安全資訊

網(wǎng)絡(luò )安全等級保護2.0國家標準（等保2.0）自去年12月1日正式實(shí)施以來(lái)，很多企業(yè)都在努力準備過(guò)保工作，伴隨著(zhù)國內疫情防控取得積極成效，各行各業(yè)逐漸開(kāi)始復工復產(chǎn)，等保合規也重新提上重要日程。

為了讓有過(guò)保需求的客戶(hù)能夠更全面地了解當前的等保測評機制、以及針對性進(jìn)行等保合規建設，靈狐科技安全專(zhuān)家服務(wù)團隊梳理了等級保護常見(jiàn)的40個(gè)問(wèn)題，以供參考。同時(shí)也歡迎大家互動(dòng)咨詢(xún)，我們將為客戶(hù)提供一站式、全流程的等保合規服務(wù)。

Q1：什么是等級保護？

答：等級保護是指對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。

Q2：什么是等級保護2.0？

答：“等級保護2.0”或“等保2.0”是一個(gè)約定俗成的說(shuō)法，指按新的等級保護標準規范開(kāi)展工作的統稱(chēng)。通常認為是《中華人民共和國網(wǎng)絡(luò )安全法》頒布實(shí)行后提出，以2019年12月1日，網(wǎng)絡(luò )安全等級保護基本要求、測評要求和設計技術(shù)要求更新發(fā)布新版本為象征性標志。

Q3：“等?！迸c“分?！庇惺裁磪^別？

答：指等級保護與分級保護，主要不同在監管部門(mén)、適用對象、分類(lèi)等級等方面。

監管部門(mén)不一樣，等級保護由公安部門(mén)監管，分級保護由國家保密局監管。

適用對象不一樣，等級保護適用非涉密系統，分級保護適用于涉及國家密秘系統。

等級分類(lèi)不同，等級保護分5個(gè)級別：一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專(zhuān)控保護)；分級保護分3個(gè)級別：秘密級、機密級、絕密級。

Q4：“等?！迸c“關(guān)?！庇惺裁磪^別？

答：指等級保護與關(guān)鍵信息基礎設施保護，“關(guān)?！笔窃诰W(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護?！吨腥A人民共和國網(wǎng)絡(luò )安全法》第三章第二節規定了關(guān)鍵信息基礎設施的運行安全，包括關(guān)鍵信息基礎設施的范圍、保護的主要內容等。

目前《信息安全技術(shù) 關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護基本要求》正在報批中，相關(guān)試點(diǎn)工作已啟動(dòng)。

Q5：什么是等級保護測評？

答：指測評機構依據國家信息安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對非涉及國家秘密網(wǎng)絡(luò )安全等級保護狀況進(jìn)行檢測評估的活動(dòng)。

Q6：等級保護是否是強制性的,可以不做嗎？

答：《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條規定網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行相關(guān)的安全保護義務(wù)。同時(shí)第七十六條定義了網(wǎng)絡(luò )運營(yíng)者是指網(wǎng)絡(luò )的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者。

等級保護相關(guān)標準雖然為非強制性的推薦標準，但網(wǎng)絡(luò )（個(gè)人與家庭網(wǎng)絡(luò )除外）運營(yíng)者必需按網(wǎng)絡(luò )安全法開(kāi)展等級保護工作。

Q7：做等級保護要多少錢(qián)？

答：開(kāi)展等級保護工作會(huì )包含：針對業(yè)務(wù)系統開(kāi)展測評的費用，以及按等級保護要求開(kāi)發(fā)、購買(mǎi)或部署安全防護產(chǎn)品成本，開(kāi)展安全日常運維等人力成本?？傮w投入的費用與網(wǎng)絡(luò )運營(yíng)者對等級保護測評結果分數的預期，以及業(yè)務(wù)系統安全防護能力建設與整改的情況而定，相應的費用投入會(huì )差距很大。

為避免盲目投入這個(gè)誤區，建議咨詢(xún)專(zhuān)業(yè)安全服務(wù)咨詢(xún)機構制訂最高性?xún)r(jià)比的解決方案來(lái)滿(mǎn)足合規要求又達到業(yè)務(wù)系統安全保障要求。

