《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 等保2.0丨2021 必須了解的40個問題

等保2.0丨2021 必須了解的40個問題

2021-02-23
來源: e安在線
關(guān)鍵詞: 等保2.0

  為了讓有過保需求的客戶能夠更全面地了解當前的等保測評機制,、以及針對性進行2021年等保合規(guī)建設(shè),,梳理了等級保護常見的40個問題,以供參考。

  Q1:什么是等級保護,?

  答:等級保護制度是我國網(wǎng)絡(luò)安全的基本制度。等級保護是指對國家重要信息,、法人和其他組織及公民的專有信息以及公開信息和存儲,、傳輸,、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng),、處置。

  Q2:什么是等級保護2.0,?

  答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,,指按新的等級保護標準規(guī)范開展工作的統(tǒng)稱。通常認為是《中華人民共和國網(wǎng)絡(luò)安全法》頒布實行后提出,,以2019年12月1日,,《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》正式實施為象征性標志。

  Q3:“等?!迸c“分?!庇惺裁磪^(qū)別?

  答:指等級保護與分級保護,,主要不同在監(jiān)管部門,、適用對象、分類等級等方面,。

  監(jiān)管部門不一樣,,等級保護由公安部門監(jiān)管,分級保護由國家保密局監(jiān)管,。

  適用對象不一樣,,等級保護適用非涉密系統(tǒng),分級保護適用于涉及國家密秘系統(tǒng),。

  等級分類不同,,等級保護分5個級別:一級(自主保護)、二級(指導(dǎo)保護),、三級(監(jiān)督保護),、四級(強制保護)、五級(??乇Wo),;分級保護分3個級別:秘密級、機密級,、絕密級,。

  Q4:“等保”與“關(guān)?!庇惺裁磪^(qū)別,?

  答:指等級保護與關(guān)鍵信息基礎(chǔ)設(shè)施保護,“關(guān)?!笔窃诰W(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,,實行重點保護,。《中華人民共和國網(wǎng)絡(luò)安全法》第三章第二節(jié)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全,,包括關(guān)鍵信息基礎(chǔ)設(shè)施的范圍,、保護的主要內(nèi)容等。

  目前“關(guān)?!钡幕疽?、測評指南、高風險判例等均已基本完成,,相關(guān)試點工作已啟動,。

  Q5:什么是等級保護測評?

  答:指經(jīng)認定的專業(yè)第三方測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定,,按照有關(guān)管理規(guī)范和技術(shù)標準,,對非涉及國家秘密網(wǎng)絡(luò)安全等級保護狀況進行檢測評估的活動,。

  Q6:等級保護是否是強制性的,,可以不做嗎?

  答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求,,履行相關(guān)的安全保護義務(wù),。同時第七十六條定義了網(wǎng)絡(luò)運營者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者,。

  等級保護工作是保障我國網(wǎng)絡(luò)安全的基本動作,,目前各單位需按照所在行業(yè)及保護對象重要程度,依據(jù)網(wǎng)絡(luò)安全法及相關(guān)部門要求,,按照“同步規(guī)劃,、同步建設(shè)、同步使用”的原則,,開展等級保護工作,。

  Q7:做等級保護要多少錢?

  答:開展等級保護工作主要包含:規(guī)劃費用,、建設(shè)或整改費用,、運維費用、測評費用等,,具體費用因各單位現(xiàn)狀,、保護對象承載業(yè)務(wù)功能、重要程度,、所在地區(qū)等差異較大,。

  為避免過度保護或疏于防范的情況,減少資源浪費等,,建議聘請或咨詢專業(yè)的等級保護服務(wù)機構(gòu),,制定科學(xué)合理的方案,。

  Q8:等級保護測評一般多長時間能測完?

  答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月,。

  現(xiàn)場測評周期一般1周左右,,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,以及測評方與被測評方的配合情況等有所增減,。

  小規(guī)模安全整改(管理制度,、策略配置技術(shù)整改)2-3周,出具報告時間1-2周,。

  目前各地根據(jù)各自省份或城市的情況,,還存在單獨規(guī)定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告,。

  Q9:等級保護測評多久做一次,?

