為了讓有過保需求的客戶能夠更全面地了解當(dāng)前的等保測評(píng)機(jī)制,、以及針對(duì)性進(jìn)行2021年等保合規(guī)建設(shè),,梳理了等級(jí)保護(hù)常見的40個(gè)問題,以供參考,。
Q1:什么是等級(jí)保護(hù),?
答:等級(jí)保護(hù)制度是我國網(wǎng)絡(luò)安全的基本制度,。等級(jí)保護(hù)是指對(duì)國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ),、傳輸,、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng),、處置。
Q2:什么是等級(jí)保護(hù)2.0,?
答:“等級(jí)保護(hù)2.0”或“等保2.0”是一個(gè)約定俗成的說法,,指按新的等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范開展工作的統(tǒng)稱。通常認(rèn)為是《中華人民共和國網(wǎng)絡(luò)安全法》頒布實(shí)行后提出,,以2019年12月1日,,《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》正式實(shí)施為象征性標(biāo)志。
Q3:“等?!迸c“分?!庇惺裁磪^(qū)別?
答:指等級(jí)保護(hù)與分級(jí)保護(hù),,主要不同在監(jiān)管部門,、適用對(duì)象、分類等級(jí)等方面,。
監(jiān)管部門不一樣,,等級(jí)保護(hù)由公安部門監(jiān)管,分級(jí)保護(hù)由國家保密局監(jiān)管,。
適用對(duì)象不一樣,,等級(jí)保護(hù)適用非涉密系統(tǒng),,分級(jí)保護(hù)適用于涉及國家密秘系統(tǒng)。
等級(jí)分類不同,,等級(jí)保護(hù)分5個(gè)級(jí)別:一級(jí)(自主保護(hù)),、二級(jí)(指導(dǎo)保護(hù))、三級(jí)(監(jiān)督保護(hù)),、四級(jí)(強(qiáng)制保護(hù)),、五級(jí)(專控保護(hù)),;分級(jí)保護(hù)分3個(gè)級(jí)別:秘密級(jí),、機(jī)密級(jí)、絕密級(jí),。
Q4:“等?!迸c“關(guān)保”有什么區(qū)別,?
答:指等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),,“關(guān)保”是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,,實(shí)行重點(diǎn)保護(hù),。《中華人民共和國網(wǎng)絡(luò)安全法》第三章第二節(jié)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全,,包括關(guān)鍵信息基礎(chǔ)設(shè)施的范圍,、保護(hù)的主要內(nèi)容等。
目前“關(guān)?!钡幕疽?、測評(píng)指南、高風(fēng)險(xiǎn)判例等均已基本完成,,相關(guān)試點(diǎn)工作已啟動(dòng),。
Q5:什么是等級(jí)保護(hù)測評(píng)?
答:指經(jīng)認(rèn)定的專業(yè)第三方測評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定,,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)非涉及國家秘密網(wǎng)絡(luò)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng),。
Q6:等級(jí)保護(hù)是否是強(qiáng)制性的,,可以不做嗎?
答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,,履行相關(guān)的安全保護(hù)義務(wù),。同時(shí)第七十六條定義了網(wǎng)絡(luò)運(yùn)營者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者,。
等級(jí)保護(hù)工作是保障我國網(wǎng)絡(luò)安全的基本動(dòng)作,,目前各單位需按照所在行業(yè)及保護(hù)對(duì)象重要程度,依據(jù)網(wǎng)絡(luò)安全法及相關(guān)部門要求,按照“同步規(guī)劃,、同步建設(shè),、同步使用”的原則,開展等級(jí)保護(hù)工作,。
Q7:做等級(jí)保護(hù)要多少錢,?
答:開展等級(jí)保護(hù)工作主要包含:規(guī)劃費(fèi)用、建設(shè)或整改費(fèi)用,、運(yùn)維費(fèi)用,、測評(píng)費(fèi)用等,具體費(fèi)用因各單位現(xiàn)狀,、保護(hù)對(duì)象承載業(yè)務(wù)功能,、重要程度、所在地區(qū)等差異較大,。
為避免過度保護(hù)或疏于防范的情況,,減少資源浪費(fèi)等,建議聘請(qǐng)或咨詢專業(yè)的等級(jí)保護(hù)服務(wù)機(jī)構(gòu),,制定科學(xué)合理的方案,。
Q8:等級(jí)保護(hù)測評(píng)一般多長時(shí)間能測完?