Q8：等級保護測評一般多長(cháng)時(shí)間能測完？

答：一個(gè)二級或三級的系統整體持續周期1-2個(gè)月。

現場(chǎng)測評周期一般1周左右，具體時(shí)間還要根據信息系統數量及信息系統的規模，以及測評方與被測評方的配合情況等有所增減。

小規模安全整改（管理制度、策略配置技術(shù)整改）2-3周，出具報告時(shí)間1周。

Q9：等級保護測評多久做一次？

答：四級信息系統要求每半年至少開(kāi)展一次測評；三級信息系統要求每年至少開(kāi)展一次測評；二級信息系統建議每?jì)赡觊_(kāi)展一次測評，部分行業(yè)是明確要求每?jì)赡觊_(kāi)展一次測評。

Q10：是否系統定級越低越好？

答：不是?？筛鶕?shí)際業(yè)務(wù)系統的情況參照定級標準進(jìn)行定級，采用“定級過(guò)低不允許、定級過(guò)高不可取”的原則。當出現網(wǎng)絡(luò )安全事件進(jìn)行追責的時(shí)候，如因系統定級過(guò)低，需承擔系統定級不合理、安全責任沒(méi)有履行到位的風(fēng)險。

Q11：定級備案了是否就被監管了？

答：沒(méi)有定級備案并不代表不需被監管，應盡快履行網(wǎng)絡(luò )運營(yíng)者的安全責任進(jìn)行備案。定級備案后監管部門(mén)會(huì )在重要時(shí)候開(kāi)展安全檢查或發(fā)布一些針對性的安全預警，有利于網(wǎng)絡(luò )運營(yíng)者開(kāi)展網(wǎng)絡(luò )安全工作降低風(fēng)險。

Q12：等級保護工作就是做個(gè)測評嗎？

答：等級保護工作包括定級、備案、測評、建設整改、監督審查，測評只是其中一項。測評不是等保工作的結束，重要的是通過(guò)測評查漏補缺，不斷改進(jìn)提升安全防護能力，降低安全風(fēng)險。

Q13：等級保護測評做一次要多少錢(qián)？

答：等級保護工作屬于屬地化管理，測評收費非全國統一價(jià)，測評費用每個(gè)省都有一個(gè)參考報價(jià)標準。因業(yè)務(wù)系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。

如某省的參考報價(jià)為：二級系統測評費5萬(wàn)，三級系統測評費9萬(wàn)。

Q14：等保測評后就要花很多錢(qián)做整改嗎？

答：不一定。整改工作可根據網(wǎng)絡(luò )運營(yíng)者對測評結果分數的期望和現有安全防護措施的實(shí)際效果是否能保障業(yè)務(wù)抵抗風(fēng)險的需求按需開(kāi)展。整改內容也有很多不同方向，除安全設備或服務(wù)外，安全管理制度、安全策略調整的整改成本并不高，同樣也能快速提升安全保障能力。

Q15：過(guò)等保要花多少錢(qián)？能包過(guò)嗎？

答：等級保護采用備案與測評機制而非認證機制，不存在包過(guò)的說(shuō)法，盲目采納服務(wù)商包過(guò)的產(chǎn)品與服務(wù)套餐往往不是最高性?xún)r(jià)比的方案。網(wǎng)絡(luò )運營(yíng)者可結合自身實(shí)際安全需求與等保測評預期得分，咨詢(xún)專(zhuān)業(yè)的第三方安全咨詢(xún)服務(wù)機構來(lái)開(kāi)展等建設工作與測評機構的選擇。

Q16：做了等級測評之后，是否會(huì )給發(fā)合格證書(shū)？

答：測評后無(wú)合格證書(shū)。等級保護采用備案與測評機制而非認證機制，公安機關(guān)只對信息系統的備案情況進(jìn)行審核，對符合等級保護要求的，頒發(fā)信息系統安全等級保護備案證明，發(fā)現不符合有關(guān)標準的，通知備案單位予以糾正，發(fā)現定級不準的，通知備案單位重新審核確定。

Q17：如何快速理解等保2.0測評結果？

答：等級保護2.0測評結果包括得分與結論評價(jià)；得分為百分制，及格線(xiàn)為70分；結論評價(jià)分為優(yōu)、良、中、差四個(gè)等級。

Q18：多長(cháng)時(shí)間能拿到備案證明？

答：全國各省網(wǎng)警管理有所差異，一般提交備案流程后，如資料完備（三級系統要求含測評報告），順利通過(guò)審核后15個(gè)工作日即可拿到備案證明。

Q19：不同公司的業(yè)務(wù)系統整合后是否可以算一個(gè)系統？

答：如果兩個(gè)業(yè)務(wù)系統整合后功能高度融合，后臺統一，可以認為是一個(gè)系統，只是業(yè)務(wù)功能增加，按業(yè)務(wù)系統更變申請復測即可。