  答:根據(jù)《信息安全等級保護管理辦法》公通字200743號十四條:第三級以上網(wǎng)絡(luò)的運營者應(yīng)當每年開展一次網(wǎng)絡(luò)安全等級測評。二級信息系統(tǒng)建議每兩年開展一次測評,,部分行業(yè)是明確要求每兩年開展一次測評,。

  Q10:是否系統(tǒng)定級越低越好?

  答:不是,。應(yīng)根據(jù)實際業(yè)務(wù)系統(tǒng)的情況參照定級標準進行定級,,采用“定級過低不允許、定級過高不可取”的原則,。當出現(xiàn)網(wǎng)絡(luò)安全事件進行追責的時候,,如因系統(tǒng)定級過低,需承擔系統(tǒng)定級不合理,、安全責任沒有履行到位的風險,。

  Q11:定級備案了是否就被監(jiān)管了?

  答:沒有定級備案并不代表不會被監(jiān)管,。通過自評估達到二級及以上的保護對象,,均應(yīng)盡快組織專家開展定級評審工作,并到屬地網(wǎng)安進行備案,。定級備案后監(jiān)管部門會及時發(fā)布針對性的安全預(yù)警,,并根據(jù)情況實地指導(dǎo)網(wǎng)絡(luò)安全工作,有利于網(wǎng)絡(luò)運營者提升網(wǎng)絡(luò)安全風險的應(yīng)對能力,,保障單位的聲譽,,減少經(jīng)濟損失。

  Q12:等級保護工作就是做個測評嗎,?

  答:等級保護工作包括定級,、備案、測評,、建設(shè)整改,、監(jiān)督審查,,測評只是其中一項。測評不是等保工作的結(jié)束,,重要的是通過測評查漏補缺,,不斷改進提升安全防護能力,降低安全風險,。

  Q13:等級保護測評做一次要多少錢,?

  答:等級保護工作屬于屬地化管理,測評收費非全國統(tǒng)一價,,測評費用每個省都有一個參考報價標準,。因業(yè)務(wù)系統(tǒng)規(guī)模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。

  如某省的參考報價為:二級系統(tǒng)測評費5萬,,三級系統(tǒng)測評費9萬,。

  Q14:等保測評后就要花很多錢做整改嗎?

  答:不一定,。整改工作可根據(jù)網(wǎng)絡(luò)運營者對測評結(jié)果分數(shù)的期望和現(xiàn)有安全防護措施的實際效果是否能保障業(yè)務(wù)抵抗風險的需求按需開展,。整改內(nèi)容也有很多不同方向,除安全設(shè)備或服務(wù)外,,安全管理制度,、安全策略調(diào)整的整改成本并不高,同樣也能快速提升安全保障能力,。

  Q15:過等保要花多少錢?能包過嗎,?

  答:等級保護采用備案與測評機制而非認證機制,,不存在包過的說法,盲目采納服務(wù)商包過的產(chǎn)品與服務(wù)套餐往往不是最高性價比的方案,。網(wǎng)絡(luò)運營者可結(jié)合自身實際安全需求與等保測評預(yù)期得分,,咨詢專業(yè)的第三方安全咨詢服務(wù)機構(gòu)來開展等建設(shè)工作。

  Q16:做了等級測評之后,,是否會給發(fā)合格證書,?

  答:測評后無合格證書。等級保護采用備案與測評機制而非認證機制,,在屬地網(wǎng)安備案后可獲得《信息系統(tǒng)安全等級保護備案證明》,,測評工作完成后會收到具有法律效率的“測評報告(至少要加蓋測評機構(gòu)公章和測評專用章)”。

  Q17:如何快速理解等保2.0測評結(jié)果,?

  答:等級保護2.0測評結(jié)果包括得分與結(jié)論評價,;得分為百分制,及格線為70分,;結(jié)論評價分為優(yōu),、良,、中、差四個等級,。

微信圖片_20210223113333.jpg

  Q18:多長時間能拿到備案證明,?

