等保2.0問題解答
什么是等級保護?
答:等級保護制度是我國網絡安全的基本制度。等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。
什么是等級保護2.0?
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標準規(guī)范開展工作的統(tǒng)稱。通常認為是《中華人民共和國網絡安全法》頒布實行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》正式實施為象征性標志。
“等保”與“分?!庇惺裁磪^(qū)別?
答:指等級保護與分級保護,主要不同在監(jiān)管部門、適用對象、分類等級等方面。
監(jiān)管部門不一樣,等級保護由公安部門監(jiān)管,分級保護由國家保密局監(jiān)管。
適用對象不一樣,等級保護適用非涉密系統(tǒng),分級保護適用于涉及國家密秘系統(tǒng)。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(??乇Wo);分級保護分3個級別:秘密級、機密級、絕密級。
“等?!迸c“關?!庇惺裁磪^(qū)別?
答:指等級保護與關鍵信息基礎設施保護,“關?!笔窃诰W絡安全等級保護制度的基礎上,實行重點保護?!吨腥A人民共和國網絡安全法》第三章第二節(jié)規(guī)定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。
目前“關?!钡幕疽蟆y評指南、高風險判例等均已基本完成,相關試點工作已啟動。
什么是等級保護測評?
答:指經認定的專業(yè)第三方測評機構依據國家信息安全等級保護制度規(guī)定,按照有關管理規(guī)范和技術標準,對非涉及國家秘密網絡安全等級保護狀況進行檢測評估的活動。
等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規(guī)定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
等級保護工作是保障我國網絡安全的基本動作,目前各單位需按照所在行業(yè)及保護對象重要程度,依據網絡安全法及相關部門要求,按照“同步規(guī)劃、同步建設、同步使用”的原則,開展等級保護工作。
做等級保護要多少錢?
答:開展等級保護工作主要包含:規(guī)劃費用、建設或整改費用、運維費用、測評費用等,具體費用因各單位現狀、保護對象承載業(yè)務功能、重要程度、所在地區(qū)等差異較大。
為避免過度保護或疏于防范的情況,減少資源浪費等,建議聘請或咨詢專業(yè)的等級保護服務機構,制定科學合理的方案。
等級保護測評一般多長時間能測完?
答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月。
現場測評周期一般1周左右,具體時間還要根據信息系統(tǒng)數量及信息系統(tǒng)的規(guī)模,以及測評方與被測評方的配合情況等有所增減。
小規(guī)模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。
目前各地根據各自省份或城市的情況,還存在單獨規(guī)定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
是否系統(tǒng)定級越低越好?
答:不是。應根據實際業(yè)務系統(tǒng)的情況參照定級標準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統(tǒng)定級過低,需承擔系統(tǒng)定級不合理、安全責任沒有履行到位的風險。
定級備案了是否就被監(jiān)管了?
答:沒有定級備案并不代表不會被監(jiān)管。通過自評估達到二級及以上的保護對象,均應盡快組織專家開展定級評審工作,并到屬地網安進行備案。定級備案后監(jiān)管部門會及時發(fā)布針對性的安全預警,并根據情況實地指導網絡安全工作,有利于網絡運營者提升網絡安全風險的應對能力,保障單位的聲譽,減少經濟損失。
等級保護工作就是做個測評嗎?
答:等級保護工作包括定級、備案、測評、建設整改、監(jiān)督審查,測評只是其中一項。測評不是等保工作的結束,重要的是通過測評查漏補缺,不斷改進提升安全防護能力,降低安全風險。
等保測評后就要花很多錢做整改嗎?
答:不一定。整改工作可根據網絡運營者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業(yè)務抵抗風險的需求按需開展。整改內容也有很多不同方向,除安全設備或服務外,安全管理制度、安全策略調整的整改成本并不高,同樣也能快速提升安全保障能力。
過等保要花多少錢?能包過嗎?
答:等級保護采用備案與測評機制而非認證機制,不存在包過的說法,盲目采納服務商包過的產品與服務套餐往往不是最高性價比的方案。網絡運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業(yè)的第三方安全咨詢服務機構來開展等建設工作。
做了等級測評之后,是否會給發(fā)合格證書?
答:測評后無合格證書。等級保護采用備案與測評機制而非認證機制,在屬地網安備案后可獲得《信息系統(tǒng)安全等級保護備案證明》,測評工作完成后會收到具有法律效率的“測評報告(至少要加蓋測評機構公章和測評專用章)”。
多長時間能拿到備案證明?
