1.等级保护的行业现状

2.企业等级保护的困惑

3.腾讯等级保护合规咨询服务

4.网络运营者等级保护路线图

讲义

一、等级保护的行业现状

在我们开始之前我们先回顾一下等级保护这块内容。首先我们经常会听到的一个词是等级保护2.0，那所谓的2.0其实是第二代或者是更新版的一个等级保护的标准。那我们其实讲到等级保护，我们从1994年就可以有这么一个关于等级保护的一个启发的一个状态，就是从国务院147号令里面就规定就计算机的话要划分等级。从中办发的27号文就全面的推行关于等级保护这个建设。然后在06、07年的话也在全国范围内也开展了关于等级保护试点工作的一些内容。那我非常有幸在试点工作的时候也参加了等级保护相关的这个项目，然后从等级保护这个1.0到等级保护的2.0一直从事的网络安全这块的工作，十多年来对等级保护也有非常有深刻的体验。然后我本身也是曾经参加过等级保护测评师培训，获得了等级保护测评师的资质，就是也可以说是个人方面，虽然我不是测评公司的人，但是我也是有测评师认证的。

然后我整体的一个工作就是非常多的会涉及到关于等级保护的内容，等级保护我们现在讲2.0的话实际上是以二零一七年就网络安全法这个发布为标志的，一个通俗的说法就是，网络安全法发布之后把等级保护这个地位上升到国家法律层面的一个地位。然后我们又是以那个二零一九年等级保护三大核心标准发布作为等保2.0的一个正式启动的时间点。所以说我们有的人可能是以17年网络安全法发布之后为等保2.0的开始，那有些人可能是以去年十二月份三大核心标准发布为2.0的起点，这大家都有没有一个统一的说法。

然后前几天我们国家又发布了一个关于等级保护定级指南，就更新了以的定级指南。这个指南包括前段时间发布的网络安全法这些都是等级保护2.0的一个逐步分化的过程，这就是整个等级保护的一个核心的一个流程一个发展的生命周期。

然后我们看等级保护2.0的话其实可以从三个关键词可以去解释。等级保护有了新的地位，因为它获得了法律的支撑在中华人民共和国网络宪法里面就明确的规定了要实行等级保护制度。第二点是等级保护2.0又提出了很多新的理念，包括可信、加密、众生、动态这些相关的一些新的理念。同时又扩展了云计算、互联网、工控、移动互联网等等这些大数据这些新的技术。所以说它有新的地位，它有新的理念，它有新的技术，是符合现在发展的一个潮流的。

那我们看网络安全法里面就说第二条就规定了我国网络安全法适用的对象，对象是什么呢？就是在我国国家境内的建设、运营、维护和使用网络相关的人或者网络运营者或者网络的一些使用者、管理者等这个范围之内就适用于网络安全法。同时网络安全法法第二十一条的规定就说国家实行网络安全等级保护制度。同时我们还可以从第七十六条就说从网络安全法里面可以定义五大的概念都可以得到一个全新的定义，包括我们以前讲的网络安全就是，国家的网络安全法规定网络安全现在的英文应该叫做Cyber security，他是一个网络空间、内容安全、信息安全、数据安全一个大范畴的一个网络安全统称为网络安全。同时在这个网络安全法里面有定义了网络运营者数据、网络数据、个人信息等一些关键的核心的一些名词的定义。

那我们可以看新的网络安全法包括新的等级保护2.0的话，他有力的支撑的网络安全法的执行。然后再新的技术领域刚才讲到了有可信的计算、有加密这块的一些扩展；在那个新的场景应用的话我们有云计算、大数据、物联网、移动互联网、工业控制等等这方面的一些拓展；然后在新的威胁应这方面我们二点零是倡导主动、精准、整体、动态这样的一个过程；然后在统一的防范思路里面就是我们以前可能是塔式的，就是说对设备在防御体系现在的话是一个以一个中心、三重防护的一个角度去考虑，后面会详细的展开。

