網(wǎng)絡(luò)安全等級保護(hù)2.0國家標(biāo)準(zhǔn)(等保2.0)自去年12月1日正式實施以來�,很多政企單位都在努力準(zhǔn)備過保工作��,伴隨著國內(nèi)疫情防控取得積極成效,各行各業(yè)逐漸開始復(fù)工復(fù)產(chǎn)�,等保合規(guī)也重新提上重要日程。
為了讓有過保需求的政企單位能夠更全面地了解當(dāng)前的等保測評機(jī)制�,有針對性進(jìn)行等保合規(guī)建設(shè),我們梳理了等級保護(hù)常見的問題���,以供參考���。
Q1:什么是等級保護(hù)?
答:等級保護(hù)是指對國家重要信息��、法人和其他組織及公民的專有信息以及公開信息和存儲����、傳輸�、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理�,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置�。
Q2:什么是等級保護(hù)2.0?
答:“等級保護(hù)2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護(hù)標(biāo)準(zhǔn)規(guī)范開展工作的統(tǒng)稱��。通常認(rèn)為是《中華人民共和國網(wǎng)絡(luò)安全法》頒布實行后提出���,以2019年12月1日�����,網(wǎng)絡(luò)安全等級保護(hù)基本要求�����、測評要求和設(shè)計技術(shù)要求更新發(fā)布新版本為象征性標(biāo)志����。
Q3:“等保”與“分?���!庇惺裁磪^(qū)別?
答:指等級保護(hù)與分級保護(hù)�����,主要不同在監(jiān)管部門�、適用對象、分類等級等方面��。
監(jiān)管部門不一樣�,等級保護(hù)由公安部門監(jiān)管,分級保護(hù)由國家保密局監(jiān)管�����。
適用對象不一樣��,等級保護(hù)適用非涉密系統(tǒng)����,分級保護(hù)適用于涉及國家機(jī)密系統(tǒng)。
等級分類不同���,等級保護(hù)分5個級別:一級(自主保護(hù))����、二級(指導(dǎo)保護(hù))、三級(監(jiān)督保護(hù))���、四級(強(qiáng)制保護(hù))���、五級(專控保護(hù));分級保護(hù)分3個級別:秘密級���、機(jī)密級���、絕密級。
Q4:“等?�!迸c“關(guān)?��!庇惺裁磪^(qū)別?
答:指等級保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)���,“關(guān)保”是在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實行重點保護(hù)���?!吨腥A人民共和國網(wǎng)絡(luò)安全法》第三章第二節(jié)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全��,包括關(guān)鍵信息基礎(chǔ)設(shè)施的范圍�����、保護(hù)的主要內(nèi)容等��。
目前《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》正在報批中���,相關(guān)試點工作已啟動。
Q5:什么是等級保護(hù)測評?
答:指測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定�����,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)����,對非涉及國家秘密網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
Q6:等級保護(hù)是否是強(qiáng)制性的可以不做嗎?
答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求��,履行相關(guān)的安全保護(hù)義務(wù)。同時第七十六條定義了網(wǎng)絡(luò)運營者是指網(wǎng)絡(luò)的所有者��、管理者和網(wǎng)絡(luò)服務(wù)提供者����。
等級保護(hù)相關(guān)標(biāo)準(zhǔn)雖然為非強(qiáng)制性的推薦標(biāo)準(zhǔn),但網(wǎng)絡(luò)(個人與家庭網(wǎng)絡(luò)除外)運營者必須按網(wǎng)絡(luò)安全法開展等級保護(hù)工作��。
Q7:等級保護(hù)合規(guī)建設(shè)都需要哪些開銷?
