1. 网络安全等级保护是什么？

网络安全等级保护是中国实施的一种网络信息安全保障制度，它要求网络运营者根据自身网络的重要程度、数据的敏感程度以及可能遭受攻击的风险高低等因素，将网络划分为不同的安全保护等级，并采取相应的安全防护措施。等级保护制度旨在保障国家、公共利益以及公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，保障网络和信息系统的安全稳定运行。

网络安全等级保护制度通常包括以下几个级别：

第一级：适用于一般的非涉及国家秘密的普通信息系统，对安全保护要求相对较低。

第二级：适用于涉及国家秘密以外的其他敏感信息的系统，要求比一级高，需要采取一定的安全保护措施。

第三级：适用于涉及国家秘密的系统，以及处理涉及国家秘密以外的重要信息的系统，要求较为严格的安全保护措施。

第四级：适用于处理国家秘密的系统，以及处理国家秘密以外的关键信息基础设施，安全要求更高。

第五级：适用于涉及国家安全和公共利益的重要信息系统，安全防护要求最为严格，通常涉及军事、外交、财政等关键领域。

实施网络安全等级保护的目的是通过标准化的安全管理，提升整个社会网络的安全防范能力，降低信息泄露、系统瘫痪等安全风险。

网络安全等级保护是指为了保障网络系统的安全和稳定运行，根据不同类型、重要程度和安全需求的网络信息系统，划分不同的安全保护等级，并采取相应的保护措施和管理要求，确保信息系统的安全防护符合规定要求。具体操作通常包括以下几个方面：

等级划分：根据信息系统的安全保护需求，按照国家有关标准，将信息系统分为不同的等级，如一级至五级，其中五级安全等级最高。

安全设计：根据不同的等级，设计相应的安全体系结构，包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等方面。

安全管理：对信息系统实施分级管理，制定相应的安全策略和管理规范，确保系统的正常运维和安全事件的及时响应。

安全建设与测评：按照设计要求建设相应的安全设施，定期进行安全测评和风险评估，确保系统持续满足等级保护的要求。

网络安全等级保护是保障国家关键信息基础设施安全的重要手段，能够有效提升信息系统的安全防护能力，防范外部和内部的威胁，维护国家安全和社会稳定。

2. 为什么要做等级保护？

3. 等级保护标准体系

4. 等级保护谁来做？

5. 等级保护疑问

问：等级保护与分级保护各分为几个等级，对应关系是什么？

答：等级保护分5个级别：一级（自主保护）、二级（指导保护）、三级（监督保护）、四级（强制保护）、五级（专控保护）。

分级保护分3个级别：秘密级、机密级（机密增强级）、绝密级。

分级保护与等级保护对应关系：秘密级对应三级、机密级对应四级、绝密级对应五级。

问：等级保护的重要信息系统有哪些？

答：电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市（地）级以上党政机关的重要网站和办公信息系统。

问：等级保护的主管部门是谁？

答：公安机关是等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导，

问：等级保护是否是强制性的，可以不做吗？

答：国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查，4级每半年进行一次监督检查。

问：是否只是在政府行业实行？企业是否也在等级保护和分级保护范畴之内？

答：等级保护涉及所有行业，只要有信息系统的单位都在等级保护覆盖范围（涉密系统除外）

问：分级保护的主管部门是谁？

答：国家保密工作部门（国家保密局、各省保密局、各地市市保密局）。

问：分级保护的政策依据是哪个文件？

答：《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）。

问：哪些单位可以做分级保护的测评，有什么资质要求？

答：目前，国家保密工作部门及国家保密局授权的系统测评机构负责测评，测评机构应具备涉及国家秘密的计算机信息系统集成风险评估单项资质。

问：涉密系统分级保护多长时间需进行一次安全保密检查？

答：秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。

问：分级保护的系统集成对厂商的资质有什么要求？

答：甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

问：分级保护的哪些具体工作对厂商有单项资质的要求？

单项业务：（全国，仅限所批准业务）军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控。

问：分级保护对涉密系统中使用的安全保密产品有哪些要求？

涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。