这是关于等级保护基本要求这个国家标准里面讲到的等级保护二点零安全框架。其实如果要去深入的理解等级保护二点零这块的内容的话，这张图我觉得可以详细的去学习和了解，这张图就可以完全就是说把这个等级保护的事情说透。我们可以从这张图的房子型的底座开始看，只不过我们新的等级保护二点零保护对象有了明确的变化，以前可能就是一个信息系统，那现在的话是有网络基础设施，也有信用系统、大数据、互联网、云平台、工控移动、互联智能设备等等，都是可以作为一个定级对象的。

然后二点零的一个核心思想是一个中心三层防御，这个就是比以前的那种组织数据应用这样的发生更加的容易理解、更加容易实现去管理这样的一个层面，然后展开从一个中心三层防护、就假如说从那个远端的发起经过网络带到我们的核心服务器这个计算环境这样就非常好容易去理解。然后再从管理体系、治理体系的这种综合防范的体系去考虑的风险管理、考虑安全的管理、考虑的技术管理以及安全信任体系的建设，包括前面说的可信跟加密这些内容都包含在内。

在往上的话其实是就是在我们日常的安全工作中，一个企业一个单位可以去从不同的角度不同的方面去考虑的一些点，我们有组织的管理、有机构的建设，包括人员的一些匹配的建设，安全的规划、安全监测、预报、处置，然后态势感知、技术检测、安全可控、培训教育以及比如说费用经费的保障等等这些内容去展开。

然后再往上升的话就是一个等级保护的一个流程这样的概念，从定级备案表建设到测评到整改再到一个监督检查再测评的一个生命周期，然后形成的我国的一个网络安全等级保护制度。

然后在旁边我们可以看两个柱子。这两个柱子其实一个是法律法规的政策体系，因为等级保护不光光是我们前面讲到核心的一个标准，它其实是一整套的体系去支持网络安全法，有技术方面的、管理方面的，有各种各样单项如可信、加密、密码这些，每个领域都会有标准去支撑。然后同时的等级保护制度就是像一些流程包括机构、包括产品这些都会去做一个体系的一个完善，所以说最终形成的这个网络安全战略的目标，这是我对等级保护2.0的总体框架的初步的认识。

那简单的我们去看等级保护的话，他分成通用技术与通用管理这两个模块，每个模块里面都有分成五个领域。像这里的讲到的一个通用技术的话就分为物理安全环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等等这些内容，内容里面有不同的细项要求今天我就不详细地展开。

那我们再看通用管理里面，有管理的制度、管理机构、管理人员以及安全建设方面的内容以及安全运维方面的内容，也是五个领域。

我们再次回顾到网络安全法里面就说他有两个层面，网络安全法里面规定的一般的，相当于是参照等级保护制度来做的，就是一般的一个网络环境或者运营网络运营者的话是参照等级保护制度就可以了。那等级保护制度在网上的话有管理、有操作规程、有攻击和入侵防范技术类，也有就是说监测记录这些方面的一些领域，还有就是说对数据核心加密这些应用方面的领域。

这些领域怎么去实现？通过我们的安全产品、安全服务去实现，也通过我们自身的一个企业的安全运营以及委托外包运营这样的模式去实现。那运营里面又可以分成各种各样的一些细分的领域，包括应急预案、风险评估、安全保障等等，这是通用的一般的规定。同时在安全法里面又规定了一个关键自助设施，基于普通更高层面的一个要求。我们可以简单理解为就是等级保护也有一二三四五级，等级保护三级以上其实可以归结为一个关键基础设施。因为如果系统受到破坏的设计层面及危害程度都是会影响到社会层面以及国家层面，所以说把它定义为关键基础设施。

关于关键基础设施网络安全法里面有规定的详细的一个内容，需要每年做哪些事情。这些都是在网络安全法里面规定的。如果企业、组织每就说不开展这样的活动工作，一旦出了网络安全事件的话，这个就是一个违法行为。其实你不做本身就是违法，但只是说没有出现事情的话就没有去追究这样的一个过程。关于每块的内容我这里也不介绍，只是给大家灌输一个概念就是网络安全法里面有两个层面，一个是通用的、一般的，还有一个是关键基础设施的。

