隨著2017年6月1日《網(wǎng)絡(luò)安全法》的實(shí)施，第二十一條“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”將網(wǎng)絡(luò)安全等級維護(hù)（以下簡稱“等級保護(hù)”）寫入國家法律法規(guī)，成為強(qiáng)制性法規(guī)。根據(jù)小編的經(jīng)驗(yàn)，目前各大監(jiān)管行業(yè)主管部門已將等級保護(hù)納入網(wǎng)絡(luò)安全審查或領(lǐng)域資質(zhì)審批的必要基本條件。從公司安全合規(guī)的角度來看，等級保護(hù)也是企業(yè)的安全責(zé)任。那么，在做等級保護(hù)的過程中，業(yè)務(wù)上也有很多顧慮。什么是等級保護(hù)？什么是等級保護(hù)2.0？如何做等級保護(hù)？如何制定系統(tǒng)級別？如何配合業(yè)務(wù)？在這里，天下數(shù)據(jù)小編整理了一些基本問題和答案，幫助讀者了解等級保護(hù)相關(guān)問題。

Q1：什么是等保？

答:等保是指對我國關(guān)鍵信息、法人等組織和公民的專有信息及其公共信息、存儲、傳輸和處理這些數(shù)據(jù)的信息系統(tǒng)進(jìn)行分級安全防護(hù)，對信息系統(tǒng)中常用的信息安全產(chǎn)品進(jìn)行分級管理，對信息系統(tǒng)中發(fā)生的信息安全事件進(jìn)行分級響應(yīng)和處理。

Q2：等保2.0是什么意思？

答:“等級保護(hù)2.0”或“等級保護(hù)2.0”是一種常見的說法，是指按照新的等級保護(hù)標(biāo)準(zhǔn)和規(guī)范開展工作的通稱。一般認(rèn)為，《中華人民共和國網(wǎng)絡(luò)安全法》頒布實(shí)施后，以2019年12月1日網(wǎng)絡(luò)安全等級維護(hù)基本原則、評價要求和設(shè)計技術(shù)標(biāo)準(zhǔn)升級為代表性標(biāo)志。

Q3：什么是等保評估？

答：指具有等級保護(hù)評價資格的評價機(jī)構(gòu)，按照國家信息安全等級保護(hù)制度和有關(guān)管理規(guī)范和標(biāo)準(zhǔn)，對非涉及國家機(jī)密網(wǎng)絡(luò)安全等級維護(hù)的活動進(jìn)行檢查和評價。

Q4：等保是強(qiáng)制性的，能不能不做？

答：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運(yùn)營商按照網(wǎng)絡(luò)安全等級保護(hù)制度的需要履行相關(guān)的安全保護(hù)責(zé)任。第七十六條同時定義了網(wǎng)絡(luò)運(yùn)營商是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

雖然等級保護(hù)技術(shù)標(biāo)準(zhǔn)是非強(qiáng)制性推薦標(biāo)準(zhǔn)，但網(wǎng)絡(luò)（個人和家庭網(wǎng)絡(luò)除外）運(yùn)營商必須按照《網(wǎng)絡(luò)安全法》進(jìn)行等級保護(hù)。

Q5：不做等保有什么后果？

答：根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，不備案視為違法，必須承擔(dān)相應(yīng)的法律依據(jù)和處罰。

以下是《網(wǎng)絡(luò)安全法》中有關(guān)違法處罰的內(nèi)容，供參考：

第五十九條網(wǎng)絡(luò)運(yùn)營商不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正并給予警告；拒不改正或者危害網(wǎng)絡(luò)安全的，處一萬元以上十萬元以下罰款，直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正并給予警告；拒不改正或者危害網(wǎng)絡(luò)安全的，處十萬元以上一百萬元以下罰款，直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

Q6：等保流程或步驟是什么？

答：根據(jù)信息系統(tǒng)等級保護(hù)技術(shù)標(biāo)準(zhǔn)，分為信息系統(tǒng)分級、信息系統(tǒng)備案、系統(tǒng)安全建設(shè)、信息系統(tǒng)等級評價、主管單位定期監(jiān)督管理五個階段。

Q7：等保要多少錢？

答:等保工作費(fèi)用大致包括:業(yè)務(wù)系統(tǒng)評價費(fèi)用、按等級保護(hù)規(guī)定開發(fā)、購買或部署安全防護(hù)產(chǎn)品費(fèi)用、日常安全運(yùn)行維護(hù)費(fèi)用等人工費(fèi)用。

