关于等级保护的几个常见问题?
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。Q1:什么是等级保护?
答:等级保护制度是我国网络安全的基本制度。Q2:什么是等级保护2.0?
答:《中国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T22239-2019信息安全技术网络安全等级保护基本要求》正式实施为象征性标志。等保2.0依然在整个实施流程上由五个标准环节构成:定级、备案、建设整改、等级测评、监督检查五个方面。
Q3:我还听说过“分保”,跟等保有啥区别?
答:等级保护由公安部门监管,分级保护由国家保密局监管。Q4:什么是等级保护测评?
答:经认定的专业第三方测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
Q5:等级保护有几个级别?等级保护分五个级别:
一级(自主保护、二级(指导保护、三级(监督保护、四级(强制保护、五级(专控保护
Q6:等级保护是否是强制性的,可以不做吗?
答:各单位需按照网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。没有进行等保测评,当出现网络安全事件时,相关领导以及责任人要追责。Q7:等级保护测评一般多长时间能测完?
答:一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右。Q9:等级保护测评多久做一次?
答:根据《信息安全等级保护管理办法》三级信息系统建议每年开展一次等保测评。二级信息系统建议每两年开展一次等保测评,部分行业是明确要求每年开展一次测评。
Q9:是否系统定级越低越好?
答:不是。应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低
不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。Q10:等级保护工作就是做个测评吗?
答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。
Q11:等级保护测评做一次要多少钱?
答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。
如某省的参考预算为:二级系统测评预算8万,三级系统测评预算10万。
Q12:等保测评能包过吗?
答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作。
Q13:做了等级测评之后,是否会给发合格证书?
答:测评后无合格证书。等级保护采用备案与测评机制而非认证机制。Q14:如何快速理解等保2.0测评结果?
答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。Q15:拿什么证明开展过等级保护工作?
答:一般情况是备案证明和测评报告,测评报告应加盖测评机构公章和测评专用章。
Q16:多长时间能拿到备案证明?
答:全国各省网警管理有所差异,一般提交备案流程后,如资料完备,顺利通过审核后15个工作日即可拿到备案证明。Q17:定级备案了是否就被监管了?