然后来看一下我国的网络安全行业的现状，这张图我们可以看左边这张图是一个赛迪去年出的一个报告，就是我们可以看出软硬以及服务这样的一个比例，其实我们可以看假如说 一九年我们可以看我们的硬件的成本=占比是非常非常高的，就占百分之四十五左右；然后软件是百分之三十八；我们的服务只有百分之十五。那相比国外的话服务其实占比高达到百分之五十左右，所以说我们国内关于中国网络安全市场服务和软件这个份额的配比还是有很大的提升空间。那我们同时可以去看我们的网络安全市场的规模，这个规模就像去年我们是将近有六百亿这样的规模，到今年肯定是就是随着等宝二点零推进，包括网络安全审查办法的一些推进，然后关键技术设施保护的一些标准规范的制定发布之后，这个整个安全市场的会得到很大的一个膨胀或井喷式的发展，所以这里有一个很好的发展趋势。

那我们看等级保护这块内容的话，今天看了一下关于等级保护这个测评机构，我们可以看截止到五月九号，全国等级保护测评机构推荐有一百九十八家。这一百九十八家分布在每个省，每个省可能有不同的数量的测评机构。从这个机构我们可以大概的评估一下，如果一家测评机构一年有一千不到两千万这样的规模的话，这个测评这个市场份额其实也是一个不小的数字。可能占比包括咨询、服务、测评这类的话在整个网上市场份额里面可能会达到百分之十到甚至百分之二十这样的规模。

二、企业等级保护的困惑

讲完等级保护这个行业的现状之后，我们可以看现在企业里面会碰到哪些关于等级保护的一些问题。因为我是一直从事在做等级保护或者做安全服务项目的前线，就是说跟用户接触比较多，所以说能够感受到用户提出一些困惑的问题，所以说我这里罗列了 十个那个困惑的问题跟大家去分享。

第一个困惑是网络安全法对于企业的挑战是什么。其实这个挑战如果不是很深入的去了解网络安全法以及等级保护的话，大家就可能没有很深刻的概念。其实我们这里可以提到一下三个方面，一个是责任的分担，就是如何去界定这个安全责任就是第一步要做的事情。因为网络安全法就规定了网络运营者有相应的责任，这个责任是是不能转嫁的，也不能那个别人去帮你抗，主体的责任永远是这个主体的，你不可能去把这个服务或者叫别人来做的话，其实这个安全责任还是有这个主体来承担。如果你没有去做网络等级保护的话，不出事情还好，出了事情的话等于说你没有尽这个相应的责任，所以说要追究法律责任的。

然后等级保护的安全体系这块内容其实等保二点零包括基本要求、设置要求、测评要求里面有详细的关于如何去建设运营这个信息系统的内容，所以说这块也是有很好的一个参照可以指导我们的日常的工作。

然后第三的话是法律义务，其实无论除了个人以及家庭以外，就是网络以外的话其实都是属于网络安全法的管辖范围之内，只要你不是为个人使用或者家庭使用的网络，这个企业公司这些网络其实都是需要去做等级保护的工作的。如果说没有做的话就要承担相应的法律责任。

然后我们可以看的就从去年国资委就提出了中央企业负责人经营考核办法进行调整，调整的核心重点就是把网络安全事件的考核跟原先的就生产安全责任事故作为一个并列的同等重要的事项去考核我们的央企的一个负责人。所以说以后只要出现网络安全事件的话，同等于出现生产安全事件一样，就是要做到相应的考核方面的一些约束。这是央企负责人经营考核办法透露出来一些信息点。