等保評價工作屬于本地化管理，評價費(fèi)用不是國家統(tǒng)一價格，評價費(fèi)用每個省都有參考價格規(guī)范。根據(jù)不同屬地、不同系統(tǒng)規(guī)模和等級，評價費(fèi)用不同。為防止盲目投資，建議咨詢專業(yè)合規(guī)內(nèi)部控制團(tuán)隊，制定性價比最高的解決方案，滿足合規(guī)規(guī)定，滿足業(yè)務(wù)系統(tǒng)安全保障規(guī)定。

Q8：等保評估一般需要多長時間才能完成？

答：二級或三級系統(tǒng)的整體連續(xù)周期約為3個月�，F(xiàn)場評價周期一般為2周左右，具體時間需要根據(jù)信息系統(tǒng)的數(shù)量和信息系統(tǒng)的規(guī)模以及評價方與被評價方的合作情況進(jìn)行調(diào)整。安全整改（管理計劃、對策配備技術(shù)整改）取決于系統(tǒng)整改成本，一般約2周，報告時間為1-2周。

Q9：等待保險評估多久做一次？

答：對系統(tǒng)評價時間有明確規(guī)定。二級信息系統(tǒng)每兩年評價一次，三級信息系統(tǒng)每年評價一次，四級信息系統(tǒng)每半年評價一次。

Q10：確定系統(tǒng)級別的原則是什么？

答:根據(jù)實(shí)際業(yè)務(wù)系統(tǒng)的現(xiàn)象，參照分級要求進(jìn)行分級，選擇“分級太低不可行，分級太高不可行”的原則。對網(wǎng)絡(luò)安全事件進(jìn)行問責(zé)時，如果系統(tǒng)分級過低，應(yīng)承擔(dān)系統(tǒng)分級不科學(xué)、安全管理不到位的風(fēng)險。

Q11：定級備案意味著什么？

答：沒有分級備案并不意味著不需要控制，公司還需要實(shí)施網(wǎng)絡(luò)運(yùn)營商的安全管理進(jìn)行備案。分級備案后，監(jiān)督機(jī)構(gòu)將進(jìn)行安全檢查，并進(jìn)行相應(yīng)的專項整改工作。

Q12：等保工作是等保評估嗎？

答:等保工作包括分級、備案、評價、施工整改、監(jiān)督核查，評價只是其中之一。評價是等保工作的重要組成部分，通過評價總結(jié)經(jīng)驗(yàn)，不斷提高系統(tǒng)的安全防護(hù)能力，減少安全隱患。

Q13：評估后整改一定要花很多錢嗎？

答:不一定。

整改工作可以根據(jù)網(wǎng)絡(luò)運(yùn)營商對評價結(jié)果的期望和當(dāng)前安全防護(hù)措施的效果，確保業(yè)務(wù)需要按需抵御風(fēng)險。整改內(nèi)容也有很多不同的方向。除了安全設(shè)備或服務(wù)外，安全制度和安全設(shè)置也是重要的整改方式，也可以快速提升安全保障能力。

Q14：過等保能包嗎？

答:等級保護(hù)選擇備案評價體系而不是認(rèn)證體系，不會有付費(fèi)的說法。應(yīng)選擇合適的評價機(jī)構(gòu)進(jìn)行等保評價工作。

Q15：等保工作取得了什么證明？

答：備案證書和評價報告，即加蓋評價機(jī)構(gòu)公章或評價專用章的評價報告，以及加蓋主管部門公章的系統(tǒng)備案證書或系統(tǒng)分級備案材料。備案證書由公安機(jī)關(guān)頒發(fā)。評價按系統(tǒng)等級進(jìn)行，并提供評價報告。目前，公安部門規(guī)定，評價報告按不同等級進(jìn)行年度審查，并報公安部門。

Q16：能拿到備案證多久？

答:全國各省網(wǎng)警管理略有不同。一般提交備案流程后，如材料完善(三級系統(tǒng)要求包括評估報告)，審批順利完成后15個工作日即可取得備案證明。

Q17：如何確定業(yè)務(wù)系統(tǒng)屬于等保級？

答:可以參考等級保護(hù)分級指南，從業(yè)務(wù)系統(tǒng)安全和系統(tǒng)服務(wù)安全兩個方面評論業(yè)務(wù)系統(tǒng)被破壞時對客體的影響程度，取兩個方面較高的等級。

系統(tǒng)等級確定后，二級以上系統(tǒng)必須進(jìn)行專家評審，對系統(tǒng)等級的合理化進(jìn)行評審。

Q18：如何快速了解等保2.0評價結(jié)果？

答：等級保護(hù)2.0評價結(jié)果包括評分和結(jié)果評價；得分為百分制，及格線為70分；結(jié)果分為優(yōu)、優(yōu)、中、差四個等級。90分（含）以上為優(yōu)，80分（含）以上為優(yōu)，70分（含）以上為優(yōu)，70分以下為差。

