等保测评2.0标准于2019年12月1日正式实施,不少行业相关人员存在疑问,下面就经常碰到的问题做一些整理答复,希望对大家有所帮助
为什么要做等保,一定要做吗?为什么要做等保,一定要做吗?
答:等级保护并不是所有单位全部系统都要做,要先开展定级工作,对应相关的要求和规范,一般二级及以上才会强制要求,一级是不做强制要求的,具体请参考https://blog.csdn.net/jojo705/article/details/104166953,下面就为什么要做等保做简要回答:等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。《中华人民共和国网络安全法》已于2017年6月1日正式实施。
按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发文《信息安全等级保护管理办法》(公通字【2007】43号)第十四条要求:“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。”
需要说明的是,近年二级系统各级主管部门和监管部门也对通过等级保护测评做了相应要求,虽然部分行业还没有公开的文件,但建议有条件做测评的单位两年开展一次检测。一方面从安全的角度考虑避免被作为跳板攻击,补足单位网络安全的短板,一方面也是履行网络安全保护责任和义务的有利证据,避免发生网络安全事件时加重处罚。
等保测评一般费用多少?等保测评一般费用多少?
答:测评的费用不是按照一个单位来计算,而是按照贵单位有多少个系统来计算,具体要做多少个系统,需要根据贵单位的实际情况由专业人士来确定。不同等级的测评费用不一样。费用每个省市具体要求不一样,通常每个省市都有自己的收费体系,二级和三级系统的测评费用相对都是固定的,如有些地方要求:二级系统不低于6万元;三级系统不低于9万元。当然有的系统由于比较复杂,涉及资产类型和数量比较多,测评机构根据工作量适度增加费用也是合情合理的。
我要做等保测评去哪里找测评机构?我要做等保测评去哪里找测评机构?
答:测评机构一定要找公安部授权的正规第三方机构来完成,否则测评机构不会得到认可,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,2018年测评机构管理办法中明确,测评机构业务开展不受地域和行业限制,但是还是建议大家选择实力强、规模大、质量可靠的测评机构,避免因为个别机构偷工减料,导致无法发现网络安全问题,最终让客户单位受到本可以避免的损失。国家也在逐年加大对测评机构的考核和检查,不合格的轻则停业整改,重则取消测评资质。仅2018年全国被通报的机构多达20多家,还有部分机构被摘牌。合肥天帷是公安部授权的权威测评机构。
等保测评工作一般要多长时间才能完成?等保测评工作一般要多长时间才能完成?
答:等保测评一般分为现场测评-安全整改-出具报告-结项四个环节。现场测评周期一般要投入6-8个人天左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间2-3周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。有的省份已经明确发文要求自签订合同之日起6个月内必须出具测评报告。
等保测评一般多长时间做一次?等保测评一般多长时间做一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评。
等保测评整改要花多少钱?等保测评整改要花多少钱?
答:整改具体花费和整改的内容有很大关系,安全整改也不一定要额外花钱,如只是进行一些流程上的规范,管理上的改进基本上不需要怎么花钱。如果在硬件和软件上都需要全面升级整改的话,那开支可能会大一些,花费的周期也会比较长一些。安全整改优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改也是一个持续性的工作。
等保测评如果问题较大,不合格是不是就白做了?等保测评如果问题较大,不合格是不是就白做了?
答:等级保护测评结论不符合,只是表明目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。不合格要抓紧时间进行整改,避免下次检查依然不合格就可能会面临追责的问题。
等保测评结束后有什么材料能证明我们做过了?等保测评结束后有什么材料能证明我们做过了?
答:书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章,测评报告在结项的时候都会由专业测评机构来提供。这些都可以作为证明依据。
等保测评有没有什么规范性文件,会不会被测评机构坑?等保测评有没有什么规范性文件,会不会被测评机构坑?
答:等级保护测评是严格按照国家规定来进行的,国家有严格的标准,测评机构不可能自创标准来坑客户,相关标准有:
—— GB/T 25070-2019 网络安全等级保护安全设计技术要求;
—— GB/T 22239-2019 网络安全等级保护基本要求;
—— GB/T 25058-2018 网络安全等级保护实施指南;
—— GB/T 28448-2019 网络安全等级保护测评要求等。
等保测评单位同事不配合怎么办?等保测评单位同事不配合怎么办?
答:等保测评是国家法律的强制要求,自《网络安全法》实施以来也加大了督查力度,各级主管领导也对网络安全有了较高的认识,在实际工作开展中,个别单位会觉得按照标准来会比较麻烦,甚至认为增加了工作量,其实只需要参加单位组织的网络安全相关培训、了解相关内容,并且再配合一些软件、硬件的升级工作并不会受到什么影响。关键是规范起来后,我们的网络安全得到了保障,降低了意外事件发生的风险,很多企业或者单位就是因为一次意外或者偶然而退出历史的舞台。建议相关工作的负责人,不仅要争取领导的行政支持,出台相关的要求,如按照国家要求成立网络安全领导小组,小组组长由单位负责人担任,还可以邀请测评机构的专业人士,进行相关培训。
我要做等保测评但单位领导不同意怎么办?我要做等保测评但单位领导不同意怎么办?
答:《网络安全法》第六章中对没有履行相关义务责任的单位和个人都有着较为严厉的行政和经济处罚,因为网络安全不仅仅是一个个人和一个单位的事情,历来一些大的网络安全事件,都是先从薄弱环节攻击,逐步获取有效信息,进而进攻核心系统,导致大量信息泄露、官网被篡改发布不当言论、数据库被勒索病毒加密等网络安全事件,给单位的经济和声誉造成巨大损失和伤害。一方面申请立项审批,走流程;一方面和主管领导沟通等保测评的重要性,同时还要配合网安大队工作。
通过等保测评就一定安全吗?通过等保测评就一定安全吗?
答:首先等保测评有四个评价结果“优、良、中、差”,不同结果代表着不同的网络安全水平,相对来讲评价结果级别越高越安全。同时还要注意的是,等保测评毕竟只是一个合规性检测,也就是网络安全的底线,通过测评并且取得较好的结果,至少可以抵御70%-80%的网络攻击。但是我们还要尽可能提升自己团队的技术水平,毕竟测评一年才做一次,而恶意代码等的发展可不会一年只变种一次。没有绝对的安全,要变被动防御为主动防御,变单点防御为纵深防御,具备能发现未知攻击的能力。尤其是部分重点单位,面临的是敌对国家、敌对势力等大规模黑客组织的攻击,需要更加重视。
想通过等保测评需要上哪些设备?想通过等保测评需要上哪些设备?
答:等保测评通用标准涉及到管理和技术两个板块,共10个领域,甚至还会有云计算、物联网、移动互联网、工控、大数据等扩展标准。设备只是其中的一部分,如一定要讲一下上哪些设备,那需要明确的是主机和网络设备的冗余比较重要,安全设备二级系统至少要有防火墙、杀毒软件、入侵检测等,三级系统在此基础上至少要新增审计系统和堡垒机等。
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