同时我们经常可以在网上可以看到“不做担保或者拒不整改都是违法行为”的事件，我们经常可以从网上或者公众号多媒体的平台上可以获取到企业没有去做相应的承保的工作，法律意识淡薄，然后系统遭到破坏之后产生了不良的影响，这是需要去责令整改的。如果你责令整改期间不做相应的控制措施去改善的话，这个是需要负更加严重的法律责任，这是一个网络监察里面规定的内容。所以说我们经常可以看到某某公司或者某某组织没有履行网络安全保护义务而受到处罚，这个处罚有金钱方面的也有行政方面的。同时不光光是技术人员或者信息中心或者是网络网管人员的一个责任，其实是一个企业组织这个法人的责任，这是一个非常严肃的问题。

那第二个困惑的话经常会有人问就是二点零跟一点零的差别在哪里，那这里我们有一张图可以形象地说明。差别就是从原先的分类做了一些调整，特别是技术方面从原先的物理、网络、主机、应用、数据备份、数据安全这种角度考虑变成了一个中心三层防护，就是安全管理中心、计算环境、安全区域、安全通信以及物理环境这样的角度去考虑了。同时我们可以从左边的那个一点零版本的控制点可以看到就是原先的控制点可能是比现在的二点零控制点多，但不代表就是说二点零的那个基本要求的控制内容就是比原先的少。因为二点零除了这个控制点还会有个扩展要求，就扩展的云计算、物联网、工业控制、大数据等等这些内容，作为一个附件或者作为一个标准化的内容。就后面还有作为扩展去强调了更加适应于就是说目前的技术的发展或者业务场景的发展，所以说这是一个很明显的区别。然后还有个区别就是名字的区别，就是以前叫做信息系统安全等级保护，二点零的话就改成了网络安全等级保护。

第三个困惑就是云上的业务系统怎么过等保。现在大量的企业都把业务系统都搬到云上了，然后就会产生大量问题，我们经常可以问到就是说我需要买什么安全产品能过等保、过等保要花多少钱、我现在可能什么都还没做还来得及吗？然后有些还有些人的话就是认为就是安全责任是云平台的，就是我只要上了云，特别是云也过了等保，就觉得我这个是不需要再去做那个等级保护的。这个就是像目前经常会有 不同的人会有不同的这样的一个问题，那其实我们作为云服务商的话就可以提供这样一个等保的一个知识的传递，就是我们可以不断的把正确的等保知识的理念就是传输到给我们的云支付，然后我们也可以提供相应的一个网上的一个解决方案能够提供我们包括云自身的包括我们那个云生态里面的一些相应的产品以及服务的内容。

然后云支付其实需要去更加了解网络安全法，也是保护的基本要求，然后结合他自身的业务去考虑他的投入产出比，就是我需要买怎样的服务、买什么样的一个防御措施，以及采用新的技术特别是我们云里面的一些服务、新的技术，努力去保障、提升利用云本身自带的原生的安全能力去达到我们新的基于云业务的一些安全保障能力。

还有些问题就是说经常有人问，我这个业务上云了我还要不要等保。其实我们可以看就说我们公有云的话是通过了等级保护二点零的那个三级的要求，然后我们腾讯云的那个金融专区它是通过了四级的要求。所以说在腾讯云或者腾讯云的金融专区部署相应的业务系统的话，他是满足了通用部分的关于做等保就有部分，但是不代表就说自身那个业务系统就不需要做担保测评，这是两个事情。所以说在云上的业务系统，除了云服务商本身需要过等保以外，业务系统这个主体它也是需要过等保的。

那过等保其实它有很多的流程，从定级、备案、建设、整改、测评、监督这些过程。同时在整个过程又会有大量的不同的角色去参与，有公安网监的，有测评机构的，还有些像提供服务、提供产品的咨询机构，还有云服务商、客户。所以说不同的人有不同的角色，在不同的阶段做不同的事情，在这里就是列举了每个人在不同的等保测评工作的过程中需要做哪些事情。

