Image
全國統一服務熱線
0351-4073466

等保2.0丨問題集


編輯:2021-06-11 09:39:56

Q1.什麼是等級保護?

答(dá):等級保護是指對國家(jiā)重要信息、法人和其他(術拿tā)組織及公民的專有信息以及公開(kāi)信息和存儲、傳輸、處理這但校些信息的信息系統分等級實行安全保護,對信息系統中使用姐還的信息安全産品實行按等級管理,對信息系統空就中發生的信息安全事件分等級響應、處置。

Q2. 什麼是等級保護2.0?

答(dá):“等級保護2.0”或“等保2.0”是一個約定俗黃校成的說(shuō)法,指按新的等級保護标準規範開(kāi)展工喝窗(gōng)作的統稱。通(tōng)常認為(wèi)是《中華人民共和歌紅國網絡安全法》頒布實行後提出,以2019年12月1日,網絡安全等級保護基東那本要求、測評要求和設計技術要求更新發布新版本為很時(wèi)象征性标志。

Q3. “等保”與“分保”有什麼區别?

答(dá):指等級保護與分級保護,主要不(bù)同在監管部門、适用對美但象、分類等級等方面。

監管部門不(bù)一樣,等級保護由公安部門監管,分級保護由國家(jiā)保密局技快監管。

适用對象不(bù)一樣,等級保護适用非涉密系統,分級在喝保護适用于涉及國家(jiā)密秘系統。

等級分類不(bù)同,等級保護分5個級别:一級(自主保護)、二級(指導保護劇中)、三級(監督保護)、四級(強制保護)、五級(專控身還保護);分級保護分3個級别:秘密級、機密級、絕密級。

Q4.等保”與“關保”有什麼區别?

答(dá):指等級保護與關鍵信息基礎設施保護,“關保”是在網絡安全等級保護制線民度的基礎上,實行重點保護。《中華人民共和國網絡安全法》第三章第二節個可規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的範圍、保護讀人的主要内容等。目前《信息安全技術關鍵信息冷跳基礎設施網絡安全保護基本要求》正在報批中,相關試點工(gōn村店g)作已啟動。

Q5.什麼是等級保護測評?

答(dá):指測評機構依據國家(jiā)信息安全等級能子保護制度規定,按照有關管理規範和技術标準,對非涉及國家(jiā道商)秘密網絡安全等級保護狀況進行檢測評估的活動。

Q6.等級保護是否是強制性的,可以不(bù)做嗎?

答(dá):《中華人民共和國網絡安全法》第二十一條規定網絡運對小營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時(s舞分hí)第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。

等級保護相關标準雖然為(wèi)非強制性的推薦标準,但網絡(她笑個人與家(jiā)庭網絡除外)運營者必須按網絡安全法開(kā子我i)展等級保護工(gōng)作。

Q7.做等級保護要多少錢?

答(dá):開(kāi)展等級保護工(g光討ōng)作會(huì)包含:針對業務系統開(kāi)那女展測評的費用,以及按等級保護要求開(kāi)發、購買或部署安全防護産筆光品成本,開(kāi)展安全日常運維等人力成本。總體投入的費用與網絡運營者對等電志級保護測評結果分數的預期,以及業務系統安全防護能力對書建設與整改的情況而定,相應的費用投入會(放匠huì)差距很大(dà)。為(wèi)避免盲目投入這個誤區,建議咨我工詢專業安全服務咨詢機構制訂性價比的解決方案來滿足合規要求又自學達到業務系統安全保障要求。

Q8.等級保護測評一般多長(cháng)時(shí)間能測完?

答(dá):一個二級或三級的系統整體持續周期1-2個月。現場測評周期一線紅般1周左右,具體時(shí)間還要根據信息系統數量及雜要信息系統的規模,以及測評方與被測評方的配合情況等有遠作所增減。小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時老知(shí)間1周。

Q9.等級保護測評多久做一次?

答(dá):《信息安全等級保護管理辦法》公通(tōng)字[2007]4電頻3号中,關于系統測評時(shí)間有明确規定,二級信息系統未明确測評時(s什關hí)間,三級信息系統明确規定每年測評一次,四級信息系統每半年測評間不一次,第五級信息系統應當依據特殊安全需求進行自花時查。

Q10.是否系統定級越低(dī)越好(hǎo)?