答:開展等級保護(hù)工作會包含:針對業(yè)務(wù)系統(tǒng)開展測評的費用�����,以及按等級保護(hù)要求開發(fā)�����、購買或部署安全防護(hù)產(chǎn)品成本����,開展安全日常運維等人力成本?��?傮w投入的費用與網(wǎng)絡(luò)運營者對等級保護(hù)測評結(jié)果分?jǐn)?shù)的預(yù)期���,以及業(yè)務(wù)系統(tǒng)安全防護(hù)能力建設(shè)與整改的情況而定�,相應(yīng)的費用投入會差距很大��。
為避免盲目投入這個誤區(qū)����,建議咨詢專業(yè)安全服務(wù)咨詢機(jī)構(gòu)制訂最高性價比的解決方案來滿足合規(guī)要求又達(dá)到業(yè)務(wù)系統(tǒng)安全保障要求。
Q8:等級保護(hù)測評一般多長時間能測完?
答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月�。
現(xiàn)場測評周期一般1周左右,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模���,以及測評方與被測評方的配合情況等有所增減��。
小規(guī)模安全整改(管理制度��、策略配置技術(shù)整改)2-3周,出具報告時間1周��。
Q9:等級保護(hù)測評多久做一次?
答:四級信息系統(tǒng)和三級信息系統(tǒng)要求每年開展一次測評;二級信息系統(tǒng)建議每兩年開展一次測評��,部分行業(yè)是明確要求每兩年開展一次測評��。
Q10:是否系統(tǒng)定級越低越好?
答:不是���?���?筛鶕?jù)實際業(yè)務(wù)系統(tǒng)的情況參照定級標(biāo)準(zhǔn)進(jìn)行定級,采用“定級過低不允許��、定級過高不可取”的原則���。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事件進(jìn)行追責(zé)的時候���,如因系統(tǒng)定級過低,需承擔(dān)系統(tǒng)定級不合理�����、安全責(zé)任沒有履行到位的風(fēng)險����。
Q11:定級備案了是否就被監(jiān)管了?
答:沒有定級備案并不代表不需被監(jiān)管,應(yīng)盡快履行網(wǎng)絡(luò)運營者的安全責(zé)任進(jìn)行備案�����。定級備案后監(jiān)管部門會在重要時候開展安全檢查或發(fā)布一些針對性的安全預(yù)警���,有利于網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)安全工作降低風(fēng)險�����。
Q12:等級保護(hù)工作就是做個測評嗎?
答:等級保護(hù)工作包括定級����、備案、測評���、建設(shè)整改����、監(jiān)督審查�����,測評只是其中一項���。測評不是等保工作的結(jié)束,重要的是通過測評查漏補缺��,不斷改進(jìn)提升安全防護(hù)能力����,降低安全風(fēng)險�。
Q13:等保測評后就要花很多錢做整改嗎?
答:不一定�。整改工作可根據(jù)網(wǎng)絡(luò)運營者對測評結(jié)果分?jǐn)?shù)的期望和現(xiàn)有安全防護(hù)措施的實際效果是否能保障業(yè)務(wù)抵抗風(fēng)險的需求按需開展。整改內(nèi)容也有很多不同方向��,除安全設(shè)備或服務(wù)外��,安全管理制度����、安全策略調(diào)整的整改成本并不高,同樣也能快速提升安全保障能力���。
Q14:過等保要花多少錢?能包過嗎?
答:等級保護(hù)采用備案與測評機(jī)制而非認(rèn)證機(jī)制�,不存在包過的說法�����,盲目采納服務(wù)商包過的產(chǎn)品與服務(wù)套餐往往不是最高性價比的方案����。網(wǎng)絡(luò)運營者可結(jié)合自身實際安全需求與等保測評預(yù)期得分,咨詢專業(yè)的第三方安全咨詢服務(wù)機(jī)構(gòu)來開展等建設(shè)工作與測評機(jī)構(gòu)的選擇���。
Q15:做了等級測評之后�,是否會給發(fā)合格證書?
