详解等保测评如何定级，二级、三级等保要求及所需设备有哪些？.pdfVIP

详解等保测评如何定级，⼆级、三级等保要求及所需设备有哪些？

在⽹络安全等级保护国家标准（等保），信息安全等级保护分为五级，分别是第⼀级（⾃主保护级）、第⼆级

2.02.0

（指导保护级）、第三级（监督保护级）、第四级（强制保护级）和第五级（专控保护级），⼀⾄五级等级逐级增⾼。

虽然等保分为五个级别，但实现项⽬落地的都是⼆、三和四级，最低的⼀级单位作为建议，也是可以⾃⾏备案，但是作

⽤不⼤。最⾼的等保五级信息系统受到破坏后，会对国家安全造成特别严重损害，这类系统⼀般都涉及国家秘密，等级

保护体系⽆法担此重任，所以也不会⽤。现阶段普遍需要第三⽅测评机构测评的是第⼆级和第三级。

那⼆级和三级⼜是如何确定的呢？

安全保护等级初步确定为第⼆级及以上的等级保护对象，其运营使⽤单位应当依据《⽹络安全等级保护定级指南》进⾏

初步定级、专家评审、主管部门审批、公安机关备案审查，最终确定其安全保护等级。

等级保护对象的级别主要由两个定级要素决定：

等级保护对象的级别主要由两个定级要素决定：

（）受侵害的客体；

1

（）对客体的侵害程度。

2

定级对象的安全主要包括业务信息安全和系统服务安全与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安,

全保护等级也应由业务信息安全（）和系统服务安全（）两⽅⾯确定，根据业务信息的重要性和受到破坏后的危害

SA

性确定业务信息安全等级；根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级；由业务信息安全等级

和系统服务安全等级的较⾼者确定定级对象的安全保护等级。

关于系统测评时间，在《信息安全等级保护管理办法》公通字[2007]43号有明确规定，新建⼆级信息系统，应在系统

投⼊运⾏后⽇内，在该单位所在的区域⽹安进⾏备案，并提交相应的信息系统备案材料。已运营（运⾏）的⼆级信息

30

系统，在确定等级后，应在⽇内在该单位所在的区域⽹安进⾏备案，并提交相应的信息系统备案材料。三级信息系统

30

明确规定每年测评⼀次，四级信息系统每半年测评⼀次，五级信息系统虽有要求但在实际⼯作⼏乎很难遇到。

⾄于如何根据等级要求进⾏合规建设，龙翊信安⼩编yanga7609提供以下建议，供⼤家参考。

作为国家信息安全的基本制度，贯彻落实等级保护是企业义不容辞的信息安全义务。为解决企事业单位等保合规建

2.0

设难题，龙翊信安提供⽹络安全⼀站式解决⽅案，涵盖⽹站安全、云安全、边界安全、移动安全、数据安全、代码安

全、终端安全等全领域安全产品，全⽅位助⼒互联⽹安全建设，加快保护信息安全，保障⽹络⽣态环境健康发展。