安全資訊

為了讓有過(guò)保需求的客戶(hù)能夠更全面地了解當前的等保測評機制、以及針對性進(jìn)行2021年等保以及商密合規建設，梳理了等級保護以及商密中常見(jiàn)的50個(gè)問(wèn)題，以供參考。
1什么是等級保護？
答：等級保護制度是我國網(wǎng)絡(luò )安全的基本制度。等級保護是指對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。
2什么是等級保護2.0？
答：“等級保護2.0”或“等保2.0”是一個(gè)約定俗成的說(shuō)法，指按新的等級保護標準規范開(kāi)展工作的統稱(chēng)。通常認為是《中華人民共和國網(wǎng)絡(luò )安全法》頒布實(shí)行后提出，以2019年12月1日，《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》正式實(shí)施為象征性標志。
3“等?！迸c“分?！庇惺裁磪^別？
答：指等級保護與分級保護，主要不同在監管部門(mén)、適用對象、分類(lèi)等級等方面。
監管部門(mén)不一樣，等級保護由公安部門(mén)監管，分級保護由國家保密局監管。
適用對象不一樣，等級保護適用非涉密系統，分級保護適用于涉及國家密秘系統。
等級分類(lèi)不同，等級保護分5個(gè)級別：一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專(zhuān)控保護)；分級保護分3個(gè)級別：秘密級、機密級、絕密級。
4“等?！迸c“關(guān)?！庇惺裁磪^別？
答：指等級保護與關(guān)鍵信息基礎設施保護，“關(guān)?！笔窃诰W(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護?！吨腥A人民共和國網(wǎng)絡(luò )安全法》第三章第二節規定了關(guān)鍵信息基礎設施的運行安全，包括關(guān)鍵信息基礎設施的范圍、保護的主要內容等。
目前“關(guān)?！钡幕疽?、測評指南、高風(fēng)險判例等均已基本完成，相關(guān)試點(diǎn)工作已啟動(dòng)。
5什么是等級保護測評?
答：指經(jīng)認定的專(zhuān)業(yè)第三方測評機構依據國家信息安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對非涉及國家秘密網(wǎng)絡(luò )安全等級保護狀況進(jìn)行檢測評估的活動(dòng)。
6什么是商密？
答：商用密碼用于保護不屬于國家秘密的信息。也就是說(shuō)，商用密碼可以用于保護除國家秘密之外的所有信息，既可以保護企業(yè)商業(yè)秘密、公民個(gè)人隱私，也可以保護政務(wù)領(lǐng)域中不屬于國家秘密的工作信息。關(guān)于商用密碼的名稱(chēng)，1996年，中央決定在我國大力發(fā)展商用密碼，加強對商用密碼的管理。1999年，國務(wù)院頒布施行《商用密碼管理條例》（國務(wù)院令第273號），商用密碼的名稱(chēng)開(kāi)始為社會(huì )所熟知和廣泛使用。此后，中央文件和黨內法規以及國家密碼管理局制定發(fā)布的規范性文件均采用了“商用密碼”這一名稱(chēng)。
7什么是商用密碼安全性評估？
商用密碼應用安全性評估（簡(jiǎn)稱(chēng)“密評”），是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統中，對其密碼應用的合規性、正確性和有效性進(jìn)行評估。
8不做密評或測試結果不合格有什么影響？
《密碼法》第三十七條第一款
關(guān)鍵信息基礎設施的運營(yíng)者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或者未按照要求開(kāi)展商用密碼應用安全性評估的，由密碼管理部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對直接負責的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
《國家政務(wù)信息化項目建設管理辦法》第二十八條第三款
對于不符合密碼應用和網(wǎng)絡(luò )安全要求，或者存在重大安全隱患的政務(wù)信息系統，不安排運行維護經(jīng)費，項目建設單位不得新建、改建、擴建政務(wù)信息系統。