答:全國各省網警管理有所差異,一般提交備案流程后,如資料完備,順利通過審核后15個工作日即可拿到備案證明。
不同公司的業(yè)務系統(tǒng)整合后是否可以算一個系統(tǒng)?
答:不同公司作為兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統(tǒng)。同一單位的業(yè)務系統(tǒng),如確實經過改造,入口、后臺、業(yè)務關聯性、重要程度等符合《GB/T 22240-2020 信息系統(tǒng)安全 網絡安全等級保護定級指南》要求可以算作一個系統(tǒng)。
如何判定屬于移動安全擴展要求?
答:當業(yè)務系統(tǒng)要滿足具有專用APP、通過特定網絡連接、具備專用移動終端時參照移動互聯擴展要求。
如何選擇等級保護備案所在地?
答:《信息安全等級保護管理辦法》規(guī)定,等級保護的主體單位為信息系統(tǒng)的運營、使用單位。備案主體一般可以理解為,出現網絡安全事件后,第一責任單位是誰,誰就是備案主體。要注意讓承建單位或運維單位成為備案主體的錯誤方式。大部分情況下,在單位所在地屬地(縣級及以上)網安進行定級備案。如運維所在地和注冊地不一致,一般以運維所在地備案。當然也有一些特殊行業(yè)的要求,比如一些涉及到金融安全的行業(yè),比如互聯網金融系統(tǒng)、支付系統(tǒng)需要屬地化管理,這些系統(tǒng)需要在注冊地辦理定級備案手續(xù),以滿足本地的監(jiān)管要求。
如何選擇測評機構開展測評?
答:選擇有測評資質的測評公司,優(yōu)先考慮本地測評公司??蓞⒄罩袊W絡安全等級保護網的《全國網絡安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公布的國家網絡安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。
買/用哪些安全產品能過等保?
答:可根據實際情況,如考慮等保測評結果分數與等級、業(yè)務系統(tǒng)風險與防護要求等綜合考慮安全通信網絡防護、安全區(qū)域邊界防護、安全計算環(huán)境防護、安全管理中心、安全建設與運維等投入。建議咨詢專業(yè)的安全咨詢服務機構定制解決方案。
現在還沒做等保還來得及嗎?有什么影響?
答:來得及。種一棵樹,最好的時間是十年前,其次是現在。可先根據定級備案要求和流程,先向公安遞交定級備案文件,測評與整改預算提上日程,在經費未落實前,可以先進行系統(tǒng)定級、差距分析、整改計劃制訂等工作。
業(yè)務系統(tǒng)在云上,安全是云平臺負責的吧?
答:根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業(yè)務系統(tǒng)上云后,云租戶與云平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。
也就是說云平臺承擔的是云平臺的安全責任,部署在云平臺上的系統(tǒng)或數據所有者,應對該系統(tǒng)或數據承擔網絡安全保護責任。
做完等級保護測評后整改周期是多久?
答:雖無明確規(guī)定,但測評報告一般是整改達標后才出具,除非可以接受結論為“差”的報告或不在乎分數。另外,等保工作本身就是為了提升網絡安全防護水平,尤其是測評中發(fā)現的高風險建議立刻克服困難,抓緊整改。不少單位就是因為“高風險”問題沒及時整改而中招,導致單位承受了巨大的經濟和聲譽損失。
等級保護步驟或流程是什么樣的?
答:根據信息系統(tǒng)等級保護相關標準,等級保護工作總共分五個階段,分別為:系統(tǒng)定級、系統(tǒng)備案、安全建設/整改、等級測評、主管/監(jiān)管單位定期開展監(jiān)督檢查。
有哪些情況系統(tǒng)定級無需專家評審?
答:信息系統(tǒng)運營使用單位有上級主管部門,且對信息系統(tǒng)的安全保護等級有定級指導意見或審核批準的,可無需在進行等級專家評審。
主管部門一般指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯網運營使用的信息系統(tǒng),則必須由上級主管部門審批,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。
具體要求建議咨詢屬地網安
業(yè)務系統(tǒng)在內/專網,還需要做等保嗎?
答:需要。內網與專網的非涉密系統(tǒng)都屬于等級保護范疇,雖然內/專網相對于互聯網,業(yè)務系統(tǒng)的用戶比較明確或可控,但內網不代表安全。
等級保護測評結論不符合是不是等級保護工作就白做了?
