什么样的单位应当实行等保工作？落实等保时具体应当如何去做？其实很多单位当前都还是模棱两可，本文将针对用户的这些疑惑一一作答。

图4 等保工作流程的五个阶段（来源：深信服）

网络安全法明确规定了信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。因此，无论单位所属何种行业，规模大小如何，只要是使用了有关的网络及信息系统，无一例外都应落实等级保护制度，即保护对象的全覆盖。

网络安全等级保护工作中的定级、备案、建设整改、等级测评、监督检查五个阶段，企业用户有必要详细了解其中工作的基本规定与流程，如图4所示。

在等保过程中涉及到建设单位、公安机关、安全厂商、测评机构等不同角色。据深信服总结，等级保护各工作流程内容及角色分工如下（如图5）：

1.定级

等级保护对象定级工作一般流程为：确定定级对象；初步确定等级；专家评审；主管部门审核；公安机关备案审查。

定级对象的安全保护等级由业务信息安全（简记为S）保护等级和系统服务安全（简记为A）保护等级的较高者决定。如图6所示。

2.备案

图5 等级保护各工作流程内容及角色分工（来源：深信服）

图6 定级方法流程示意图（来源：绿盟科技）

图7 评审、审核、备案（来源：深信服）

定级对象在哪里备案？一般来说，省级单位将资料交给省公安网安总队，各地级市的单位将定级资料交给各自地级市网安支队，而县级则是先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案。但特殊行业按特定要求执行。具体还可参考图7。

3.建设整改

可按照差距评估，以及方案设计及整改实施来操作，如图8所示。

方案设计及整改实施可根据用户单位的实际情况及等级保护要求，制定相关设备的安全配置策略要求，并合理进行配置；对差距评估中自身安全策略配置不当和版本补丁问题进行处理，对等级保护对象进行安全加固，并形成安全加固报告；针对用户目前缺少的安全管理制度进行补充，形成安全管理制度汇编；最后，根据设计方案内容，完成安全设备的采购及部署。

4.等级测评

等级测评简要介绍如图9所示。

图8 差距评估（来源：深信服）

图9 等级测评（来源：深信服）

等级保护测评环节主要涉及技术层面和管理层面，对于三级以上定级对象要求每年至少开展一次测评，二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案

并进一步进行整改，建议在当年度完成整改，整改要求包括：安全管理制度不完善或缺失问题；漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类等，测评中发现的高风险应立即整改；设备缺失或不足，依据测评要求补齐相应安全设备，如三级系统要求能够对进出网络的数据流实现基于应用协议和应用内容的访问控制，传统的防火墙无法满足，必须使用WAF或下一代防火墙。

5.监督检查

2017年9月，为规范市（地）级公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作，根据《信息安全等级保护管理办法》，制定了《公安机关信息安全等级保护检查工作规范（试行）》。