Q11.等級保護工作就是做個測評嗎�����?
答:等級保護工作包括定級、備案�、測評���、建設整改��、監督審查,測評只是其中一項����。測評不是等保工作的結束��,重要的是通過測評查漏補缺,不斷改進提升安全防護能力���,降低安全風險�。
Q12.等級保護測評做一次要多少錢?
答:等級保護工作屬于屬地化管理,測評收費非全國統一價����,測評費用每個省都有一個參考報價標準��。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統測評費5萬,三級系統測評費9萬。
Q13.等保測評后就要花很多錢做整改嗎�?
答:不一定�����。
整改工作可根據網絡運營者對測評結果分數的期望和現有安全防護措施的實際效果是否能保障業務抵抗風險的需求按需開展。整改內容也有很多不同方向����,除安全設備或服務外���,安全管理制度�����、安全策略調整的整改成本并不高,同樣也能快速提升安全保障能力。
Q14.過等保要花多少錢�?能包過嗎��?
答:等級保護采用備案與測評機制而非認證機制���,不存在包過的說法�,盲目采納服務商包過的產品與服務套餐往往不是最高性價比的方案���。網絡運營者可結合自身實際安全需求與等保測評預期得分��,咨詢專業的第三方安全咨詢服務機構來開展等建設工作與測評機構的選擇。
Q15.如何快速理解等保2.0測評結果?
答:等級保護2.0測評結果包括得分與結論評價�����;得分為百分制�,及格線為70分;結論評價分為優、良����、中�����、差四個等級。得分90分(含)以上為優,80分(含)以上為良,70分(含)以上為中,70分以下為差。除了分數,判斷方法還要考慮是否有高風險�����。
Q16.多長時間能拿到備案證明���?
答:全國各省網警管理有所差異��,一般提交備案流程后�����,經審核,對符合等級保護要求的,公安機關公共信息網絡安全監察部門應當自收到備案材料之日起的十個工作日內�����,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位���,一份存檔��;對不符合等級保護要求的,公安機關公共信息網絡安全監察部門應當在10個工作日內通知備案單位進行整改����,并出具《信息系統安全等級保護備案審核結果通知》�。
Q17:如何確定業務系統屬于等保幾級���?
答:可參照等級保護定級指南�,從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體的影響程度,取兩個方面較高的等級�����。
當確定系統級別后��,可開展專家評審對系統定級合理性進行審核���。如有行業主管部門制訂的定級依據�����,可直接參照采納行業定級標準定級。
Q18:業務系統在云上�,安全是云平臺負責的吧����?
答:根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D�,云服務商根據提供的IaaS、PaaS����、SaaS模式承擔不同的平臺安全責任��。業務系統上云后���,云租戶與云平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。
Q19:等級保護有哪些規范標準�����?
答:等級保護涉及面廣��,相關的安全標準�����、規范、指南還有很多正在編制或修訂中�����。常用的規范標準包括但不限于如下幾個:
· GB/T 31167-2014 信息安全技術 云計算服務安全指南
· GB/T 31168-2014 信息安全技術 云計算服務安全能力要求
· GB/T 36326-2018 信息技術 云計算云服務運營通用要求
· GBT 22240-2020 信息安全技術 網絡安全等級保護定級指南
· GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要求
· GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求
· GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求
· GB_T 28449-2018 信息安全技術 網絡安全等級保護測評過程指南
· GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要求
· GM/T 0054-2018 信息系統密碼應用基本要求
· GB/T 35273-2020 信息安全技術 個人信息安全規范
Q20:等級保護步驟或流程是什么樣的����?
答:根據信息系統等級保護相關標準,等級保護工作總共分五個階段����,分別為:信息系統定級�、信息系統備案�、系統安全建設、信息系統開始等級測評����、主管單位定期開展監督檢查����。
