文章详细阐述了网络安全等级保护的概念、不同级别的区别,如“等保2.0”、“分保”与“关保”的差异。它强调等级保护是强制性的,并介绍了测评周期、频率、费用和整改情况。同时,文章指出,系统定级应适中,不做测评并不意味着不受监管,而测评结果不达标意味着需要加强安全防护。等级保护工作包括定级、备案、测评等多个环节,是持续改进网络安全的过程。
问题一:等级保护概念
答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和
存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息
安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
问题二:等级保护2.0又是什么
答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展
工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12
月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性
标志。
问题三:“等保”与“分保”的区别
答:等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
- 监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。
- 适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
- 等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保
- 护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密
- 级。
问题四:“等保”与“关保”的区别
答:“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。
问题五:等级保护测评概念
答:指等级保护专门的测评机构(必须由公安部指定并颁发测评机构证书的)依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
问题六:等级保护是否是强制性的
答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必需按网络安全法开展等级保护工作。
问题七:做等级保护需要多少费用
答:开展等级保护工作会包含:针对业务系统开展测评的费用,以及按等级保护要求开发、购买或部署安全防护产品成本,开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期,以及业务系统安全防护能力建设与整改的情况而定,相应的费用投入会差距很大。为避免盲目投入这个误区,建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。
问题八:等级保护测评的测评周期
答:一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周。
问题九:等级保护测评开展频率
答:《信息安全等级保护管理办法》公通字[2007]43号,具体相关要求:第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应向当地设区的市级以上公安机关备案。
问题十:是否系统定级越低越好
答:不是。可根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。
问题十一:定级备案了是否就被监管了
答:没有定级备案并不代表不需被监管,应尽快履行网络运营者的安全责任进行备案。定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警,有利于网络运营者开展网络安全工作降低风险。
问题十二:等级保护工作是不是就做个测评
答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。
问题十三:等级保护测评费用
答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。如某省的参考报价为:二级系统测评费5万,三级系统测评费9万。
问题十四:等保测评后是不是就要花很多经费做整改
答:不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。
问题十五:等级保护测评可以包过吗
答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作与测评机构的选择。
问题十六:做了等级测评之后,会有合格证书吗
答:测评后无合格证书。等级保护采用备案与测评机制而非认证机制,公安机关只对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全等级保护备案证明,合格后测评机构会出具测评报告,但不是证书。发现不符合有关标准的,通知备案单位予以纠正,发现定级不准的,通知备案单位重新审核确定。
问题十七:等保2.0测评结果
答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论
评价分为优、良、中、差四个等级。
1、优:被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综
合得分90分以上,包含90分;
2、良:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得
分80分以上,包含80分;
3、中:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得
分70分以上,包含 70分;
4、差:被测对象中存在安全问题,而且会导致达测对象面临高等级安全风险,或被测对象综
合得分低于70分。
问题十八:多久能拿到备案证明
答:全国各省网警管理有所差异,一般提交备案流程后,如资料完备(三级系统要求含
测评报告),顺利通过审核后15个工作日即可拿到备案证明。
问题十九:不同公司的业务系统整合后是否可以算一个系统
答:如果两个业务系统整合后功能高度融合,后台统一,可以认为是一个系统,只是业
务功能增加,按业务系统更变申请复测即可。
问题二十:等级保护备案所在地选择
答:建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警(公共信息网络安全监察局)备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与
测评。
问题二十一:如何选择测评机构
答:选择有测评资质的测评公司,优先考虑本地测评公司。可参照中国网络安全等级保护网(http://djbhnet)的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。
问题二十二:如何确定业务系统等级
答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。当确定系统级别后,可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。
问题二十三:采购哪些安全设备才能过等保
答:可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询专业的安全咨询服务机构定制解决方案。
问题二十四:什么时候做等保,现在开始晚吗
答:不晚。可先根据定级备案要求和流程,先向公安递交定级备案文件,测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。
问题二十五:业务系统在云上,就不用做等保了吧
答:要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。
问题二十六:做完等级保护测评后整改周期
答:无明确规定。可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。
问题二十七:等级保护有哪些规范标准
答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
· GB/T 31167-2014 信息安全技术 云计算服务安全指南
· GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
· GB/T 36326-2018 信息技术 云计算云服务运营通用要求
· GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
· GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
· GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
· GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
· GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南
· GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
· GM/T 0054-2018 信息系统密码应用基本要求
· GB/T 35273-2020 信息安全技术 个人信息安全规范
问题二十八:等级保护工作流程
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。
问题二十九:业务系统在内/专网,就不用做等保了吧
答:需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。
问题三十:等级保护测评不达标是不是原有的工作白做了
答:不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
问题三十一:怎么证明开展了等级保护工作
答:备案证明或测评报告,即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。
扫一扫
2377
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
