等保2.0丨問題集
編輯:2021-06-11 09:39:56
Q1.什么是等級保護?
答:等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
Q2. 什么是等級保護2.0?
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標(biāo)準(zhǔn)規(guī)范開展工作的統(tǒng)稱。通常認為是《中華人民共和國網(wǎng)絡(luò)安全法》頒布實行后提出,以2019年12月1日,網(wǎng)絡(luò)安全等級保護基本要求、測評要求和設(shè)計技術(shù)要求更新發(fā)布新版本為象征性標(biāo)志。
Q3. “等保”與“分?!庇惺裁磪^(qū)別?
答:指等級保護與分級保護,主要不同在監(jiān)管部門、適用對象、分類等級等方面。
監(jiān)管部門不一樣,等級保護由公安部門監(jiān)管,分級保護由國家保密局監(jiān)管。
適用對象不一樣,等級保護適用非涉密系統(tǒng),分級保護適用于涉及國家密秘系統(tǒng)。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導(dǎo)保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(??乇Wo);分級保護分3個級別:秘密級、機密級、絕密級。
Q4.等?!迸c“關(guān)保”有什么區(qū)別?
答:指等級保護與關(guān)鍵信息基礎(chǔ)設(shè)施保護,“關(guān)?!笔窃诰W(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護?!吨腥A人民共和國網(wǎng)絡(luò)安全法》第三章第二節(jié)規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全,包括關(guān)鍵信息基礎(chǔ)設(shè)施的范圍、保護的主要內(nèi)容等。目前《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》正在報批中,相關(guān)試點工作已啟動。
Q5.什么是等級保護測評?
答:指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密網(wǎng)絡(luò)安全等級保護狀況進行檢測評估的活動。
Q6.等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行相關(guān)的安全保護義務(wù)。同時第七十六條定義了網(wǎng)絡(luò)運營者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。
等級保護相關(guān)標(biāo)準(zhǔn)雖然為非強制性的推薦標(biāo)準(zhǔn),但網(wǎng)絡(luò)(個人與家庭網(wǎng)絡(luò)除外)運營者必須按網(wǎng)絡(luò)安全法開展等級保護工作。
Q7.做等級保護要多少錢?
答:開展等級保護工作會包含:針對業(yè)務(wù)系統(tǒng)開展測評的費用,以及按等級保護要求開發(fā)、購買或部署安全防護產(chǎn)品成本,開展安全日常運維等人力成本??傮w投入的費用與網(wǎng)絡(luò)運營者對等級保護測評結(jié)果分數(shù)的預(yù)期,以及業(yè)務(wù)系統(tǒng)安全防護能力建設(shè)與整改的情況而定,相應(yīng)的費用投入會差距很大。為避免盲目投入這個誤區(qū),建議咨詢專業(yè)安全服務(wù)咨詢機構(gòu)制訂性價比的解決方案來滿足合規(guī)要求又達到業(yè)務(wù)系統(tǒng)安全保障要求。
Q8.等級保護測評一般多長時間能測完?
答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月?,F(xiàn)場測評周期一般1周左右,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,以及測評方與被測評方的配合情況等有所增減。小規(guī)模安全整改(管理制度、策略配置技術(shù)整改)2-3周,出具報告時間1周。
Q9.等級保護測評多久做一次?
答:《信息安全等級保護管理辦法》公通字[2007]43號中,關(guān)于系統(tǒng)測評時間有明確規(guī)定,二級信息系統(tǒng)未明確測評時間,三級信息系統(tǒng)明確規(guī)定每年測評一次,四級信息系統(tǒng)每半年測評一次,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。
Q10.是否系統(tǒng)定級越低越好?
答:不是。可根據(jù)實際業(yè)務(wù)系統(tǒng)的情況參照定級標(biāo)準(zhǔn)進行定級,采用“定級過低不允許、定級過高不可取”的原則。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事件進行追責(zé)的時候,如因系統(tǒng)定級過低,需承擔(dān)系統(tǒng)定級不合理、安全責(zé)任沒有履行到位的風(fēng)險。
Q11.定級備案了是否就被監(jiān)管了?
答:沒有定級備案并不代表不需被監(jiān)管,應(yīng)盡快履行網(wǎng)絡(luò)運營者的安全責(zé)任進行備案。定級備案后監(jiān)管部門會在重要時候開展安全檢查或發(fā)布一些針對性的安全預(yù)警,有利于網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)安全工作降低風(fēng)險。
Q12.等級保護工作就是做個測評嗎?
答:等級保護工作包括定級、備案、測評、建設(shè)整改、監(jiān)督審查,測評只是其中一項。測評不是等保工作的結(jié)束,重要的是通過測評查漏補缺,不斷改進提升安全防護能力,降低安全風(fēng)險。
Q13.等級保護測評做一次要多少錢?
答:等級保護工作屬于屬地化管理,測評收費非全國統(tǒng)一價,測評費用每個省都有一個參考報價標(biāo)準(zhǔn)。因業(yè)務(wù)系統(tǒng)規(guī)模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統(tǒng)測評費5萬,三級系統(tǒng)測評費9萬。
Q14.等保測評后就要花很多錢做整改嗎?
答:不一定。
整改工作可根據(jù)網(wǎng)絡(luò)運營者對測評結(jié)果分數(shù)的期望和現(xiàn)有安全防護措施的實際效果是否能保障業(yè)務(wù)抵抗風(fēng)險的需求按需開展。整改內(nèi)容也有很多不同方向,除安全設(shè)備或服務(wù)外,安全管理制度、安全策略調(diào)整的整改成本并不高,同樣也能快速提升安全保障能力。
Q15.過等保要花多少錢?能包過嗎?