答:一個(gè)二級(jí)或三級(jí)的系統(tǒng)整體持續(xù)周期1-2個(gè)月,。
現(xiàn)場測評(píng)周期一般1周左右,,具體時(shí)間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,以及測評(píng)方與被測評(píng)方的配合情況等有所增減,。
小規(guī)模安全整改(管理制度,、策略配置技術(shù)整改)2-3周,出具報(bào)告時(shí)間1-2周,。
目前各地根據(jù)各自省份或城市的情況,,還存在單獨(dú)規(guī)定測評(píng)實(shí)施周期的情況,一般是簽訂測評(píng)合同之日起3-6個(gè)月必須出具測評(píng)報(bào)告,。
Q9:等級(jí)保護(hù)測評(píng)多久做一次,?
答:根據(jù)《信息安全等級(jí)保護(hù)管理辦法》公通字200743號(hào)十四條:第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級(jí)測評(píng)。二級(jí)信息系統(tǒng)建議每兩年開展一次測評(píng),,部分行業(yè)是明確要求每兩年開展一次測評(píng),。
Q10:是否系統(tǒng)定級(jí)越低越好?
答:不是,。應(yīng)根據(jù)實(shí)際業(yè)務(wù)系統(tǒng)的情況參照定級(jí)標(biāo)準(zhǔn)進(jìn)行定級(jí),,采用“定級(jí)過低不允許、定級(jí)過高不可取”的原則,。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事件進(jìn)行追責(zé)的時(shí)候,,如因系統(tǒng)定級(jí)過低,,需承擔(dān)系統(tǒng)定級(jí)不合理、安全責(zé)任沒有履行到位的風(fēng)險(xiǎn),。
Q11:定級(jí)備案了是否就被監(jiān)管了,?
答:沒有定級(jí)備案并不代表不會(huì)被監(jiān)管。通過自評(píng)估達(dá)到二級(jí)及以上的保護(hù)對(duì)象,,均應(yīng)盡快組織專家開展定級(jí)評(píng)審工作,,并到屬地網(wǎng)安進(jìn)行備案。定級(jí)備案后監(jiān)管部門會(huì)及時(shí)發(fā)布針對(duì)性的安全預(yù)警,,并根據(jù)情況實(shí)地指導(dǎo)網(wǎng)絡(luò)安全工作,,有利于網(wǎng)絡(luò)運(yùn)營者提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的應(yīng)對(duì)能力,保障單位的聲譽(yù),,減少經(jīng)濟(jì)損失,。
Q12:等級(jí)保護(hù)工作就是做個(gè)測評(píng)嗎?
答:等級(jí)保護(hù)工作包括定級(jí),、備案,、測評(píng)、建設(shè)整改,、監(jiān)督審查,,測評(píng)只是其中一項(xiàng)。測評(píng)不是等保工作的結(jié)束,,重要的是通過測評(píng)查漏補(bǔ)缺,,不斷改進(jìn)提升安全防護(hù)能力,降低安全風(fēng)險(xiǎn),。
Q13:等級(jí)保護(hù)測評(píng)做一次要多少錢,?
答:等級(jí)保護(hù)工作屬于屬地化管理,測評(píng)收費(fèi)非全國統(tǒng)一價(jià),,測評(píng)費(fèi)用每個(gè)省都有一個(gè)參考報(bào)價(jià)標(biāo)準(zhǔn),。因業(yè)務(wù)系統(tǒng)規(guī)模大小及是否涉及擴(kuò)展功能測試不同總體測評(píng)費(fèi)用也有所差異。
如某省的參考報(bào)價(jià)為:二級(jí)系統(tǒng)測評(píng)費(fèi)5萬,,三級(jí)系統(tǒng)測評(píng)費(fèi)9萬,。
Q14:等保測評(píng)后就要花很多錢做整改嗎?
