等保2.0常见问题汇总

news2024/11/6 9:42:21

等保2.0发布后,整个网络安全行业积极学习并按照新规范进行网络系统的部署。然而许多人仍然对等保制度的来历、发展、演变以及贯彻重点存在疑问。等保2.0依然在整个实施流程上由五个标准环节构成:定级、备案、建设整改、等级测评、监督检查五个方面。本文汇总梳理了等保2.0的40个主要问题,可以收藏了解。

Q1:什么是等级保护?

答:等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

Q2:什么是等级保护2.0?

答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。

Q3:“等保”与“分保”有什么区别?

答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。

监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。

适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。

等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。

Q4:“等保”与“关保”有什么区别?

答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。

目前“关保”的基本要求、测评指南、高风险判例等均已基本完成,相关试点工作已启动。

Q5:什么是等级保护测评?

答:指经认定的专业第三方测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。

等级保护 2.0 测评时需要关心的重点

Q6:等级保护是否是强制性的,可以不做吗?

答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护工作是保障我国网络安全的基本动作,目前各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。

Q7:做等级保护要多少钱?

答:开展等级保护工作主要包含:规划费用、建设或整改费用、运维费用、测评费用等,具体费用因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较大。

为避免过度保护或疏于防范的情况,减少资源浪费等,建议聘请或咨询专业的等级保护服务机构,制定科学合理的方案。

Q8:等级保护测评一般多长时间能测完?

答:一个二级或三级的系统整体持续周期1-2个月。

现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。

小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1-2周。

目前各地根据各自省份或城市的情况,还存在单独规定测评实施周期的情况,一般是签订测评合同之日起3-6个月必须出具测评报告。

Q9:等级保护测评多久做一次?

答:根据《信息安全等级保护管理办法》公通字200743号十四条:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。

Q10:是否系统定级越低越好?

答:不是。应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。

Q11:定级备案了是否就被监管了?

答:没有定级备案并不代表不会被监管。通过自评估达到二级及以上的保护对象,均应尽快组织专家开展定级评审工作,并到属地网安进行备案。定级备案后监管部门会及时发布针对性的安全预警,并根据情况实地指导网络安全工作,有利于网络运营者提升网络安全风险的应对能力,保障单位的声誉,减少经济损失。

Q12:等级保护工作就是做个测评吗?

答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。

Q13:等级保护测评做一次要多少钱?

答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。

如某省的参考报价为:二级系统测评费5万,三级系统测评费9万。

Q14:等保测评后就要花很多钱做整改吗?

答:不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。

Q15:过等保要花多少钱?能包过吗?

答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作。

Q16:做了等级测评之后,是否会给发合格证书?

答:测评后无合格证书。等级保护采用备案与测评机制而非认证机制,在属地网安备案后可获得《信息系统安全等级保护备案证明》,测评工作完成后会收到具有法律效率的“测评报告(至少要加盖测评机构公章和测评专用章)”。

Q17:如何快速理解等保2.0测评结果?

答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。

95010792d9d84775b67e35c758c56c0c.png

 

 

Q18:多长时间能拿到备案证明?

答:全国各省网警管理有所差异,一般提交备案流程后,如资料完备,顺利通过审核后15个工作日即可拿到备案证明。

Q19:不同公司的业务系统整合后是否可以算一个系统?

答:不同公司作为两个独立承担法律的主体单位,必须明确唯一的备案主体,不能算一个系统。同一单位的业务系统,如确实经过改造,入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。

Q20:如何判定属于移动安全扩展要求?

答:当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。

8ee307cdcf304e4e85a56fa6f893acb8.png

 

Q21:如何选择等级保护备案所在地?

答:《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为,出现网络安全事件后,第一责任单位是谁,谁就是备案主体。要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下,在单位所在地属地(县级及以上)网安进行定级备案。如运维所在地和注册地不一致,一般以运维所在地备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。

Q22:如何选择测评机构开展测评?

