Image
全國(guo)統一服(fu)務(wu)熱線(xian)
0351-4073466

等保2.0丨問題集

編輯:2021-06-11 09:39:56

Q1.什么是等級(ji)保護?

答(da):等(deng)級保(bao)護(hu)是指對國家重要(yao)信(xin)(xin)息(xi)(xi)、法人和其(qi)他組(zu)織及公民的(de)專有信(xin)(xin)息(xi)(xi)以及公開信(xin)(xin)息(xi)(xi)和存(cun)儲、傳(chuan)輸、處理(li)這(zhe)些信(xin)(xin)息(xi)(xi)的(de)信(xin)(xin)息(xi)(xi)系統(tong)分等(deng)級實行(xing)安(an)全保(bao)護(hu),對信(xin)(xin)息(xi)(xi)系統(tong)中(zhong)使(shi)用的(de)信(xin)(xin)息(xi)(xi)安(an)全產品實行(xing)按等(deng)級管理(li),對信(xin)(xin)息(xi)(xi)系統(tong)中(zhong)發生的(de)信(xin)(xin)息(xi)(xi)安(an)全事件(jian)分等(deng)級響應、處置。

Q2. 什么是(shi)等級保護(hu)2.0?

答:“等(deng)級(ji)保護2.0”或(huo)“等(deng)保2.0”是一個(ge)約定俗成的說法,指(zhi)按新(xin)的等(deng)級(ji)保護標準(zhun)規范開展(zhan)工作的統(tong)稱。通(tong)常(chang)認為(wei)是《中華(hua)人民(min)共和國網(wang)絡安(an)全法》頒(ban)布實(shi)行后提出,以(yi)2019年12月1日(ri),網(wang)絡安(an)全等(deng)級(ji)保護基(ji)本(ben)要求(qiu)、測評(ping)要求(qiu)和設(she)計技術要求(qiu)更(geng)新(xin)發布新(xin)版本(ben)為(wei)象(xiang)征性標志。

Q3. “等保”與“分(fen)保”有什么(me)區別?

答:指等級保(bao)護與分(fen)級保(bao)護,主(zhu)要不同在(zai)監管部門、適用對象、分(fen)類等級等方面。

監管部門不(bu)一樣(yang),等級(ji)保(bao)護(hu)(hu)由公安(an)部門監管,分級(ji)保(bao)護(hu)(hu)由國家(jia)保(bao)密(mi)局監管。

適用(yong)對(dui)象不一(yi)樣,等級保護適用(yong)非(fei)涉密系統(tong),分(fen)級保護適用(yong)于(yu)涉及國家密秘系統(tong)。

等級(ji)分(fen)類(lei)不同,等級(ji)保(bao)護(hu)(hu)(hu)分(fen)5個級(ji)別:一(yi)級(ji)(自主保(bao)護(hu)(hu)(hu))、二級(ji)(指導保(bao)護(hu)(hu)(hu))、三級(ji)(監督保(bao)護(hu)(hu)(hu))、四級(ji)(強制保(bao)護(hu)(hu)(hu))、五級(ji)(專控保(bao)護(hu)(hu)(hu));分(fen)級(ji)保(bao)護(hu)(hu)(hu)分(fen)3個級(ji)別:秘密級(ji)、機密級(ji)、絕密級(ji)。

Q4.等保”與“關保”有(you)什(shen)么(me)區別?

答:指等級保護與關(guan)(guan)鍵信(xin)(xin)息(xi)基(ji)礎(chu)設(she)施保護,“關(guan)(guan)保”是在網(wang)絡安(an)全(quan)等級保護制度的(de)(de)基(ji)礎(chu)上,實行(xing)重點(dian)保護。《中(zhong)華人(ren)民共和國網(wang)絡安(an)全(quan)法》第(di)三章第(di)二節(jie)規定了關(guan)(guan)鍵信(xin)(xin)息(xi)基(ji)礎(chu)設(she)施的(de)(de)運行(xing)安(an)全(quan),包括關(guan)(guan)鍵信(xin)(xin)息(xi)基(ji)礎(chu)設(she)施的(de)(de)范圍、保護的(de)(de)主(zhu)要(yao)內(nei)容(rong)等。目前《信(xin)(xin)息(xi)安(an)全(quan)技術關(guan)(guan)鍵信(xin)(xin)息(xi)基(ji)礎(chu)設(she)施網(wang)絡安(an)全(quan)保護基(ji)本要(yao)求》正在報(bao)批(pi)中(zhong),相關(guan)(guan)試(shi)點(dian)工作已啟(qi)動。

Q5.什么是等級保護(hu)測評?