答:不是。等級保護測評結論為“差”,表示目前該信息系統(tǒng)存在高危風險或整體安全性較差,沒有達到相應標準要求。但是這并不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準,需要抓緊整改。
拿什么證明開展過等級保護工作?
答:一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
系統(tǒng)在云上,還要做等保嗎?
答:要做。業(yè)務上云有多種情況,如在公有云、私有云、專有云等不同屬性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服務,雖然安全責任邊界發(fā)生了變化,但網絡運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。
是否要通過測評這個需根據系統(tǒng)的重要程度,依據國家標準和相關部門要求來確定。
等保的測評內容有哪些?
答:通用要求包含:技術要求(安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心);管理要求(安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理);云計算、物聯網、移動互聯、工控、大數據擴展標準以及行業(yè)標準。
《等?!泛汀毒W絡安全法》什么關系?
答:等級保護工作是國家網絡安全的基礎性工作,是《網絡安全法》要求我們履行的一項安全責任?!毒W絡安全法》是網絡安全領域的基本法,從國家層面對等級保護工作的法律認可,網絡安全法中明確的提到信息安全的建設要遵照等級保護標準來建設。
購買了符合等保要求的安全設備就能有效抵御網絡風險?
答:設備只是工具,是否能抵御風險,還有看怎么用!不少單位花錢買了安全設備,但缺乏技術人員支持,或者安全意識淡薄,安全產品不僅起不到安全作用,反而會影響業(yè)務連續(xù)性。
做完等級測評就沒有安全問題了?
答:很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評標準只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規(guī)避大部分的安全風險。但是,安全是一個動態(tài)而非靜止的過程,不是通過一次測評,就可以一勞永逸的。
企業(yè)通過落實等保安全要求,并嚴格執(zhí)行各項安全管理的規(guī)章制度,基本能做到系統(tǒng)的安全穩(wěn)定運行。但依然不能百分百保證系統(tǒng)的安全性。因此,要通過等級保護測評工作開展,以“一個中心、三重防護”好“三化六防”等為指導,不斷提升網絡攻防能力。
等保2.0什么時候算正式實施?
2019年12月1日正式實施。等保2.0依然在整個實施流程上由五個標準環(huán)節(jié)構成:定級、備案、建設整改、等級測評、監(jiān)督檢查五個方面。
答:等級保護制度是我國網絡安全的基本制度。等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。
什么是等級保護2.0?
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標準規(guī)范開展工作的統(tǒng)稱。通常認為是《中華人民共和國網絡安全法》頒布實行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》正式實施為象征性標志。
“等保”與“分?!庇惺裁磪^(qū)別?
答:指等級保護與分級保護,主要不同在監(jiān)管部門、適用對象、分類等級等方面。
監(jiān)管部門不一樣,等級保護由公安部門監(jiān)管,分級保護由國家保密局監(jiān)管。
適用對象不一樣,等級保護適用非涉密系統(tǒng),分級保護適用于涉及國家密秘系統(tǒng)。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(??乇Wo);分級保護分3個級別:秘密級、機密級、絕密級。
“等?!迸c“關?!庇惺裁磪^(qū)別?
答:指等級保護與關鍵信息基礎設施保護,“關?!笔窃诰W絡安全等級保護制度的基礎上,實行重點保護?!吨腥A人民共和國網絡安全法》第三章第二節(jié)規(guī)定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。
目前“關?!钡幕疽蟆y評指南、高風險判例等均已基本完成,相關試點工作已啟動。
什么是等級保護測評?
答:指經認定的專業(yè)第三方測評機構依據國家信息安全等級保護制度規(guī)定,按照有關管理規(guī)范和技術標準,對非涉及國家秘密網絡安全等級保護狀況進行檢測評估的活動。
等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規(guī)定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
等級保護工作是保障我國網絡安全的基本動作,目前各單位需按照所在行業(yè)及保護對象重要程度,依據網絡安全法及相關部門要求,按照“同步規(guī)劃、同步建設、同步使用”的原則,開展等級保護工作。
做等級保護要多少錢?
答:開展等級保護工作主要包含:規(guī)劃費用、建設或整改費用、運維費用、測評費用等,具體費用因各單位現狀、保護對象承載業(yè)務功能、重要程度、所在地區(qū)等差異較大。
為避免過度保護或疏于防范的情況,減少資源浪費等,建議聘請或咨詢專業(yè)的等級保護服務機構,制定科學合理的方案。
等級保護測評一般多長時間能測完?