《商用密碼應用安全性評估管理辦法（試行）》第二章第十條
關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上信息系統，每年至少評估一次。
9“商用密碼評估””和“等?！本烤褂兄?zhù)什么樣的關(guān)系呢？
答：在網(wǎng)絡(luò )安全等級保護規劃、建設、運行階段開(kāi)展密碼應用安全性評估;
《商用密碼應用安全性評估管理辦法（試行）》明確等保三級及以上系統，應當通過(guò)密碼測評后方可投入運行;等保三級以上網(wǎng)絡(luò )每年進(jìn)行一次密評，且測評結果需報主管部門(mén)、密碼管理部門(mén)及公安部門(mén)備案;
《網(wǎng)絡(luò )安全等級保護條例》中保留了密碼專(zhuān)章在統一標準體系的基礎上臺并開(kāi)展;
《網(wǎng)絡(luò )安全等級保護基本要求》明確各級系統在哪些環(huán)節使用密碼;
《網(wǎng)絡(luò )安全等級保護測評要求》將密碼測評結果列為等保測評通過(guò)的必要條件;
10“等?！迸c“商密”的主要標準有什么區別？
答：等保2.0將網(wǎng)絡(luò )基礎設施、重要信息系統、大型互聯(lián)網(wǎng)站、大數據中心、云計算平臺、物聯(lián)網(wǎng)系統、工業(yè)控制系統、公眾服務(wù)平臺等全部納入等級保護對象，并將風(fēng)險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價(jià)、綜治考核、安全員培訓等工作措施全部納入等級保護制度。
商密是依據我國相關(guān)法律的規定，我國商用密碼的標準，由國務(wù)院標準化行政主管部門(mén)和國家密碼管理部門(mén)依據各自職責，組織制定，包括國家標準、行業(yè)標準兩種。
《中華人民共和國密碼法》
第二十二條 國家建立和完善商用密碼標準體系。
國務(wù)院標準化行政主管部門(mén)和國家密碼管理部門(mén)依據各自職責，組織制定商用密碼國家標準、行業(yè)標準。
國家支持社會(huì )團體、企業(yè)利用自主創(chuàng )新技術(shù)制定高于國家標準、行業(yè)標準相關(guān)技術(shù)要求的商用密碼團體標準、企業(yè)標準。
第二十三條 國家推動(dòng)參與商用密碼國際標準化活動(dòng)，參與制定商用密碼國際標準，推進(jìn)商用密碼中國標準與國外標準之間的轉化運用。
國家鼓勵企業(yè)、社會(huì )團體和教育、科研機構等參與商用密碼國際標準化活動(dòng)。
11等級保護是否是強制性的,可以不做嗎?
答：《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條規定網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行相關(guān)的安全保護義務(wù)。同時(shí)第七十六條定義了網(wǎng)絡(luò )運營(yíng)者是指網(wǎng)絡(luò )的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者。
等級保護工作是保障我國網(wǎng)絡(luò )安全的基本動(dòng)作，目前各單位需按照所在行業(yè)及保護對象重要程度，依據網(wǎng)絡(luò )安全法及相關(guān)部門(mén)要求，按照“同步規劃、同步建設、同步使用”的原則，開(kāi)展等級保護工作。
12做等級保護要多少錢(qián)？
答：開(kāi)展等級保護工作主要包含：規劃費用、建設或整改費用、運維費用、測評費用等，具體費用因各單位現狀、保護對象承載業(yè)務(wù)功能、重要程度、所在地區等差異較大。
為避免過(guò)度保護或疏于防范的情況，減少資源浪費等，建議聘請或咨詢(xún)專(zhuān)業(yè)的等級保護服務(wù)機構，制定科學(xué)合理的方案。
13等級保護測評一般多長(cháng)時(shí)間能測完？
答：一個(gè)二級或三級的系統整體持續周期1-2個(gè)月。
現場(chǎng)測評周期一般1周左右，具體時(shí)間還要根據信息系統數量及信息系統的規模，以及測評方與被測評方的配合情況等有所增減。
小規模安全整改（管理制度、策略配置技術(shù)整改）2-3周，出具報告時(shí)間1-2周。
目前各地根據各自省份或城市的情況，還存在單獨規定測評實(shí)施周期的情況，一般是簽訂測評合同之日起3-6個(gè)月必須出具測評報告。