答(da):指測評(ping)機構(gou)依據(ju)國家信息安全(quan)等(deng)(deng)級保護制度規(gui)定,按(an)照有關管(guan)理規(gui)范和技術標準,對非(fei)涉及國家秘密網絡(luo)安全(quan)等(deng)(deng)級保護狀況進行檢測評(ping)估的(de)活動(dong)。

Q6.等級保護是否(fou)是強制性的(de),可以(yi)不做嗎?

答:《中(zhong)華人(ren)民(min)共和國網絡(luo)安全(quan)法》第(di)二十一條(tiao)(tiao)規定網絡(luo)運營(ying)(ying)者(zhe)應當按照網絡(luo)安全(quan)等級保護制(zhi)度的(de)要求,履(lv)行(xing)相關的(de)安全(quan)保護義(yi)(yi)務。同時第(di)七十六條(tiao)(tiao)定義(yi)(yi)了網絡(luo)運營(ying)(ying)者(zhe)是(shi)指網絡(luo)的(de)所有者(zhe)、管(guan)理者(zhe)和網絡(luo)服務提供(gong)者(zhe)。

等級(ji)保(bao)護(hu)相關標準(zhun)雖然(ran)為(wei)非強制性的(de)推(tui)薦標準(zhun),但網絡(個(ge)人與家庭網絡除外)運營(ying)者必須按網絡安全法開展等級(ji)保(bao)護(hu)工(gong)作。

Q7.做等級保護要多少(shao)錢(qian)?

答:開(kai)展等(deng)級(ji)保(bao)護(hu)工作會包(bao)含:針(zhen)對業(ye)(ye)務系(xi)統開(kai)展測(ce)評的(de)費用,以及按等(deng)級(ji)保(bao)護(hu)要(yao)求(qiu)開(kai)發、購買(mai)或部署安(an)(an)全(quan)防護(hu)產品成本,開(kai)展安(an)(an)全(quan)日常(chang)運維等(deng)人力(li)成本。總(zong)體投(tou)(tou)入(ru)(ru)(ru)的(de)費用與網(wang)絡運營者對等(deng)級(ji)保(bao)護(hu)測(ce)評結果分數的(de)預期,以及業(ye)(ye)務系(xi)統安(an)(an)全(quan)防護(hu)能力(li)建設與整(zheng)改的(de)情況(kuang)而定,相應(ying)的(de)費用投(tou)(tou)入(ru)(ru)(ru)會差距(ju)很大(da)。為(wei)避(bi)免盲目投(tou)(tou)入(ru)(ru)(ru)這個(ge)誤區,建議咨詢專業(ye)(ye)安(an)(an)全(quan)服務咨詢機構制訂性價比的(de)解決方案(an)來滿足合規要(yao)求(qiu)又達到業(ye)(ye)務系(xi)統安(an)(an)全(quan)保(bao)障要(yao)求(qiu)。

Q8.等(deng)級(ji)保護測評一般多(duo)長(chang)時間能測完(wan)?

答:一個二(er)級(ji)或三級(ji)的(de)系(xi)統整體持續周(zhou)期1-2個月。現場測評(ping)周(zhou)期一般1周(zhou)左(zuo)右,具體時(shi)間還要根據信(xin)息系(xi)統數量及(ji)信(xin)息系(xi)統的(de)規模,以及(ji)測評(ping)方(fang)與被測評(ping)方(fang)的(de)配合情況(kuang)等有所(suo)增(zeng)減。小規模安全(quan)整改(gai)(管理制度、策略配置技術整改(gai))2-3周(zhou),出具報告(gao)時(shi)間1周(zhou)。

Q9.等級保護測評多久(jiu)做一次?

