一篇文章彻底搞懂三级等保
序
经常有人问 “三级等保是什么?”、“什么是等保?”,以及如下几个关键词:“等保2.0”、“网络安全”、 “信息安全”、“网络安全是不是信息安全”等诸如此类的问题,所以这篇文档希望能用最简单的语言解释清楚这几个关键词。
正好笔者在河南、天津等地均落地过三级等保项目,且认识一些测评公司和某些地市网安大队工作人员,同时家人也是律师,对于《网络安全法》、《数据安全法》也了解较多,欢迎小伙伴们沟通交流~
等保和等级保护
首先,“等保”是“等级保护”的简称,在2007年,“等保”的全称为:“信息安全等级保护”。名字来源 2007年发布的 《信息安全等级保护管理办法》,业内俗称 “等保1.0” (就像软件开发中的1.0版本一样),所以2007年的时候“等保”这个词就来了。。
等保2.0和等级保护2.0
2017年,《中华人民共和国网络安全法》的正式实施,《网络安全法》中第21条明确“国家实行网络安全等级保护制度。”,这个时候叫做“网络安全等级保护”,同时2018年至2020年又更新了相关国家标准,从这个时候起,大家都开始叫做 “等保2.0”。
等保2.0与等保1.0对比
| 项目 | 2007年 | 2017年 |
|---|---|---|
| 名词 | 等级保护 | 等级保护 |
| 俗称 | ||
| 顶层标准 | 《信息安全等级保护管理办法》 | 《中华人民共和国网络安全法》 |
| 性质 | 管理办法(行政法规) | 国家法律(你懂的) |
| 区别 | 只包含软件应用系统 | 除了软件应用本身以外,还包含其他各个方面; 如物理、网络、主机、应用、数据等等 |
更多对比请看 等保2.0与等保1.0对比15项清单
什么是三级等保
在“等保2.0”(《网络安全法》)中,根据系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高一共5个等级。
“三级等保” 表示 “第三级等级保护”, 即 “等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;”。
国家规定一共有5个保护等级,具体如下:
- 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
- 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
是不是读完这句话再次感受到了中文的“博大精深”,一时看不懂,不过不要因这句话而怀疑国家的标准,如果你想了解具体含义的话,请阅读国家标准《网络安全等级保护定级指南(GB/T22240-2020)》 ,其实是非常清晰明了的。
为什么总在说三级等保?
就我国的实际情况来看,按照上述的《网络安全等级保护定级指南(GB/T22240-2020)》标准,最常见的是等保二级和等保三级。
对于国家和企业而言,通常三级保护已经能满足大部分场景了,所以经常说“三级等保”。
如何评定哪一级?
关于这个问题,网上有很多文章都是错误的,如下错误示例:
- 按照行业划分的,如工业企业需要三级,教育行业需要二级,电商行业需要二级,政府的系统需要三级,金融的需要四级等等
- 按照数据划分的,如电商行业,有收货地址 敏感信息,就必须三级,数据大于100万的,必须三级等等
- 甚至按照 主观意愿的,“我觉得三级,嗯,那应该就是三级”。。。
定级的官方标准
在《网络安全等级保护定级指南(GB/T22240-2020)》标准中给出了定级标准,是一个多维度矩阵决定的具体标准,如下图: 
同时标准文件中说明:
- 保护等级初步定为第二级及以上的,其需要组织专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
- 保护等级初步确定为第一级的,其可依据标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
定级流程:“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”