  答:全國各省網(wǎng)警管理有所差異,一般提交備案流程后,,如資料完備,,順利通過審核后15個工作日即可拿到備案證明。

  Q19:不同公司的業(yè)務(wù)系統(tǒng)整合后是否可以算一個系統(tǒng),?

  答:不同公司作為兩個獨立承擔法律的主體單位,,必須明確唯一的備案主體,不能算一個系統(tǒng),。同一單位的業(yè)務(wù)系統(tǒng),,如確實經(jīng)過改造,入口,、后臺,、業(yè)務(wù)關(guān)聯(lián)性、重要程度等符合《GB/T 22240-2020 信息系統(tǒng)安全 網(wǎng)絡(luò)安全等級保護定級指南》要求可以算作一個系統(tǒng),。

  Q20:如何判定屬于移動安全擴展要求,?

  答:當業(yè)務(wù)系統(tǒng)要滿足具有專用APP、通過特定網(wǎng)絡(luò)連接,、具備專用移動終端時參照移動互聯(lián)擴展要求,。

  Q21:如何選擇等級保護備案所在地?

  答:《信息安全等級保護管理辦法》規(guī)定,,等級保護的主體單位為信息系統(tǒng)的運營,、使用單位。備案主體一般可以理解為,,出現(xiàn)網(wǎng)絡(luò)安全事件后,,第一責任單位是誰,誰就是備案主體,。要注意讓承建單位或運維單位成為備案主體的錯誤方式,。大部分情況下,在單位所在地屬地(縣級及以上)網(wǎng)安進行定級備案,。如運維所在地和注冊地不一致,,一般以運維所在地備案。當然也有一些特殊行業(yè)的要求,,比如一些涉及到金融安全的行業(yè),,比如互聯(lián)網(wǎng)金融系統(tǒng)、支付系統(tǒng)需要屬地化管理,這些系統(tǒng)需要在注冊地辦理定級備案手續(xù),,以滿足本地的監(jiān)管要求,。

  Q22:如何選擇測評機構(gòu)開展測評?

  答:選擇有測評資質(zhì)的測評公司,,優(yōu)先考慮本地測評公司,。可參照中國網(wǎng)絡(luò)安全等級保護網(wǎng)(http://djbh.net)的《全國網(wǎng)絡(luò)安全等級保護測評機構(gòu)推薦目錄》選中幾家進行邀請投標,,同時關(guān)注該網(wǎng)站公布的國家網(wǎng)絡(luò)安全等級保護工作協(xié)調(diào)小組辦公室的不定期整改公告中是否涉及相關(guān)測評公司,。

  Q23:如何確定業(yè)務(wù)系統(tǒng)屬于等保幾級?

  答:可參照等級保護定級指南,,從業(yè)務(wù)系統(tǒng)安全和系統(tǒng)服務(wù)安全兩個方面評價當業(yè)務(wù)系統(tǒng)被破壞時對客體的影響程度,,取兩個方面較高的等級。

微信圖片_20210223113434.png

  當確定系統(tǒng)級別后,,應(yīng)開展專家評審對系統(tǒng)定級合理性進行審核,。如有行業(yè)主管部門制訂的定級依據(jù),可直接參照采納行業(yè)定級標準定級,。

  Q24:買/用哪些安全產(chǎn)品能過等保,?

  答:可根據(jù)實際情況,如考慮等保測評結(jié)果分數(shù)與等級,、業(yè)務(wù)系統(tǒng)風險與防護要求等綜合考慮安全通信網(wǎng)絡(luò)防護,、安全區(qū)域邊界防護、安全計算環(huán)境防護,、安全管理中心,、安全建設(shè)與運維等投入。建議咨詢專業(yè)的安全咨詢服務(wù)機構(gòu)定制解決方案,。

  Q25:現(xiàn)在還沒做等保還來得及嗎,?有什么影響?

  答:來得及,。種一棵樹,最好的時間是十年前,,其次是現(xiàn)在,。可先根據(jù)定級備案要求和流程,,先向公安遞交定級備案文件,,測評與整改預(yù)算提上日程,在經(jīng)費未落實前,,可以先進行系統(tǒng)定級,、差距分析、整改計劃制訂等工作。

  Q26:業(yè)務(wù)系統(tǒng)在云上,,安全是云平臺負責的吧,?