答:《信(xin)息(xi)安全(quan)等級保護管(guan)理辦法》公通字[2007]43號中,關于系統(tong)測(ce)評(ping)(ping)時間有明(ming)確規(gui)定,二(er)級信(xin)息(xi)系統(tong)未明(ming)確測(ce)評(ping)(ping)時間,三級信(xin)息(xi)系統(tong)明(ming)確規(gui)定每(mei)年(nian)測(ce)評(ping)(ping)一次,四級信(xin)息(xi)系統(tong)每(mei)半年(nian)測(ce)評(ping)(ping)一次,第五級信(xin)息(xi)系統(tong)應(ying)當依據特殊安全(quan)需求進行自查(cha)。

Q10.是否系(xi)統定級越低(di)越好?

答:不(bu)是。可根據(ju)實際業務(wu)系統的(de)(de)情(qing)況(kuang)參照定(ding)(ding)級(ji)(ji)標準進(jin)行(xing)定(ding)(ding)級(ji)(ji),采用“定(ding)(ding)級(ji)(ji)過低(di)不(bu)允(yun)許、定(ding)(ding)級(ji)(ji)過高不(bu)可取(qu)”的(de)(de)原則(ze)。當出現網(wang)絡安全事(shi)件(jian)進(jin)行(xing)追責(ze)的(de)(de)時候,如(ru)因系統定(ding)(ding)級(ji)(ji)過低(di),需承(cheng)擔系統定(ding)(ding)級(ji)(ji)不(bu)合理、安全責(ze)任沒(mei)有(you)履(lv)行(xing)到(dao)位的(de)(de)風險。

Q11.定級備案了(le)(le)是否就被監管(guan)了(le)(le)?

答:沒有(you)定級備(bei)案(an)并不代表(biao)不需被監管(guan),應盡快履行(xing)網(wang)絡(luo)(luo)運營(ying)者(zhe)的安全責任進行(xing)備(bei)案(an)。定級備(bei)案(an)后監管(guan)部門會(hui)在重要時候(hou)開展(zhan)安全檢查或發布一些針對性的安全預警,有(you)利于(yu)網(wang)絡(luo)(luo)運營(ying)者(zhe)開展(zhan)網(wang)絡(luo)(luo)安全工作降低風險(xian)。

Q12.等級保護工作就(jiu)是做個測評嗎?

答:等級(ji)保(bao)護工(gong)作包括定級(ji)、備案、測(ce)評(ping)、建(jian)設(she)整改、監督審查(cha),測(ce)評(ping)只是(shi)其中一項。測(ce)評(ping)不(bu)(bu)是(shi)等保(bao)工(gong)作的結束(shu),重要(yao)的是(shi)通過(guo)測(ce)評(ping)查(cha)漏補缺,不(bu)(bu)斷改進提升安(an)全防護能力,降低(di)安(an)全風險。

Q13.等級保(bao)護測評做(zuo)一(yi)次(ci)要(yao)多(duo)少錢(qian)?

答:等(deng)級保護工作(zuo)屬于屬地化管理,測評(ping)收費(fei)非全國統一價(jia),測評(ping)費(fei)用(yong)每個省都有(you)一個參考報價(jia)標準。因業務(wu)系統規模(mo)大小及是否涉及擴展功(gong)能(neng)測試不同(tong)總體測評(ping)費(fei)用(yong)也有(you)所差異。

如某省的參考(kao)報價為:二級系統測評(ping)(ping)費(fei)5萬(wan)(wan),三級系統測評(ping)(ping)費(fei)9萬(wan)(wan)。

Q14.等保測評后就要花很多錢做整改嗎?