14等級保護測評多久做一次？
答：根據《信息安全等級保護管理辦法》公通字200743號十四條：第三級以上網(wǎng)絡(luò )的運營(yíng)者應當每年開(kāi)展一次網(wǎng)絡(luò )安全等級測評。二級信息系統建議每?jì)赡觊_(kāi)展一次測評，部分行業(yè)是明確要求每?jì)赡觊_(kāi)展一次測評。
15是否系統定級越低越好？
答：不是。應根據實(shí)際業(yè)務(wù)系統的情況參照定級標準進(jìn)行定級，采用“定級過(guò)低不允許、定級過(guò)高不可取”的原則。當出現網(wǎng)絡(luò )安全事件進(jìn)行追責的時(shí)候，如因系統定級過(guò)低，需承擔系統定級不合理、安全責任沒(méi)有履行到位的風(fēng)險。
16定級備案了是否就被監管了？
答：沒(méi)有定級備案并不代表不會(huì )被監管。通過(guò)自評估達到二級及以上的保護對象，均應盡快組織專(zhuān)家開(kāi)展定級評審工作，并到屬地網(wǎng)安進(jìn)行備案。定級備案后監管部門(mén)會(huì )及時(shí)發(fā)布針對性的安全預警，并根據情況實(shí)地指導網(wǎng)絡(luò )安全工作，有利于網(wǎng)絡(luò )運營(yíng)者提升網(wǎng)絡(luò )安全風(fēng)險的應對能力，保障單位的聲譽(yù)，減少經(jīng)濟損失。
17等級保護工作就是做個(gè)測評嗎？
答：等級保護工作包括定級、備案、測評、建設整改、監督審查，測評只是其中一項。測評不是等保工作的結束，重要的是通過(guò)測評查漏補缺，不斷改進(jìn)提升安全防護能力，降低安全風(fēng)險。
18等級保護測評做一次要多少錢(qián)？
答：等級保護工作屬于屬地化管理，測評收費非全國統一價(jià)，測評費用每個(gè)省都有一個(gè)參考報價(jià)標準。因業(yè)務(wù)系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
19等保測評后就要花很多錢(qián)做整改嗎？
答：不一定。整改工作可根據網(wǎng)絡(luò )運營(yíng)者對測評結果分數的期望和現有安全防護措施的實(shí)際效果是否能保障業(yè)務(wù)抵抗風(fēng)險的需求按需開(kāi)展。整改內容也有很多不同方向，除安全設備或服務(wù)外，安全管理制度、安全策略調整的整改成本并不高，同樣也能快速提升安全保障能力。
20過(guò)等保要花多少錢(qián)？能包過(guò)嗎？
答：等級保護采用備案與測評機制而非認證機制，不存在包過(guò)的說(shuō)法，盲目采納服務(wù)商包過(guò)的產(chǎn)品與服務(wù)套餐往往不是最高性?xún)r(jià)比的方案。網(wǎng)絡(luò )運營(yíng)者可結合自身實(shí)際安全需求與等保測評預期得分，咨詢(xún)專(zhuān)業(yè)的第三方安全咨詢(xún)服務(wù)機構來(lái)開(kāi)展等建設工作。
21做了等級測評之后，是否會(huì )給發(fā)合格證書(shū)？
答：測評后無(wú)合格證書(shū)。等級保護采用備案與測評機制而非認證機制，在屬地網(wǎng)安備案后可獲得《信息系統安全等級保護備案證明》，測評工作完成后會(huì )收到具有法律效率的“測評報告（至少要加蓋測評機構公章和測評專(zhuān)用章）”。
22如何快速理解等保2.0測評結果？
答：等級保護2.0測評結果包括得分與結論評價(jià)；得分為百分制，及格線(xiàn)為70分；結論評價(jià)分為優(yōu)、良、中、差四個(gè)等級。
23多長(cháng)時(shí)間能拿到備案證明？
答：全國各省網(wǎng)警管理有所差異，一般提交備案流程后，如資料完備，順利通過(guò)審核后15個(gè)工作日即可拿到備案證明。
24不同公司的業(yè)務(wù)系統整合后是否可以算一個(gè)系統？
答：不同公司作為兩個(gè)獨立承擔法律的主體單位，必須明確唯一的備案主體，不能算一個(gè)系統。同一單位的業(yè)務(wù)系統，如確實(shí)經(jīng)過(guò)改造，入口、后臺、業(yè)務(wù)關(guān)聯(lián)性、重要程度等符合《GB/T 22240-2020 信息系統安全 網(wǎng)絡(luò )安全等級保護定級指南》要求可以算作一個(gè)系統。