答:不一定,。整改工作可根據(jù)網(wǎng)絡(luò)運(yùn)營者對(duì)測評(píng)結(jié)果分?jǐn)?shù)的期望和現(xiàn)有安全防護(hù)措施的實(shí)際效果是否能保障業(yè)務(wù)抵抗風(fēng)險(xiǎn)的需求按需開展,。整改內(nèi)容也有很多不同方向,除安全設(shè)備或服務(wù)外,,安全管理制度、安全策略調(diào)整的整改成本并不高,,同樣也能快速提升安全保障能力,。
Q15:過等保要花多少錢,?能包過嗎?
答:等級(jí)保護(hù)采用備案與測評(píng)機(jī)制而非認(rèn)證機(jī)制,,不存在包過的說法,,盲目采納服務(wù)商包過的產(chǎn)品與服務(wù)套餐往往不是最高性價(jià)比的方案。網(wǎng)絡(luò)運(yùn)營者可結(jié)合自身實(shí)際安全需求與等保測評(píng)預(yù)期得分,,咨詢專業(yè)的第三方安全咨詢服務(wù)機(jī)構(gòu)來開展等建設(shè)工作,。
Q16:做了等級(jí)測評(píng)之后,是否會(huì)給發(fā)合格證書,?
答:測評(píng)后無合格證書,。等級(jí)保護(hù)采用備案與測評(píng)機(jī)制而非認(rèn)證機(jī)制,在屬地網(wǎng)安備案后可獲得《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》,,測評(píng)工作完成后會(huì)收到具有法律效率的“測評(píng)報(bào)告(至少要加蓋測評(píng)機(jī)構(gòu)公章和測評(píng)專用章)”,。
Q17:如何快速理解等保2.0測評(píng)結(jié)果?
答:等級(jí)保護(hù)2.0測評(píng)結(jié)果包括得分與結(jié)論評(píng)價(jià),;得分為百分制,,及格線為70分;結(jié)論評(píng)價(jià)分為優(yōu),、良,、中、差四個(gè)等級(jí),。
Q18:多長時(shí)間能拿到備案證明,?
答:全國各省網(wǎng)警管理有所差異,一般提交備案流程后,,如資料完備,,順利通過審核后15個(gè)工作日即可拿到備案證明。
Q19:不同公司的業(yè)務(wù)系統(tǒng)整合后是否可以算一個(gè)系統(tǒng),?
答:不同公司作為兩個(gè)獨(dú)立承擔(dān)法律的主體單位,,必須明確唯一的備案主體,不能算一個(gè)系統(tǒng),。同一單位的業(yè)務(wù)系統(tǒng),,如確實(shí)經(jīng)過改造,入口,、后臺(tái),、業(yè)務(wù)關(guān)聯(lián)性、重要程度等符合《GB/T 22240-2020 信息系統(tǒng)安全 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》要求可以算作一個(gè)系統(tǒng),。
Q20:如何判定屬于移動(dòng)安全擴(kuò)展要求,?
答:當(dāng)業(yè)務(wù)系統(tǒng)要滿足具有專用APP、通過特定網(wǎng)絡(luò)連接,、具備專用移動(dòng)終端時(shí)參照移動(dòng)互聯(lián)擴(kuò)展要求,。
Q21:如何選擇等級(jí)保護(hù)備案所在地,?
答:《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,等級(jí)保護(hù)的主體單位為信息系統(tǒng)的運(yùn)營,、使用單位,。備案主體一般可以理解為,出現(xiàn)網(wǎng)絡(luò)安全事件后,,第一責(zé)任單位是誰,,誰就是備案主體。要注意讓承建單位或運(yùn)維單位成為備案主體的錯(cuò)誤方式,。大部分情況下,,在單位所在地屬地(縣級(jí)及以上)網(wǎng)安進(jìn)行定級(jí)備案。如運(yùn)維所在地和注冊地不一致,,一般以運(yùn)維所在地備案,。當(dāng)然也有一些特殊行業(yè)的要求,比如一些涉及到金融安全的行業(yè),,比如互聯(lián)網(wǎng)金融系統(tǒng),、支付系統(tǒng)需要屬地化管理,這些系統(tǒng)需要在注冊地辦理定級(jí)備案手續(xù),,以滿足本地的監(jiān)管要求,。
Q22:如何選擇測評(píng)機(jī)構(gòu)開展測評(píng)?
