隨著2017年6月1日《網(wǎng)絡(luò)安全法》的實(shí)施，第二十一條“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”將網(wǎng)絡(luò)安全等級(jí)維護(hù)（以下簡稱“等級(jí)保護(hù)”）寫入國家法律法規(guī)，成為強(qiáng)制性法規(guī)。根據(jù)小編的經(jīng)驗(yàn)，目前各大監(jiān)管行業(yè)主管部門已將等級(jí)保護(hù)納入網(wǎng)絡(luò)安全審查或領(lǐng)域資質(zhì)審批的必要基本條件。從公司安全合規(guī)的角度來看，等級(jí)保護(hù)也是企業(yè)的安全責(zé)任。那么，在做等級(jí)保護(hù)的過程中，業(yè)務(wù)上也有很多顧慮。什么是等級(jí)保護(hù)？什么是等級(jí)保護(hù)2.0？如何做等級(jí)保護(hù)？如何制定系統(tǒng)級(jí)別？如何配合業(yè)務(wù)？在這里，天下數(shù)據(jù)小編整理了一些基本問題和答案，幫助讀者了解等級(jí)保護(hù)相關(guān)問題。

Q1：什么是等保？

答:等保是指對(duì)我國關(guān)鍵信息、法人等組織和公民的專有信息及其公共信息、存儲(chǔ)、傳輸和處理這些數(shù)據(jù)的信息系統(tǒng)進(jìn)行分級(jí)安全防護(hù)，對(duì)信息系統(tǒng)中常用的信息安全產(chǎn)品進(jìn)行分級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件進(jìn)行分級(jí)響應(yīng)和處理。

Q2：等保2.0是什么意思？

答:“等級(jí)保護(hù)2.0”或“等級(jí)保護(hù)2.0”是一種常見的說法，是指按照新的等級(jí)保護(hù)標(biāo)準(zhǔn)和規(guī)范開展工作的通稱。一般認(rèn)為，《中華人民共和國網(wǎng)絡(luò)安全法》頒布實(shí)施后，以2019年12月1日網(wǎng)絡(luò)安全等級(jí)維護(hù)基本原則、評(píng)價(jià)要求和設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)升級(jí)為代表性標(biāo)志。

Q3：什么是等保評(píng)估？

答：指具有等級(jí)保護(hù)評(píng)價(jià)資格的評(píng)價(jià)機(jī)構(gòu)，按照國家信息安全等級(jí)保護(hù)制度和有關(guān)管理規(guī)范和標(biāo)準(zhǔn)，對(duì)非涉及國家機(jī)密網(wǎng)絡(luò)安全等級(jí)維護(hù)的活動(dòng)進(jìn)行檢查和評(píng)價(jià)。

Q4：等保是強(qiáng)制性的，能不能不做？

答：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運(yùn)營商按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的需要履行相關(guān)的安全保護(hù)責(zé)任。第七十六條同時(shí)定義了網(wǎng)絡(luò)運(yùn)營商是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

雖然等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)是非強(qiáng)制性推薦標(biāo)準(zhǔn)，但網(wǎng)絡(luò)（個(gè)人和家庭網(wǎng)絡(luò)除外）運(yùn)營商必須按照《網(wǎng)絡(luò)安全法》進(jìn)行等級(jí)保護(hù)。

Q5：不做等保有什么后果？

答：根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，不備案視為違法，必須承擔(dān)相應(yīng)的法律依據(jù)和處罰。

以下是《網(wǎng)絡(luò)安全法》中有關(guān)違法處罰的內(nèi)容，供參考：

第五十九條網(wǎng)絡(luò)運(yùn)營商不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正并給予警告；拒不改正或者危害網(wǎng)絡(luò)安全的，處一萬元以上十萬元以下罰款，直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正并給予警告；拒不改正或者危害網(wǎng)絡(luò)安全的，處十萬元以上一百萬元以下罰款，直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