答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月。
現場測評周期一般1周左右,具體時間還要根據信息系統(tǒng)數量及信息系統(tǒng)的規(guī)模,以及測評方與被測評方的配合情況等有所增減。
小規(guī)模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。
目前各地根據各自省份或城市的情況,還存在單獨規(guī)定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
是否系統(tǒng)定級越低越好?
答:不是。應根據實際業(yè)務系統(tǒng)的情況參照定級標準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統(tǒng)定級過低,需承擔系統(tǒng)定級不合理、安全責任沒有履行到位的風險。
定級備案了是否就被監(jiān)管了?
答:沒有定級備案并不代表不會被監(jiān)管。通過自評估達到二級及以上的保護對象,均應盡快組織專家開展定級評審工作,并到屬地網安進行備案。定級備案后監(jiān)管部門會及時發(fā)布針對性的安全預警,并根據情況實地指導網絡安全工作,有利于網絡運營者提升網絡安全風險的應對能力,保障單位的聲譽,減少經濟損失。
等級保護工作就是做個測評嗎?
答:等級保護工作包括定級、備案、測評、建設整改、監(jiān)督審查,測評只是其中一項。測評不是等保工作的結束,重要的是通過測評查漏補缺,不斷改進提升安全防護能力,降低安全風險。
等保測評后就要花很多錢做整改嗎?
答:不一定。整改工作可根據網絡運營者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業(yè)務抵抗風險的需求按需開展。整改內容也有很多不同方向,除安全設備或服務外,安全管理制度、安全策略調整的整改成本并不高,同樣也能快速提升安全保障能力。
過等保要花多少錢?能包過嗎?
答:等級保護采用備案與測評機制而非認證機制,不存在包過的說法,盲目采納服務商包過的產品與服務套餐往往不是最高性價比的方案。網絡運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業(yè)的第三方安全咨詢服務機構來開展等建設工作。
做了等級測評之后,是否會給發(fā)合格證書?
答:測評后無合格證書。等級保護采用備案與測評機制而非認證機制,在屬地網安備案后可獲得《信息系統(tǒng)安全等級保護備案證明》,測評工作完成后會收到具有法律效率的“測評報告(至少要加蓋測評機構公章和測評專用章)”。
多長時間能拿到備案證明?
答:全國各省網警管理有所差異,一般提交備案流程后,如資料完備,順利通過審核后15個工作日即可拿到備案證明。
不同公司的業(yè)務系統(tǒng)整合后是否可以算一個系統(tǒng)?
答:不同公司作為兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統(tǒng)。同一單位的業(yè)務系統(tǒng),如確實經過改造,入口、后臺、業(yè)務關聯性、重要程度等符合《GB/T 22240-2020 信息系統(tǒng)安全 網絡安全等級保護定級指南》要求可以算作一個系統(tǒng)。
如何判定屬于移動安全擴展要求?
答:當業(yè)務系統(tǒng)要滿足具有專用APP、通過特定網絡連接、具備專用移動終端時參照移動互聯擴展要求。
如何選擇等級保護備案所在地?
答:《信息安全等級保護管理辦法》規(guī)定,等級保護的主體單位為信息系統(tǒng)的運營、使用單位。備案主體一般可以理解為,出現網絡安全事件后,第一責任單位是誰,誰就是備案主體。要注意讓承建單位或運維單位成為備案主體的錯誤方式。大部分情況下,在單位所在地屬地(縣級及以上)網安進行定級備案。如運維所在地和注冊地不一致,一般以運維所在地備案。當然也有一些特殊行業(yè)的要求,比如一些涉及到金融安全的行業(yè),比如互聯網金融系統(tǒng)、支付系統(tǒng)需要屬地化管理,這些系統(tǒng)需要在注冊地辦理定級備案手續(xù),以滿足本地的監(jiān)管要求。
如何選擇測評機構開展測評?
答:選擇有測評資質的測評公司,優(yōu)先考慮本地測評公司??蓞⒄罩袊W絡安全等級保護網的《全國網絡安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公布的國家網絡安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。
買/用哪些安全產品能過等保?
答:可根據實際情況,如考慮等保測評結果分數與等級、業(yè)務系統(tǒng)風險與防護要求等綜合考慮安全通信網絡防護、安全區(qū)域邊界防護、安全計算環(huán)境防護、安全管理中心、安全建設與運維等投入。建議咨詢專業(yè)的安全咨詢服務機構定制解決方案。
現在還沒做等保還來得及嗎?有什么影響?