答:选择有测评资质的测评公司,优先考虑本地测评公司。可参照中国网络安全等级保护网(http://djbh.net)的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。

Q23:如何确定业务系统属于等保几级?

答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。

 

 

f431aee43e1a4f2e9f4816bbbcc1d3da.png

 

当确定系统级别后,应开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。

Q24:买/用哪些安全产品能过等保?

答:可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询专业的安全咨询服务机构定制解决方案。

等保2.0 二级和三级安全设备拓扑图

一家三甲医院,需要部署哪些网络安全设备?

等级保护建设(二,三级)需上的设备

等级保护安全设备配置方案

Q25:现在还没做等保还来得及吗?有什么影响?

答:来得及。种一棵树,最好的时间是十年前,其次是现在。可先根据定级备案要求和流程,先向公安递交定级备案文件,测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。

Q26:业务系统在云上,安全是云平台负责的吧?

答:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

也就是说云平台承担的是云平台的安全责任,部署在云平台上的系统或数据所有者,应对该系统或数据承担网络安全保护责任。

Q27:做完等级保护测评后整改周期是多久?

答:虽无明确规定,但测评报告一般是整改达标后才出具,除非可以接受结论为“差”的报告或不在乎分数。另外,等保工作本身就是为了提升网络安全防护水平,尤其是测评中发现的高风险建议立刻克服困难,抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招,导致单位承受了巨大的经济和声誉损失。

Q28:等级保护有哪些规范标准?

答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:

 

  • GB 17859-1999 计算机信息系统安全保护划分准则
  • GB/T 31167-2014 信息安全技术云计算服务安全指南
  • GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
  • GB/T 36326-2018 信息技术 云计算云服务运营通用要求
  • GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南
  • GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
  • GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
  • GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指
  • GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
  • GB/T 22240-2020 信息安全技术 网络安全安全等级保护定级指南
  • GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
  • GM/T 0054-2018 信息系统密码应用基本要求
  • GB/T 35273-2020 信息安全技术 个人信息安全规范
  • 各行业网络安全等级保护标准汇总

Q29:等级保护步骤或流程是什么样的?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、安全建设/整改、等级测评、主管/监管单位定期开展监督检查。

干货 | 网络安全等级保护安全建设整改的流程、方法

Q30:有哪些情况系统定级无需专家评审?

答:信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需在进行等级专家评审。

主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。

具体要求建议咨询属地网安

Q31:业务系统在内/专网,还需要做等保吗?

答:需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。

Q32:等级保护测评结论不符合是不是等级保护工作就白做了?

答:不是。等级保护测评结论为“差”,表示目前该信息系统存在高危风险或整体安全性较差,没有达到相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准,需要抓紧整改。

Q33:拿什么证明开展过等级保护工作?

答:一般情况是备案证明和测评报告,测评报告应加盖测评机构公章和测评专用章。

Q34:系统在云上,还要做等保吗?

答:要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。

是否要通过测评这个需根据系统的重要程度,依据国家标准和相关部门要求来确定。

Q35.等保的测评内容有哪些?

答:通用要求包含:技术要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心);管理要求(安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理);云计算、物联网、移动互联、工控、大数据扩展标准以及行业标准。

Q36.《等保》和《网络安全法》什么关系?

答:等级保护工作是国家网络安全的基础性工作,是《网络安全法》要求我们履行的一项安全责任。《网络安全法》是网络安全领域的基本法,从国家层面对等级保护工作的法律认可,网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。

Q37.哪些企业和单位应该开展等保工作?

答:根据 GB/T 22239-2019的相关规定:

 

 

b186aa0075904bf2b156c952f08c741d.png 

划重点:

(1)中国境内运营的

(2)政府、事业单位、对外提供服务的企业

(3)除信息系统外,还包括:基础网络、云平台、大数据、物联网、工控系统和移动互联

也就是说,基本涵盖了企业的对外提供服务的业务系统和产品。

Q38.购买了符合等保要求的安全设备就能有效抵御网络风险?