答:選擇有測評(píng)資質(zhì)的測評(píng)公司,,優(yōu)先考慮本地測評(píng)公司,。可參照中國網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)(http://djbh.net)的《全國網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)推薦目錄》選中幾家進(jìn)行邀請(qǐng)投標(biāo),,同時(shí)關(guān)注該網(wǎng)站公布的國家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室的不定期整改公告中是否涉及相關(guān)測評(píng)公司,。
Q23:如何確定業(yè)務(wù)系統(tǒng)屬于等保幾級(jí)?
答:可參照等級(jí)保護(hù)定級(jí)指南,,從業(yè)務(wù)系統(tǒng)安全和系統(tǒng)服務(wù)安全兩個(gè)方面評(píng)價(jià)當(dāng)業(yè)務(wù)系統(tǒng)被破壞時(shí)對(duì)客體的影響程度,,取兩個(gè)方面較高的等級(jí)。
當(dāng)確定系統(tǒng)級(jí)別后,,應(yīng)開展專家評(píng)審對(duì)系統(tǒng)定級(jí)合理性進(jìn)行審核,。如有行業(yè)主管部門制訂的定級(jí)依據(jù),可直接參照采納行業(yè)定級(jí)標(biāo)準(zhǔn)定級(jí),。
Q24:買/用哪些安全產(chǎn)品能過等保,?
答:可根據(jù)實(shí)際情況,如考慮等保測評(píng)結(jié)果分?jǐn)?shù)與等級(jí),、業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)與防護(hù)要求等綜合考慮安全通信網(wǎng)絡(luò)防護(hù),、安全區(qū)域邊界防護(hù)、安全計(jì)算環(huán)境防護(hù)、安全管理中心,、安全建設(shè)與運(yùn)維等投入,。建議咨詢專業(yè)的安全咨詢服務(wù)機(jī)構(gòu)定制解決方案。
Q25:現(xiàn)在還沒做等保還來得及嗎,?有什么影響?
答:來得及,。種一棵樹,,最好的時(shí)間是十年前,其次是現(xiàn)在,??上雀鶕?jù)定級(jí)備案要求和流程,先向公安遞交定級(jí)備案文件,,測評(píng)與整改預(yù)算提上日程,,在經(jīng)費(fèi)未落實(shí)前,可以先進(jìn)行系統(tǒng)定級(jí),、差距分析,、整改計(jì)劃制訂等工作。
Q26:業(yè)務(wù)系統(tǒng)在云上,,安全是云平臺(tái)負(fù)責(zé)的吧,?
答:根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)附錄D,云服務(wù)商根據(jù)提供的IaaS,、PaaS,、SaaS模式承擔(dān)不同的平臺(tái)安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后,,云租戶與云平臺(tái)服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任,。
也就是說云平臺(tái)承擔(dān)的是云平臺(tái)的安全責(zé)任,部署在云平臺(tái)上的系統(tǒng)或數(shù)據(jù)所有者,,應(yīng)對(duì)該系統(tǒng)或數(shù)據(jù)承擔(dān)網(wǎng)絡(luò)安全保護(hù)責(zé)任,。
Q27:做完等級(jí)保護(hù)測評(píng)后整改周期是多久?
答:雖無明確規(guī)定,,但測評(píng)報(bào)告一般是整改達(dá)標(biāo)后才出具,,除非可以接受結(jié)論為“差”的報(bào)告或不在乎分?jǐn)?shù)。另外,,等保工作本身就是為了提升網(wǎng)絡(luò)安全防護(hù)水平,,尤其是測評(píng)中發(fā)現(xiàn)的高風(fēng)險(xiǎn)建議立刻克服困難,抓緊整改,。不少單位就是因?yàn)椤案唢L(fēng)險(xiǎn)”問題沒及時(shí)整改而中招,,導(dǎo)致單位承受了巨大的經(jīng)濟(jì)和聲譽(yù)損失。
Q28:等級(jí)保護(hù)有哪些規(guī)范標(biāo)準(zhǔn),?