Q6：等保流程或步驟是什么？

答：根據(jù)信息系統(tǒng)等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)，分為信息系統(tǒng)分級(jí)、信息系統(tǒng)備案、系統(tǒng)安全建設(shè)、信息系統(tǒng)等級(jí)評(píng)價(jià)、主管單位定期監(jiān)督管理五個(gè)階段。

Q7：等保要多少錢？

答:等保工作費(fèi)用大致包括:業(yè)務(wù)系統(tǒng)評(píng)價(jià)費(fèi)用、按等級(jí)保護(hù)規(guī)定開發(fā)、購買或部署安全防護(hù)產(chǎn)品費(fèi)用、日常安全運(yùn)行維護(hù)費(fèi)用等人工費(fèi)用。

等保評(píng)價(jià)工作屬于本地化管理，評(píng)價(jià)費(fèi)用不是國家統(tǒng)一價(jià)格，評(píng)價(jià)費(fèi)用每個(gè)省都有參考價(jià)格規(guī)范。根據(jù)不同屬地、不同系統(tǒng)規(guī)模和等級(jí)，評(píng)價(jià)費(fèi)用不同。為防止盲目投資，建議咨詢專業(yè)合規(guī)內(nèi)部控制團(tuán)隊(duì)，制定性價(jià)比最高的解決方案，滿足合規(guī)規(guī)定，滿足業(yè)務(wù)系統(tǒng)安全保障規(guī)定。

Q8：等保評(píng)估一般需要多長時(shí)間才能完成？

答：二級(jí)或三級(jí)系統(tǒng)的整體連續(xù)周期約為3個(gè)月�，F(xiàn)場評(píng)價(jià)周期一般為2周左右，具體時(shí)間需要根據(jù)信息系統(tǒng)的數(shù)量和信息系統(tǒng)的規(guī)模以及評(píng)價(jià)方與被評(píng)價(jià)方的合作情況進(jìn)行調(diào)整。安全整改（管理計(jì)劃、對(duì)策配備技術(shù)整改）取決于系統(tǒng)整改成本，一般約2周，報(bào)告時(shí)間為1-2周。

Q9：等待保險(xiǎn)評(píng)估多久做一次？

答：對(duì)系統(tǒng)評(píng)價(jià)時(shí)間有明確規(guī)定。二級(jí)信息系統(tǒng)每兩年評(píng)價(jià)一次，三級(jí)信息系統(tǒng)每年評(píng)價(jià)一次，四級(jí)信息系統(tǒng)每半年評(píng)價(jià)一次。

Q10：確定系統(tǒng)級(jí)別的原則是什么？

答:根據(jù)實(shí)際業(yè)務(wù)系統(tǒng)的現(xiàn)象，參照分級(jí)要求進(jìn)行分級(jí)，選擇“分級(jí)太低不可行，分級(jí)太高不可行”的原則。對(duì)網(wǎng)絡(luò)安全事件進(jìn)行問責(zé)時(shí)，如果系統(tǒng)分級(jí)過低，應(yīng)承擔(dān)系統(tǒng)分級(jí)不科學(xué)、安全管理不到位的風(fēng)險(xiǎn)。

Q11：定級(jí)備案意味著什么？

答：沒有分級(jí)備案并不意味著不需要控制，公司還需要實(shí)施網(wǎng)絡(luò)運(yùn)營商的安全管理進(jìn)行備案。分級(jí)備案后，監(jiān)督機(jī)構(gòu)將進(jìn)行安全檢查，并進(jìn)行相應(yīng)的專項(xiàng)整改工作。

Q12：等保工作是等保評(píng)估嗎？

答:等保工作包括分級(jí)、備案、評(píng)價(jià)、施工整改、監(jiān)督核查，評(píng)價(jià)只是其中之一。評(píng)價(jià)是等保工作的重要組成部分，通過評(píng)價(jià)總結(jié)經(jīng)驗(yàn)，不斷提高系統(tǒng)的安全防護(hù)能力，減少安全隱患。