答:设备只是工具,是否能抵御风险,还有看怎么用!不少单位花钱买了安全设备,但缺乏技术人员支持,或者安全意识淡薄,安全产品不仅起不到安全作用,反而会影响业务连续性。

Q39:做完等级测评就没有安全问题了?

答:很多人认为,完成等保测评就万事大吉了。其实,不然。等保测评标准只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但是,安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。

企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此,要通过等级保护测评工作开展,以“一个中心、三重防护”好“三化六防”等为指导,不断提升网络攻防能力。

Q40:等保2.0什么时候算正式实施?

2019年12月1日正式实施。等保2.0依然在整个实施流程上由五个标准环节构成:定级、备案、建设整改、等级测评、监督检查五个方面。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/527103.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Science文章复现(Python):图1 - Aircraft obs(机载的观测 CO2)

之前有写过science文章后处理的复现Science文章复现(Python):在机载观测中明显的强烈南大洋碳吸收 在这里是针对图细节的理解: 首先需要下载这个项目 https://github.com/NCAR/so-co2-airborne-obs 这里的环境配置会比较麻烦 con…

Java设计模式 13-命令模式

命令模式 一、智能生活项目需求 看一个具体的需求 1)我们买了一套智能家电,有照明灯、风扇、冰箱、洗衣机,我们只要在手机上安装 app 就可以控制对这些家电工作。 2)这些智能家电来自不同的厂家,我们不想针对每一种家电都安装一个 App&…

怎样实现RPC框架

随着微服务架构的盛行,远程调用成了开发微服务必不可少的能力,RPC 框架作为微服务体系的底层支撑,也成了日常开发的必备工具。当下,RPC 框架已经不仅是进行远程调用的基础工具,还需要提供路由、服务发现、负载均衡、容…

两种QGraphicsItem方式实现橡皮擦功能(矩形选中框)

方法一:继承QGraphicsItem实现橡皮擦功能。(gif中红色矩形框) 方法二:继承QGraphicsRectItem实现的橡皮擦功能。(gif中蓝色矩形框) 通过以上GIF可以看出两款橡皮擦都具有位置拖动和大小拖动的功能&#xff…

Nacos必知必会:这些知识点你一定要掌握!

前言 Nacos 是一个开源的服务发现、配置管理和服务治理平台,是阿里巴巴开源的一款产品。 Nacos 可以帮助开发者更好地管理微服务架构中的服务注册、配置和发现等问题,提高系统的可靠性和可维护性。 本文将介绍 Nacos 的必知必会知识点,包括…

Zookeeper基础和简单使用

安装与配置 概念 基于观察者模式设计的分布式服务管理框架,负责存储和管理大家都关心数据,然后接受观察者的注册,一单这些数据的这状态发生了变化,Zookeeper就将负责通知已经在Zookeeper上注册的那些观察者做出相应的反应 特点…

当JS遇到加密:解密你的JS代码!

作为一名程序员,我们经常会遇到各种加密算法,比如常见的AES、RSA、MD5等等,但是今天我想和大家聊一聊一个日常生活中比较常见的加密方式——JavaScript加密。 在我们日常浏览网页时,经常会看到一些网站的JavaScript代码经过加密&…

【Redis】布隆过滤器原理与应用

文章目录 原理应用实战总结 布隆过滤器(Bloom Filter)是 1970 年由布隆提出的。它实际上是一个很长的二进制向量和一系列随机映射函数。布隆过滤器可以用于检索一个元素是否在一个集合中。 它的优点是空间效率和查询时间都比一般的算法要好的多&#xff…

AJAX实现搜索联想 自动补全

分析: 1.想实现联想搜索需要数据库的数据支撑,需要进行模糊查询,搜索出所有包含用户输入的关键字信息,并将这些信息都反馈到前端,简化用户输入,从而提高用户的体验。 2.为了提高用户的使用体验,整个页面不能全部刷新,需要局部刷新,为此需要…

