等保2.0相关国家标准于2019年12月1日开始实施，标志着我国网络安全等级保护工作进入一个崭新的阶段，对于加强我国网络安全保障工作，提升网络安全保护能力具有十分重要的意义。很多行业主管单位要求行业客户开展等级保护工作，合理地规避风险。建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。那么，等保2.0的工作流程是如何的？要如何进行？对此有疑问的大家赶快来了解一下吧。

流程1、系统定级

确认定级对象，参考《定级指南》等初步确认等级，根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的安全保护等级分为以下五级：

第一级为自主保护级，适用于一般的信息和信息系统

等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统

等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统

等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统

等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统

等级保护对象受到破坏后，会对国家安全造成特别严重损害。

定级范围：

包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议。拟定级为二级及二级以上的对象，其运营者应当组织专家评审；有行业主管部门的，应当在专家评审后报请主管部门审核。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

流程2、系统备案

除去定级以外，备案也是网络安全等级保护工作的初始环节之一，不同级别的备案要求和申请材料不同，定级备案单位将定级备案相关材料、专家评审意见等材料提交至公安机关进行审核，审核通过后发放定级对象备案号。

流程3、整改建设

网络运营者根据网络的安全保护等级，按照国家标准开展安全建设整改。信息系统如果不经过安全整改和安全建设，无法通过等保机构测评。

整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。

流程4、等级测评

结合国家信息安全等级保护标准和安全要求，对单位的各类网站、应用系统进行安全现状评估和风险分析，全面了解目前信息系统的安全策略、配置、技术、管理、运维、安全产品使用情况等安全现状情况和安全风险分析、脆弱性分析，为信息安全防护体系建设提供关键依据。

检测信息系统是否达到该等级的保护基本要求，这要委托第三方机构来进行测评，通过测评找出不安全因素。现场测评人员会采用访谈、检查、测试和系统测评等方式对系统的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理10个方面，对系统进行综合测评。另外，物联网企业等级测评需要寻找合适的测评机构来进行测评，测评机构至少需要具备《信息安全等级测评推荐证书》。

现场测评完结之后，现场测评人员会出具一份在测评过程中不符合等级保护要求的问题清单，并现场与对接人员和技术人员对出现的问题进行确认，如客户无整改意愿，测评单位会在14个工作日内出具等级保护测评报告。有整改意愿，测评单位会在客户整改以后进行复测如符合要求，出具等级保护测评报告，不符合要求，客户重新整改。

流程5、监督与检查

企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。