Q20：如何判定屬于移動(dòng)安全擴展要求？

答：當業(yè)務(wù)系統要滿(mǎn)足具有專(zhuān)用APP、通過(guò)特定網(wǎng)絡(luò )連接、具備專(zhuān)用移動(dòng)終端時(shí)參照移動(dòng)互聯(lián)擴展要求。

Q21：如何選擇等級保護備案所在地？

答：建議根據被測評業(yè)務(wù)系統的經(jīng)營(yíng)主體與法人注冊地優(yōu)先向當地公安網(wǎng)警（公共信息網(wǎng)絡(luò )安全監察局）備案并找本地測評機構測評?；蚩蛇x擇IT運維團隊所在地進(jìn)行備案與測評。

Q22：如何選擇測評機構開(kāi)展測評？

答：選擇有測評資質(zhì)的測評公司，優(yōu)先考慮本地測評公司。同時(shí)關(guān)注國家網(wǎng)絡(luò )安全等級保護工作協(xié)調小組辦公室的不定期整改公告中是否涉及相關(guān)測評公司。

Q23：如何確定業(yè)務(wù)系統屬于等保幾級？

答：可參照等級保護定級指南，從業(yè)務(wù)系統安全和系統服務(wù)安全兩個(gè)方面評價(jià)當業(yè)務(wù)系統被破壞時(shí)對客體的影響程度，取兩個(gè)方面較高的等級。

當確定系統級別后，可開(kāi)展專(zhuān)家評審對系統定級合理性進(jìn)行審核。如有行業(yè)主管部門(mén)制訂的定級依據，可直接參照采納行業(yè)定級標準定級。

Q24：買(mǎi)/用哪些安全產(chǎn)品能過(guò)等保？

答：可根據實(shí)際情況，如考慮等保測評結果分數與等級、業(yè)務(wù)系統風(fēng)險與防護要求等綜合考慮安全通信網(wǎng)絡(luò )防護、安全區域邊界防護、安全計算環(huán)境防護、安全管理中心、安全建設與運維等投入。建議咨詢(xún)專(zhuān)業(yè)的安全咨詢(xún)服務(wù)機構定制解決方案。

Q25：現在還沒(méi)做等保還來(lái)得及嗎？有什么影響？

答：來(lái)得及。種一棵樹(shù)，最好的時(shí)間是十年前，其次是現在?？上雀鶕墏浒敢蠛土鞒?，先向公安遞交定級備案文件，測評與整改預算提上日程，在經(jīng)費未落實(shí)前，可以先進(jìn)行系統定級、差距分析、整改計劃制訂等工作。

Q26：業(yè)務(wù)系統在云上，安全是云平臺負責的吧？

答：根據《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》（GB/T 22239-2019）附錄D，云服務(wù)商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業(yè)務(wù)系統上云后，云租戶(hù)與云平臺服務(wù)商之間應遵循責任分擔矩陣共同承擔相應的安全責任。

Q27：做完等級保護測評后整改周期是多久？

答：無(wú)明確規定?？蓛?yōu)先把高危風(fēng)險及最急需整改的內容先整改，不強制要求一次或一年內全部整改到位，安全建設及整改是一個(gè)持續性的工作。另外安全建設和安全整改本來(lái)就是日常安全工作的一部分內容，而不是因為做了等保測評才需要去做的。

Q28：等級保護有哪些規范標準？

答：等級保護涉及面廣，相關(guān)的安全標準、規范、指南還有很多正在編制或修訂中。常用的規范標準包括但不限于如下幾個(gè)：

Q29：等級保護步驟或流程是什么樣的？

答：根據信息系統等級保護相關(guān)標準，等級保護工作總共分五個(gè)階段，分別為：信息系統定級、是信息系統備案、是系統安全建設、是信息系統開(kāi)始等級測評、主管單位定期開(kāi)展監督檢查。

Q30：有哪些情況系統定級無(wú)需專(zhuān)家評審？

答：信息系統運營(yíng)使用單位有上級主管部門(mén)，且對信息系統的安全保護等級有定級指導意見(jiàn)或審核批準的，可無(wú)需在進(jìn)行等級專(zhuān)家評審。

主管部門(mén)一般指行業(yè)的上級主管部門(mén)或監管部門(mén)。如果是跨地域聯(lián)網(wǎng)運營(yíng)使用的信息系統，則必須由上級主管部門(mén)審批，確保同類(lèi)系統或分支系統在各地域分別定級的一致性。

