首页 加入收藏

全国咨询热线:0471-4599666

行业资讯

咨询热线:

135-0000-0000

行业资讯

您当前的位置: 首页 行业资讯

等保2.0丨问题集(二)

2021-02-24 08:33 行业资讯

Q11.等级保护工作就是做个测评吗?

答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。


Q12.等级保护测评做一次要多少钱?

答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。

如某省的参考报价为:二级系统测评费5万,三级系统测评费9万。


Q13.等保测评后就要花很多钱做整改吗?

答:不一定。

整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。


Q14.过等保要花多少钱?能包过吗?

答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作与测评机构的选择。


Q15.如何快速理解等保2.0测评结果?

答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。得分90分(含)以上为优,80分(含)以上为良,70分(含)以上为中,70分以下为差。除了分数,判断方法还要考虑是否有高风险。


Q16.多长时间能拿到备案证明?

答:全国各省网警管理有所差异,一般提交备案流程后,经审核,对符合等级保护要求的,公安机关公共信息网络安全监察部门应当自收到备案材料之日起的十个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。



Q17:如何确定业务系统属于等保几级?

答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。

   微信图片_20200811155849.jpg 

当确定系统级别后,可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。


Q18:业务系统在云上,安全是云平台负责的吧?

答:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。


Q19:等级保护有哪些规范标准?

答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:

·       GB/T 31167-2014 信息安全技术 云计算服务安全指南

·       GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

·       GB/T 36326-2018 信息技术 云计算云服务运营通用要求

·       GBT 22240-2020 信息安全技术 网络安全等级保护定级指南

·       GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求

·       GB/T 28448-2019信息安全技术 网络安全等级保护测评要求

·       GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

·       GB_T 28449-2018 信息安全技术 网络安全等级保护测评过程指南

·       GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求

·       GM/T 0054-2018 信息系统密码应用基本要求

·       GB/T 35273-2020 信息安全技术 个人信息安全规范

Q20:等级保护步骤或流程是什么样的?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、信息系统备案、系统安全建设、信息系统开始等级测评、主管单位定期开展监督检查。