答:等級(jí)保護(hù)涉及面廣,,相關(guān)的安全標(biāo)準(zhǔn),、規(guī)范、指南還有很多正在編制或修訂中,。常用的規(guī)范標(biāo)準(zhǔn)包括但不限于如下幾個(gè):
GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則
GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南
GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求
GB/T 36326-2018 信息技術(shù) 云計(jì)算云服務(wù)運(yùn)營通用要求
GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求
GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求
GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全安全等級(jí)保護(hù)定級(jí)指南
GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求
GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求
GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范
Q29:等級(jí)保護(hù)步驟或流程是什么樣的,?
答:根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),等級(jí)保護(hù)工作總共分五個(gè)階段,,分別為:系統(tǒng)定級(jí),、系統(tǒng)備案、安全建設(shè)/整改,、等級(jí)測評(píng),、主管/監(jiān)管單位定期開展監(jiān)督檢查。
Q30:有哪些情況系統(tǒng)定級(jí)無需專家評(píng)審,?
答:信息系統(tǒng)運(yùn)營使用單位有上級(jí)主管部門,,且對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)有定級(jí)指導(dǎo)意見或?qū)徍伺鷾?zhǔn)的,可無需在進(jìn)行等級(jí)專家評(píng)審,。
主管部門一般指行業(yè)的上級(jí)主管部門或監(jiān)管部門,。如果是跨地域聯(lián)網(wǎng)運(yùn)營使用的信息系統(tǒng),則必須由上級(jí)主管部門審批,,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性,。
具體要求建議咨詢屬地網(wǎng)安
Q31:業(yè)務(wù)系統(tǒng)在內(nèi)/專網(wǎng),還需要做等保嗎,?
答:需要,。內(nèi)網(wǎng)與專網(wǎng)的非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇,雖然內(nèi)/專網(wǎng)相對(duì)于互聯(lián)網(wǎng),,業(yè)務(wù)系統(tǒng)的用戶比較明確或可控,,但內(nèi)網(wǎng)不代表安全。
Q32:等級(jí)保護(hù)測評(píng)結(jié)論不符合是不是等級(jí)保護(hù)工作就白做了,?
答:不是,。等級(jí)保護(hù)測評(píng)結(jié)論為“差”,表示目前該信息系統(tǒng)存在高危風(fēng)險(xiǎn)或整體安全性較差,,沒有達(dá)到相應(yīng)標(biāo)準(zhǔn)要求,。但是這并不代表等級(jí)保護(hù)工作白做了,即使你拿著不符合的測評(píng)報(bào)告,,主管單位也是承認(rèn)你們單位今年的等級(jí)保護(hù)工作已經(jīng)開展過了,,只是目前的問題較多,沒達(dá)到相應(yīng)的標(biāo)準(zhǔn),,需要抓緊整改,。
Q33:拿什么證明開展過等級(jí)保護(hù)工作?
答:一般情況是備案證明和測評(píng)報(bào)告,測評(píng)報(bào)告應(yīng)加蓋測評(píng)機(jī)構(gòu)公章和測評(píng)專用章,。
Q34:系統(tǒng)在云上,,還要做等保嗎?
答:要做,。業(yè)務(wù)上云有多種情況,,如在公有云、私有云,、專有云等不同屬性的云上,,并采用IaaS、PaaS,、SaaS、IDC托管等不同服務(wù),,雖然安全責(zé)任邊界發(fā)生了變化,,但網(wǎng)絡(luò)運(yùn)營者的安全責(zé)任不會(huì)轉(zhuǎn)移。根據(jù)“誰運(yùn)營誰負(fù)責(zé),、誰使用誰負(fù)責(zé),、誰主管誰負(fù)責(zé)”的原則,應(yīng)承擔(dān)網(wǎng)絡(luò)安全責(zé)任進(jìn)行等級(jí)保護(hù)工作,。
是否要通過測評(píng)這個(gè)需根據(jù)系統(tǒng)的重要程度,,依據(jù)國家標(biāo)準(zhǔn)和相關(guān)部門要求來確定。
Q35.等保的測評(píng)內(nèi)容有哪些,?
