十等保测评30个热门问题

发布日期:2024-06-03 浏览次数:195

为了让有过保需求的客户能够更全面地了解等保测评机制,并针对性地进行等保合规建设,梳理了等级保护常见的30个问题,以供参考。

Q1:什么是等级保护?

答:等保备案即网络安全等级保护,是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。

Q2:什么是等级保护2.0?

答:“等级保护2.0”或“等保2.0”是一个网安行业约定俗成的说法,指按《中华人民共和国网络安全法》的提出的等级保护标准规范开展工作的统称。以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。

Q3:等保2.0什么时候正式实施的?

答:2019年12月1日正式实施。

Q4:什么是等级保护测评?

答:是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。它主要对信息系统安全等级保护状况进行测试评估,包括安全管理测评和安全技术测评两个方面。

等级保护测评的意义在于确保信息安全,通过系统化、标准化的评估流程,帮助机构全面了解自身信息系统的安全状况,从而采取相应的措施来降低风险。同时,通过测评,机构还能更好地了解自身信息系统的弱点和薄弱环节,有针对性地改进管理措施,提升信息安全管理水平。

等级保护测评的等级划分通常包括优秀、良好、中等和差四个级别,具体评分标准和划分方法可能因国家或行业标准而有所不同。一般来说,等保测评的流程包括提交申请、资料审核、资格审查、面试评估、等级确定以及周期复审等步骤。

Q5:等级保护是否是强制性的,可以不做吗?

答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护工作是保障我国网络安全的基本动作,目前各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。

Q6:做等级保护要多少费用?

答:等级保护的费用并没有国家统一的收费标准,只有行业内的市场指导价。费用因多种因素而异,包括信息系统的数量、等级、规模,以及所在地区的市场行情等。

一般来说,等级保护的费用包括测评费用和其他相关费用。测评费用根据信息系统的等级和规模而定,例如二级系统的测评费用可能在3万至6万元之间,三级系统的测评费用可能在6万至10万元之间,四级和五级系统的测评费用则更高。线上线下也不同,此外,测评费用还可能因地区和行业而有所差异。

除了测评费用外,等级保护还需要考虑其他相关费用,如服务器、安全产品、网络产品、相关制度、安全人员等。

具体费用因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较大。建议咨询等保业务服务机构。

Q7:等级保护测评一般多长时间能测完?

答:一个二级或三级的系统整体持续周期1-2个月。

目前各地根据各自省份或城市的情况,还存在单独规定测评实施周期的情况,一般是签订测评合同之日起3-6个月必须出具测评报告。

Q8:等级保护测评多久做一次?

答:根据《信息安全等级保护管理办法》公通字200743号十四条:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。

Q9:是否系统定级越低越好?

答:不是。应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。

Q10:定级备案了是否就被监管了?

答:没有定级备案并不代表不会被监管。千万别抱有这类侥幸心里,在网络安全日益严峻的情况下,企业和单位所属地区网安部门会联合辖区所属安全专家进行辖区内安全情况调查和宣传。定级备案仅仅是测评的第一步,定级备案后监管部门会及时发布针对性的安全预警,并根据情况实地指导网络安全工作,有利于网络运营者提升网络安全风险的应对能力,保障单位的声誉,减少经济损失。

Q11:等级保护工作就是做个测评吗?

答:等级保护工作有五个步骤,包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是项目结束而是开始,对项目网络安全的标准认可和提升,不断改进提升安全防护能力,降低安全风险。

Q12:等保测评后需要花费很多钱做整改吗?

答:不一定。看企业整体要求。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。

Q13:过等保需要多少费用?能包过吗?

答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法。建议咨询等保服务结构,采用等保一站式服务,提升等保过关能力,以免造成其他影响。

Q14:做了等级测评之后,是否会给发合格证书?

答:测评后无合格证书。等级保护采用备案与测评机制而非认证机制,在属地网安备案后可获得《信息系统安全等级保护备案证明》,测评工作完成后会收到具有法律效率的“测评报告(至少要加盖测评机构公章和测评专用章),测评证书有测评时间没有测评合格有效期。

Q15:如何快速理解等保2.0测评结果?

答:在等保测评中,结论分为优、良、中、差四个级别,其中系统综合得分90分以上被评为优;80分以上(包含80分)被评为良;70分以上(包括70分)评为中;若存在较大问题测评低于70分被评为差。因此,等保测评的合格分数线为70分。请注意,这只是一个基本的合格标准,具体要求可能会因不同行业、不同机构或不同地区而有所差异。

Q16:多长时间能拿到备案证明?

答:等保备案证明的颁发时间通常在提交完备资料并顺利通过审核后的10个工作日内。这个时间可能会因地区、机构或具体情况而有所不同。

具体来说,等保备案是指已运营或新建的第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。公安机关在收到备案材料后,会在10个工作日内进行审查,对符合等级保护要求的,会颁发信息系统安全等级保护备案证明;如果不符合,会通知备案单位进行纠正或重新审核确定。

Q17:不同公司的业务系统整合后是否可以算一个系统?

答:不同公司作为两个独立承担法律的主体单位,必须明确唯一的备案主体,不能算一个系统。同一单位的业务系统,如确实经过改造,入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。

Q18:如何选择等级保护备案所在地?

答:《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为,出现网络安全事件后,第一责任单位是谁,谁就是备案主体。要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下,在单位所在地属地(县级及以上)网安进行定级备案。如运维所在地和注册地不一致,一般以运维所在地备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。

Q19:如何选择测评机构开展测评?

答:查询权威机构中国网络安全等级保护网(http://djbh.net)的《全国网络安全等级保护测评机构推荐目录》进行咨询,也需要注意网站公布的测评机构预警风险提醒。

Q20:如何确定业务系统属于等保几级?

答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。

当确定系统级别后,应开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。

Q21:买/用哪些安全产品能过等保?

答:根据测评等级和企业需求不同,建议咨询专业的安全咨询服务机构定制解决方案。

Q22:业务系统在云上,云平台过了等保还需要做吗?

答:需要,根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。

Q23:做完等级保护测评后整改周期是多久?

答:无明确要求,单位配合和整改复杂程度是影响整改的主要因素

Q24:等级保护有哪些规范标准?

  • 答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。私信作者获取所有等保法规文件。

Q25:等级保护步骤或流程是什么样的?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、安全建设/整改、等级测评、主管/监管单位定期开展监督检查。

Q26:业务系统在内/专网,还需要做等保吗?

答:需要。

Q27:等级保护测评结论不符合是不是等级保护工作就白做了?

答:不是。等级保护测评结论为“差”,表示目前该信息系统存在高危风险或整体安全性较差,没有达到相应标准要求,需要抓紧整改,整改完成进行复测即可,复测合格即可通过。

Q28:拿什么证明开展过等级保护工作?

答:一般情况是备案证明和测评报告,测评报告应加盖测评机构公章和测评专用章。

Q29.等保的测评内容有哪些?

答:三级和二级有所不同通用要求包含:技术要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心);管理要求(安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理);云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

Q30.哪些企业和单位应该开展等保工作?

答:根据 GB/T 22239-2019的相关规定:

划重点:

(1)中国境内运营的企业;

(2)政府、事业单位、对外提供服务的企业;

(3)除信息系统外,还包括:基础网络、云平台、大数据、物联网、工控系统和移动互联,也就是说,基本涵盖了企业的对外提供服务的业务系统和产品。



如果您有什么问题,欢迎咨询技术员:18122022417