腾讯集团等级保护合规体系建设与解决方案实践分析

腾讯一直将把等级保护作为网络安全的基线认真对待。

公司在等级保护合 规体系建设工作上大概可以分为三个阶段：合规运营、体系完善和生态赋能。 合规运营（2015 年至今）是通过开展等级保护备案、测评等工作，保障公 司的业务和系统持续满足《网络安全法》和相关法律法规、标准中等级保护的 要求；体系完善（2016 年至今）是基于等级保护要求和攻防实际，在公司内 部建立等级保护工作体系，不断加强和提升自身的安全体系建设；生态赋能 （2017 年至今）是通过腾讯云把公司的等级保护安全经验和能力向生态和外 界输出。

十几年前，公司就成立了集团层面的安全管理组织。聚焦于等级保护工作， 从 2017 年起，公司制定了自上而下的等保工作体系，设立了“等级保护工作 组”，由集团安全部门和各 BG 的相关团队一起组建，超过百人的规模，统筹 推进对等级保护的法律、制度、标准跟踪，以及公司内的等级保护工作。 合规运营：从 2015 年起，公司逐步将全部核心业务纳入等级保护工作范 围，并按要求备案、每年进行等级测评，保障公司业务基础安全合规，守护腾 讯超过十亿用户的网络安全。体系完善：在公司等保制度方面，“等级保护工 作组”在公司内发布了《腾讯集团网络安全等级保护工作实施指南》，用于指 导和规范公司各团队开展等保工作。在公司内等保政策、标准宣贯和意识培训 方面，“等级保护工作组”组织了多场次的等级保护专题课程和培训（每年更 新，介绍最新的等保要求和工作进展），并邀请外部专家为各相关业务团队和 104 安全团队答疑解惑。在标准和试点应用方面，公司是多个等保 2.0 系列标准的 参研单位，并积极参与了相关试点应用和专项工作；如 2016 年参与了等保 2.0 云扩展标准的测评应用；在落地实施方面，“等级保护工作组”本着基于等级 保护并高于等级保护的目标，将等级保护相关法律、标准，与 ISO 27001、个 人信息保护、数据安全等国内外安全要求融合打通，联合 BG 侧的安全团队， 在公司内推进了多项安全专项工作，不断提升和完善等级保护安全管理和体系 能力。生态赋能介绍见后续章节。

随着云计算技术和安全技术的不断演变，以及行业监管要求的日趋复杂， 安全合规性已然成为云服务提供商面临的一大挑战。腾讯云致力于建立高效的 安全内控体系，基于国内等级保护要求，并紧随不同行业、领域、国家的合规 要求，从制度流程及控制活动等方面完善自身的合规基础。 腾讯云服务范围遍布全球,为保障云服务的安全性,需要满足国内外不同的 合规要求,并识别各种安全威胁。腾讯云主动、积极的对国内外合规要求进行响 应，并主动对各种安全威胁进行识别，确保腾讯云安全合规。 为了应对外部合规要求与威胁，腾讯云识别并采用了先进的国际和行业安 全标准。整合国际和行业安全标准的要求，结合腾讯云业务实际情况，建立起 一套融合的云安全合规体系，并建立了体系持续改进的机制，同时，将腾讯云 安全合规体系落实到腾讯云产品的规划、开发设计、运维保障及服务支撑等整 个产品生命周期的安全管控中。腾讯云安全合规体系以云安全管理章程与云安 全管理手册为指引，从基础建设安全管理、互通性及可移植性、虚拟化平台管理、身份认证管理等方面制定相应的合规标准，并细化到安全、发现与弹性三 大方面的具体安全合规控制要求，通过内控监视与测量程序进行纵向管理，确 保整个腾讯云安全内控体系的有效与高速运行。