答(dá):不(bù)是。可根據實際業務系統的情況參照定級标準路好進行定級,采用“定級過低(dī)不(bù)允業得許、定級過高不(bù)可取”的原則。當出現網絡安全事件進行追責的時門我(shí)候,如(rú)因系統定級過低(dī),需承擔系動湖統定級不(bù)合理、安全責任沒有履行到位的風險。

Q11.定級備案了是否就被監管了?

答(dá):沒有定級備案并不(bù)代表不(bù)需被監管,應盡快履行網秒去絡運營者的安全責任進行備案。定級備案後監管部門會(huì)在重要時(s她學hí)候開(kāi)展安全檢查或發布一些針對性的安全預警答資,有利于網絡運營者開(kāi)展網絡安全工(高器gōng)作降低(dī)風險。

Q12.等級保護工(gōng)作就是做個測評問媽嗎?

答(dá):等級保護工(gōng)作包括定級、備案、測評、建設整改、老去監督審查,測評隻是其中一項。測評不(bù)是等保工(gōn年雜g)作的結束,重要的是通(tōng)過測評查漏補缺,不(b答能ù)斷改進提升安全防護能力,降低(dī)安全風險。

Q13.等級保護測評做一次要多少錢?

答(dá):等級保護工(gōng)作屬于屬地化管理,測評收費非全坐紙國統一價,測評費用每個省都有一個參考報價标準。因業務系統規模大(d白男à)小及是否涉及擴展功能測試不(bù)同總體測評費用也有所差異。

如(rú)某省的參考報價為(wèi):二級系統測評費5萬關場,三級系統測評費9萬。

Q14.等保測評後就要花(huā)很多錢做整改嗎?

答(dá):不(bù)一定。

整改工(gōng)作可根據網絡運營者對測評結果分數的期望和現有安全門開防護措施的實際效果是否能保障業務抵抗風險的需求按需開話兵(kāi)展。整改内容也有很多不(bù)同方向,除安全設備或服外黃務外,安全管理制度、安全策略調整的整改成本并不(bù)高,同樣也能快速提議音升安全保障能力。

Q15.過等保要花(huā)多少錢?能包過嗎?

答(dá):等級保護采用備案與測評機制而非認證機制,不器廠(bù)存在包過的說(shuō)法,盲目采納服務商包過的産品與服務套餐往往多司不(bù)是**性價比的方案。網絡運營者可結合鐵子自身實際安全需求與等保測評預期得(de)分業女,咨詢專業的第三方安全咨詢服務機構來開(kāi)展等建設微風工(gōng)作與測評機構的選擇。

Q16.做了等級測評之後,是否發合格證書?

答(dá):測評後無合格證書。等級保護采用備案與測評機制而非認證機相鐘制,公安機關隻對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信城女息系統安全等級保護備案證明,發現不(bù)符鄉木合有關标準的,通(tōng)知備案單位予以糾正,發坐從現定級不(bù)準的,通(tōng)知備案單位錯美重新審核确定。

Q17.如(rú)何快速理解等保2.0測評結果?

答(dá):等級保護2.0測評結果包括得(de)分與結論評自費價;得(de)分為(wèi)百分制,及格線習章為(wèi)70分;結論評價分為(wèi)優、良如木、中、差四個等級。得(de)分90分(含)以上為(wèi)優笑我,80分(含)以上為(wèi)良,70分(含)以上為(wèi體能)中,70分以下為(wèi)差。

Q18.多長(cháng)時(shí)間能拿(能從ná)到備案證明?

答(dá):全國各省網警管理有所差異,一般提交備案流程後,如(rú)資(zī請報)料完備(三級系統要求含測評報告),順利通(tōng)過審核後15個工(金數gōng)作日即可拿(ná)到備案證明。訊師

Q19:如(rú)何确定業務系統屬于等保幾級?

答(dá):可參照等級保護定級指南,從業務系統可讀安全和系統服務安全兩個方面評價當業務系統被破壞時(shí)對客體工歌的影響程度,取兩個方面較高的等級。

當确定系統級别後,可開(kāi)展專家(jiā)評審對系統定級器一合理性進行審核。如(rú)有行業主管部門制訂的定級依據,可直接參照采納行森頻業定級标準定級。

Q20:業務系統在雲上,安全是雲平台負責的吧?

答(dá):根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 2223兵愛9-2019)附錄D,雲服務商根據提供的IaaS、PaaS、暗中SaaS模式承擔不(bù)同的平台安全責任。業務系統上雲空土後,雲租戶與雲平台服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。

Q21:等級保護有哪些規範标準?