答:等級保護采用備案與測評機制而非認證機制,不存在包過的說法,盲目采納服務(wù)商包過的產(chǎn)品與服務(wù)套餐往往不是**性價比的方案。網(wǎng)絡(luò)運營者可結(jié)合自身實際安全需求與等保測評預(yù)期得分,咨詢專業(yè)的第三方安全咨詢服務(wù)機構(gòu)來開展等建設(shè)工作與測評機構(gòu)的選擇。
Q16.做了等級測評之后,是否發(fā)合格證書?
答:測評后無合格證書。等級保護采用備案與測評機制而非認證機制,公安機關(guān)只對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,頒發(fā)信息系統(tǒng)安全等級保護備案證明,發(fā)現(xiàn)不符合有關(guān)標(biāo)準(zhǔn)的,通知備案單位予以糾正,發(fā)現(xiàn)定級不準(zhǔn)的,通知備案單位重新審核確定。
Q17.如何快速理解等保2.0測評結(jié)果?
答:等級保護2.0測評結(jié)果包括得分與結(jié)論評價;得分為百分制,及格線為70分;結(jié)論評價分為優(yōu)、良、中、差四個等級。得分90分(含)以上為優(yōu),80分(含)以上為良,70分(含)以上為中,70分以下為差。
Q18.多長時間能拿到備案證明?
答:全國各省網(wǎng)警管理有所差異,一般提交備案流程后,如資料完備(三級系統(tǒng)要求含測評報告),順利通過審核后15個工作日即可拿到備案證明。
Q19:如何確定業(yè)務(wù)系統(tǒng)屬于等保幾級?
答:可參照等級保護定級指南,從業(yè)務(wù)系統(tǒng)安全和系統(tǒng)服務(wù)安全兩個方面評價當(dāng)業(yè)務(wù)系統(tǒng)被破壞時對客體的影響程度,取兩個方面較高的等級。
當(dāng)確定系統(tǒng)級別后,可開展專家評審對系統(tǒng)定級合理性進行審核。如有行業(yè)主管部門制訂的定級依據(jù),可直接參照采納行業(yè)定級標(biāo)準(zhǔn)定級。
Q20:業(yè)務(wù)系統(tǒng)在云上,安全是云平臺負責(zé)的吧?
答:根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后,云租戶與云平臺服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任。
Q21:等級保護有哪些規(guī)范標(biāo)準(zhǔn)?
答:等級保護涉及面廣,相關(guān)的安全標(biāo)準(zhǔn)、規(guī)范、指南還有很多正在編制或修訂中。常用的規(guī)范標(biāo)準(zhǔn)包括但不限于如下幾個:
· GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南
· GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求
· GB/T 36326-2018 信息技術(shù) 云計算云服務(wù)運營通用要求
· GB/T 25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南
· GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求
· GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求
· GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求
· GB/T 22240-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南
· GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求
· GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求
· GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范
Q22:等級保護步驟或流程是什么樣的?
答:根據(jù)信息系統(tǒng)等級保護相關(guān)標(biāo)準(zhǔn),等級保護工作總共分五個階段,分別為:信息系統(tǒng)定級、是信息系統(tǒng)備案、是系統(tǒng)安全建設(shè)、是信息系統(tǒng)開始等級測評、主管單位定期開展監(jiān)督檢查。
Q23:有哪些情況系統(tǒng)定級無需專家評審?
答:信息系統(tǒng)運營使用單位有上級主管部門,且對信息系統(tǒng)的安全保護等級有定級指導(dǎo)意見或?qū)徍伺鷾?zhǔn)的,可無需在進行等級專家評審。主管部門一般指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng),則必須由上級主管部門審批,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。
Q24:業(yè)務(wù)系統(tǒng)在內(nèi)/專網(wǎng),還需要做等保嗎?
答:需要。內(nèi)網(wǎng)與專網(wǎng)的非涉密系統(tǒng)都屬于等級保護范疇,雖然內(nèi)/專網(wǎng)相對于互聯(lián)網(wǎng),業(yè)務(wù)系統(tǒng)的用戶比較明確或可控,但內(nèi)網(wǎng)不代表安全。
Q25:等級保護測評結(jié)論不符合是不是等級保護工作就白做了?
答:不是。等級保護測評結(jié)論不符合表示目前該信息系統(tǒng)存在高危風(fēng)險或整體安全性較差,不符合等保的相應(yīng)標(biāo)準(zhǔn)要求。但是這并不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經(jīng)開展過了,只是目前的問題較多,沒達到相應(yīng)的標(biāo)準(zhǔn)。
Q26:拿什么證明開展過等級保護工作?
答:備案證明或測評報告,即加蓋測評機構(gòu)公章或測評專用章的測評報告以及有主管部門公章的系統(tǒng)備案證明或系統(tǒng)定級備案資料。
Q27:系統(tǒng)在云上,還要做等保嗎?
答:要做。業(yè)務(wù)上云有多種情況,如在公有云、私有云、專有云等不同屬性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服務(wù),雖然安全責(zé)任邊界發(fā)生了變化,但網(wǎng)絡(luò)運營者的安全責(zé)任不會轉(zhuǎn)移。根據(jù)“誰運營誰負責(zé)、誰使用誰負責(zé)、誰主管誰負責(zé)”的原則,應(yīng)承擔(dān)網(wǎng)絡(luò)安全責(zé)任進行等級保護工作。
Q28:業(yè)務(wù)在云上,到哪里進行定級備案?
答:可在業(yè)務(wù)系統(tǒng)運維團隊或其公司主體經(jīng)營注冊地向公安網(wǎng)警進行備案,與業(yè)務(wù)系統(tǒng)在云上的資源物理節(jié)點的地點無關(guān)。
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層