等級保護常見(jiàn)問(wèn)題

Q：什么是等級保護？

A：信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。

 

Q：等級保護工作具體包含哪些內容？

A：根據信息系統等級保護相關(guān)標準，等級保護工作總共分五個(gè)階段，分別為：

1）是信息系統定級。

2）是信息系統備案。

3）是系統安全建設。

4）是信息系統開(kāi)始等級測評。

5）主管單位定期開(kāi)展監督檢查。

 

Q：為什么要開(kāi)展等級保護工作？

A：主要理由如下：

1）通過(guò)等級保護工作發(fā)現單位信息系統存在的安全隱患和不足，進(jìn)行安全整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風(fēng)險，維護單位良好的形象。

2）等級保護是我國關(guān)于信息安全的基本政策，國家法律法規、相關(guān)政策制度要求單位開(kāi)展等級保護工作。如《信息安全等級保護管理辦法》和《中華人民共和國網(wǎng)絡(luò )安全法》。

3）很多行業(yè)主管單位要求行業(yè)客戶(hù)開(kāi)展等級保護工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫療、教育等行業(yè)，還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。

4）落實(shí)個(gè)人及單位的網(wǎng)絡(luò )安全保護義務(wù)，合理規避風(fēng)險。

 

Q：去哪里進(jìn)行信息系統的定級備案工作？

A：絕大部分地方規定：各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊，省級單位將資料交給省公安網(wǎng)安總隊，特定行業(yè)有要求的另說(shuō)，也有部分地方是先將資料交到區縣網(wǎng)安大隊，再由區縣網(wǎng)安大隊轉交地級市網(wǎng)安支隊進(jìn)行備案。

 

Q：什么是等級保護測評？

A：測評機構依據國家信息安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對非涉及國家秘密信息系統安全等級保護狀況進(jìn)行檢測評估的活動(dòng)。

 

Q：等級保護測評一般多長(cháng)時(shí)間能測完？

A：一個(gè)二級或三級的系統現場(chǎng)測評周期一般一周左右，具體時(shí)間還要根據信息系統數量及信息系統的規模，有所增減。小規模安全整改2-3周，出具報告時(shí)間一周，整體持續周期1-2個(gè)月。如果整改不及時(shí)或牽涉到購買(mǎi)設備，時(shí)間不好說(shuō)，但總的要求一年內要完成。

 

Q：等級保護測評多久需要測一次？

A：三級信息系統要求每年至少開(kāi)展一次測評；二級信息系統建議每?jì)赡觊_(kāi)展一次測評，部分行業(yè)是明確要求每?jì)赡觊_(kāi)展一次測評。

 

Q：等級保護測評的費用是多少？

A：測評的費用首先是按照信息系統來(lái)算，不是按照一個(gè)單位，第二不同等級的測評費用不一樣，最后測評的費用也和信息系統的資產(chǎn)規模相關(guān)，規模越大相應的測評費用會(huì )高些。費用每個(gè)省市具體情況不一樣，通常每個(gè)省市都有自己的一個(gè)價(jià)格體系，二級和三級系統的測評費用相對都是固定的，具體可以向當地測評機構咨詢(xún)。

 

Q：用戶(hù)單位需要開(kāi)展等級保護測評，找誰(shuí)去做？

A：找有測評資質(zhì)的的測評公司去開(kāi)展，該單位至少具有該省市信息安全等級保護協(xié)調小組辦公室發(fā)放的《信息安全等級保護測評機構推薦證書(shū)》，同時(shí)部分省份要求測評機構在用戶(hù)單位所在地級市公安網(wǎng)安部門(mén)備案，備案成功后方可在當地開(kāi)展等級保護測評工作。

 

Q：測評完成后需要花多少錢(qián)進(jìn)行安全整改，整改是否一次性要整改到位？

A：需要根據具體情況去分析，安全整改不一定要額外花錢(qián)，如果單位已經(jīng)有防火墻、IDS、殺毒軟件的話(huà)，設備上是基本滿(mǎn)足等保三級及以下等級的要求的。當然如果想做的更好，還是需要再增加一些其他設備的。安全整改優(yōu)先把高危風(fēng)險及最急需整改的內容先整改，不強制要求一次或一年內全部整改到位，安全建設及整改是一個(gè)持續性的工作。另外安全建設和安全整改本來(lái)就是我們日常工作應該去做的一部分內容，而不是因為做了等保測評才需要去做的，大家不要有這個(gè)誤區。