答:不一定。

整(zheng)改工作可根據網絡運營(ying)者對測評(ping)結果(guo)(guo)分數的(de)(de)期(qi)望(wang)和現有安全防護措施的(de)(de)實(shi)際效(xiao)果(guo)(guo)是(shi)否(fou)能保(bao)(bao)障業務(wu)抵抗風險(xian)的(de)(de)需求按需開展。整(zheng)改內容也(ye)(ye)有很(hen)多不同方向,除安全設備或(huo)服務(wu)外,安全管理制(zhi)度、安全策略調(diao)整(zheng)的(de)(de)整(zheng)改成(cheng)本并不高,同樣也(ye)(ye)能快(kuai)速(su)提升安全保(bao)(bao)障能力。

Q15.過等保要花多少錢(qian)?能包(bao)過嗎(ma)?

答:等級保(bao)護采用備案與測(ce)評(ping)(ping)機制而非認證(zheng)機制,不存在包過(guo)的(de)(de)說法,盲目(mu)采納服(fu)務(wu)商包過(guo)的(de)(de)產(chan)品與服(fu)務(wu)套餐往往不是**性價比的(de)(de)方案。網絡運營者可結(jie)合自身實際安全(quan)需求與等保(bao)測(ce)評(ping)(ping)預期得分,咨(zi)詢(xun)專(zhuan)業(ye)的(de)(de)第三方安全(quan)咨(zi)詢(xun)服(fu)務(wu)機構(gou)來(lai)開展等建設(she)工作與測(ce)評(ping)(ping)機構(gou)的(de)(de)選擇。

Q16.做了等(deng)級測評之后,是(shi)否發合格(ge)證書?

答:測評(ping)后無合(he)(he)格證書。等(deng)(deng)級保(bao)護采(cai)用備案(an)與測評(ping)機(ji)制而非認證機(ji)制,公安(an)機(ji)關(guan)只對信息系統(tong)的(de)(de)備案(an)情(qing)況進行(xing)審(shen)(shen)核,對符合(he)(he)等(deng)(deng)級保(bao)護要求的(de)(de),頒(ban)發(fa)(fa)信息系統(tong)安(an)全等(deng)(deng)級保(bao)護備案(an)證明,發(fa)(fa)現不符合(he)(he)有關(guan)標準(zhun)的(de)(de),通(tong)知備案(an)單(dan)位予以糾正(zheng),發(fa)(fa)現定(ding)級不準(zhun)的(de)(de),通(tong)知備案(an)單(dan)位重新審(shen)(shen)核確(que)定(ding)。

Q17.如何(he)快速理解等保2.0測評結果?

答:等級保護2.0測評結果包括得分與結論(lun)評價(jia);得分為(wei)百分制,及格線為(wei)70分;結論(lun)評價(jia)分為(wei)優、良、中(zhong)、差四個等級。得分90分(含(han)(han))以(yi)上(shang)為(wei)優,80分(含(han)(han))以(yi)上(shang)為(wei)良,70分(含(han)(han))以(yi)上(shang)為(wei)中(zhong),70分以(yi)下為(wei)差。

Q18.多長(chang)時間能拿到備案證(zheng)明?

答(da):全國各省網警(jing)管理有所差異,一般提交(jiao)備(bei)案流程后,如資料完備(bei)(三級系(xi)統要求含測評報告),順利通過審核后15個工作日即可拿到備(bei)案證明。

Q19:如何確定業務(wu)系統屬(shu)于等保幾級?

答:可參照等(deng)級(ji)保護定級(ji)指(zhi)南(nan),從業務系統安全(quan)和(he)系統服(fu)務安全(quan)兩個方(fang)面(mian)評價當業務系統被破壞時對客體的(de)影響程(cheng)度,取兩個方(fang)面(mian)較高的(de)等(deng)級(ji)。

當確定系統(tong)級別后,可開展專家評(ping)審(shen)對系統(tong)定級合理(li)性進行審(shen)核。如有(you)行業主管部門制訂的定級依據,可直接參照采納行業定級標準定級。

Q20:業(ye)務系統在云上,安全是云平臺負(fu)責的吧(ba)?