Q31：業(yè)務(wù)系統在內/專(zhuān)網(wǎng)，還需要做等保嗎？

答：需要。內網(wǎng)與專(zhuān)網(wǎng)的非涉密系統都屬于等級保護范疇，雖然內/專(zhuān)網(wǎng)相對于互聯(lián)網(wǎng)，業(yè)務(wù)系統的用戶(hù)比較明確或可控，但內網(wǎng)不代表安全。

Q32：等級保護測評結論不符合是不是等級保護工作就白做了？

答：不是。等級保護測評結論不符合表示目前該信息系統存在高危風(fēng)險或整體安全性較差，不符合等保的相應標準要求。但是這并不代表等級保護工作白做了，即使你拿著(zhù)不符合的測評報告，主管單位也是承認你們單位今年的等級保護工作已經(jīng)開(kāi)展過(guò)了，只是目前的問(wèn)題較多，沒(méi)達到相應的標準。

Q33：拿什么證明開(kāi)展過(guò)等級保護工作？

答：備案證明或測評報告，即加蓋測評機構公章或測評專(zhuān)用章的測評報告以及有主管部門(mén)公章的系統備案證明或系統定級備案資料。

Q34：系統在云上，還要做等保嗎？

答：要做。業(yè)務(wù)上云有多種情況，如在公有云、私有云、專(zhuān)有云等不同屬性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服務(wù)，雖然安全責任邊界發(fā)生了變化，但網(wǎng)絡(luò )運營(yíng)者的安全責任不會(huì )轉移。根據“誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責、誰(shuí)主管誰(shuí)負責”的原則，應承擔網(wǎng)絡(luò )安全責任進(jìn)行等級保護工作。

Q35：如何將業(yè)務(wù)快速遷移到云端？

答：一般的云平臺提供遷移服務(wù)，整合了各種遷移工具，并提供統一監控。用戶(hù)在遷移時(shí)可選擇云平臺官方遷移工具，也可選擇官方認證的第三方遷移工具。遷移服務(wù)平臺幫助用戶(hù)方便快捷的將系統遷移上云，并清晰掌握遷移進(jìn)度。遷移服務(wù)平臺 MSP 不收取任何額外費用，您只需為使用的遷移工具及資源付費。

Q36：業(yè)務(wù)在云上，到哪里進(jìn)行定級備案？

答：可在業(yè)務(wù)系統運維團隊或其公司主體經(jīng)營(yíng)注冊地向公安網(wǎng)警進(jìn)行備案，與業(yè)務(wù)系統在云上的資源物理節點(diǎn)的地點(diǎn)無(wú)關(guān)。

Q37：云平臺等保測評是幾級？

答：公有云等級保護一般都是過(guò)了等級保護三級。

Q38：如何獲取云平臺等級保護測評報告關(guān)鍵頁(yè)或備案證明？

答：云租戶(hù)在開(kāi)展等級保護測評時(shí)，需查閱云平臺等保測評結果。云平臺大客戶(hù)可在其專(zhuān)屬的QQ群中提交需求獲??；普通云客戶(hù)可在云控制臺中選擇“工單”—“其他服務(wù)“—“其他云產(chǎn)品” 提交工單。

Q39：云平臺可以提供哪些幫助嗎？

答：云平臺一般都已通過(guò)等級保護三級要求，可以為云租戶(hù)提供一個(gè)合規的云平臺，這也是租戶(hù)業(yè)務(wù)系統通過(guò)等級保護2.0測評的先決條件。

安全產(chǎn)品方面，針對等保二級和三級的要求，云平臺擁有包含安全管理中心、防火墻、Web應用防火墻、DDoS高防、數據安全網(wǎng)關(guān)、主機安全、數據庫審計、堡壘機等云原生安全防護產(chǎn)品。

安全服務(wù)方面，靈狐科技為云上客戶(hù)提供系統化的網(wǎng)絡(luò )安全等級保護合規建設和測評服務(wù)的渠道。提供具有深厚行業(yè)背景與10+年安全從業(yè)經(jīng)驗的資深安全專(zhuān)家的專(zhuān)業(yè)安全服務(wù)，讓安全建設不再是企業(yè)的負擔。

Q40：如何聯(lián)系靈狐科技安全專(zhuān)家服務(wù)團隊進(jìn)行等保咨詢(xún)？