然后还有一点就是责任的划分，这个也经常会有人去问到。我上了云之后很多东西分不清楚，有这个资产到底是属于云服务商的还是属于我自己的，是硬件形式还是软件形式。就是说这些其实很明确的是在等级保护基本要求这个附录D里面，就是在关于云计算应用场景里面说的很清楚，就是IaaS模式、PaaS模式、SaaS模式，云租户以及云服务商每个人需要承担的责任或者他们需要共同承担的责任，这个是大家可以去参照我们的那个等级保护的基本要求里面的内容。我们就拿IaaS模式来说，就是云服务商他只负责硬件与虚拟化保护层的一个安全的工作。我是提供这样的一个环境给到云支付，那云支付他自建的一些应用系统数据中间件以及虚拟机这种保护，它是需要有自身去实现是承担这个责任的，那同时其实我们云服务商也提供了很好的解决方案以及产品去提供这样的能力给到云支付，去共同承担这样的一个责任。

第四个困惑是经常有人会问测评跟认证分不清，经常有用户被一些服务公司或者购买产品生产公司误导就是他买这个产品或买这个服务是为了过等保认证。这里其实可以澄清一下，等级保护不是认证过程，它最后是没有给你发一个通过什么什么认证这样的说法。它其实是一个备案测评制的一个过程，最后拿到的这个备案证明只是证明你已经开展了相应的工作，然后达到了什么级别或什么过程，而且是一个周期的过程是需要有长期的去做的。

那我们看二级跟三级新的标准，针对二级的话需要有备案表、需要电子报告、也要有专家评审意见。这是相对于1.0有很大区别的，一点零的话没有明确需要一定要有专家评审意见。除了这个以外，三级是在二级基础上需要有提供更多的一些材料内容给网监之后才能拿到备案证明，包括你使用的一些产品的销售许可证、合同，包括我这个对业务系统的建设过程中的方案以及管理制度、拓扑图以及最终的一个检测测评的报告，这些都是需要提供给网监部门的。那整个过程的话从定级到确定定级是否合理，然后进行专家评审或者主管部门的审核，到最后的一个公安相关机关就是对资料的一些审核，然后最后是发备案证明。

第五个困惑是说怎么去定义、去确定我这个业务系统属于哪个级。这个在四月二十八号就发布了一个新的关于等保2.0的定级指南，这是一个有非常大的意义。因为作为一个指导，二点零原来很多都沿用公安的航标的定级指南或者是沿用以前那个定级指南。所以说目前就做了一个统一就是变成一个新的二点零的顶级指南，那这里有很明显的变化就是，针对于公民法人或者其他组织这些权益受到破坏特别严重的时候，原先可能会定为三级，那现在是确定为大家都调整为二级。

然后再看右边流程里面就增加了一个专家评审环节，无论你是二级还是三级都必须要有专家评审而不是就是说自主定级然后就确定那个相应的等级，就需要有专家来最终确定这个等级是否合理。其实就是定高或定低都是有一个综合考虑的因素的。那这两个因素可以从中间那个图里面去看就是一个业务系统的一个安全性以及完数据的保密性、完整性这个角度去考虑，然后再从他的可用性去考虑，这两个因素去考虑。就是从每个层面去考虑它是属于哪个等级，然后最终汇总为两个因素里面较高的等级，就高不就低这样的模式去最终确定等级。所以说我们去看这个定级指南的话就看这一张表、两张图就是可以去了解我们是怎么去定级的，怎么去确定我们系统是合理的。

然后第六个困惑也是经常会有我们的客户问等保里面有没有一票否决项。那这个是有的，因为等保的结论他是需要有优良中差，相对于以前一点零它只有符合、基本符合那个不符合的结论，今年新的标准化会有优良中差这四个等级，而且及格分数从以前的六十分调整为七十分，然后每十分一档往上。但其实它还有个附加措施，如果你这是分数是及格的但是你从存在一个高危风险，它就是不合格，就是个差。如果是你存在中危风险，你是得不了优这个等级的。就是分数或者结论这两块如果都要高的话，必须消除高危风险跟中规风险，而且相应的一些公司措施都要做的比较完善才能得到高的一个等级高的分数。那么哪些是高危项呢？大家可以看一下这张图，里面很清晰的列了出来。