答:根(gen)(gen)據《信息安(an)(an)全(quan)技術 網絡安(an)(an)全(quan)等級保護基本要(yao)求(qiu)》(GB/T 22239-2019)附錄(lu)D,云(yun)服務(wu)(wu)商根(gen)(gen)據提供的IaaS、PaaS、SaaS模式承(cheng)擔(dan)不同的平(ping)臺安(an)(an)全(quan)責任。業(ye)務(wu)(wu)系統上云(yun)后(hou),云(yun)租戶與(yu)云(yun)平(ping)臺服務(wu)(wu)商之(zhi)間應遵循(xun)責任分擔(dan)矩陣共(gong)同承(cheng)擔(dan)相應的安(an)(an)全(quan)責任。

Q21:等(deng)級保護有哪(na)些規范(fan)標準?

答:等(deng)級保(bao)護涉及(ji)面(mian)廣,相(xiang)關(guan)的安全(quan)標準(zhun)、規范(fan)、指南還有很多正在編制或修訂中。常用的規范(fan)標準(zhun)包(bao)括但不限于如下幾個:

·       GB/T 31167-2014 信息安全技術 云計算服務(wu)安全指南

·       GB/T 31168-2014 信息安全技(ji)術 云計算服(fu)務(wu)安全能力要求

·       GB/T 36326-2018 信息技術 云計算云服務運營通用要求

·       GB/T 25058-2010 信息安(an)全技術 信息系統安(an)全等級(ji)保護(hu)實施(shi)指(zhi)南(nan)

·       GB/T 25070-2019信息安全技術(shu) 網絡安全等級保護安全設計技術(shu)要求

·       GB/T 28448-2019信息安全(quan)技(ji)術 網絡安全(quan)等級保(bao)護測(ce)評要求(qiu)

·       GB/T 22239-2019 信(xin)息安全技(ji)術 網絡(luo)安全等級保護(hu)基本(ben)要求

·       GB/T 22240-2008信息(xi)安全技術 信息(xi)系統安全等級保(bao)護定級指南

·       GB/T 36958-2018 信(xin)息安(an)全(quan)(quan)技術 網(wang)絡安(an)全(quan)(quan)等級(ji)保護安(an)全(quan)(quan)管(guan)理(li)中心技術要求

·       GM/T 0054-2018 信息系統密碼應用基本要求

·       GB/T 35273-2020 信息安全技(ji)術 個人信息安全規范(fan)

Q22:等(deng)級保(bao)護步驟或流(liu)程(cheng)是什(shen)么(me)樣的?

答:根(gen)據信(xin)(xin)息(xi)(xi)系(xi)統(tong)等級(ji)(ji)保(bao)護(hu)相關(guan)標準,等級(ji)(ji)保(bao)護(hu)工作總共分(fen)五個階段,分(fen)別為:信(xin)(xin)息(xi)(xi)系(xi)統(tong)定級(ji)(ji)、是信(xin)(xin)息(xi)(xi)系(xi)統(tong)備案、是系(xi)統(tong)安全建設(she)、是信(xin)(xin)息(xi)(xi)系(xi)統(tong)開(kai)始等級(ji)(ji)測(ce)評、主管(guan)單位(wei)定期開(kai)展監督檢(jian)查。

Q23:有哪些(xie)情(qing)況系統定級(ji)無(wu)需專家評審?

答:信(xin)息系(xi)統(tong)運營使用(yong)(yong)單位有(you)上級(ji)主(zhu)管(guan)(guan)部(bu)(bu)門(men)(men),且對信(xin)息系(xi)統(tong)的(de)安全保護(hu)等(deng)級(ji)有(you)定(ding)級(ji)指(zhi)導(dao)意見或(huo)審核(he)批(pi)準的(de),可無(wu)需(xu)在進行等(deng)級(ji)專家(jia)評審。主(zhu)管(guan)(guan)部(bu)(bu)門(men)(men)一般(ban)指(zhi)行業的(de)上級(ji)主(zhu)管(guan)(guan)部(bu)(bu)門(men)(men)或(huo)監管(guan)(guan)部(bu)(bu)門(men)(men)。如果是跨地域聯(lian)網運營使用(yong)(yong)的(de)信(xin)息系(xi)統(tong),則必須(xu)由上級(ji)主(zhu)管(guan)(guan)部(bu)(bu)門(men)(men)審批(pi),確保同(tong)類系(xi)統(tong)或(huo)分支(zhi)系(xi)統(tong)在各地域分別定(ding)級(ji)的(de)一致性。

Q24:業務系統在內/專網(wang),還需要做等保(bao)嗎?