Q19：業(yè)務(wù)系統(tǒng)在云上，如何進(jìn)行等保備案工作？

答：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB附則D/T2239-2019)，云服務(wù)提供商根據(jù)提供的IaaS、PaaS、SaaS負(fù)責(zé)不同平臺的安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺服務(wù)提供商應(yīng)遵循責(zé)任分擔(dān)矩陣，共同承擔(dān)相應(yīng)的安全管理。云平臺和云租賃按照“誰運(yùn)營誰負(fù)責(zé)，誰應(yīng)用誰負(fù)責(zé)，誰負(fù)責(zé)”的原則，承擔(dān)網(wǎng)絡(luò)安全責(zé)任，開展等級保護(hù)工作。

Q20：等等保留了哪些規(guī)范標(biāo)準(zhǔn)？

答:等級保護(hù)涉及面廣，一些相關(guān)的檢測標(biāo)準(zhǔn)、規(guī)范和指南正在編制或修訂中。常見的標(biāo)準(zhǔn)包括但不限于以下幾點(diǎn):

·GB/T2848-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)評價規(guī)定

·GB/T2239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級維護(hù)基本原則

·GB/T2240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

·GB/T3167-2014信息安全技術(shù)云計算服務(wù)安全指南

·GBT3168-2014信息安全技術(shù)云計算服務(wù)安全能力要求

·GBT3626-2018信息技術(shù)云計算云服務(wù)運(yùn)營一般規(guī)定

·GB/T25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南

·GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級維護(hù)安全設(shè)計技術(shù)標(biāo)準(zhǔn)

·GB/T3698-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級維護(hù)安全管理中心技術(shù)標(biāo)準(zhǔn)

·GM/T0054-2018信息系統(tǒng)密碼應(yīng)用的基本原則

·GB個人信息安全規(guī)范/T35273-2020

Q21：在業(yè)務(wù)系統(tǒng)內(nèi)/專網(wǎng)內(nèi)，還要做等保嗎？

答:按照相關(guān)標(biāo)準(zhǔn):必須。內(nèi)部網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的非保密系統(tǒng)屬于等級保護(hù)范圍。雖然內(nèi)部/專用網(wǎng)絡(luò)的用戶比互聯(lián)網(wǎng)更清晰或可控，但內(nèi)部網(wǎng)絡(luò)并不意味著安全。

Q22：等待評估結(jié)果不符合是否等級保護(hù)工作白做？

答:不是。等級保護(hù)評價結(jié)果不符合表明信息系統(tǒng)存在高風(fēng)險或整體安全性差，不符合相應(yīng)的等級保護(hù)標(biāo)準(zhǔn)。即使拿著不符合要求的評價報告，主管單位也認(rèn)可今年大家企業(yè)的等級保護(hù)工作已經(jīng)開展，但目前存在很多問題，不符合相應(yīng)的規(guī)范。

Q23：“等保”和“分保”有什么區(qū)別？

答：指等級保護(hù)和分級保護(hù)，關(guān)鍵在于監(jiān)督機(jī)構(gòu)、適用對象、分類等級等方面的差異。

第一，監(jiān)督機(jī)構(gòu)不同，等級保護(hù)由公安機(jī)關(guān)控制，分級保護(hù)由國家保密局控制。

二是適用對象不同，等級保護(hù)適用于非保密系統(tǒng)，分級保護(hù)適用于涉及我國的秘密系統(tǒng)。

第三，等級劃分不同，等級保護(hù)分為五個等級：一級（獨(dú)立維護(hù)）、二級（指導(dǎo)維護(hù)）、三級（監(jiān)管維護(hù)）、四級（強(qiáng)制維護(hù)）、五級(�？鼐S護(hù))(�？鼐S護(hù))；分級保護(hù)分為秘密級、機(jī)密級、絕密級三個等級。

Q24：等保和“關(guān)保”有什么區(qū)別？

答：指等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施維護(hù)，“關(guān)鍵保護(hù)”應(yīng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上實(shí)施重點(diǎn)保護(hù)。《中華人民共和國網(wǎng)絡(luò)安全法》第三章第二節(jié)明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全，包括關(guān)鍵信息基礎(chǔ)設(shè)施的類別和維護(hù)的主要內(nèi)容。目前，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》正在審批中，相關(guān)試點(diǎn)工作已經(jīng)啟動。

現(xiàn)在，為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求，天*下*數(shù)*據(jù)推出了等級保護(hù)測評解決方案，能為你的等保測評提供關(guān)鍵服務(wù)。http://m.51huadong.com/

本文鏈接：http://m.51huadong.com/cloundnews/11009187.html