落实网络安全等级保护制度是网络的所有者、管理者和网络服务提供者的 责任与义务。通常情况，无论是在建或已运行的系统，完成一次等级保护测评 的全流程需要 2-3 个月时间，有的需要半年甚至超过 1 年的也不在少数。以 北京为例，等级保护备案阶段：申请与受理 4 个工作日、审查与决定 8 个工作 日、制证与发证 10 个工作日。等级保护测评与整改阶段更是需要花费大量时 间，一般需要 1-2 个月。 腾讯安全产业安全运营部安全专家咨询中心将腾讯公司自有重要信息系 统的等级保护的经验和腾讯安全产品与解决方案结合，形成了一套可覆盖等级 106 保护建设与测评全生命周期的标准化服务产品，并通过对外输出等级保护最佳 实践经验来赋能企事业单位等级保护建设。 如需获取腾讯安全专家咨询中心提供的等级保护咨询服务，可访问腾讯云 官网安全专家服务页面。

腾讯安全专家从众多项目中总结了快速完成等级保护测评全流程的五大 关键要素，即优选测评机构、系统合理定级、准备工作充分、及时跟进流程、 关键路径并进。

优选测评机构： 选择测评机构时应尽量选取企业所在地的测评机构，综合考虑其公司资质 与技术能力，如测评公司具有的资质、各等级测评师人员数量、在市场中的口 碑、被测评企业所属行业的测评案例等。同时明确提出本次测评的工期要求与 项目预算，并采取邀请招标或公开招标的方式选择最优的测评机构。 107 系统合理定级： 系统定级是等级保护测评的第一步，无论是在建系统或已建系统，合理定 级是关键，应参照“定级过低不允许、定级过高不可取”的原则来定级。如同 为等级保护第三级可细分为 S1A3、S2A3、S3A1、S3A2、S3A3 几种类型， 与之相对应的等级保护测评控制项就相差不少，将直接影响系统设计、建设、 运维的方方面面。 定级完成后需由安全专家与业务专家共同对定级报告中涉及的系统业务 描述、业务网络拓扑、业务受影响的风险分析进行专家评审并形成书面专家评 审意见。最后定级报告与专家评审意见需上传到公安网警的等级保护备案系统 中。

准备工作充分： “磨刀不误砍柴功”，做好大量的准备工作是快速完成等保测评的先决条 件。从业务系统的全生命周期角度来看，需要具备项目立项、需求说明、实施 方案、验收标准、人员组织、管理制度等过程环节资料。 特别是网络安全方面，需要有网络安全的设计方案、建设实施方案、安全 策略及安全检测规范、安全运营管理制度及安全建设运营过程文档（如漏洞扫 描报告、渗透测试报告、代码审计报告、应急预案与演练记录、人员培训记录 等）。 针对规模大或重要性要求高的业务系统其建设设计方案、安全保障方案需 要聘请外部专家进行专家评审并形成书面专家评审意见。 及时跟进流程： 以广东为例，企业在公共信息网络安全综合管理系统填报前应授权一位负 108 责人，并由其跟进后续备案资料收集与文档扫描、系统填写与资料上传，同时 关注审核反馈信息及时提交补充资料和修订资料。及时关注审核结果、获取备 案证明及线下提交测评报告。此过程中，遇到问题应及时反馈给上级领导，并协调资源推进等级保护备 案流程。

关键路径并进： 加快项目进度一般可采取加班与并行赶工的方式，但前提是需要一名优秀 的项目经理来分解项目实施步骤，识别并规划关键实施路径，把控管理项目实 施过程风险。等级保护测评过程主要可并行的环节有商务洽谈与技术实施、系 统建设与安全检测、系统测评与整改复测。

等级保护测评是等级保护建设的重要环节，但等级保护不只是等级保护 测评，它是一项长期的系统工程，等级保护建设应伴随着业务信息系统全生命 周期来为业务保障护航。 腾讯总结了自身等级保护建设的经验与教训形成了如下表所示包含 7 个 步实施步骤的建设方法论，并通过腾讯安全专家服务对外输出。