答:測評后無合格證書。等級保護(hù)采用備案與測評機(jī)制而非認(rèn)證機(jī)制����,公安機(jī)關(guān)只對信息系統(tǒng)的備案情況進(jìn)行審核,對符合等級保護(hù)要求的�,頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明,發(fā)現(xiàn)不符合有關(guān)標(biāo)準(zhǔn)的����,通知備案單位予以糾正,發(fā)現(xiàn)定級不準(zhǔn)的��,通知備案單位重新審核確定���。
Q16:如何快速理解等保2.0測評結(jié)果?
答:等級保護(hù)2.0測評結(jié)果包括得分與結(jié)論評價;得分為百分制����,及格線為70分;結(jié)論評價分為優(yōu)����、良、中��、差四個級別���,70分以上才算及格����,90分以上算優(yōu)秀��。
Q17:多長時間能拿到備案證明?
答:全國各省網(wǎng)警管理有所差異���,一般提交備案流程后��,如資料完備(三級系統(tǒng)要求含測評報告)����,順利通過審核后15個工作日即可拿到備案證明���。
Q18:不同公司的業(yè)務(wù)系統(tǒng)整合后是否可以算一個系統(tǒng)?
答:如果兩個業(yè)務(wù)系統(tǒng)整合后功能高度融合����,后臺統(tǒng)一���,可以認(rèn)為是一個系統(tǒng)��,只是業(yè)務(wù)功能增加���,按業(yè)務(wù)系統(tǒng)變更申請復(fù)測即可���。
Q19:如何判定屬于移動安全擴(kuò)展要求?
答:當(dāng)業(yè)務(wù)系統(tǒng)要滿足具有專用APP、通過特定網(wǎng)絡(luò)連接�����、具備專用移動終端時參照移動互聯(lián)擴(kuò)展要求���。
Q20:如何確定業(yè)務(wù)系統(tǒng)屬于等保幾級?
答:可參照等級保護(hù)定級指南����,從業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)安全兩個方面評價當(dāng)業(yè)務(wù)數(shù)據(jù)被破壞時對客體的影響程度�,取兩個方面較高的等級。
當(dāng)確定系統(tǒng)級別后�,可開展專家評審對系統(tǒng)定級合理性進(jìn)行審核。如有行業(yè)主管部門制定的定級依據(jù)�,可直接參照采納行業(yè)定級標(biāo)準(zhǔn)定級。
Q21:買/用哪些安全產(chǎn)品能過等保?
答:可根據(jù)實際情況�,如考慮等保測評結(jié)果分?jǐn)?shù)與等級、業(yè)務(wù)系統(tǒng)風(fēng)險與防護(hù)要求等綜合考慮安全通信網(wǎng)絡(luò)防護(hù)����、安全區(qū)域邊界防護(hù)��、安全計算環(huán)境防護(hù)、安全管理中心���、安全建設(shè)與運維等投入����。建議咨詢專業(yè)的安全咨詢服務(wù)機(jī)構(gòu)定制解決方案����。
Q22:現(xiàn)在還沒做等保還來得及嗎?有什么影響?
答:來得及。種一棵樹��,最好的時間是十年前�,其次是現(xiàn)在?�?上雀鶕?jù)定級備案要求和流程��,先向公安遞交定級備案文件����,測評與整改預(yù)算提上日程,在經(jīng)費未落實前,可以先進(jìn)行系統(tǒng)定級��、差距分析����、整改計劃制訂等工作。
Q23:業(yè)務(wù)系統(tǒng)在云上����,安全是云平臺負(fù)責(zé)的吧?
答:根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T
22239-2019)附錄D,云服務(wù)商根據(jù)提供的IaaS�����、PaaS�����、SaaS模式承擔(dān)不同的平臺安全責(zé)任��。業(yè)務(wù)系統(tǒng)上云后���,云租戶與云平臺服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任����。
Q24:做完等級保護(hù)測評后整改周期是多久?