答:來得及。種一棵樹,最好的時間是十年前,其次是現在。可先根據定級備案要求和流程,先向公安遞交定級備案文件,測評與整改預算提上日程,在經費未落實前,可以先進行系統(tǒng)定級、差距分析、整改計劃制訂等工作。
業(yè)務系統(tǒng)在云上,安全是云平臺負責的吧?
答:根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業(yè)務系統(tǒng)上云后,云租戶與云平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。
也就是說云平臺承擔的是云平臺的安全責任,部署在云平臺上的系統(tǒng)或數據所有者,應對該系統(tǒng)或數據承擔網絡安全保護責任。
做完等級保護測評后整改周期是多久?
答:雖無明確規(guī)定,但測評報告一般是整改達標后才出具,除非可以接受結論為“差”的報告或不在乎分數。另外,等保工作本身就是為了提升網絡安全防護水平,尤其是測評中發(fā)現的高風險建議立刻克服困難,抓緊整改。不少單位就是因為“高風險”問題沒及時整改而中招,導致單位承受了巨大的經濟和聲譽損失。
等級保護步驟或流程是什么樣的?
答:根據信息系統(tǒng)等級保護相關標準,等級保護工作總共分五個階段,分別為:系統(tǒng)定級、系統(tǒng)備案、安全建設/整改、等級測評、主管/監(jiān)管單位定期開展監(jiān)督檢查。
有哪些情況系統(tǒng)定級無需專家評審?
答:信息系統(tǒng)運營使用單位有上級主管部門,且對信息系統(tǒng)的安全保護等級有定級指導意見或審核批準的,可無需在進行等級專家評審。
主管部門一般指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯網運營使用的信息系統(tǒng),則必須由上級主管部門審批,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。
具體要求建議咨詢屬地網安
業(yè)務系統(tǒng)在內/專網,還需要做等保嗎?
答:需要。內網與專網的非涉密系統(tǒng)都屬于等級保護范疇,雖然內/專網相對于互聯網,業(yè)務系統(tǒng)的用戶比較明確或可控,但內網不代表安全。
等級保護測評結論不符合是不是等級保護工作就白做了?
答:不是。等級保護測評結論為“差”,表示目前該信息系統(tǒng)存在高危風險或整體安全性較差,沒有達到相應標準要求。但是這并不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準,需要抓緊整改。
拿什么證明開展過等級保護工作?
答:一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
系統(tǒng)在云上,還要做等保嗎?
答:要做。業(yè)務上云有多種情況,如在公有云、私有云、專有云等不同屬性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服務,雖然安全責任邊界發(fā)生了變化,但網絡運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。
是否要通過測評這個需根據系統(tǒng)的重要程度,依據國家標準和相關部門要求來確定。
等保的測評內容有哪些?
答:通用要求包含:技術要求(安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心);管理要求(安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理);云計算、物聯網、移動互聯、工控、大數據擴展標準以及行業(yè)標準。
《等?!泛汀毒W絡安全法》什么關系?
答:等級保護工作是國家網絡安全的基礎性工作,是《網絡安全法》要求我們履行的一項安全責任?!毒W絡安全法》是網絡安全領域的基本法,從國家層面對等級保護工作的法律認可,網絡安全法中明確的提到信息安全的建設要遵照等級保護標準來建設。
購買了符合等保要求的安全設備就能有效抵御網絡風險?
答:設備只是工具,是否能抵御風險,還有看怎么用!不少單位花錢買了安全設備,但缺乏技術人員支持,或者安全意識淡薄,安全產品不僅起不到安全作用,反而會影響業(yè)務連續(xù)性。
做完等級測評就沒有安全問題了?
答:很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評標準只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規(guī)避大部分的安全風險。但是,安全是一個動態(tài)而非靜止的過程,不是通過一次測評,就可以一勞永逸的。
企業(yè)通過落實等保安全要求,并嚴格執(zhí)行各項安全管理的規(guī)章制度,基本能做到系統(tǒng)的安全穩(wěn)定運行。但依然不能百分百保證系統(tǒng)的安全性。因此,要通過等級保護測評工作開展,以“一個中心、三重防護”好“三化六防”等為指導,不斷提升網絡攻防能力。
等保2.0什么時候算正式實施?
2019年12月1日正式實施。等保2.0依然在整個實施流程上由五個標準環(huán)節(jié)構成:定級、備案、建設整改、等級測評、監(jiān)督檢查五個方面。