网络安全等级保护制度:等级检验定价决定权在谁手里

行业整顿。证书涨价的信号放出来了，最近江苏省住建厅发布了清理不符合资质标准条件的建筑业企业的通知，并随后送达了责令限期整改通知书，其中17000份通知书(壹级有307项、贰级高达9043项、叁级665项，不分等级1226项)，因登记场所无法联系等原因退回。涉及了567家企业11、241项资质，其中7000项资质的建造师人数不足。

等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。网络安全等级保护制度2.0（以下简称“等保2.0”）配合着多项已经生效和/或正在制定的法律法规及国家标准实施，智慧安全港建议各企业重视相关内容的学习，加强信息保护合规系统建设，以便为即将可能开展的执法工作做好准备，本文对等保2.0的重要内容作出了梳理。为适应新技术的发展，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

等保工作具体实施流程：1、定级备案安全机构协助用户对系统进行定级，根据系统所在行业，业务情况由相关专家进行定级，一般等保分成15级，越往上级别越高，系统的安全性也越高，常见的系统就是二级或者三级，二级系统指的是没有交易、客户信息、机密信息的系统，单纯的宣传网站、内部的办公系统都在此类。三级系统是指涉及到用户信息、涉及到金融交易、企业机密信息，一旦泄露对社会造成损害的系统，成为三级系统。

2、建设咨询对用户的系统、机房、安全设备情况进行初步了解，判断用户的安全设备、机房环境、系统安全程度是否符合等保要求，如不符合，则需要进行相应的整改，如符合可以进行测评。3、整改建设测评机构执行，测评人员协助完成，出具《差距性分析》或《整改问题汇总》。用户根据测评机构的差距报告对系统不满足等保要求项进行整改。

等保起源于国务院的147号令，为响应国务院147号令，公安部第三研究所（专门管IT行业的公安研究所）开始着手信息安全标准的推进，随后出过一些指导性的国标，但都没有引起很多企业和单位的ICT建设参考。随着近年来网络安全法和国家层面的安全指示国标变得越来越重要了，各个监管部门对安全的要求越来越大，而监管部门要求安全建设中遵循的标准大多都是等级保护；国家网信办和公安部都在主推等级保护，发现安全事件的单位没有落实等级保护肯定会被责令整改，甚至被处罚。