答(dá):等級保護涉及面廣,相關的安全白朋标準、規範、指南還有很多正在編制或修訂中。常用的規範标準包括但不(bù)限紙照于如(rú)下幾個:

·       GB/T 上冷31167-2014 信息安全技術 雲計算服務安全指南

·       GB/T 3116秒技8-2014 信息安全技術 雲計算服務安全能力要求

·       GB/中個T 36326-2018 信息技術 雲計算雲服務運營通(tō木爸ng)用要求

·       GB/T 2505火時8-2010 信息安全技術 信息系統安全開生等級保護實施指南

·       GB/T 2坐理5070-2019信息安全技術 網絡安全等級保護安全設計技術要求

·       GB/T 2海白8448-2019信息安全技術 網絡安全等級嗎遠保護測評要求

·       購們;GB/T 22239-2019 信息安全技術 網絡安路站全等級保護基本要求

·       GB/T 2224鐘女0-2008信息安全技術 信息系統安全等級保護定級指南

·       GB/T 369和身58-2018 信息安全技術 網絡安全等級不月保護安全管理中心技術要求

·       GM子器/T 0054-2018 信息系統密碼應用基本要求

·       GB/T 3527見離3-2020 信息安全技術 個人信息安全規範

Q22:等級保護步驟或流程是什麼樣的?

答(dá):根據信息系統等級保護相關标準,等級保護工(gōng)作總共窗報分五個階段,分别為(wèi):信息系統定級、是信息系統備案拿會、是系統安全建設、是信息系統開(kāi)始等級測評、主管單位定期開(k一現āi)展監督檢查。

Q23:有哪些情況系統定級無需專家(jiā)評審?

答(dá):信息系統運營使用單位有上級主管部跳綠門,且對信息系統的安全保護等級有定級指導意見或審核批準的,可無需在進行術是等級專家(jiā)評審。主管部門一般指行業的上級主管謝兒部門或監管部門。如(rú)果是跨地域聯網運營使用的信息街哥系統,則必須由上級主管部門審批,确保同類系統或分支系統在各地域分别定級的一生坐緻性。

Q24:業務系統在内/專網,還需要做等保嗎?

答(dá):需要。内網與專網的非涉密系統都屬于等級保護範疇,雖然内/大動專網相對于互聯網,業務系統的用戶比較明确或可控,但内網不(bù)代表安畫車全。

Q25:等級保護測評結論不(bù)符合是不(bù)是等級保護工(gōng)作知愛就白做了?

答(dá):不(bù)是。等級保護測評結論不場舞(bù)符合表示目前該信息系統存在高危風險或整體安全性較差,不(bù)符合人嗎等保的相應标準要求。但是這并不(bù)代表等級保護工(gōng)舞內作白做了,即使你拿(ná)着不(bù)符合的測評報告,主管單位也是睡們承認你們(men)單位今年的等級保護工(gōng)作已山自經開(kāi)展過了,隻是目前的問題較多,沒達到相應的标準。

Q26:拿(ná)什麼證明開(kāi)展過等一雜級保護工(gōng)作?

答(dá):備案證明或測評報告,即加蓋測評機構公章或測評專劇呢用章的測評報告以及有主管部門公章的系統備案證明或系統定級算黃備案資(zī)料。

Q27:系統在雲上,還要做等保嗎?

答(dá):要做。業務上雲有多種情況,如(rú)在公有動讀雲、私有雲、專有雲等不(bù)同屬性的雲上,并采用視森IaaS、PaaS、SaaS、IDC托管等低也不(bù)同服務,雖然安全責任邊界發生了變化,但網絡運營者的安全責任不(少市bù)會(huì)轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責關老”的原則,應承擔網絡安全責任進行等級保護工(gōng)作。

Q28:業務在雲上,到哪裡進行定級備案?

答(dá):可在業務系統運維團隊或其公司主體經營注冊地那少向公安網警進行備案,與業務系統在雲上的資(zī)源物理節點的地點無笑輛關。


Image
Image
版權所有:山西科(kē)信源信息科(kē)技有限公司  
咨詢熱線:0351-4073466 
地址:(北區)山西省太原市迎澤區新建南路文源巷24号文源公務中心5層
           (南區)太原市小店區南中環街(jiē)529 水紅号清控創新基地A座4層
Image
©2021 山西科(kē)信源信息科(kē)技有限公司 晉ICP備150這從00945号 技術支持 - 資(zī)海科(kē上和)技集團