等保2.0里面还有个困惑大家也经常会问，就是密评。商用密码评估这个内容，因为二点零里面就明确规定了三级以上的系统的话是需要去做一个密码方面的一个评测，但是我们的标跟我们实际应用往往还是有差距的，一个标准可能是有点超前，包括我们的可信计算、包括我们的加密这些在等保二点零标准里面是明确有要求，但是我们现实的一些情况应用系统或者系统目前可能还是没有办法很好地完成。但是我们腾讯云的话已经考虑了云上的一个数据安全中台这样的理念，就是通过 API或者SDK这样的简单的模式整合到我们的产品或者是给到我们云上业务系统应用开发过程中一个调度，来实现我们的软硬件的一个数据加密这样的一个服务，或者是我们的密钥管理或者是我们的凭证管理这些内容，以及我们的数据云数据安全代理网关等等，这些我们都为大家考虑到，只要调用我们的云服务的能力 就可以达到等级保护要求里面关于密码合格的内容。

然后第八个困惑因为做等保它往往是做合规嘛，然后碰到最多是他组织原先可能是一个物理的服务器，我怎么做都在自身的机房里面摸得到看得到的，但是云主机的话它就不一样，它在云上面如果如何去满足这个相应的合规要求，那等保里面又有非常复杂的关于计算环境的一些控制点的一些基本要求。但是我们腾讯为大家考虑了，就只要采用我们的一个符合等保的合规那个镜像去部署我们的操作系统包括我们用的话，他是否能够符合这个合规要求的，而且这个镜像是免费的。我们现在提供三种的操作系统的一个镜像,然后这个镜像相关的一个基本的配置都是经过权威机构相关的一个测评指导，然后我们结合腾讯云那个百万那个服务器规模的合规应用。所以说在云上做业务系统等保的话尽量是采用我们已经符合等保合规的一些镜像，这样能够减少我们工作中的一些整改，包括一些风险的发生。

第九个困惑是由传统的网络安全概念引起的。以前的网络大家都会有一个边界或者可信不可信这样的概念，但是你上了云之后它就是没有边界。但是现在大家也慢慢的会接受等保2.0里面他也是要求有一个中心多重防护，也有不同的区域防护，云上的话目前也有这样的一个云边界防火墙。以前就是技术还是可以实现的，我们可以通过SL、安全组、VPC这样的访问控制能够达到一些区域的访问。但是目前有了新的等保要求之后，我们也就配套开发了相应的一个云边界防火墙。那我们通过云原生、云内置的一些边界防火墙可以实现区域边界防护以及微信流量日志等等各方面的一些内容，这个大家如果云上的业务做等保的话大家可以考虑采用这个产品的内容。

那我们这个云防火墙对内可以做到进出、对外进出以及VPC之间的一个访问控制流量的控制，同时我们也结合我们云上的一些情报防病毒、漏洞可形成一个就是说虚拟补丁的防护这样的能力，然后又可以把整个日志什么的就是都进行一个分析，有统一的运营中心来进行支撑。

讲到云运营中心的话，传统网络我们需要花很大的代价去建设一个体系，但是我们现在有了云环境的话，我们云服务商已经帮大家已经建设完了一个运营平台。大家只要是调用这个服务能力就可以了，而且成本非常非常低，就是以几块钱这样的费用就可以实现可前传统网络里面需要花几十万甚至上百万这样的运营中心的效果。那这个运营中心又可以把我们云平台里面的一些资产的一些合规的情况、流量，包括我们的用户的行为以及就是我们在整个安全防御的事前事中事后整个流程里面都可以提供很大的一个辅助支撑，而且也可以把我们的态势、评分都可以展现出来。所以说这是非常有利的能够给我们做运营支撑的工具，同时也是符合担保二点零就是说一个中心这样的理念的强大工具。