答:無明確規(guī)定?���?蓛?yōu)先把高危風(fēng)險及最急需整改的內(nèi)容先整改,不強(qiáng)制要求一次或一年內(nèi)全部整改到位����,安全建設(shè)及整改是一個持續(xù)性的工作���。另外安全建設(shè)和安全整改本來就是日常安全工作的一部分內(nèi)容��,而不是因為做了等保測評才需要去做的����。
Q25:等級保護(hù)有哪些規(guī)范標(biāo)準(zhǔn)?
答:等級保護(hù)涉及面廣��,相關(guān)的安全標(biāo)準(zhǔn)�����、規(guī)范�、指南還有很多正在編制或修訂中。常用的規(guī)范標(biāo)準(zhǔn)包括但不限于如下幾個:
· GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南
· GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求
· GB/T 36326-2018 信息技術(shù) 云計算云服務(wù)運營通用要求
· GB/T 25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南
· GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求
· GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求
· GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求
· GB/T 22240-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南
· GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全管理中心技術(shù)要求
· GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求
· GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范
Q26:等級保護(hù)步驟或流程是什么樣的?
答:根據(jù)信息系統(tǒng)等級保護(hù)相關(guān)標(biāo)準(zhǔn)���,等級保護(hù)工作總共分五個階段�����,分別為:信息系統(tǒng)定級�����、是信息系統(tǒng)備案���、是系統(tǒng)安全建設(shè)���、是信息系統(tǒng)開始等級測評、主管單位定期開展監(jiān)督檢查��。
Q27:業(yè)務(wù)系統(tǒng)在內(nèi)/專網(wǎng)��,還需要做等保嗎?
答:需要����。內(nèi)網(wǎng)與專網(wǎng)的非涉密系統(tǒng)都屬于等級保護(hù)范疇,雖然內(nèi)/專網(wǎng)相對于互聯(lián)網(wǎng)�����,業(yè)務(wù)系統(tǒng)的用戶比較明確或可控,但內(nèi)網(wǎng)不代表安全�。
Q28:等級保護(hù)測評結(jié)論不符合是不是等級保護(hù)工作就白做了?
答:不是。等級保護(hù)測評結(jié)論不符合表示目前該信息系統(tǒng)存在高危風(fēng)險或整體安全性較差�����,不符合等保的相應(yīng)標(biāo)準(zhǔn)要求����。但是這并不代表等級保護(hù)工作白做了,即使你拿著不符合的測評報告�����,主管單位也是承認(rèn)你們單位今年的等級保護(hù)工作已經(jīng)開展過了���,只是目前的問題較多,沒達(dá)到相應(yīng)的標(biāo)準(zhǔn)���。
Q29:系統(tǒng)在云上�,還要做等保嗎?
答:要做��。業(yè)務(wù)上云有多種情況���,如在公有云�����、私有云��、專有云等不同屬性的云上����,并采用IaaS、PaaS�、SaaS、IDC托管等不同服務(wù)�,雖然安全責(zé)任邊界發(fā)生了變化,但網(wǎng)絡(luò)運營者的安全責(zé)任不會轉(zhuǎn)移��。根據(jù)“誰運營誰負(fù)責(zé)�����、誰使用誰負(fù)責(zé)��、誰主管誰負(fù)責(zé)”的原則����,應(yīng)承擔(dān)網(wǎng)絡(luò)安全責(zé)任進(jìn)行等級保護(hù)工作�����。
Q30:業(yè)務(wù)在云上��,到哪里進(jìn)行定級備案?
答:可在業(yè)務(wù)系統(tǒng)運維團(tuán)隊或其公司主體經(jīng)營注冊地向公安網(wǎng)警進(jìn)行備案���,與業(yè)務(wù)系統(tǒng)在云上的資源物理節(jié)點的地點無關(guān)。
聲明:本文來自政企安全辦公微信公眾號����,版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨立觀點���,不代表本站立場,轉(zhuǎn)載目的在于傳遞更多信息�。如有侵權(quán),請聯(lián)系刪除��。
等保測評咨詢
