网络安全等级保护十问十答

1.什么是等级保护？

等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理， 对信息系统中发生的信息安全事件分等级响应、处置。

2.为什么需要等级保护？

首先《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度“”。
其次，做好等级保护工作可以实现：
1.满足国家法律法规和制度的要求；
2.降低信息安全风险，提高安全防护能力；
3.合理地规避或免责，降低风险；
4.履行网络信息安全责任义务。

3.目标客户是？

政府单位：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行、证券、保险公司等；
医疗行业：医院、疫病控制中心、计划生育机构、医疗卫生研究机构等；
教育行业：高校、职校、普教等；
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；
能源行业：电力集团公司、石油集团公司、冶金冶炼公司等；
企业单位：大中型企业、央企、上市公司等；

4.等保工作步骤包括什么？

1.定级

确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。

2.备案

持定级报告和备案表等材料到公安机关网安部门进行备案。

3.安全建设

以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。

4.等保测评

委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。

5.监督检查

向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。

5.等保测评结论有几种结果？

优： 被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90 分以上（含 90 分）；
良： 被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80 分
以上（含 80 分）；
中： 被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分 70 分
以上（含 70 分）；
差： 被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于 70 分（此结论为不合格）。

6.等保如何定级？

7. 定级对象在哪备案？

省、市、县的各级公安网安部门。

8. 等级保护都测评什么？

技术层面： 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
管理层面： 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

9. 等级保护测评周期有多久？

二级信息系统建议每两年开展一次测评；三级以上定级对象要求每年至少开展一次测评。

10.测评整改要求和时间限制？

等保经测评未达到安全要求的，须根据测评报告在本年度完成整改；
整改要求包括：
1、安全管理制度不完善或缺失问题；
2、漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类等，测评中发现的高风险应立即整改；
3、设备缺失或存在问题，依据测评要求补齐相应安全设备。
后续监督检查工作：
等级保护工作要求监管单位定期开展监督检查，等保三级定级对象每年都要开展等级保护测评工作。

该文章为引用，暂无原文链接，如有群权，立即删除。