自建自用的网络除外。”

其次，参照《信息安全技术 网络安全等级保护定级指南》要求目前从类型来分可以划分为：基础信息网络（电信网、广播电视传输网、互联网、业务专网等）、信息系统（采用传统技术的和新兴技术的）以及数据资源（传统电子数据及大数据）。从计算环境来看目前包括：通用场景、云计算场景、移动互联场景、物联网场景、工业控制场景（另大数据场景作为附录可做参考）。

问题三：

2022年，不做等保行不行？ 

答案是不行的，不做等保属于违法行为，用户应当尽快完成等级保护工作。

参照《网络安全法》第二十一条 “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。”

问题四：

2022年，等保工作如何开展？ 

山石网科基于多年等保项目经验及最佳实践，通过定级咨询服务、协助备案服务、风险评估与差距分析服务、安全规划与整改方案设计服务、整改集成实施服务、自测评服务、协助测评服务、安全运营保障服务为用户提供整个建设生命周期的一站式服务，助力用户快速、安全、可靠的达成等保合规目标。

完整的等级保护流程主要参照《等级保护条例（征求意见稿）》第六条【网络运营者责任义务】中的要求，网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯罪活动。结合等级保护项目落地实际情况，整体等级保护工作可划分为定级、备案、安全建设/整改、等级测评、安全自查与监督检查五个标准动作。