答:通用要求包含:技術(shù)要求(安全物理環(huán)境,、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界,、安全計(jì)算環(huán)境,、安全管理中心);管理要求(安全管理制度,、安全管理機(jī)構(gòu),、安全人員管理、安全建設(shè)管理,、安全運(yùn)維管理),;云計(jì)算、物聯(lián)網(wǎng),、移動(dòng)互聯(lián),、工控、大數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)以及行業(yè)標(biāo)準(zhǔn),。
Q36.《等?!泛汀毒W(wǎng)絡(luò)安全法》什么關(guān)系?
答:等級(jí)保護(hù)工作是國家網(wǎng)絡(luò)安全的基礎(chǔ)性工作,是《網(wǎng)絡(luò)安全法》要求我們履行的一項(xiàng)安全責(zé)任,?!毒W(wǎng)絡(luò)安全法》是網(wǎng)絡(luò)安全領(lǐng)域的基本法,從國家層面對(duì)等級(jí)保護(hù)工作的法律認(rèn)可,,網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級(jí)保護(hù)標(biāo)準(zhǔn)來建設(shè),。
Q37.哪些企業(yè)和單位應(yīng)該開展等保工作?
答:根據(jù) GB/T 22239-2019的相關(guān)規(guī)定:
劃重點(diǎn):
?。?)中國境內(nèi)運(yùn)營的
?。?)政府、事業(yè)單位,、對(duì)外提供服務(wù)的企業(yè)
?。?)除信息系統(tǒng)外,還包括:基礎(chǔ)網(wǎng)絡(luò),、云平臺(tái),、大數(shù)據(jù)、物聯(lián)網(wǎng),、工控系統(tǒng)和移動(dòng)互聯(lián)
也就是說,,基本涵蓋了企業(yè)的對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)和產(chǎn)品。
Q38.購買了符合等保要求的安全設(shè)備就能有效抵御網(wǎng)絡(luò)風(fēng)險(xiǎn),?
答:設(shè)備只是工具,,是否能抵御風(fēng)險(xiǎn),還有看怎么用,!不少單位花錢買了安全設(shè)備,,但缺乏技術(shù)人員支持,或者安全意識(shí)淡薄,,安全產(chǎn)品不僅起不到安全作用,,反而會(huì)影響業(yè)務(wù)連續(xù)性。
Q39:做完等級(jí)測評(píng)就沒有安全問題了,?
答:很多人認(rèn)為,,完成等保測評(píng)就萬事大吉了。其實(shí),,不然,。等保測評(píng)標(biāo)準(zhǔn)只是基線的要求,通過測評(píng),、整改,,落實(shí)等級(jí)保護(hù)制度,確實(shí)可以規(guī)避大部分的安全風(fēng)險(xiǎn),。但是,,安全是一個(gè)動(dòng)態(tài)而非靜止的過程,,不是通過一次測評(píng),就可以一勞永逸的,。
企業(yè)通過落實(shí)等保安全要求,,并嚴(yán)格執(zhí)行各項(xiàng)安全管理的規(guī)章制度,基本能做到系統(tǒng)的安全穩(wěn)定運(yùn)行,。但依然不能百分百保證系統(tǒng)的安全性,。因此,要通過等級(jí)保護(hù)測評(píng)工作開展,,以“一個(gè)中心,、三重防護(hù)”好“三化六防”等為指導(dǎo),不斷提升網(wǎng)絡(luò)攻防能力,。
Q40:等保2.0什么時(shí)候算正式實(shí)施,?
2019年12月1日正式實(shí)施。等保2.0依然在整個(gè)實(shí)施流程上由五個(gè)標(biāo)準(zhǔn)環(huán)節(jié)構(gòu)成:定級(jí),、備案,、建設(shè)整改、等級(jí)測評(píng),、監(jiān)督檢查五個(gè)方面。