Q13：評(píng)估后整改一定要花很多錢嗎？

答:不一定。

整改工作可以根據(jù)網(wǎng)絡(luò)運(yùn)營商對(duì)評(píng)價(jià)結(jié)果的期望和當(dāng)前安全防護(hù)措施的效果，確保業(yè)務(wù)需要按需抵御風(fēng)險(xiǎn)。整改內(nèi)容也有很多不同的方向。除了安全設(shè)備或服務(wù)外，安全制度和安全設(shè)置也是重要的整改方式，也可以快速提升安全保障能力。

Q14：過等保能包嗎？

答:等級(jí)保護(hù)選擇備案評(píng)價(jià)體系而不是認(rèn)證體系，不會(huì)有付費(fèi)的說法。應(yīng)選擇合適的評(píng)價(jià)機(jī)構(gòu)進(jìn)行等保評(píng)價(jià)工作。

Q15：等保工作取得了什么證明？

答：備案證書和評(píng)價(jià)報(bào)告，即加蓋評(píng)價(jià)機(jī)構(gòu)公章或評(píng)價(jià)專用章的評(píng)價(jià)報(bào)告，以及加蓋主管部門公章的系統(tǒng)備案證書或系統(tǒng)分級(jí)備案材料。備案證書由公安機(jī)關(guān)頒發(fā)。評(píng)價(jià)按系統(tǒng)等級(jí)進(jìn)行，并提供評(píng)價(jià)報(bào)告。目前，公安部門規(guī)定，評(píng)價(jià)報(bào)告按不同等級(jí)進(jìn)行年度審查，并報(bào)公安部門。

Q16：能拿到備案證多久？

答:全國各省網(wǎng)警管理略有不同。一般提交備案流程后，如材料完善(三級(jí)系統(tǒng)要求包括評(píng)估報(bào)告)，審批順利完成后15個(gè)工作日即可取得備案證明。

Q17：如何確定業(yè)務(wù)系統(tǒng)屬于等保級(jí)？

答:可以參考等級(jí)保護(hù)分級(jí)指南，從業(yè)務(wù)系統(tǒng)安全和系統(tǒng)服務(wù)安全兩個(gè)方面評(píng)論業(yè)務(wù)系統(tǒng)被破壞時(shí)對(duì)客體的影響程度，取兩個(gè)方面較高的等級(jí)。

系統(tǒng)等級(jí)確定后，二級(jí)以上系統(tǒng)必須進(jìn)行專家評(píng)審，對(duì)系統(tǒng)等級(jí)的合理化進(jìn)行評(píng)審。

Q18：如何快速了解等保2.0評(píng)價(jià)結(jié)果？

答：等級(jí)保護(hù)2.0評(píng)價(jià)結(jié)果包括評(píng)分和結(jié)果評(píng)價(jià)；得分為百分制，及格線為70分；結(jié)果分為優(yōu)、優(yōu)、中、差四個(gè)等級(jí)。90分（含）以上為優(yōu)，80分（含）以上為優(yōu)，70分（含）以上為優(yōu)，70分以下為差。

Q19：業(yè)務(wù)系統(tǒng)在云上，如何進(jìn)行等保備案工作？

答：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB附則D/T2239-2019)，云服務(wù)提供商根據(jù)提供的IaaS、PaaS、SaaS負(fù)責(zé)不同平臺(tái)的安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺(tái)服務(wù)提供商應(yīng)遵循責(zé)任分擔(dān)矩陣，共同承擔(dān)相應(yīng)的安全管理。云平臺(tái)和云租賃按照“誰運(yùn)營誰負(fù)責(zé)，誰應(yīng)用誰負(fù)責(zé)，誰負(fù)責(zé)”的原則，承擔(dān)網(wǎng)絡(luò)安全責(zé)任，開展等級(jí)保護(hù)工作。

Q20：等等保留了哪些規(guī)范標(biāo)準(zhǔn)？

答:等級(jí)保護(hù)涉及面廣，一些相關(guān)的檢測標(biāo)準(zhǔn)、規(guī)范和指南正在編制或修訂中。常見的標(biāo)準(zhǔn)包括但不限于以下幾點(diǎn):