三、腾讯等级保护合规咨询服务

第三块内容就是我们腾讯等保的合规咨询服务。这块服务我简单讲，我们现在腾讯提供的一个专家安全方面的服务主要的作用有三块。其实我们可以对比一下就是说我们自身人去看病或者去医院一样，就是我们平常要做体检，那我们专家服务也可以给你的网络、给业务系统做一个体检的工作，做到一个知己知彼的过程。就是我哪里还有不足，哪里还要加强或者哪里做的比较好。然后同时我们也可以专家给你一个建议，指导我们的企业去就是加强我们安全方面的建设。然后第三点的话就是对症下药，我们出了安全事件以后这边就可以提供专项的溯源和相应的应急响应，这就是完全可以对应起来我们日常的一些评估，然后可以做些免疫的提高以及应急响应的这样的过程。

然后我们的服务目录我把它分为两类，一个是家常菜，第二个是私房菜。家常菜其实是我们在整个市场里面普通的服务公司，除了互联网公司以外，传统的保险公司它都能提供类似的服务，而且我们云那个互联网公司提供的服务也是相应的内容都是一样的。就是我们会更加关注我们顶层的一些关于云方面的一些就是体系规划设计这方面的内容或者是行业解决方案里面的内容。

那我们私房菜的话就是我们腾讯有特色的包括我们车辆、物联网、工控，包括一些硬件、区块链这样的安全。这块内容的话我们也是以专家服务的方式来提供，跟等保没有关系，我们是一个专项领域里面的一个服务能力。

那我们这个安全服务团队主要优势就是我们自身这个服务团队里面的人员是有保证的，有持有相关的一个资质证书的，而且是经过实践、考验的，有着十几年甚至二十多年的从业经验的。我们腾讯的品牌本身就是有长期对抗黑产的丰富经验，我们整个云平台和通讯软件有这样的能力去做这个对抗，然后我们又有大量数据的一个风险联动可以作为一个情报来支撑。

同时我们做服务也是有相应的一个服务资质的，那我们服务团队的话有风险评估资质，有应急响应资质以及安全运维这方面的资质。除了这个之外我们服务人员都是持证上岗的，基本上都是有十五年以上的网络安全从业经验，而且持有国家信息安全从业资格认证或者是有测评师认证或者有相关的等保培训结业证书这样的人员来提供相应的服务。然后我们这些专家又参与到我们腾讯自身的包括工业云、金融云 或者政务云，以及我们应用软件应用宝 、QQ业务里面等保测评的工作。所以说我们是有实践经验也有相应的资质认证，同时我们也参与了大型的项目，包括亿元以上的项目基本上每个人会参与十个以上，千万的项目的话就更多了，基本上我们的项目都是以千万级来做的。所以说我们的项目经验、实践经验以及资质、能力的非常丰富的。

四、等级保护合规建设路线图（方法论）

最后一块就是等级保护建设路线图，那我们也用了就采用了康比特体系的理念思路来指导。就是把里面的标准化的和基本的基线要求参照承保的要求，但是方法论就采用这个体系的方法论。从最初的动因，我为什么要做等保，或者等保是内用还是外用，或者为了解决风险等等这些内容去考虑。

有了这个分析之后我们怎么去做这个解决方案，解决方案我大概分几步去走，解决方案咨询完之后效果也没达到，按照这样的一个闭环去做。那我们可以看到第一步是找一个差距，然后找完差距的话我们要定个目标。那差距的话我们就是以等级保护基本要求控制项做就可以了，然后针对每个领域的内容我们输出一个差距分析结果，每个结果需要去做的一些改进工作我们可以定出目标，每个目标也有不同的方向、不同的阶段，就可以做一个路线图，就是我大概在什么时间做什么样事情，然后以项目的方式落地，以项目做完之后的话我怎么去去那个验证有没有达到效果。以这样一个方法论拿来作为我们等级保护合规建设的一个路线图。然后我们可以用到企业里面、事业单位里面关于安全方面的建设，不光是等保，我们其他的一些安全标准或者行业标准建设都可以采用这样的方式去做。那我们腾讯专家服务也可以辅导我们的客户去做这样的一个咨询、这样的培训以及帮着用户一起来做最佳的实践的方案、落地以及我们一些专项能力的建设。