哈尔滨等保测评答疑分享

Q25：现在还没做等保还来得及吗？有什么影响？

答：来得及。种一棵树，最好的时间是十年前，其次是现在。可先根据定级备案要求和流程，先向公安递交定级备案文件，测评与整改预算提上日程，在经费未落实前，可以先进行系统定级、差距分析、整改计划制订等工作。

Q26：业务系统在云上，安全是云平台负责的吧？

答：根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担网络安全保护责任。

Q27：做完等级保护测评后整改周期是多久？

答：虽无明确规定，但测评报告一般是整改达标后才出具，除非可以接受结论为“差”的报告或不在乎分数。另外，等保工作本身就是为了提升网络安全防护水平，尤其是测评中发现的高风险建议立刻克服困难，抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招，导致单位承受了巨大的经济和声誉损失。

Q28：等级保护有哪些规范标准？

答：等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个：

GB 17859-1999 计算机信息系统安全保护划分准则

GB/T 31167-2014 信息安全技术 云计算服务安全指南

GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

GB/T 36326-2018 信息技术 云计算云服务运营通用要求

GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南

GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求

GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求

GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

GB/T 22240-2020 信息安全技术 网络安全安全等级保护定级指南

GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求

GM/T 0054-2018 信息系统密码应用基本要求

GB/T 35273-2020 信息安全技术 个人信息安全规范

Q29：等级保护步骤或流程是什么样的？

答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：系统定级、系统备案、安全建设/整改、等级测评、主管/监管单位定期开展监督检查。

Q30：有哪些情况系统定级无需专家评审？

答：信息系统运营使用单位有上级主管部门，且对信息系统的安全保护等级有定级指导意见或审核批准的，可无需在进行等级专家评审。

主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。

具体要求建议咨询属地网安

Q31：业务系统在内/专网，还需要做等保吗？

答：需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

Q32：等级保护测评结论不符合是不是等级保护工作就白做了？

答：不是。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。

Q33：拿什么证明开展过等级保护工作？

答：一般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专用章。

Q34：系统在云上，还要做等保吗？

答：要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。

是否要通过测评这个需根据系统的重要程度，依据国家标准和相关部门要求来确定。

Q35.等保的测评内容有哪些？

答：通用要求包含：技术要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心）；管理要求（安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理）；云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

Q36.《等保》和《网络安全法》什么关系？

答：等级保护工作是国家网络安全的基础性工作，是《网络安全法》要求我们履行的一项安全责任。《网络安全法》是网络安全领域的基本法，从国家层面对等级保护工作的法律认可，网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。

Q37.哪些企业和单位应该开展等保工作？

答：根据 GB/T 22239-2019的相关规定：

划重点：

（1）中国境内运营的

（2）政府、事业单位、对外提供服务的企业

（3）除信息系统外，还包括：基础网络、云平台、大数据、物联网、工控系统和移动互联

也就是说，基本涵盖了企业的对外提供服务的业务系统和产品。

Q38.购买了符合等保要求的安全设备就能有效抵御网络风险？

答：设备只是工具，是否能抵御风险，还有看怎么用！不少单位花钱买了安全设备，但缺乏技术人员支持，或者安全意识淡薄，安全产品不仅起不到安全作用，反而会影响业务连续性。

Q39：做完等级测评就没有安全问题了？

答：很多人认为，完成等保测评就万事大吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但是，安全是一个动态而非静止的过程，不是通过一次测评，就可以一劳永逸的。

企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评工作开展，以“一个中心、三重防护”好“三化六防”等为指导，不断提升网络攻防能力。

Q40：等保2.0什么时候算正式实施？

2019年12月1日正式实施。等保2.0依然在整个实施流程上由五个标准环节构成：定级、备案、建设整改、等级测评、监督检查五个方面。