Python中的各种报错-一般错误

目录 ValueError: check_hostname requires server_hostname missing 1 required positional argument: self xxx is not a package libpng warning: iCCP: cHRM chunk does not match sRGB check_hostname requires server_hostname python 安装第三方库,超时…

MQTTC数据桥接上云

[小 迪 导 读]:在工业物联网蓬勃发展的背景下,私有化部署已经不能满足当前的发展趋势了,因此dgiot在原有基础上进行创新,将私有化部署的区域数控一体机上的数据通过mqtt桥接的方式上传到云服务器上,完成数据的实时同步…

Baumer工业相机堡盟工业相机软件CameraExplorer常见功能使用说明一

Baumer工业相机堡盟工业相机软件CameraExplorer常见功能使用说明一 Baumer工业相机Baumer工业相机图像采集功能Baumer工业相机图像基本参数设置 Baumer工业相机 Baumer工业相机堡盟相机是一种高性能、高质量的工业相机,可用于各种应用场景,如物体检测、…

【前端提效】-- Chrome浏览器开发者工具使用技巧

介绍一下 DevTools 的一些好用的技巧,它能够很好地帮助你提高生产力和解决问题的能力。 1、打开命令行 或者使用:快捷键 Ctrl Shift P (Mac: ⌘ Shift P ) 命令行可以做很多事情,包括但不限于截图、更换主题等 2、控制 DevT…

暑假线上兼职:300-500元/小时,安利一个大学生也能月入8K的线上兼职

在后台经常收到这样的留言: 快接近暑假了,有没有线上兼职推荐? 如何提升自己的眼界和能力,为之后的职场铺路? 不知道有多少朋友是想提升自己获取资源信息的速度,发展自己的爱好,或者增加第二收入…

用友U8增加查询条件

1、检查要增加的条件是否在该表单中; 2、在查询条件中增加查询条件的管理方案 3、参照ID就是要参照的表 4、数据源,在要增加的表单数据库中查询该字段名,进行增加即可。 select * from purbillvouch where cpbvcode 0000000312 --PurBillV…

调用legend资源,生成地图图例

作者:lly 文章目录 前言一、接口详情二、具体实现三、结果展示 前言 最近很多小伙伴资源关于iServer图例的问题, 接下来我们就来介绍下如何使用iServer legend资源,生成地图图例 一、接口详情 请求示例 {"layerLegends": [{&quo…

达索的天线设计和仿真软件Antenna Magus 2023版本下载与安装配置教程

目录 前言一、Antenna Magus安装二、使用配置总结 前言 Antenna Magus软件是一款用于天线设计和仿真的软件,提供了一个全面的设计工具集,帮助工程师优化天线设计,同时减少设计周期。 Antenna Magus的主要特点: ——高级天线库&…

如何用 ChatGPT 帮你自动分析数据?

误判 好几天之前,我就在 ChatGPT 选单里看到了 Code Interpreter。它正在灰度测试中 —— 先给一部分用户试用,如果反响不错并做了一定改进,就能推广给更多用户。 可惜当时我没能正确理解它的含义,犯了一个大错误 —— 望文生义。…

ChatGPT 上线联网和插件功能;投资者看好新版搜索引擎

🚀 ChatGPT 上线联网和插件功能 OpenAI宣布将在这周推出联网和插件功能,位于Alpha和Beta通道的ChatGPT Plus用户都可使用70多个上线的插件。 更新意味着ChatGPT将利用最新的信息和资讯为使用者提供服务。 上线的ChatGPT插件种类涵盖了行程安排助理、代…

Android开发-Android常用组件-Date Time组件

4.11 Date & Time组件 1.TextClock(文本时钟) TextClock是在Android 4.2(API 17)后推出的用来替代DigitalClock的一个控件! TextClock可以以字符串格式显示当前的日期和时间,因此推荐在Android 4.2以后使用TextClock。 这个控件推荐在24进制的and…