有沒有遇到用戶在進(jìn)行采購選型時，要求必須滿足等保和分保？

很多剛?cè)胄械男⌒侣牭降缺：头直＿@兩個詞一臉懵逼，這兩個到底是什么東西呢？究竟什么是等級保護(hù)、什么是分級保護(hù)？在網(wǎng)絡(luò)安全中它們又發(fā)揮著怎么樣的作用？這篇文章和您一起探討等保和分保相關(guān)問題，下面就來和龍翊信安一起來看看吧。

等保與分保的定義

等級保護(hù)，信息安全等級保護(hù)。是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，對網(wǎng)絡(luò)中發(fā)生的安全事件分等級響應(yīng)、處置。在中國，信息安全等級保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護(hù)思想的安全工作；狹義上一般指信息系統(tǒng)安全等級保護(hù)。

分級保護(hù)，涉密信息系統(tǒng)分級保護(hù)制度。是指按照涉密信息系統(tǒng)所處理國家秘密信息的不同等級，將系統(tǒng)劃分秘密、機(jī)密、絕密三個等級，分別采取不同強(qiáng)度的技術(shù)防護(hù)措施和管理模式實施保護(hù)。

等保與分保的區(qū)別

01適用對象不同

等級保護(hù)的重點保護(hù)對象是網(wǎng)絡(luò)和信息系統(tǒng)，是非涉密系統(tǒng)的安全防護(hù)標(biāo)準(zhǔn)。

分級保護(hù)是所有涉及國家秘密的信息系統(tǒng)，是涉密系統(tǒng)的安全防護(hù)標(biāo)準(zhǔn)。

02分級不同

等級保護(hù)分5個級別（由低到高）：一級（用戶自主保護(hù)級）、二級（系統(tǒng)審計保護(hù)級）、三級（安全標(biāo)記保護(hù)級）、四級（結(jié)構(gòu)化保護(hù)級）、五級（訪問驗證保護(hù)級）。

分級保護(hù)分3個級別（由低到高）：秘密級、機(jī)密級、絕密級。

03監(jiān)管部門不同

等級保護(hù)由公安部門監(jiān)管，分級保護(hù)由國家保密局監(jiān)管。

為什么要做等保測評

企業(yè)按照我國等級保護(hù)相關(guān)要求的規(guī)定開展等級保護(hù)測評，可以及時發(fā)現(xiàn)信息系統(tǒng)安全狀況，對系統(tǒng)中存在的安全隱患和薄弱環(huán)節(jié)進(jìn)行全面升級，強(qiáng)化信息網(wǎng)絡(luò)安全建設(shè)，提高信息安全保護(hù)的科學(xué)性、整體性、實用性。

其次，做等保測評意味著企業(yè)在應(yīng)對相關(guān)主管單位檢查時，有充分的事實依據(jù)證明企業(yè)的安全狀況，同時一旦發(fā)生安全事件也可以找到企業(yè)相關(guān)負(fù)責(zé)人，做到問責(zé)明確。

等級保護(hù)的意義

法律法規(guī)的要求

2017年6月1號實施的《中華人民共和國網(wǎng)絡(luò)安全法》將等級保護(hù)制度上升到了法律層面，明確規(guī)定了國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

這一法規(guī)的明確，讓企業(yè)在運行過程中必須堅決履行等級保護(hù)制度，將安全保護(hù)責(zé)任到人，否則一旦發(fā)生網(wǎng)絡(luò)安全問題，將會對企業(yè)和直接負(fù)責(zé)人進(jìn)行相應(yīng)處罰。

主管單位對相關(guān)行業(yè)的要求

沒有網(wǎng)絡(luò)安全，就沒有國家安全，網(wǎng)絡(luò)安全等級保護(hù)制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。主管單位對金融、電力、廣電、醫(yī)療、教育等從業(yè)機(jī)構(gòu)的信息系統(tǒng)明確要求要開展等級保護(hù)工作，所以做等保是必要之舉，只有做等保才能符合主管單位的要求、應(yīng)對主管單位的審查。

降低企業(yè)安全事件頻發(fā)的風(fēng)險

無論是政府還是企業(yè)，每天都在面臨著各種網(wǎng)絡(luò)安全問題，如遭遇網(wǎng)絡(luò)攻擊、數(shù)據(jù)遭遇大規(guī)模泄漏、被勒索信息無法恢復(fù)等，按要求落實等級保護(hù)工作，可以發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的安全隱患與漏洞，在極大程度上規(guī)避這些風(fēng)險。

等保答疑小站

系統(tǒng)定級越低越好？

等保定級是根據(jù)受侵害的客體和對客體的侵害程度來確定的，并不是根據(jù)主觀意識決定的，而且系統(tǒng)等級定低之后，一旦發(fā)生安全問題，當(dāng)主管部門在進(jìn)行責(zé)任認(rèn)定追查時，企業(yè)很有可能就會因為系統(tǒng)定級不合理，安全責(zé)任沒有履行到位而被處罰。

信息系統(tǒng)上云就不用做等保了？

等保針對的是業(yè)務(wù)的責(zé)任主體，無論是在云上還是本地上，作為責(zé)任主體出現(xiàn)安全問題都需要承擔(dān)責(zé)任，因此安全責(zé)任主體單位還是要按等保要求落實相應(yīng)的安全工作，只是物理和環(huán)境安全等部分安全工作由云平臺承擔(dān)。

內(nèi)網(wǎng)系統(tǒng)，是不是就不需要做等保了？

據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，所有非涉密系統(tǒng)都屬于等級保護(hù)范疇，和系統(tǒng)是否在內(nèi)網(wǎng)沒有關(guān)系，所以無論是內(nèi)網(wǎng)還是外網(wǎng)都需要做等保。