25如何判定屬于移動(dòng)安全擴展要求？
答：當業(yè)務(wù)系統要滿(mǎn)足具有專(zhuān)用APP、通過(guò)特定網(wǎng)絡(luò )連接、具備專(zhuān)用移動(dòng)終端時(shí)參照移動(dòng)互聯(lián)擴展要求。
26如何選擇等級保護備案所在地？
答：《信息安全等級保護管理辦法》規定，等級保護的主體單位為信息系統的運營(yíng)、使用單位。備案主體一般可以理解為，出現網(wǎng)絡(luò )安全事件后，第一責任單位是誰(shuí)，誰(shuí)就是備案主體。要注意讓承建單位或運維單位成為備案主體的錯誤方式。大部分情況下，在單位所在地屬地（縣級及以上）網(wǎng)安進(jìn)行定級備案。如運維所在地和注冊地不一致，一般以運維所在地備案。當然也有一些特殊行業(yè)的要求，比如一些涉及到金融安全的行業(yè)，比如互聯(lián)網(wǎng)金融系統、支付系統需要屬地化管理，這些系統需要在注冊地辦理定級備案手續，以滿(mǎn)足本地的監管要求。
27如何選擇測評機構開(kāi)展測評？
答：選擇有測評資質(zhì)的測評公司，優(yōu)先考慮本地測評公司?？蓞⒄罩袊W(wǎng)絡(luò )安全等級保護網(wǎng)的《全國網(wǎng)絡(luò )安全等級保護測評機構推薦目錄》選中幾家進(jìn)行邀請投標，同時(shí)關(guān)注該網(wǎng)站公布的國家網(wǎng)絡(luò )安全等級保護工作協(xié)調小組辦公室的不定期整改公告中是否涉及相關(guān)測評公司。
28如何確定業(yè)務(wù)系統屬于等保幾級？
答：可參照等級保護定級指南，從業(yè)務(wù)系統安全和系統服務(wù)安全兩個(gè)方面評價(jià)當業(yè)務(wù)系統被破壞時(shí)對客體的影響程度，取兩個(gè)方面較高的等級。
當確定系統級別后，應開(kāi)展專(zhuān)家評審對系統定級合理性進(jìn)行審核。如有行業(yè)主管部門(mén)制訂的定級依據，可直接參照采納行業(yè)定級標準定級。
29買(mǎi)/用哪些安全產(chǎn)品能過(guò)等保？
答：可根據實(shí)際情況，如考慮等保測評結果分數與等級、業(yè)務(wù)系統風(fēng)險與防護要求等綜合考慮安全通信網(wǎng)絡(luò )防護、安全區域邊界防護、安全計算環(huán)境防護、安全管理中心、安全建設與運維等投入。建議咨詢(xún)專(zhuān)業(yè)的安全咨詢(xún)服務(wù)機構定制解決方案。
30現在還沒(méi)做等保還來(lái)得及嗎？有什么影響？
答：來(lái)得及。種一棵樹(shù)，最好的時(shí)間是十年前，其次是現在?？上雀鶕墏浒敢蠛土鞒?，先向公安遞交定級備案文件，測評與整改預算提上日程，在經(jīng)費未落實(shí)前，可以先進(jìn)行系統定級、差距分析、整改計劃制訂等工作。
31業(yè)務(wù)系統在云上，安全是云平臺負責的吧？
答：根據《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》（GB/T 22239-2019）附錄D，云服務(wù)商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業(yè)務(wù)系統上云后，云租戶(hù)與云平臺服務(wù)商之間應遵循責任分擔矩陣共同承擔相應的安全責任。
也就是說(shuō)云平臺承擔的是云平臺的安全責任，部署在云平臺上的系統或數據所有者，應對該系統或數據承擔網(wǎng)絡(luò )安全保護責任。
32做完等級保護測評后整改周期是多久？
答：雖無(wú)明確規定，但測評報告一般是整改達標后才出具，除非可以接受結論為“差”的報告或不在乎分數。另外，等保工作本身就是為了提升網(wǎng)絡(luò )安全防護水平，尤其是測評中發(fā)現的高風(fēng)險建議立刻克服困難，抓緊整改。不少單位就是因為“高風(fēng)險”問(wèn)題沒(méi)及時(shí)整改而中招，導致單位承受了巨大的經(jīng)濟和聲譽(yù)損失。
33等級保護有哪些規范標準？
答：等級保護涉及面廣，相關(guān)的安全標準、規范、指南還有很多正在編制或修訂中。常用的規范標準包括但不限于如下幾個(gè)：
GB 17859-1999 計算機信息系統安全保護劃分準則
GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南
GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求
GB/T 36326-2018 信息技術(shù) 云計算云服務(wù)運營(yíng)通用要求
GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護實(shí)施指南
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求
GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求
GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評過(guò)程指
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求
GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò )安全安全等級保護定級指南
GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全管理中心技術(shù)要求
GM/T 0054-2018 信息系統密碼應用基本要求
GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規范
34等級保護步驟或流程是什么樣的？
答：根據信息系統等級保護相關(guān)標準，等級保護工作總共分五個(gè)階段，分別為：系統定級、系統備案、安全建設/整改、等級測評、主管/監管單位定期開(kāi)展監督檢查。
35有哪些情況系統定級無(wú)需專(zhuān)家評審？
答：信息系統運營(yíng)使用單位有上級主管部門(mén)，且對信息系統的安全保護等級有定級指導意見(jiàn)或審核批準的，可無(wú)需在進(jìn)行等級專(zhuān)家評審。
主管部門(mén)一般指行業(yè)的上級主管部門(mén)或監管部門(mén)。如果是跨地域聯(lián)網(wǎng)運營(yíng)使用的信息系統，則必須由上級主管部門(mén)審批，確保同類(lèi)系統或分支系統在各地域分別定級的一致性。

具體要求建議咨詢(xún)屬地網(wǎng)安

36業(yè)務(wù)系統在內/專(zhuān)網(wǎng)，還需要做等保嗎？

答：需要。內網(wǎng)與專(zhuān)網(wǎng)的非涉密系統都屬于等級保護范疇，雖然內/專(zhuān)網(wǎng)相對于互聯(lián)網(wǎng)，業(yè)務(wù)系統的用戶(hù)比較明確或可控，但內網(wǎng)不代表安全。
37等級保護測評結論不符合是不是等級保護工作就白做了？
答：不是。等級保護測評結論為“差”，表示目前該信息系統存在高危風(fēng)險或整體安全性較差，沒(méi)有達到相應標準要求。但是這并不代表等級保護工作白做了，即使你拿著(zhù)不符合的測評報告，主管單位也是承認你們單位今年的等級保護工作已經(jīng)開(kāi)展過(guò)了，只是目前的問(wèn)題較多，沒(méi)達到相應的標準，需要抓緊整改。
38拿什么證明開(kāi)展過(guò)等級保護工作？
答：一般情況是備案證明和測評報告，測評報告應加蓋測評機構公章和測評專(zhuān)用章。
39系統在云上，還要做等保嗎？
答：要做。業(yè)務(wù)上云有多種情況，如在公有云、私有云、專(zhuān)有云等不同屬性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服務(wù)，雖然安全責任邊界發(fā)生了變化，但網(wǎng)絡(luò )運營(yíng)者的安全責任不會(huì )轉移。根據“誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責、誰(shuí)主管誰(shuí)負責”的原則，應承擔網(wǎng)絡(luò )安全責任進(jìn)行等級保護工作。
是否要通過(guò)測評這個(gè)需根據系統的重要程度，依據國家標準和相關(guān)部門(mén)要求來(lái)確定。
40等保的測評內容有哪些？
答：通用要求包含：技術(shù)要求（安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心）；管理要求（安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理）；云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工控、大數據擴展標準以及行業(yè)標準。
