0.为什么现在开始考虑这个问题？

等级保护定位逐渐清晰，作为监管机构管理企业网络安全的合规审计工具，未来会结合相关法规发挥更大作用。如《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》《网络数据安全管理条例（征求意见稿）》中均明确，需在等级保护制度基础上开展相关领域安全工作；《个人信息保护法》则规定国家网信部门组织对应用程序等个人信息情况进行测评，具有一定关联。

等级保护也已经纳入各类业务合规认证机制。开展新的业务类型通常需要在相关行业监管机构进行备案，流程一般都需要提供系统等级保护备案证明，甚至要求提供测评报告。普通APP自不必说，其他民生类服务，如教育部发布《教育移动互联网应用程序备案管理办法》、人力资源社会保障部办公厅发布《电子劳动合同订立指引》均明确要求相关信息系统需等级保护备案制。

基于上述背景，等级保护已属于普适度较高的安全合规管理类工作，且等级保护测评的市场机制已经比较成熟。对于已将等保工作流程化的成熟IT企业，已经进入等级保护在内部落地的关卡，因此通过本文初步探讨，欢迎留言交流。

1.怎么定义落地？

笔者胡乱猜测，目前等保工作在企业内部运作过程，可能只是测评机构安排了定级备案测评一条龙，测评得分不拔尖也不丢人，业务有需求就转发一下备案证明和报告。和信息安全团队自身工作与业务需求关联不紧密。

而理想情况的落地，也就是需要做到“安全三同步”，意即：

• 同步规划：分析评估业务安全需求，声明安全要求，并由安全团队确认；
• 同步建设：基于需求设计体系结构，并进行详细安全设计，安全团队参与验收；
• 同步使用：遵循不同等级的系统安全运维与变更管理标准要求，参照执行。

然而，通常等保工作由安全工程师兼任，若达成上述效果明显缺乏技术较全面的安全人才（和预算），所以，评估等保落地的核心矛盾在于：虽然等级保护水平以系统为评估单元，但在企业内部的实施角色是多职能、跨部门的，因此等保建设工作的衡量尺度并不是从0到1，也不是从1到10，而是需要自己先深刻了解内部不同等级的系统安全能力、建设能力水位，并辨别差异。

如果和笔者一样，得从半截开始，建议可以学习监管工作思路，建立企业等保系统报备的管理流程。先从建立制度切入，将在项目管理体系中，融入系统等级保护备案制，先将系统立项、等保报备、开发与上线、监督检查的工作责任固化，各岗位及职能均在自身工作基础上，新增等级保护职能，接受度更友好。当然，等级保护安全整改也更容易界定了，对于安全工程师技能要求最后讨论。

2.各类岗位新增哪些等保工作？

那么，说到各职能工作，就涉及到等级保护技术标准中各条款与岗位对应关系。因为各行业、岗位职能均存在差异，还是需要自己凭借工作经验去绘制模型，几百字说不完。笔者用脑图简单展示企业内部岗位，除了本职工作以外的的等级保护工作关键点供参考。

3.如何衔接其他合规审计工作？

除了上述已确定的业务合规准入，拿最近的网络安全法规热点聊聊与等保的衔接方式。

个人信息保护方面，虽然不涉及偏向业务的知情-同意的合规设计，但是如果系统已被识别为存储、使用个人信息，系统存储加密机制、系统之间的传输加密机制必然会安全测评，倒推业务整改。

关键信息基础设施方面，普通企业可能不涉及，猜测对于省市级关基单位，可能参考三级等级保护检查项进行抽查，并发文整改。

数据安全方面审查依据主要是《网络安全审查办法》和尚未出台的数据安全审计制度，虽然近期主要聚焦于跨境审查，但近期网信办发布《网络数据安全管理条例（征求意见稿）》已经明确数据处理系统、数据传输网络、数据存储环境等安全防护安全机制需参考等级保护要求，同时《条例》第七章中规定网信部门、公安机关负责数据安全监管职责，与等级保护制度监管格局一致，猜测工作机制会有重叠。

诸如SOX、SOC等IT内控审计，鉴于方法论整体偏向业务流程内部控制，工作机制主要为提供证明材料，虽然近年也不乏安全咨询类服务，但整体对技术安全风险评估支撑能力不足。如果等级保护涵盖数据安全评估，IT审计对等级保护测评可能会产生依赖。

4.等保工作流程将会有哪些变化？

上文分析了企业内部工作机制的变化，对于企业与监管机构之间的等级保护工作流程，猜测也会一些调整。

首先是备案内容细化，目前等级保护以企业为单位在网安进行备案登记，大概率不会再新增填报用系统，而是复用等保备案系统，以等保系统维度去统计、标记相关信息。

至于测评机制，恰巧在笔者撰文期间，国家等保办宣布撤销网络安全等级测评机构推荐证书，意味着市场化经营。这对企业来说当然是利好，对于想认真落地等级保护工作的企业来说，一个优秀的测评师至关重要，而优质人才无需锁在头部测评机构，只要个人价值凸显，企业选择测评机构时不需要考虑准入要求。

近期供应链安全已成为热点，等级保护测评中本身就对企业采用的软件产品和厂商进行了登记，如果对软件供应链进行安全评估，肯定能作为第一笔资料。让我们拭目以待。

5.胜任这份工作需要哪些技能？

要做这件事，肯定要对各个技术领域安全知识达到“了解”程度，不能像个远古人加入商务精英群聊，起码人家聊到的技术名词能知道功能和作用。这点只能安全工程师自己攻破。只聊软实力。

首先，把上面这些工作，区分出不同层级、职能的沟通对象，说清楚如果要落地，哪些事必须做，哪些事需要做，哪些事可以做。为了把这件事能够达成一致，需要一些谈判技巧，一些沟通技巧。

然后，涉及到具体等级保护工作检查时，需要一点审计技巧，一点安全咨询技巧。

事儿干了，还得汇报。汇报也分三个对象，要对安全负责人讲清楚等级保护维度的安全水位，把等级保护当做跨部门协作的桥梁和合规工具，争取资源；对业务管理者，要有能力讲出合规价值，符合业务规划利益诉求。对监管机构的汇报，要以对方角度去考虑问题，保持敬畏之心，能够让监管机构对企业安全的“戒心”与“放心”取得平衡，不糊弄了事。

关于企业落地等级保护，笔者只是蜻蜓点水的闲聊，期待未来有更多大佬开始考虑这个方向，共促安全生态建设。