  答:根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務(wù)商根據(jù)提供的IaaS,、PaaS,、SaaS模式承擔不同的平臺安全責任。業(yè)務(wù)系統(tǒng)上云后,,云租戶與云平臺服務(wù)商之間應(yīng)遵循責任分擔矩陣共同承擔相應(yīng)的安全責任,。

  也就是說云平臺承擔的是云平臺的安全責任,部署在云平臺上的系統(tǒng)或數(shù)據(jù)所有者,,應(yīng)對該系統(tǒng)或數(shù)據(jù)承擔網(wǎng)絡(luò)安全保護責任,。

  Q27:做完等級保護測評后整改周期是多久?

  答:雖無明確規(guī)定,,但測評報告一般是整改達標后才出具,,除非可以接受結(jié)論為“差”的報告或不在乎分數(shù)。另外,,等保工作本身就是為了提升網(wǎng)絡(luò)安全防護水平,,尤其是測評中發(fā)現(xiàn)的高風險建議立刻克服困難,抓緊整改,。不少單位就是因為“高風險”問題沒及時整改而中招,,導(dǎo)致單位承受了巨大的經(jīng)濟和聲譽損失。

  Q28:等級保護有哪些規(guī)范標準,?

  答:等級保護涉及面廣,,相關(guān)的安全標準、規(guī)范,、指南還有很多正在編制或修訂中,。常用的規(guī)范標準包括但不限于如下幾個:

  GB 17859-1999 計算機信息系統(tǒng)安全保護劃分準則

  GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南

  GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求

  GB/T 36326-2018 信息技術(shù) 云計算云服務(wù)運營通用要求

  GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護實施指南

  GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求

  GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求

  GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指

  GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求

  GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全安全等級保護定級指南

  GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求

  GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求

  GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范

  Q29:等級保護步驟或流程是什么樣的?

  答:根據(jù)信息系統(tǒng)等級保護相關(guān)標準,,等級保護工作總共分五個階段,,分別為:系統(tǒng)定級、系統(tǒng)備案,、安全建設(shè)/整改,、等級測評、主管/監(jiān)管單位定期開展監(jiān)督檢查,。

  Q30:有哪些情況系統(tǒng)定級無需專家評審,?

  答:信息系統(tǒng)運營使用單位有上級主管部門,且對信息系統(tǒng)的安全保護等級有定級指導(dǎo)意見或?qū)徍伺鷾实?,可無需在進行等級專家評審,。

  主管部門一般指行業(yè)的上級主管部門或監(jiān)管部門,。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng),則必須由上級主管部門審批,,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性,。

  具體要求建議咨詢屬地網(wǎng)安

  Q31:業(yè)務(wù)系統(tǒng)在內(nèi)/專網(wǎng),還需要做等保嗎,?

  答:需要,。內(nèi)網(wǎng)與專網(wǎng)的非涉密系統(tǒng)都屬于等級保護范疇,雖然內(nèi)/專網(wǎng)相對于互聯(lián)網(wǎng),,業(yè)務(wù)系統(tǒng)的用戶比較明確或可控,,但內(nèi)網(wǎng)不代表安全。

  Q32:等級保護測評結(jié)論不符合是不是等級保護工作就白做了,?

  答:不是,。等級保護測評結(jié)論為“差”,表示目前該信息系統(tǒng)存在高危風險或整體安全性較差,,沒有達到相應(yīng)標準要求,。但是這并不代表等級保護工作白做了,即使你拿著不符合的測評報告,,主管單位也是承認你們單位今年的等級保護工作已經(jīng)開展過了,,只是目前的問題較多,沒達到相應(yīng)的標準,,需要抓緊整改,。

  Q33:拿什么證明開展過等級保護工作?

  答:一般情況是備案證明和測評報告,,測評報告應(yīng)加蓋測評機構(gòu)公章和測評專用章,。

  Q34:系統(tǒng)在云上,還要做等保嗎,?