·GB/T2848-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)價(jià)規(guī)定

·GB/T2239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)維護(hù)基本原則

·GB/T2240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

·GB/T3167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南

·GBT3168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

·GBT3626-2018信息技術(shù)云計(jì)算云服務(wù)運(yùn)營一般規(guī)定

·GB/T25058-2010信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

·GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)維護(hù)安全設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)

·GB/T3698-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)維護(hù)安全管理中心技術(shù)標(biāo)準(zhǔn)

·GM/T0054-2018信息系統(tǒng)密碼應(yīng)用的基本原則

·GB個(gè)人信息安全規(guī)范/T35273-2020

Q21：在業(yè)務(wù)系統(tǒng)內(nèi)/專網(wǎng)內(nèi)，還要做等保嗎？

答:按照相關(guān)標(biāo)準(zhǔn):必須。內(nèi)部網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的非保密系統(tǒng)屬于等級(jí)保護(hù)范圍。雖然內(nèi)部/專用網(wǎng)絡(luò)的用戶比互聯(lián)網(wǎng)更清晰或可控，但內(nèi)部網(wǎng)絡(luò)并不意味著安全。

Q22：等待評(píng)估結(jié)果不符合是否等級(jí)保護(hù)工作白做？

答:不是。等級(jí)保護(hù)評(píng)價(jià)結(jié)果不符合表明信息系統(tǒng)存在高風(fēng)險(xiǎn)或整體安全性差，不符合相應(yīng)的等級(jí)保護(hù)標(biāo)準(zhǔn)。即使拿著不符合要求的評(píng)價(jià)報(bào)告，主管單位也認(rèn)可今年大家企業(yè)的等級(jí)保護(hù)工作已經(jīng)開展，但目前存在很多問題，不符合相應(yīng)的規(guī)范。

Q23：“等保”和“分保”有什么區(qū)別？

答：指等級(jí)保護(hù)和分級(jí)保護(hù)，關(guān)鍵在于監(jiān)督機(jī)構(gòu)、適用對(duì)象、分類等級(jí)等方面的差異。

第一，監(jiān)督機(jī)構(gòu)不同，等級(jí)保護(hù)由公安機(jī)關(guān)控制，分級(jí)保護(hù)由國家保密局控制。

二是適用對(duì)象不同，等級(jí)保護(hù)適用于非保密系統(tǒng)，分級(jí)保護(hù)適用于涉及我國的秘密系統(tǒng)。

第三，等級(jí)劃分不同，等級(jí)保護(hù)分為五個(gè)等級(jí)：一級(jí)（獨(dú)立維護(hù)）、二級(jí)（指導(dǎo)維護(hù)）、三級(jí)（監(jiān)管維護(hù)）、四級(jí)（強(qiáng)制維護(hù)）、五級(jí)(�？鼐S護(hù))(�？鼐S護(hù))；分級(jí)保護(hù)分為秘密級(jí)、機(jī)密級(jí)、絕密級(jí)三個(gè)等級(jí)。

Q24：等保和“關(guān)保”有什么區(qū)別？

答：指等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施維護(hù)，“關(guān)鍵保護(hù)”應(yīng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上實(shí)施重點(diǎn)保護(hù)。《中華人民共和國網(wǎng)絡(luò)安全法》第三章第二節(jié)明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全，包括關(guān)鍵信息基礎(chǔ)設(shè)施的類別和維護(hù)的主要內(nèi)容。目前，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》正在審批中，相關(guān)試點(diǎn)工作已經(jīng)啟動(dòng)。

現(xiàn)在，為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求，天*下*數(shù)*據(jù)推出了等級(jí)保護(hù)測評(píng)解決方案，能為你的等保測評(píng)提供關(guān)鍵服務(wù)。http://m.51huadong.com/

本文鏈接：http://m.51huadong.com/cloundnews/11009187.html