答:需要。內網(wang)與專網(wang)的(de)(de)非(fei)涉密系統都屬于(yu)等級保護(hu)范(fan)疇,雖然內/專網(wang)相對于(yu)互聯網(wang),業務系統的(de)(de)用戶比較明確或(huo)可控,但內網(wang)不(bu)代表安全。

Q25:等級保護測評結論不(bu)符合是(shi)不(bu)是(shi)等級保護工(gong)作就白做了?

答:不(bu)是(shi)(shi)(shi)。等(deng)級保護測(ce)(ce)評結論不(bu)符(fu)合(he)(he)表(biao)示目前(qian)該信(xin)息系統存(cun)在高危風險(xian)或整(zheng)體(ti)安全性(xing)較差,不(bu)符(fu)合(he)(he)等(deng)保的(de)相應標準要(yao)求(qiu)。但是(shi)(shi)(shi)這并不(bu)代表(biao)等(deng)級保護工作白做了(le),即使你拿著不(bu)符(fu)合(he)(he)的(de)測(ce)(ce)評報告,主管單(dan)位也是(shi)(shi)(shi)承認你們單(dan)位今(jin)年的(de)等(deng)級保護工作已經開展過了(le),只(zhi)是(shi)(shi)(shi)目前(qian)的(de)問(wen)題較多,沒達到相應的(de)標準。

Q26:拿(na)什么證明開展過等級保護工作(zuo)?

答:備案證(zheng)明或(huo)測評報(bao)告,即加蓋測評機構公(gong)章或(huo)測評專用章的測評報(bao)告以(yi)及有主(zhu)管(guan)部門(men)公(gong)章的系統(tong)備案證(zheng)明或(huo)系統(tong)定(ding)級備案資料(liao)。

Q27:系(xi)統(tong)在云上,還要做等保嗎?

答:要做(zuo)。業務(wu)上云(yun)(yun)有(you)多種(zhong)情況,如在(zai)公有(you)云(yun)(yun)、私有(you)云(yun)(yun)、專有(you)云(yun)(yun)等(deng)不(bu)同屬性的(de)云(yun)(yun)上,并采用IaaS、PaaS、SaaS、IDC托管等(deng)不(bu)同服務(wu),雖然安全責(ze)任(ren)邊界發生(sheng)了變化,但網(wang)絡運營(ying)者(zhe)的(de)安全責(ze)任(ren)不(bu)會轉(zhuan)移(yi)。根據“誰(shui)運營(ying)誰(shui)負(fu)責(ze)、誰(shui)使用誰(shui)負(fu)責(ze)、誰(shui)主(zhu)管誰(shui)負(fu)責(ze)”的(de)原則,應(ying)承擔網(wang)絡安全責(ze)任(ren)進行等(deng)級保護工(gong)作。

Q28:業務在云(yun)上(shang),到(dao)哪(na)里進行定級(ji)備案(an)?

答:可在業務系(xi)統運(yun)維團(tuan)隊(dui)或(huo)其(qi)公(gong)司(si)主體經營(ying)注冊地向公(gong)安網警進行備案,與業務系(xi)統在云上的(de)資(zi)源物理(li)節點的(de)地點無關。


Image
Image
版權所(suo)有:山西科信(xin)源科技(ji)股份(fen)有限公司
咨詢熱線:0351-4073466?
地(di)址(zhi):(北區)山西省(sheng)太原市迎澤區新建南路(lu)文源巷24號文源公務(wu)中心5層
? ? ? ? ? ?(南(nan)區)太原市小(xiao)店區南(nan)中環街529 號清(qing)控創(chuang)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團