41“商密”測評的具體流程是什么？
答：商用密碼應用安全評估的工作流程大致包括確定評估對象、開(kāi)展測評工作、輸出密碼測評報告、密評結果上報四個(gè)階段。
42“等?！迸c“商密”的評估對象有什么區別？
答：等級保護對象基本覆蓋了全部的網(wǎng)絡(luò )和信息系統，第三級以上的網(wǎng)絡(luò )安全等級保護對象（部分）同時(shí)為關(guān)基和密評的評估對象；商密對象含關(guān)鍵基礎設施、第三級等級保護對象和部分重要的信息系統。
43“等?！迸c“商密”的評估周期有什么區別？
答：等級測評、商密在實(shí)際開(kāi)展過(guò)程中應銜接進(jìn)行，第三級以上的等級保護對象、商用密碼應用安全的評估周期均為每年至少一次。
44“等?！迸c“商密”的評估結果有什么區別？
答：網(wǎng)絡(luò )安全等級保護評估結論為優(yōu)、良、中、差；商密的測評結論有符合、部分符合、不符合；等級測評和商密都引入了風(fēng)險分析，依據資產(chǎn)、威脅、脆弱性進(jìn)行賦值，并計算風(fēng)險值進(jìn)行判定，風(fēng)險結論有高、中、低；關(guān)鍵信息基礎設施保護基于風(fēng)險評估的方法，重在分析安全風(fēng)險可能引起的安全事件及總體安全狀況。當網(wǎng)絡(luò )和信息系統存在高風(fēng)險時(shí)，等級測評和商密的結論均為不符合（差）。
45“等?！焙汀熬W(wǎng)絡(luò )安全法”什么關(guān)系？
答：等級保護工作是國家網(wǎng)絡(luò )安全的基礎性工作，是“網(wǎng)絡(luò )安全法”要求我們履行的一項安全責任?！熬W(wǎng)絡(luò )安全法”是網(wǎng)絡(luò )安全領(lǐng)域的基本法，從國家層面對等級保護工作的法律認可，網(wǎng)絡(luò )安全法中明確的提到信息安全的建設要遵照等級保護標準來(lái)建設。
46哪些企業(yè)和單位應該開(kāi)展等保工作？
答：根據 GB/T 22239-2019的相關(guān)規定：
劃重點(diǎn)：
（1）中國境內運營(yíng)的
（2）政府、事業(yè)單位、對外提供服務(wù)的企業(yè)
（3）除信息系統外，還包括：基礎網(wǎng)絡(luò )、云平臺、大數據、物聯(lián)網(wǎng)、工控系統和移動(dòng)互聯(lián)
也就是說(shuō)，基本涵蓋了企業(yè)的對外提供服務(wù)的業(yè)務(wù)系統和產(chǎn)品。
47購買(mǎi)了符合等保要求的安全設備就能有效抵御網(wǎng)絡(luò )風(fēng)險？
答：設備只是工具，是否能抵御風(fēng)險，還有看怎么用！不少單位花錢(qián)買(mǎi)了安全設備，但缺乏技術(shù)人員支持，或者安全意識淡薄，安全產(chǎn)品不僅起不到安全作用，反而會(huì )影響業(yè)務(wù)連續性。
48做完等級測評就沒(méi)有安全問(wèn)題了？
答：很多人認為，完成等保測評就萬(wàn)事大吉了。其實(shí)，不然。等保測評標準只是基線(xiàn)的要求，通過(guò)測評、整改，落實(shí)等級保護制度，確實(shí)可以規避大部分的安全風(fēng)險。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過(guò)程，不是通過(guò)一次測評，就可以一勞永逸的。 
企業(yè)通過(guò)落實(shí)等保安全要求，并嚴格執行各項安全管理的規章制度，基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此，要通過(guò)等級保護測評工作開(kāi)展，以“一個(gè)中心、三重防護”好“三化六防”等為指導，不斷提升網(wǎng)絡(luò )攻防能力。
49“等?！迸c“商密”的監管單位分別是什么？
答：等保是屬于公安機關(guān)的網(wǎng)安部門(mén)開(kāi)展監督管理工作；商密是密碼管理局開(kāi)展監督管理工作。
50等保2.0什么時(shí)候算正式實(shí)施？
2019年12月1日正式實(shí)施。等保2.0依然在整個(gè)實(shí)施流程上由五個(gè)標準環(huán)節構成：定級、備案、建設整改、等級測評、監督檢查五個(gè)方面。