  答:要做,。業(yè)務(wù)上云有多種情況,如在公有云,、私有云,、專有云等不同屬性的云上,并采用IaaS,、PaaS,、SaaS、IDC托管等不同服務(wù),,雖然安全責任邊界發(fā)生了變化,但網(wǎng)絡(luò)運營者的安全責任不會轉(zhuǎn)移,。根據(jù)“誰運營誰負責,、誰使用誰負責、誰主管誰負責”的原則,應(yīng)承擔網(wǎng)絡(luò)安全責任進行等級保護工作,。

  是否要通過測評這個需根據(jù)系統(tǒng)的重要程度,,依據(jù)國家標準和相關(guān)部門要求來確定。

  Q35.等保的測評內(nèi)容有哪些,?

  答:通用要求包含:技術(shù)要求(安全物理環(huán)境,、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界,、安全計算環(huán)境,、安全管理中心);管理要求(安全管理制度,、安全管理機構(gòu),、安全人員管理、安全建設(shè)管理,、安全運維管理),;云計算、物聯(lián)網(wǎng),、移動互聯(lián),、工控、大數(shù)據(jù)擴展標準以及行業(yè)標準,。

  Q36.《等?!泛汀毒W(wǎng)絡(luò)安全法》什么關(guān)系?

  答:等級保護工作是國家網(wǎng)絡(luò)安全的基礎(chǔ)性工作,,是《網(wǎng)絡(luò)安全法》要求我們履行的一項安全責任,。《網(wǎng)絡(luò)安全法》是網(wǎng)絡(luò)安全領(lǐng)域的基本法,,從國家層面對等級保護工作的法律認可,,網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級保護標準來建設(shè)。

  Q37.哪些企業(yè)和單位應(yīng)該開展等保工作,?

  答:根據(jù) GB/T 22239-2019的相關(guān)規(guī)定:

微信圖片_20210223113454.jpg

  劃重點:

 ?。?)中國境內(nèi)運營的

  (2)政府,、事業(yè)單位,、對外提供服務(wù)的企業(yè)

  (3)除信息系統(tǒng)外,,還包括:基礎(chǔ)網(wǎng)絡(luò),、云平臺、大數(shù)據(jù),、物聯(lián)網(wǎng),、工控系統(tǒng)和移動互聯(lián)

  也就是說,,基本涵蓋了企業(yè)的對外提供服務(wù)的業(yè)務(wù)系統(tǒng)和產(chǎn)品。

  Q38.購買了符合等保要求的安全設(shè)備就能有效抵御網(wǎng)絡(luò)風險,?

  答:設(shè)備只是工具,,是否能抵御風險,還有看怎么用,!不少單位花錢買了安全設(shè)備,,但缺乏技術(shù)人員支持,或者安全意識淡薄,,安全產(chǎn)品不僅起不到安全作用,,反而會影響業(yè)務(wù)連續(xù)性。

  Q39:做完等級測評就沒有安全問題了,?

  答:很多人認為,,完成等保測評就萬事大吉了。其實,,不然,。等保測評標準只是基線的要求,通過測評,、整改,,落實等級保護制度,確實可以規(guī)避大部分的安全風險,。但是,,安全是一個動態(tài)而非靜止的過程,不是通過一次測評,,就可以一勞永逸的,。

  企業(yè)通過落實等保安全要求,并嚴格執(zhí)行各項安全管理的規(guī)章制度,,基本能做到系統(tǒng)的安全穩(wěn)定運行,。但依然不能百分百保證系統(tǒng)的安全性。因此,,要通過等級保護測評工作開展,,以“一個中心、三重防護”好“三化六防”等為指導(dǎo),,不斷提升網(wǎng)絡(luò)攻防能力,。

  Q40:等保2.0什么時候算正式實施?

  2019年12月1日正式實施,。等保2.0依然在整個實施流程上由五個標準環(huán)節(jié)構(gòu)成:定級,、備案、建設(shè)整改,、等級測評,、監(jiān)督檢查五個方面,。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。