独家研究 | 信息安全等级保护工作五步走 85家平台通过三级等保测评

企业信息系统支撑企业业务发展，提升信息系统安全性能已经成为提升企业核心竞争力的重要手段。近年来，公安部及相关部门号召在全国范围内开展信息安全等级保护工作，并先后发布了不同工作阶段相关的指导意见。P2P网贷行业作为互金行业重要业态之一，在信息系统安全保护工作中取得了一定成绩，但存在一些P2P网贷平台混淆了备案和测评，将通过公安部信息安全保护备案错误描述为通过了安全等级认证，对外披露项侧重展示备案成功而忽视了测评结果。

实际上，信息系统安全等级共划分为五个等级，其中第三级信息系统损害将可能危害国家安全。目前通过三级等保测评的P2P网贷平台并不多。

信息安全等级保护已被P2P网贷行业监管层写进P2P网贷监管实施细则里，即《网络借贷信息中介机构业务活动管理暂行办法》第十八条指出，网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。

按照国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999规定，计算机信息系统实行五级保护。即从保护能力上划分为五级，以第一级为基础逐级增强。各等级信息系统的保护能力及被破坏后的侵害程度如下表所示：

目前，非银机构最高保护级为第三级，P2P网贷行业通过备案、测评的信息系统一般也是三级。

第一，确定等级。信息系统安全等级，由系统运用、使用单位根据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的，应当经主管部门审批。对于拟确定为四级及以上信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。

第二，系统备案。运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的，应当重新定级、重新备案。对于重新定级的，公安机关一般会建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。

第三，开展等级测评。信息系统建设完成后，运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评，四级及以上信息系统至少每半年进行一次等级测评，五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告，并出具测评结果通知书，明示信息系统安全等级及测评结果。

第四，系统建设整改。对于未达到安全等级保护要求的，运营、使用单位应当进行整改。整改完成应当将整改报告报公安机关备案。

第五，信息安全监管部门定期开展监督检查。受理备案的公安机会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。

信息安全等级保护工作流程具体如图所示：

因为公安部备案审核的内容较为简单，包括（一）备案材料完整性、纸质材料及电子文档一致性；（二）定级是否准。审核内容不涉及系统运行测试，所以P2P网贷平台取得备案相对容易。而从上述流程可以看出，信息系统经过公安机关备案后，还要经过国家或省级等级保护工作协调（领导）小组推荐的测评机构测评，对于测试不通过的平台，测评机构将出具整改建议，平台整改后申请复测，最后由测评机构出具测评报告并打分。以天涯金服控股平台天涯好收益为例，其信息系统由前台系统和后台管理系统两个子系统组成。其中，前台系统通过PC、微信公众号、APP提供投资服务，后台管理系统包括财务管理、系统设置、数据保全等功能模块。2017年6月，天涯好收益委托中科信息安全共性技术国家工程研究中心有限公司对两套系统进行了信息系统安全等级测评。天涯好收益根据测评结果进行了差距分析，并对系统进行整改建设后申请了复测。通过单元测评、结果汇总分析、整体测评、总体安全状况分析，最终天涯好收益获得公安部国家信息安全等级保护的三级认证。