从200 等保宣贯会，看用户最关注的等保八件事-凯发登录

单位如何开展等级保护建设的相关工作？

等级保护工作是一个系统性工程，根据网络安全等级保护相关标准，等级保护工作总共分五个阶段，分别为：系统定级、系统备案、建设整改、等级测评、监督检查 。

系统定级

对拟定为第二级及以上的对象，其运营者应当组织专家评审；有行业主管部门的，应当在专家定级评审后报请主管部门核准；跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级，统一组织定级评审。

系统备案

定级对象的运营使用单位应准备定级备案材料，材料包括：定级报告、等级保护备案表、单位基本情况、信息系统情况等材料。第二级以上网络运营者应当在定级对象安全保护等级确定后10个工作日内，到县级以上公安机关备案。 

公安机关在接到备案材料后，于10个工作日内完成材料审查，并对定级对象安全等级进行初步审核，并出具网络安全等级保护备案证明。

建设整改

对于新建的等级保护对象，要按照等级保护相关标准，撰写等级保护建设方案，并根据建设方案组织集成实施。

对于已有的等级保护对象，等级保护对象运营使用单位负责对其进行风险评估和整改建设工作， 重要等级保护对象的运营使用单位应形成等级保护整改建设方案，并根据整改方案组织集成建设。

对于三级以上的等级保护对象建设整改方案，要组织专家进行评审，形成专家评审意见，并最终形成等级保护整改建设方案。

等级测评

等级保护对象的运营使用单位应落实等级测评资金保障工作，同时开展等级测评工作。

等级保护对象建设完成后，运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对等级保护对象开展等级测评。第三级及以上定级对象应当每年至少进行一次等级测评（等保1.0标准里面等级保护四级系统需要每半年一次，现在调整为每年一次），第五级定级对象应当依据特殊安全需求进行等级测评。

什么样的系统要求定级？系统备案去哪里？找谁备案？

除等保1.0规定的信息系统外，对于如下对象，均属于等级保护定级备案的范畴，具体包括：

对于工业控制系统，应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。

对于物联网，虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。

对于大数据，除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

第二级以上网络运营者应当在安全保护等级确定后10个工作日内，到县级以上公安机关备案。

等保2.0安全通用要求与安全扩展要求之间的关系？

等保2.0基本要求分为安全通用要求和安全扩展要求。其中安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，必须根据安全保护等级实现相应级别的安全通用要求。 

安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或者特定的应用场景实现安全扩展要求。 

单位自建的云计算平台如何开展等级保护工作？

针对私有云用户，也要按照云平台和云租户信息系统，分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。

对于云计算平台和云租户信息系统，则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云，定级流程为云平台先定级测评，再将已定级应用系统向云平台迁移。

部署在公有云上的信息系统如何开展等级保护工作？

依据等保2.0，在对公有云环境下开展等级保护工作应遵循如下原则：

• 应确保云计算平台不承载高于其安全保护等级的业务应用系统。 
• 应确保云计算基础设施位于中国境内。 
• 云计算平台的运维地点应位于中国境内，如需境外对境内云计算平台实施运维操作应遵循国家相关规定。 
• 云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内，如需出境应遵循国家相关规定。